Plánování nasazení řešení Update Management

Krok 1 – účet Automation

Update Management je funkce Azure Automation, a proto vyžaduje účet Automation. Ve svém předplatném můžete použít existující účet Automation nebo můžete vytvořit nový účet vyhrazený jenom pro Řešení Update Management a žádné další funkce Automation.

Krok 2 – protokoly služby Azure Monitor

Správa aktualizací závisí na pracovním prostoru služby Log Analytics ve službě Azure Monitor, do které se ukládají data protokolu stavu hodnocení a aktualizace shromážděná ze spravovaných počítačů. Integrace s Log Analytics také umožňuje podrobnou analýzu a upozorňování ve službě Azure Monitor. Můžete použít existující pracovní prostor ve svém předplatném nebo vytvořit nový vyhrazený jenom pro Update Management.

Pokud s protokoly Azure Monitoru a pracovním prostorem služby Log Analytics začínáte, měli byste si projít průvodce nasazením pracovního prostoru služby Log Analytics .

Krok 3 – Podporované operační systémy

Update Management podporuje konkrétní verze operačních systémů Windows Server a Linux. Před povolením řešení Update Management ověřte, že cílové počítače splňují požadavky na operační systém.

Krok 4 – agent Log Analytics

K podpoře řešení Update Management se vyžaduje agent Log Analytics pro Windows a Linux. Agent se používá pro shromažďování dat i roli Hybrid Runbook Worker systému Automation, která podporuje runbooky Update Management používané ke správě nasazení posouzení a aktualizací na počítači.

Pokud na virtuálních počítačích Azure ještě není nainstalovaný agent Log Analytics, při povolení řešení Update Management pro virtuální počítač se automaticky nainstaluje pomocí rozšíření Log Analytics pro Windows nebo Linux. Agent je nakonfigurovaný tak, aby sestavoval pracovní prostor služby Log Analytics propojený s řešením Update Management účtu Automation.

Virtuální počítače nebo servery mimo Azure musí mít agenta Log Analytics pro instalaci Windows nebo Linuxu a vytváření sestav do propojeného pracovního prostoru. Doporučujeme nainstalovat agenta Log Analytics pro Windows nebo Linux tak, že nejprve připojíte počítač k serverům s podporou Azure Arc a pak pomocí Azure Policy přiřadíte agenta Log Analytics k Linuxu nebo Windows integrované definici zásad Azure Arc. Případně pokud plánujete monitorovat počítače pomocí přehledů virtuálních počítačů, použijte místo toho iniciativu Povolit Azure Monitor pro virtuální počítače.

Pokud povolíte počítač, který je aktuálně spravovaný nástrojem Operations Manager, není vyžadován nový agent. Informace o pracovním prostoru se přidají do konfigurace agentů, když připojíte skupinu pro správu k pracovnímu prostoru služby Log Analytics.

Počítač zaregistrovaný pro Update Management ve více než jednom pracovním prostoru služby Log Analytics (označovaný také jako multihoming) se nepodporuje.

Krok 5 – plánování sítě

K přípravě sítě na podporu řešení Update Management možná budete muset nakonfigurovat některé součásti infrastruktury. Otevřete například porty brány firewall pro předávání komunikace, kterou používá Update Management a Azure Monitor.

Projděte si Azure Automation Konfigurace sítě, kde najdete podrobné informace o portech, adresách URL a dalších síťových podrobnostech potřebných pro Update Management, včetně role Hybrid Runbook Worker. Pokud se chcete připojit ke službě Automation z virtuálních počítačů Azure bezpečně a soukromě, přečtěte si téma Použití Azure Private Link.

U Windows počítačů musíte také povolit provoz do všech koncových bodů vyžadovaných agentem služba Windows Update. Aktualizovaný seznam požadovaných koncových bodů najdete v části Problémy související s HTTP/Proxy serverem. Pokud máte místní nasazení Windows Server Update Services (WSUS), musíte také povolit provoz na server zadaný v klíči WSUS.

V případě počítačů s Red Hat Linuxem najdete IP adresy serverů pro doručování obsahu RHUI pro požadované koncové body. Další linuxové distribuce najdete v dokumentaci k vašemu poskytovateli.

Pokud vaše zásady zabezpečení IT nepovolují počítačům v síti připojení k internetu, můžete nastavit bránu Log Analytics a pak nakonfigurovat počítač tak, aby se připojil přes bránu, aby se Azure Automation a Azure Monitor.

Krok 6 – oprávnění

K vytváření a správě nasazení aktualizací potřebujete konkrétní oprávnění. Další informace o těchto oprávněních najdete v tématu Přístup na základě role – Update Management.

Krok 7 – agent služba Windows Update

Azure Automation Update Management spoléhá na agenta služba Windows Update ke stažení a instalaci aktualizací Windows. Existují konkrétní nastavení zásad skupiny, která služba Windows Update Agent (WUA) na počítačích používají pro připojení k Windows Server Update Services (WSUS) nebo službě Microsoft Update. Tato nastavení zásad skupiny slouží také k úspěšnému prohledávání dodržování předpisů aktualizací softwaru a k automatické aktualizaci aktualizací softwaru. Pokud chcete zkontrolovat naše doporučení, přečtěte si téma Konfigurace nastavení služba Windows Update pro Řešení Update Management.

Krok 8 – úložiště Pro Linux

Virtuální počítače vytvořené z imagí Red Hat Enterprise Linuxu (RHEL) na vyžádání, které jsou k dispozici v Azure Marketplace, se zaregistrují pro přístup k infrastruktuře red Hat Update Infrastructure (RHUI), která je nasazená v Azure. Všechny ostatní linuxové distribuce musí být aktualizovány z online úložiště souborů distribuce pomocí metod podporovaných danou distribucí.

Pokud chcete klasifikovat aktualizace na Red Hat Enterprise verzi 6, musíte nainstalovat modul plug-in yum-security. Na Red Hat Enterprise Linux 7 je modul plug-in již součástí samotného yumu a není nutné nic instalovat. Další informace najdete v následujícím článku znalostní báze Red Hat.

Krok 9 – Plánování cílů nasazení

Update Management umožňuje cílit na dynamické skupiny představující počítače Azure nebo počítače mimo Azure, takže můžete zajistit, aby konkrétní počítače vždy dostávaly správné aktualizace v nejpohodlnějších časech. Dynamická skupina se vyřeší v době nasazení a je založená na následujících kritériích:

  • Předplatné
  • Skupiny prostředků
  • Umístění
  • Značky

U počítačů mimo Azure používá dynamická skupina uložené vyhledávání, označované také jako skupiny počítačů. Nasazení aktualizací vymezená na skupinu počítačů jsou viditelná jenom z účtu Automation v možnosti Plány nasazení řešení Update Management, ne z konkrétního virtuálního počítače Azure.

Případně je možné aktualizace spravovat jenom pro vybraný virtuální počítač Azure. Nasazení aktualizací vymezená na konkrétní počítač jsou viditelná z počítače i z účtu Automation v možnostech plánování nasazení řešení Update Management.

Další kroky

Povolte správu aktualizací a vyberte počítače, které se mají spravovat pomocí jedné z následujících metod:

  • Použití šablony Azure Resource Manager k nasazení řešení Update Management do nového nebo existujícího účtu Automation a pracovního prostoru služby Azure Monitor Log Analytics ve vašem předplatném. Nenakonfiguruje rozsah počítačů, které by se měly spravovat, provede se po použití šablony jako samostatný krok.

  • Z vašeho účtu Automation pro jeden nebo více počítačů Azure a počítačů mimo Azure, včetně serverů s podporou Azure Arc.

  • Použití enable-AutomationSolutionrunbook k automatizaci onboardingu virtuálních počítačů Azure

  • Pro vybraný virtuální počítač Azure ze stránky Virtuální počítače v Azure Portal. Tento scénář je k dispozici pro virtuální počítače s Linuxem a Windows.

  • V případě několika virtuálních počítačů Azure je vyberete na stránce Virtuální počítače v Azure Portal.