Plan de la implementación de Update Management

  • Artículo

Paso 1: Cuenta de Azure Automation

Update Management es una característica de Azure Automation y, por tanto, requiere una cuenta de Automation. Puede usar una cuenta de Automation existente en su suscripción o crear una nueva cuenta dedicada solo para Update Management y para ninguna otra función de Automation.

Paso 2: Registros de Azure Monitor

Update Management depende de un área de trabajo de Log Analytics en Azure Monitor para almacenar los datos de registro de estado de evaluación y actualización recopilados de las máquinas administradas. La integración con Log Analytics también permite el análisis detallado y las alertas en Azure Monitor. Puede usar un área de trabajo existente en su suscripción, o puede crear una nueva dedicada solo para Update Management.

Si no conoce bien los registros de Azure Monitor y el área de trabajo de Log Analytics, consulte la guía de implementación Diseño de un área de trabajo de Log Analytics.

Paso 3: Sistemas operativos admitidos

Update Management admite versiones específicas de los sistemas operativos Windows Server y Linux. Antes de habilitar Update Management, confirme que las máquinas de destino cumplen los requisitos de sistema operativo.

Paso 4: Agente de Log Analytics

Se necesita el agente de Log Analytics para Windows y Linux para admitir Update Management. El agente se usa tanto para la recopilación de datos como para el rol de Hybrid Runbook Worker del sistema de Automation que admite los runbooks de Update Management que se usan para administrar la evaluación e implementación de actualizaciones en la máquina.

En las máquinas virtuales de Azure, si el agente de Log Analytics aún no está instalado, se instala automáticamente al habilitar Update Management para la máquina virtual, mediante la extensión de máquina virtual de Log Analytics para Windows o Linux. El agente está configurado para informar al área de trabajo de Log Analytics vinculada a la cuenta de Automation en la que Update Management está habilitada.

Los servidores o máquinas virtuales que no son de Azure deben tener instalado el agente de Log Analytics para Windows o Linux e informar al área de trabajo vinculada. Se recomienda instalar el agente de Log Analytics para Windows o Linux. Para ello, primero debe conectar su máquina a servidores habilitados para Azure Arc y, a continuación, usar Azure Policy para la asignar definición de directiva integrada Implementación del agente de Log Analytics en máquinas de Azure Arc para Linux o Windows. Como alternativa, si planea supervisar las máquinas con VM Insights, en su lugar, use la iniciativa Habilitar Azure Monitor para VM.

Si va a habilitar una máquina que Operations Manager administre, no es necesario un nuevo agente. La información del área de trabajo se agrega a la configuración de los agentes cuando se conecta el grupo de administración al área de trabajo de Log Analytics.

No se permite tener registrada una máquina para Update Management en más de un área de trabajo de Log Analytics (también conocido como hospedaje múltiple).

Paso 5: Planeamiento de red

Para preparar la red para admitir Update Management, es posible que tenga que configurar algunos componentes de la infraestructura. Por ejemplo, abra los puertos de firewall para pasar las comunicaciones usadas por Update Management y Azure Monitor.

Consulte Configuración de red de Azure Automation para más información sobre los puertos, las direcciones URL y otros detalles de red necesarios para Update Management, incluido el rol Hybrid Runbook Worker. Para conectarse al servicio Automation desde las máquinas virtuales de Azure de forma segura y privada, revise Uso de Azure Private Link.

En el caso de las máquinas Windows, también debe permitir el tráfico a los puntos de conexión que el agente de Windows Update necesita. Puede encontrar una lista actualizada de los puntos de conexión necesarios en Problemas relacionados con HTTP/Proxy. Si tiene una implementación local de Windows Server Update Services (WSUS), también debe permitir el tráfico al servidor especificado en la clave de WSUS.

En el caso de máquinas de Red Hat Linux, consulte las direcciones IP de los servidores de entrega de contenido de RHUI de los puntos de conexión necesarios. Para otras distribuciones de Linux, consulte la documentación del proveedor.

Si las directivas de seguridad de TI no permiten que las máquinas de la red se conecten a Internet, puede configurar una puerta de enlace de Log Analytics y, luego, configurar la máquina para conectarse a Azure Monitor y a Azure Automation mediante la puerta de enlace.

Paso 6: Permisos

Para crear y administrar implementaciones de actualizaciones, necesita permisos concretos. Para más información sobre estos permisos, consulte Acceso basado en rol: Update Management.

Paso 7: Agente de Windows Update

Azure Automation Update Management depende del agente de Windows Update para descargar e instalar las actualizaciones de Windows. Hay una configuración de directiva de grupo específica que Windows Update Agent (WUA) usa en las máquinas para conectarse a Windows Server Update Services (WSUS) o Microsoft Update. Esta configuración de directiva de grupo también se utiliza para analizar correctamente el cumplimiento de las actualizaciones de software, y para implementar automáticamente las actualizaciones de software. Para revisar nuestras recomendaciones, consulte Configuración de Windows Update para Update Management.

Paso 8: Repositorio de Linux

Las máquinas virtuales que se crearon a partir de imágenes a petición de Red Hat Enterprise Linux (RHEL), disponibles en Azure Marketplace, están registradas para acceder a la instancia de Red Hat Update Infrastructure (RHUI) implementada en Azure. Cualquier otra distribución de Linux se debe actualizar desde el repositorio de archivos en línea de la distribución con los métodos que esta admite.

Para clasificar las actualizaciones de la versión 6 de Red Hat Enterprise, debe instalar el complemento de seguridad de yum. En Red Hat Enterprise Linux 7, el complemento ya forma parte de yum y no es necesario instalar nada. Para más información, consulte el siguiente artículo de conocimientos de Red Hat.

Paso 9: Planeamiento de los destinos de implementación

Update Management permite dirigir las actualizaciones a un grupo dinámico que representa máquinas de Azure o no de Azure, para asegurarse de que cada máquina obtenga siempre las actualizaciones correctas en el momento más conveniente. Un grupo dinámico se resuelve en tiempo de implementación y se basa en los criterios siguientes:

  • Subscription
  • Grupos de recursos
  • Ubicaciones
  • Etiquetas

En el caso de las máquinas que no son de Azure, un grupo dinámico usa búsquedas guardadas, también llamadas grupos de equipos. Las implementaciones de actualizaciones con ámbito en un grupo de máquinas solo son visibles desde la cuenta de Automation, en la opción Programaciones de implementación de Update Management, no desde una máquina virtual de Azure específica.

Las actualizaciones se pueden administrar también solo para una máquina virtual de Azure seleccionada. Las implementaciones de actualizaciones con ámbito en la máquina específica son visibles tanto desde la máquina como desde la cuenta de Automation, en Programaciones de implementación de Update Management.

Pasos siguientes

Habilite Update Management y seleccione las máquinas que se administrarán con uno de los métodos siguientes:

  • Use una plantilla de Azure Resource Manager para implementar Update Management en una cuenta de Automation nueva o existente, y el área de trabajo de Log Analytics de Azure Monitor en la suscripción. No configura el ámbito de las máquinas que deben administrarse; esto se realiza como un paso independiente después de usar la plantilla.

  • Desde su cuenta de Automation para una o más máquinas de Azure o que no sean de Azure, incluidos servidores habilitados para Azure Arc.

  • Use el runbookEnable-AutomationSolution para automatizar la incorporación de máquinas virtuales de Azure.

  • Para una VM de Azure concreta, desde la página Máquinas virtuales en Azure Portal. Este escenario está disponible para las VM Linux y Windows.

  • Para varias máquinas virtuales de Azure, selecciónelas en la página Máquinas virtuales de Azure Portal.