Az Update Management áttekintése

A Azure Automation Update Management használatával kezelheti az Windows- és Linux rendszerű virtuális gépek operációsrendszer-frissítéseit az Azure-ban, fizikai vagy virtuális gépeket a helyszíni környezetekben és más felhőalapú környezetekben. Gyorsan felmérheti az elérhető frissítések állapotát, és kezelheti a szükséges frissítések telepítésének folyamatát az Update Managementnek jelentő gépekhez.

Előfordulhat, hogy szolgáltatóként több ügyfélbérlőt is előkészített az Azure Lighthouse-ba. Az Update Management segítségével felmérheti és ütemezheti a frissítéstelepítéseket az ugyanazon Azure Active Directory (Azure AD)-bérlő több előfizetésében lévő gépekre, vagy az Azure Lighthouse-t használó bérlők között.

A Microsoft egyéb képességeket is kínál az Azure-beli virtuális gépek vagy azure-beli virtuálisgép-méretezési csoportok frissítéseinek kezeléséhez, amelyeket érdemes megfontolnia a teljes frissítéskezelési stratégia részeként.

  • Ha szeretné automatikusan felmérni és frissíteni az Azure-beli virtuális gépeket, hogy fenntartsa a biztonsági megfelelőséget a minden hónapban kiadott kritikus és biztonsági frissítéseknek, tekintse át a virtuális gépek automatikus vendégjavítását. Ez egy alternatív frissítéskezelési megoldás az Azure-beli virtuális gépek számára a csúcsidőn kívüli automatikus frissítéshez, beleértve a rendelkezésre állási csoporton belüli virtuális gépeket is, összehasonlítva a frissítéstelepítések felügyeletével az adott virtuális gépeken az Update Managementből Azure Automation.

  • Ha Azure-beli virtuálisgép-méretezési csoportokat kezel, tekintse át, hogyan végezhet automatikus operációsrendszer-lemezkép-frissítéseket a méretezési csoport összes példányának operációsrendszer-lemezének biztonságos és automatikus frissítéséhez.

Az Update Management telepítése és a gépek felügyeletre való engedélyezése előtt győződjön meg arról, hogy tisztában van a következő szakaszokban található információkkal.

Az Update Management ismertetése

Az alábbi ábra bemutatja, hogyan értékeli és alkalmazza az Update Management a biztonsági frissítéseket az összes csatlakoztatott Windows Server- és Linux-kiszolgálón.

Update Management workflow

Az Update Management integrálható az Azure Monitor-naplókkal a frissítési értékelések és a frissítéstelepítési eredmények naplóadatokként való tárolásához a hozzárendelt Azure-beli és nem Azure-beli gépekről. Az adatok gyűjtéséhez az Automation-fiók és a Log Analytics-munkaterület össze van kapcsolva, és a gépen szükség van a Windows és Linux rendszerhez készült Log Analytics-ügynökre, és úgy van konfigurálva, hogy erről a munkaterületről jelentsen.

Az Update Management támogatja a rendszerfrissítésekkel kapcsolatos információk gyűjtését az ügynököktől a munkaterülethez csatlakoztatott System Center Operations Manager felügyeleti csoportban. Nem támogatott, hogy egy gép regisztrálva legyen az Update Managementhez több Log Analytics-munkaterületen (más néven többhelyes környezetben).

Az alábbi táblázat az Update Managementtel támogatott csatlakoztatott forrásokat foglalja össze.

Csatlakoztatott forrás Támogatott Description
Windows Yes Az Update Management információkat gyűjt a rendszerfrissítésekről Windows gépekről a Log Analytics-ügynökkel és a szükséges frissítések telepítésével.
A gépeknek jelentenie kell a Microsoft Update vagy a Windows Server Update Services (WSUS) szolgáltatásnak.
Linux Yes Az Update Management a Log Analytics-ügynökkel és a támogatott disztribúciók szükséges frissítéseinek telepítésével adatokat gyűjt a Linux rendszerű gépek rendszerfrissítéseiről.
A gépeknek egy helyi vagy távoli adattárban kell jelentést adniuk.
Az Operations Manager felügyeleti csoportja Yes Az Update Management a csatlakoztatott felügyeleti csoport ügynökeitől gyűjti a szoftverfrissítésekkel kapcsolatos információkat.

Nincs szükség közvetlen kapcsolatra az Operations Manager-ügynök és az Azure Monitor-naplók között. A rendszer a felügyeleti csoportból a Log Analytics-munkaterületre továbbítja a naplóadatokat.

Az Update Managementhez rendelt gépek arról számolnak be, hogy mennyire naprakészek, attól függően, hogy milyen forrással vannak konfigurálva a szinkronizáláshoz. Windows gépeket úgy kell konfigurálni, hogy jelentést készíthessenek Windows Server Update Services vagy a Microsoft Update számára, a Linux rendszerű gépeket pedig úgy kell konfigurálni, hogy helyi vagy nyilvános tárházba jelentsenek. Az Update Managementet a Microsoft Endpoint Configuration Manager is használhatja, és további információért lásd: Az Update Management integrálása Windows Endpoint Configuration Manager.

Ha a Windows gépen lévő Windows Update-ügynök (WUA) úgy van konfigurálva, hogy a WSUS-nak jelentsen, attól függően, hogy a WSUS mikor szinkronizálódott utoljára a Microsoft Update szolgáltatással, az eredmények eltérhetnek a Microsoft Update által megjelenítettektől. Ez a viselkedés ugyanaz a linuxos gépek esetében, amelyek úgy vannak konfigurálva, hogy nyilvános adattár helyett helyi adattárnak jelentsenek. Egy Windows gépen a megfelelőségi vizsgálat alapértelmezés szerint 12 óránként fut. Linux rendszerű gépeken a megfelelőségi vizsgálat alapértelmezés szerint óránként történik. Ha a Log Analytics-ügynök újraindul, a megfelelőségi vizsgálat 15 percen belül elindul. Amikor egy gép befejezi a frissítési megfelelőség vizsgálatát, az ügynök tömegesen továbbítja az adatokat az Azure Monitor-naplókba.

Ütemezett központi telepítés létrehozásával szoftverfrissítéseket telepíthet azokra a gépekre, amelyeken szükség van a frissítésekre. A választhatóként besorolt frissítések nem szerepelnek Windows gépek központi telepítési hatókörében. A központi telepítési hatókör csak a szükséges frissítéseket tartalmazza.

Az ütemezett üzembe helyezés határozza meg, hogy mely célgépek kapják meg a vonatkozó frissítéseket. Ezt megteheti úgy, hogy explicit módon megad bizonyos gépeket, vagy kiválaszt egy számítógépcsoportot , amely egy adott gépcsoport naplókeresései alapján történik (vagy egy Azure-lekérdezés alapján, amely dinamikusan kiválasztja az Azure-beli virtuális gépeket a megadott feltételek alapján). Ezek a csoportok eltérnek a hatókör-konfigurációtól, amely a konfigurációt fogadó gépek célzásának szabályozására szolgál az Update Management engedélyezéséhez. Így nem végezhetik el és nem jelentik a frissítési megfelelőséget, és nem telepíthetik a jóváhagyott szükséges frissítéseket.

A központi telepítés meghatározásakor meg kell adnia egy ütemezést is a jóváhagyáshoz, és meg kell adnia egy időszakot, amely alatt a frissítések telepíthetők. Ezt az időszakot karbantartási időszaknak nevezzük. A karbantartási időszak 10 perces időszaka újraindításokra van fenntartva, feltéve, hogy szükség van rá, és a megfelelő újraindítási lehetőséget választotta. Ha a javítás a vártnál több időt vesz igénybe, és a karbantartási időszak kevesebb mint 10 percet vesz igénybe, nem történik újraindulás.

Miután egy frissítési csomag üzembe helyezésre van ütemezve, 2–3 órát vesz igénybe, hogy a frissítés megjelenjen a Linux rendszerű gépeken értékelésre. Windows gépek esetében 12–15 óra alatt jelenik meg a frissítés értékelésre a kiadás után. A frissítés telepítése előtt és után a rendszer ellenőrzi a frissítési megfelelőséget, és a naplóadatok eredményeit továbbítja a munkaterületre.

A telepítést az Azure Automation runbookjai végzik. Ezek a runbookok nem tekinthetők meg, és nem igényelnek semmilyen konfigurációt. A frissítéstelepítés létrehozásakor létrehoz egy ütemezést, amely elindít egy fő frissítési runbookot a megadott időben a belefoglalt gépekhez. A fő runbook minden ügynökön elindít egy gyermekrunbookot, amely kezdeményezi a szükséges frissítések telepítését a Windows Update ügynökkel a Windows, vagy a támogatott Linux-disztribúcióra vonatkozó parancsot.

A frissítéstelepítésben megadott dátumon és időpontban a célgépek párhuzamosan hajtják végre az üzembe helyezést. A telepítés előtt futtasson egy vizsgálatot annak ellenőrzéséhez, hogy a frissítésekre továbbra is szükség van-e. Ha a WSUS-ügyfélgépek nem hagyják jóvá a frissítéseket a WSUS-ban, a frissítéstelepítés sikertelen lesz.

Korlátok

Az Update Managementre vonatkozó korlátokért lásd Azure Automation szolgáltatáskorlátokat.

Engedélyek

A frissítéstelepítések létrehozásához és kezeléséhez adott engedélyekre van szükség. További információ ezekről az engedélyekről: Szerepköralapú hozzáférés – Frissítéskezelés.

Az Update Management összetevői

Az Update Management az ebben a szakaszban ismertetett erőforrásokat használja. Ezeket az erőforrásokat a rendszer automatikusan hozzáadja az Automation-fiókjához az Update Management engedélyezésekor.

Hibrid runbook-feldolgozócsoportok

Az Update Management engedélyezése után a Log Analytics-munkaterülethez közvetlenül csatlakozó Windows gépek automatikusan hibrid runbook-feldolgozóként lesznek konfigurálva az Update Managementet támogató runbookok támogatásához.

Az Update Management által felügyelt összes Windows gép megjelenik a Hibridfeldolgozó-csoportok panelen az Automation-fiók rendszerszintű hibridfeldolgozó-csoportjaként. A csoportok az elnevezési Hostname FQDN_GUID konvenciót használják. Ezeket a csoportokat nem célozhatja meg runbookokkal a fiókjában. Ha megpróbálja, a kísérlet sikertelen lesz. Ezek a csoportok csak az Update Managementet támogatják. A hibrid runbook-feldolgozóként konfigurált Windows gépek listájának megtekintéséről további információt a hibrid runbook-feldolgozók megtekintésével kapcsolatban talál.

Ha ugyanazt a fiókot használja az Update Managementhez és a hibrid runbook-feldolgozó csoporttagsághoz, hozzáadhatja a Windows gépet egy felhasználói hibrid runbook-feldolgozó csoporthoz az Automation-fiókban az Automation-runbookok támogatásához. Ez a funkció a hibrid runbook-feldolgozó 7.2.12024.0-s verziójában lett hozzáadva.

Külső függőségek

Azure Automation Frissítéskezelés a következő külső függőségeken múlik a szoftverfrissítések továbbításához.

  • Windows Server Update Services (WSUS) vagy Microsoft Update szükséges a szoftverfrissítési csomagokhoz és a szoftverfrissítések alkalmazhatósági vizsgálatához Windows-alapú gépeken.
  • A Windows Update Agent (WUA) ügyfélre Windows-alapú gépeken van szükség, hogy csatlakozni tudjanak a WSUS-kiszolgálóhoz vagy a Microsoft Update-hez.
  • Helyi vagy távoli adattár, amely lekéri és telepíti az operációs rendszer frissítéseit Linux-alapú gépeken.

Felügyeleti csomagok

A következő felügyeleti csomagok vannak telepítve az Update Management által felügyelt gépeken. Ha az Operations Manager felügyeleti csoport egy Log Analytics-munkaterülethez csatlakozik, a felügyeleti csomagok az Operations Manager felügyeleti csoportba lesznek telepítve. A felügyeleti csomagokat nem szükséges konfigurálni vagy felügyelni.

  • Microsoft System Center Advisor Update Assessment Intelligence Pack (Microsoft.IntelligencePacks.UpdateAssessment)
  • Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
  • Frissítéstelepítő felügyeleti csomag

Megjegyzés

Ha operations Manager 1807 vagy 2019 felügyeleti csoport csatlakozik egy Log Analytics-munkaterülethez, és a felügyeleti csoportban a naplóadatok gyűjtésére konfigurált ügynökökkel rendelkezik, felül kell bírálnia a paramétert IsAutoRegistrationEnabled , és be kell állítania True a Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init szabályban.

További információ a felügyeleti csomagok frissítéseiről: Csatlakozás Operations Manager és az Azure Monitor naplói.

Megjegyzés

Ahhoz, hogy az Update Management teljes mértékben felügyelhesse a gépeket a Log Analytics-ügynökkel, frissítenie kell Windows Log Analytics-ügynökére vagy a Linuxhoz készült Log Analytics-ügynökre. Az ügynök frissítéséről az Operations Manager-ügynök frissítéséről olvashat. Az Operations Managert használó környezetekben System Center Operations Manager 2012 R2 UR 14-et vagy újabb verziót kell futtatnia.

Adatgyűjtés gyakorisága

Az Update Management az alábbi szabályokkal ellenőrzi a felügyelt gépek adatait. Az irányítópult felügyelt gépekről származó frissített adatainak megjelenítése 30 perc és 6 óra között lehet.

  • Minden Windows gép – Az Update Management naponta kétszer végez vizsgálatot az egyes gépeken.

  • Minden Linux rendszerű gép – Az Update Management óránként végez vizsgálatot.

Az Update Managementet használó gépek Azure Monitor-naplóinak átlagos adathasználata körülbelül havi 25 MB. Ez az érték csak közelítés, és a környezettől függően változhat. Javasoljuk, hogy a pontos használat nyomon követése érdekében monitorozza a környezetet. Az Azure Monitor-naplók adathasználatának elemzésével kapcsolatos további információkért tekintse meg az Azure Monitor-naplók díjszabását.

Frissítési besorolások

Az alábbi táblázat azOkat a besorolásokat határozza meg, amelyeket az Update Management támogat Windows frissítésekhez.

Besorolás Leírás
Kritikus frissítések Egy adott probléma frissítése, amely egy kritikus, nem biztonsággal kapcsolatos hibát old meg.
Biztonsági frissítések Termékspecifikus, biztonsággal kapcsolatos probléma frissítése.
Kumulatív frissítések Az egyszerű üzembe helyezés érdekében összecsomagolt gyorsjavítások halmozott készlete.
Funkciócsomagok A termékkiadáson kívül terjesztett új termékfunkciók.
Szervizcsomagok Az alkalmazásra alkalmazott gyorsjavítások halmozott készlete.
Definíciófrissítések Vírus- vagy más definíciós fájlok frissítése.
Eszközök Egy vagy több feladat elvégzését segítő segédprogram vagy szolgáltatás.
Frissítések Egy alkalmazás vagy fájl frissítése, amely jelenleg telepítve van.

A következő táblázat a Linux-frissítések támogatott besorolásait határozza meg.

Besorolás Leírás
Kritikus vagy biztonsági frissítések Adott probléma vagy termékspecifikus, biztonsággal kapcsolatos probléma frissítései.
Egyéb frissítések Minden más frissítés, amely nem kritikus jellegű, vagy nem biztonsági frissítések.

Megjegyzés

A Linux rendszerű gépek frissítési besorolása csak akkor érhető el, ha támogatott nyilvános Azure-felhőrégiókban használják. Az Update Management a következő országos felhőrégiókban való használatakor nem sorolja be a Linux-frissítéseket:

  • Azure US Government
  • 21Vianet Kínában

A besorolás helyett a frissítéseket az Egyéb frissítések kategóriában jelenti a rendszer.

Az Update Management a támogatott disztribúciók által közzétett adatokat, különösen a kiadott OVAL-fájlokat (Open Vulnerability and Assessment Language) használja. Mivel az internet-hozzáférés ezektől az országos felhőktől korlátozva van, az Update Management nem tud hozzáférni a fájlokhoz.

Linux esetén az Update Management képes megkülönböztetni a kritikus frissítéseket és a felhőben található biztonsági frissítéseket a Biztonság és egyebek besorolás alatt, miközben a felhőben történő adatbővítés miatti értékelési adatokat jelenít meg. A javításhoz az Update Management a gépen elérhető besorolási adatokra támaszkodik. Más disztribúciókkal ellentétben a CentOS nem rendelkezik ezekkel az információkkal az RTM-verzióban. Ha a CentOS-gépek úgy vannak konfigurálva, hogy biztonsági adatokat adjanak vissza a következő parancshoz, az Update Management a besorolások alapján képes javítani.

sudo yum -q --security check-update

Jelenleg nincs támogatott módszer a natív besorolási adatok elérhetőségének engedélyezésére a CentOS-en. Jelenleg korlátozott támogatást nyújtunk azoknak az ügyfeleknek, akik esetleg önállóan engedélyezték ezt a funkciót.

A Red Hat Enterprise 6-os verziójának frissítéseinek besorolásához telepítenie kell a yum-security beépülő modult. Red Hat Enterprise Linux 7 rendszeren a beépülő modul már része magának a yumnak, és semmit sem kell telepítenie. További információkért tekintse meg az alábbi Red Hat-ismeretcikket.

Ha linuxos gépen való futtatásra ütemez egy frissítést, amely például úgy van konfigurálva, hogy csak a biztonsági besorolásnak megfelelő frissítéseket telepítse, a telepített frissítések eltérhetnek a besorolásnak megfelelő frissítésektől, vagy azok egy részhalmazát képezik. A Linux rendszerű gépre függő operációsrendszer-frissítések értékelésekor a Linux disztribúció szállítója által biztosított Open Vulnerability and Assessment Language (OVAL) fájlokat az Update Management használja besorolásra.

A linuxos frissítések besorolása biztonsági vagy egyébként történik az OVAL-fájlok alapján, beleértve a biztonsági problémákat vagy biztonsági réseket érintő frissítéseket is. A frissítési ütemezés futtatásakor azonban a linuxos gépen fut a megfelelő csomagkezelővel( például YUM, APT vagy ZYPPER) a telepítésükhöz. A Linux-disztribúció csomagkezelője eltérő mechanizmussal rendelkezhet a frissítések besorolására, ahol az eredmények eltérhetnek az OVAL-fájlokból az Update Management által beszerzettektől. A gép manuális ellenőrzéséhez és a csomagkezelő által fontos frissítések megismeréséhez tekintse meg a Linux-frissítések telepítésének hibaelhárításával foglalkozó témakört.

Megjegyzés

A frissítés értékelése során előfordulhat, hogy a hiányzó frissítések biztonsági és kritikus besorolása nem működik megfelelően az Update Management által támogatott Linux-disztribúciók esetében. Ez az OVAL-fájlok elnevezési sémájával azonosított probléma eredménye, amelyet az Update Management a frissítések osztályozására használ az értékelés során. Ez megakadályozza, hogy az Update Management megfelelően megfeleltetse a besorolásokat a hiányzó frissítések felmérése során a szűrési szabályok alapján.
Ez nincs hatással a frissítések telepítésére. Mivel a biztonsági frissítések értékelésében más logikát használnak, az eredmények eltérhetnek az üzembe helyezés során alkalmazott biztonsági frissítésektől. Ha a besorolás kritikusként és biztonságként van beállítva, a frissítéstelepítés a várt módon fog működni. Csak a frissítések besorolása van hatással az értékelés során.
A Windows Server gépek frissítéskezelése nincs hatással; a frissítési besorolás és a központi telepítések változatlanok.

Az Update Management integrálása Configuration Manager

Azok az ügyfelek, akik a számítógépek, kiszolgálók és mobileszközök felügyeletére Microsoft Endpoint Configuration Manager fektettek be, a Configuration Manager erősségére és fejlettségére is támaszkodnak a szoftverfrissítések kezeléséhez. Az Update Management és a Configuration Manager integrálásáról további információt az Update Management integrálása Windows Endpoint Configuration Manager című témakörben talál.

Külső gyártótól származó frissítések a Windows

Az Update Management a helyileg konfigurált frissítési adattárra támaszkodik a támogatott Windows rendszerek frissítéséhez, akár WSUS, akár Windows Update. Az olyan eszközök, mint a System Center Frissítések Publisher lehetővé teszik egyéni frissítések importálását és közzétételét a WSUS használatával. Ez a forgatókönyv lehetővé teszi, hogy az Update Management frissítse azokat a gépeket, amelyek Configuration Manager használják frissítési adattárként külső szoftverekkel. A Frissítések Publisher konfigurálásáról a Frissítések telepítése Publisher című témakörben olvashat.

Következő lépések