Az Update Management üzembe helyezésének megtervezése

  • Cikk

1. lépés: Automation-fiók

Update Management is an Azure Automation feature, and therefore requires an Automation account. You can use an existing Automation account in your subscription, or create a new account dedicated only for Update Management and no other Automation features.

2. lépés: Azure Monitor-naplók

Update Management depends on a Log Analytics workspace in Azure Monitor to store assessment and update status log data collected from managed machines. Integration with Log Analytics also enables detailed analysis and alerting in Azure Monitor. You can use an existing workspace in your subscription, or create a new one dedicated only for Update Management.

If you are new to Azure Monitor Logs and the Log Analytics workspace, you should review the Design a Log Analytics workspace deployment guide.

3. lépés: Támogatott operációs rendszerek

Update Management supports specific versions of the Windows Server and Linux operating systems. Before you enable Update Management, confirm that the target machines meet the operating system requirements.

4. lépés: Log Analytics-ügynök

The Log Analytics agent for Windows and Linux is required to support Update Management. The agent is used for both data collection, and the Automation system Hybrid Runbook Worker role to support Update Management runbooks used to manage the assessment and update deployments on the machine.

Ha az Azure-beli virtuális gépeken a Log Analytics-ügynök még nincs telepítve, az a Windows vagy Linux rendszerhez készült Log Analytics virtuálisgép-bővítmény használatával automatikusan telepítve lesz, amikor engedélyezi az Update Managementet a virtuális géphez. The agent is configured to report to the Log Analytics workspace linked to the Automation account Update Management is enabled in.

Non-Azure VMs or servers need to have the Log Analytics agent for Windows or Linux installed and reporting to the linked workspace. Azt javasoljuk, hogy a Windows vagy Linux rendszerhez készült Log Analytics-ügynököt úgy telepítse, hogy először csatlakoztatja a gépet az Azure Arc-kompatibilis kiszolgálókhoz, majd az Azure Policy használatával hozzárendeli a Log Analytics-ügynök üzembe helyezése Linux vagy Windows rendszerű Azure Arc-gépekhez nevű beépített szabályzatdefiníciót. Másik lehetőségként, ha VM-elemzésekkel szeretné figyelni a gépeket, használja az Azure Monitor engedélyezése virtuális gépekhez kezdeményezést.

If you're enabling a machine that's currently managed by Operations Manager, a new agent isn't required. The workspace information is added to the agents configuration when you connect the management group to the Log Analytics workspace.

Having a machine registered for Update Management in more than one Log Analytics workspace (also referred to as multihoming) isn't supported.

Step 5 - Network planning

To prepare your network to support Update Management, you may need to configure some infrastructure components. For example, open firewall ports to pass the communications used by Update Management and Azure Monitor.

Review Azure Automation Network Configuration for detailed information on the ports, URLs, and other networking details required for Update Management, including the Hybrid Runbook Worker role. Az Azure Private Link használatát ismertető cikkben tájékozódhat arról, hogyan csatlakozhat biztonságosan és privát módon az Automation szolgáltatáshoz az Azure-beli virtuális gépekről.

For Windows machines, you must also allow traffic to any endpoints required by Windows Update agent. A szükséges végpontok friss listáját a HTTP-/proxyproblémák című témakörben találja. Ha helyi Windows Server Update Services (WSUS) üzemelő példánya van, akkor a WSUS-kulcsban megadott kiszolgáló felé történő forgalmat is engedélyeznie kell.

For Red Hat Linux machines, see IPs for the RHUI content delivery servers for required endpoints. For other Linux distributions, see your provider documentation.

If your IT security policies do not allow machines on the network to connect to the internet, you can set up a Log Analytics gateway and then configure the machine to connect through the gateway to Azure Automation and Azure Monitor.

6. lépés: Engedélyek

To create and manage update deployments, you need specific permissions. To learn about these permissions, see Role-based access - Update Management.

7. lépés: Windows Update Agent

Azure Automation Update Management relies on the Windows Update Agent to download and install Windows updates. There are specific group policy settings that are used by Windows Update Agent (WUA) on machines to connect to Windows Server Update Services (WSUS) or Microsoft Update. These group policy settings are also used to successfully scan for software update compliance, and to automatically update the software updates. To review our recommendations, see Configure Windows Update settings for Update Management.

8. lépés: Linux-adattár

VMs created from the on-demand Red Hat Enterprise Linux (RHEL) images available in Azure Marketplace are registered to access the Red Hat Update Infrastructure (RHUI) that's deployed in Azure. Any other Linux distribution must be updated from the distribution's online file repository by using methods supported by that distribution.

To classify updates on Red Hat Enterprise version 6, you need to install the yum-security plugin. On Red Hat Enterprise Linux 7, the plugin is already a part of yum itself and there's no need to install anything. For more information, see the following Red Hat knowledge article.

9. lépés: Üzembehelyezési célok megtervezése

Update Management allows you to target updates to a dynamic group representing Azure or non-Azure machines, so you can ensure that specific machines always get the right updates at the most convenient times. A dynamic group is resolved at deployment time and is based on the following criteria:

  • Subscription
  • Resource groups
  • Locations
  • Tags

Nem Azure-beli gépek esetén a dinamikus csoportok mentett kereséseket, más néven számítógépcsoportokat használnak. A gépek egy csoportjára kiterjedő frissítéstelepítések csak az Automation-fiókból láthatók az Update Management Üzembe helyezés ütemezése beállításban, nem egy adott Azure-beli virtuális gépről.

Alternatively, updates can be managed only for a selected Azure VM. Az adott gépre hatókörbe tartozó frissítéstelepítések mind a gépről, mind az Automation-fiókból láthatók az Update Management Üzembe helyezés ütemezése beállításban.

Következő lépések

Engedélyezze az Update Management használatát, és válassza ki a felügyelni kívánt gépeket az alábbi módszerek egyikével:

  • Azure Resource Manager-sablon használata az Update Management üzembe helyezéséhez egy új vagy meglévő Automation-fiókban és Azure Monitor Log Analytics-munkaterületen az előfizetésben. Nem konfigurálja a felügyelni kívánt gépek hatókörét, ezt a sablon használata után külön lépésként hajtja végre.

  • Az Automation-fiókból egy vagy több Azure-beli és nem Azure-beli géphez, beleértve az Azure Arc-kompatibilis kiszolgálókat is.

  • Az Enable-AutomationSolutionrunbook használatával automatizálhatja az Azure-beli virtuális gépek előkészítését.

  • Kiválasztott Azure-beli virtuális géphez az Azure Portal Virtuális gépek lapján. Ez a forgatókönyv Linux és Windows rendszerű virtuális gépeken érhető el.

  • Több Azure-beli virtuális gép esetén válassza ki őket az Azure Portal Virtuális gépek lapján.