Merencanakan Penyebaran Manajemen Pembaruan

  • Artikel

Langkah 1: Akun Automation

Manajemen Pembaruan adalah fitur Azure Automation, dan karenanya memerlukan akun Automation. Anda dapat menggunakan akun Automation yang ada di langganan Anda, atau membuat akun baru yang hanya didedikasikan untuk Manajemen Pembaruan dan tidak ada fitur Automation lainnya.

Langkah 2: Log Azure Monitor

Manajemen Pembaruan bergantung pada ruang kerja Log Analytics di Azure Monitor untuk menyimpan penilaian dan memperbarui data log status yang dikumpulkan dari komputer terkelola. Integrasi dengan Log Analytics juga memungkinkan analisis dan peringatan terperinci di Azure Monitor. Anda dapat menggunakan ruang kerja yang ada di langganan, atau membuat ruang kerja baru yang hanya didedikasikan untuk Manajemen Pembaruan.

Jika Anda baru menggunakan Log Azure Monitor dan ruang kerja Log Analytics, Anda harus meninjau panduan penyebaran Merancang ruang kerja Log Analytics.

Langkah 3: Sistem operasi yang didukung

Manajemen Pembaruan mendukung versi tertentu sistem operasi Windows Server dan Linux. Sebelum Anda mengaktifkan Manajemen Pembaruan, konfirmasikan bahwa komputer target memenuhi persyaratan sistem operasi.

Langkah 4: Agen Analitik Log

Agen Log Analytics untuk Windows dan Linux diperlukan untuk mendukung Manajemen Pembaruan. Agen ini digunakan untuk pengumpulan data, dan peran Hybrid Runbook Worker sistem Automation untuk mendukung runbook Manajemen Pembaruan yang digunakan untuk mengelola penilaian dan memperbarui penyebaran di komputer.

Di Azure VM, jika agen Log Analytics belum diinstal, saat Anda mengaktifkan Manajemen Pembaruan untuk VM, agen Log Analytics secara otomatis diinstal menggunakan ekstensi VM Log Analytics untuk Windows atau Linux. Agen dikonfigurasi untuk melapor ke ruang kerja Log Analytics yang ditautkan ke Manajemen Pembaruan akun Automation diaktifkan.

VM atau server non-Azure harus menginstal agen Log Analytics untuk Windows atau Linux dan melapor ke ruang kerja yang ditautkan. Sebaiknya instal agen Log Analytics untuk Windows atau Linux dengan terlebih dahulu menghubungkan komputer Anda ke server yang didukung Azure Arc, kemudian gunakan Azure Policy untuk menetapkan definisi kebijakan bawaan Sebarkan agen Log Analytics ke komputer Linux atau Windows Azure Arc. Atau, jika Anda akan memantau mesin dengan wawasan mesin virtual, gunakan Mengaktifkan Azure Monitor untuk inisiatif mesin virtual.

Jika Anda mengaktifkan mesin yang saat ini dikelola oleh Manajer Operasi, agen baru tidak diperlukan. Informasi ruang kerja ditambahkan ke konfigurasi agen saat Anda menghubungkan grup manajemen ke ruang kerja Log Analytics.

Memiliki mesin yang terdaftar untuk Manajemen Pembaruan di lebih dari satu ruang kerja Log Analytics (juga disebut sebagai multihoming) tidak didukung.

Langkah 5 - Perencanaan jaringan

Untuk mempersiapkan jaringan untuk mendukung Manajemen Pembaruan, Anda mungkin perlu mengonfigurasi beberapa komponen infrastruktur. Misalnya, buka port firewall untuk meneruskan komunikasi yang digunakan oleh Manajemen Pembaruan dan Azure Monitor.

Tinjau Konfigurasi Jaringan Azure Automation untuk mengetahui informasi terperinci tentang port, URL, dan detail jaringan lainnya yang diperlukan untuk Manajemen Pembaruan, termasuk peran Hybrid Runbook Worker. Untuk menyambungkan ke layanan Automation dari mesin virtual Azure Anda dengan aman dan privat, tinjau Menggunakan Azure Private Link.

Untuk komputer Windows, Anda juga harus mengizinkan lalu lintas ke titik akhir yang diperlukan oleh agen Windows Update. Anda dapat menemukan daftar terbaru titik akhir yang diperlukan dalam Masalah yang terkait dengan HTTP /Proxy. Jika Anda memiliki penyebaran Windows Server Update Services (WSUS) lokal, Anda juga harus mengizinkan lalu lintas ke server yang ditentukan dalam kunci WSUS.

Untuk komputer Red Hat Linux, lihat IP untuk server pengiriman konten RHUI untuk titik akhir yang diperlukan. Untuk distribusi Linux lainnya, lihat dokumentasi penyedia Anda.

Jika kebijakan keamanan TI Anda tidak mengizinkan komputer di jaringan tersambung ke internet, Anda dapat menyiapkan gateway Analitik Log lalu mengonfigurasi komputer untuk tersambung melalui gateway ke Azure Automation dan Azure Monitor.

Langkah 6: Izin

Untuk membuat dan mengelola penyebaran pembaruan, Anda memerlukan izin tertentu. Untuk mempelajari tentang izin ini, lihat Akses berbasis peran - Manajemen Pembaruan.

Langkah 7: Agen Windows Update

Manajemen Pembaruan Azure Automation bergantung pada Agen Windows Update untuk mengunduh dan menginstal pembaruan Windows. Ada pengaturan kebijakan grup tertentu yang digunakan oleh Windows Update Agent (WUA) di komputer untuk tersambung ke Windows Server Update Services (WSUS) atau Microsoft Update. Pengaturan kebijakan grup ini juga digunakan agar berhasil memindai kepatuhan pembaruan perangkat lunak, dan untuk memperbarui pembaruan perangkat lunak secara otomatis. Untuk meninjau rekomendasi kami, lihat Mengonfigurasi pengaturan Windows Update untuk Manajemen Pembaruan.

Langkah 8: Repositori Linux

VM yang dibuat dari gambar Red Hat Enterprise Linux (RHEL) sesuai permintaan yang tersedia di Marketplace Azure didaftarkan untuk mengakses Red Hat Update Infrastructure (RHUI) yang disebarkan di Azure. Distribusi Linux lainnya harus diperbarui dari repositori file online distribusi menggunakan metode yang didukung oleh distribusi itu.

Untuk mengklasifikasikan pembaruan pada Red Hat Enterprise versi 6, Anda harus menginstal plugin keamanan yum. Pada Red Hat Enterprise Linux 7, plugin sudah menjadi bagian dari yum, sehingga tidak perlu memasang apa pun. Untuk mengetahui informasi lebih lanjut, lihat artikel pengetahuan Red Hat berikut ini.

Langkah 9: Merencanakan target penyebaran

Manajemen Pembaruan memungkinkan Anda menargetkan pembaruan ke grup dinamis yang mewakili komputer Azure atau non-Azure, sehingga Anda dapat memastikan bahwa komputer tertentu selalu mendapatkan pembaruan tepat pada waktu paling tepat. Grup dinamis diselesaikan pada waktu penyebaran dan didasarkan pada kriteria berikut:

  • Langganan
  • Grup sumber daya
  • Lokasi
  • Tag

Untuk komputer non-Azure, grup dinamis menggunakan pencarian tersimpan, juga disebut grup komputer. Penyebaran pembaruan yang tercakup ke sekelompok komputer hanya terlihat dari akun Automation di opsi Jadwal Penyebaran Manajemen Pembaruan, bukan dari Azure VM tertentu.

Atau, pembaruan hanya dapat dikelola untuk Azure VM yang dipilih. Penyebaran pembaruan yang tercakup ke komputer tertentu terlihat dari komputer dan dari akun Automation di opsi Jadwal Penyebaran Manajemen Pembaruan.

Langkah berikutnya

Aktifkan Manajemen Pembaruan dan pilih komputer yang akan dikelola menggunakan salah satu metode berikut:

  • Menggunakan templat Resource Manager Azure untuk menerapkan Manajemen Pembaruan ke akun Automation baru atau yang sudah ada dan ruang kerja Analitik Log Azure Monitor di langganan Anda. Templat tidak mengkonfigurasi cakupan komputer yang harus dikelola, ini dilakukan sebagai langkah terpisah setelah menggunakan templat.

  • Dari akun Automation Anda untuk satu atau beberapa komputer Azure dan non-Azure, termasuk server yang didukung Azure Arc.

  • Menggunakan runbook Enable-AutomationSolutionuntuk mengotomatiskan onboarding Azure VM.

  • Untuk komputer virtual Azure yang dipilih dari halaman komputer virtual di portal Microsoft Azure. Skenario ini tersedia untuk komputer virtual Linux dan Windows.

  • Untuk beberapa komputer virtual Azure dengan memilihnya dari halaman komputer virtual di portal Microsoft Azure.