Mengonfigurasi patching jadwal di Azure VM untuk kelangsungan bisnis

Berlaku untuk: ✔️ VM Windows VM ✔️ Linux VM ✔️ Azure VM.

Artikel ini adalah gambaran umum tentang cara mengonfigurasi patch jadwal dan patching komputer virtual tamu otomatis (VM) di Azure VM dengan menggunakan prasyarat baru untuk memastikan kelangsungan bisnis. Langkah-langkah untuk mengonfigurasi kedua opsi patching pada Azure Arc VM tetap sama.

Saat ini, Anda dapat mengaktifkan patching VM tamu otomatis (autopatch) dengan mengatur mode patch ke Azure-orkestrasi di portal Azure atau AutomaticByPlatform di REST API, di mana patch secara otomatis diterapkan selama jam sibuk.

Untuk menyesuaikan kontrol atas penginstalan patch, Anda dapat menggunakan patching jadwal untuk menentukan jendela pemeliharaan Anda. Anda dapat mengaktifkan patching jadwal dengan mengatur mode patch ke Azure-orchestrated di portal Azure atau AutomaticByPlatform di REST API dan melampirkan jadwal ke Azure VM. Jadi, properti VM tidak dapat dibingkai antara patching jadwal atau Patching VM tamu otomatis karena keduanya memiliki mode patch yang diatur ke Azure-orchestrated.

Dalam beberapa kasus, ketika Anda menghapus jadwal dari VM, ada kemungkinan bahwa VM mungkin dikirim secara otomatis dan di-boot ulang. Untuk mengatasi batasan, kami telah memperkenalkan prasyarat baru, ByPassPlatformSafetyChecksOnUserSchedule, yang sekarang dapat diatur ke true untuk mengidentifikasi VM dengan menggunakan patching jadwal. Ini berarti bahwa VM dengan properti ini diatur ke true tidak lagi dikirim otomatis ketika VM tidak memiliki konfigurasi pemeliharaan terkait.

Penting

Untuk pengalaman patching terjadwal yang berkelanjutan, Anda harus memastikan bahwa properti VM baru, BypassPlatformSafetyChecksOnUserSchedule, diaktifkan pada semua Azure VM Anda (sudah ada atau baru) yang memiliki jadwal yang melekat padanya pada 30 Juni 2023. Pengaturan ini memastikan bahwa komputer di-patch dengan menggunakan jadwal yang dikonfigurasi dan tidak dikirim secara otomatis. Gagal mengaktifkan pada 30 Juni 2023, memberikan kesalahan bahwa prasyarat tidak terpenuhi.

Menjadwalkan patching dalam set ketersediaan

Semua VM dalam set ketersediaan umum tidak diperbarui secara bersamaan.

VM dalam set ketersediaan umum diperbarui dalam batas Domain Pembaruan. VM di beberapa Domain Pembaruan tidak diperbarui secara bersamaan.

Dalam skenario di mana komputer dari set ketersediaan yang sama sedang di-patch pada saat yang sama dalam jadwal yang berbeda, kemungkinan komputer tersebut mungkin tidak di-patch atau berpotensi gagal jika jendela pemeliharaan melebihi. Untuk menghindari hal ini, kami sarankan Anda meningkatkan jendela pemeliharaan atau membagi komputer milik ketersediaan yang sama yang ditetapkan di beberapa jadwal pada waktu yang berbeda.

Menemukan VM dengan jadwal terkait

Untuk mengidentifikasi daftar VM dengan jadwal terkait yang harus Anda aktifkan properti VM baru:

1. Buka beranda Azure Update Manager dan pilih tab Komputer.

2. Di filter orkestrasi Patch, pilih Azure Managed - Brankas Deployment.

3. Gunakan opsi Pilih semua untuk memilih komputer lalu pilih Ekspor ke CSV.

4. Buka file CSV dan di kolom Jadwal terkait, pilih baris yang memiliki entri.

   Di kolom Nama yang sesuai, Anda dapat melihat daftar VM tempat Anda perlu mengaktifkan ByPassPlatformSafetyChecksOnUserSchedule bendera.

Mengaktifkan patching jadwal di Azure VM

Untuk mengaktifkan patching jadwal di Azure VM, ikuti langkah-langkah berikut.

Portal Azure

Prasyarat

Orkestrasi patch = Jadwal yang Dikelola Pelanggan

Pilih opsi orkestrasi patch sebagai Jadwal Terkelola Pelanggan. Opsi orkestrasi patch baru memungkinkan properti VM berikut atas nama Anda setelah menerima persetujuan Anda:

• Mode patch = Azure-orchestrated
• BypassPlatformSafetyChecksOnUserSchedule = TRUE

Aktifkan untuk VM baru

Anda dapat memilih opsi orkestrasi patch untuk VM baru yang akan dikaitkan dengan jadwal.

Untuk memperbarui mode patch:

1. Masuk ke portal Azure.
2. Buka Komputer virtual dan pilih Buat untuk membuka halaman Buat komputer virtual.
3. Pada tab Dasar , isi semua bidang wajib.
4. Pada tab Manajemen , di bawah Pembaruan OS Tamu, untuk opsi orkestrasi Patch, pilih Azure-orkestrasi.
5. Isi entri pada tab Pemantauan, Tingkat Lanjut, dan Tag .
6. Pilih Tinjau + Buat. Pilih Buat untuk membuat VM baru dengan opsi orkestrasi patch yang sesuai.

Untuk menjadwalkan patch VM yang baru dibuat, ikuti prosedur dari langkah 2 di bagian berikutnya, "Aktifkan untuk VM yang ada."

Aktifkan untuk VM yang ada

Anda dapat memperbarui opsi orkestrasi patch untuk VM yang sudah ada yang sudah memiliki jadwal yang terkait atau akan baru dikaitkan dengan jadwal.

Jika orkestrasi Patch diatur sebagai Azure-orchestrated atau Azure Managed - Brankas Deployment (AutomaticByPlatform), BypassPlatformSafetyChecksOnUserSchedule diatur ke false, dan tidak ada jadwal yang terkait, VM akan dikirim otomatis.

Untuk memperbarui mode patch:

1. Masuk ke portal Azure.
2. Buka Azure Update Manager dan pilih Perbarui Pengaturan.
3. Di Ubah pengaturan pembaruan, pilih Tambahkan komputer.
4. Di Pilih sumber daya, pilih VM Anda lalu pilih Tambahkan.
5. Pada panel Ubah pengaturan pembaruan, di bawah Orkestrasi patch, pilih Jadwal Terkelola Pelanggan lalu pilih Simpan.

Lampirkan jadwal setelah Anda menyelesaikan langkah-langkah sebelumnya.

Untuk memeriksa apakah BypassPlatformSafetyChecksOnUserSchedule diaktifkan, buka halaman beranda Komputer virtual dan pilih Gambaran Umum>Tampilan JSON.

REST API

Prasyarat

• Mode patch = AutomaticByPlatform
• BypassPlatformSafetyChecksOnUserSchedule = TRUE

Aktifkan pada VM Windows

PATCH on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2023-03-01` 

{ 
  "location":"<location>", 
  "properties": { 
    "osProfile": { 
      "windowsConfiguration": { 
        "provisionVMAgent": true, 
        "enableAutomaticUpdates": true, 
        "patchSettings": { 
          "patchMode": "AutomaticByPlatform", 
          "automaticByPlatformSettings":{ 
            "bypassPlatformSafetyChecksOnUserSchedule":true 
          } 
        } 
      } 
    } 
  } 
} 

Aktifkan pada VM Linux

PATCH on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2023-03-01` 

{ 

  "location":"<location>", 
  "properties": { 
    "osProfile": { 
      "linuxConfiguration": { 
        "provisionVMAgent": true, 
         "patchSettings": { 
           "patchMode": "AutomaticByPlatform", 
           "automaticByPlatformSettings":{ 
             "bypassPlatformSafetyChecksOnUserSchedule":true 
            } 
         } 
      } 
    } 
  } 
} 

PowerShell

Prasyarat

• Mode patch = AutomaticByPlatform
• BypassPlatformSafetyChecksOnUserSchedule = TRUE

Aktifkan pada VM Windows

$VirtualMachine = Get-AzVM -ResourceGroupName "<resourceGroup>" -Name "<vmName>"
Set-AzVMOperatingSystem -VM $VirtualMachine -Windows -PatchMode "AutomaticByPlatform"
$AutomaticByPlatformSettings = $VirtualMachine.OSProfile.WindowsConfiguration.PatchSettings.AutomaticByPlatformSettings
 
if ($null -eq $AutomaticByPlatformSettings) {
   $VirtualMachine.OSProfile.WindowsConfiguration.PatchSettings.AutomaticByPlatformSettings = New-Object -TypeName Microsoft.Azure.Management.Compute.Models.WindowsVMGuestPatchAutomaticByPlatformSettings -Property @{BypassPlatformSafetyChecksOnUserSchedule = $true}
} else {
   $AutomaticByPlatformSettings.BypassPlatformSafetyChecksOnUserSchedule = $true
}
 
Update-AzVM -VM $VirtualMachine -ResourceGroupName "<resourceGroup>"

Aktifkan pada VM Linux

$VirtualMachine = Get-AzVM -ResourceGroupName "<resourceGroup>" -Name "<vmName>"
Set-AzVMOperatingSystem -VM $VirtualMachine -Linux -PatchMode "AutomaticByPlatform"
$AutomaticByPlatformSettings = $VirtualMachine.OSProfile.LinuxConfiguration.PatchSettings.AutomaticByPlatformSettings
 
if ($null -eq $AutomaticByPlatformSettings) {
   $VirtualMachine.OSProfile.LinuxConfiguration.PatchSettings.AutomaticByPlatformSettings = New-Object -TypeName Microsoft.Azure.Management.Compute.Models.LinuxVMGuestPatchAutomaticByPlatformSettings -Property @{BypassPlatformSafetyChecksOnUserSchedule = $true}
} else {
   $AutomaticByPlatformSettings.BypassPlatformSafetyChecksOnUserSchedule = $true
}
 
Update-AzVM -VM $VirtualMachine -ResourceGroupName "<resourceGroup>"

Catatan

Saat ini, Anda hanya dapat mengaktifkan prasyarat baru untuk patching jadwal melalui portal Azure, REST API, dan PowerShell. Ini tidak dapat diaktifkan melalui Azure CLI.

Mengaktifkan patching VM tamu otomatis di Azure VM

Untuk mengaktifkan patching VM tamu otomatis di Azure VM Anda sekarang, ikuti langkah-langkah ini.

Portal Azure

Prasyarat

Mode patch = Azure-orchestrated

Aktifkan untuk VM baru

Anda dapat memilih opsi orkestrasi patch untuk VM baru yang akan dikaitkan dengan jadwal.

Untuk memperbarui mode patch:

1. Masuk ke portal Azure.
2. Buka Komputer virtual dan pilih Buat untuk membuka halaman Buat komputer virtual.
3. Pada tab Dasar , isi semua bidang wajib.
4. Pada tab Manajemen , di bawah Pembaruan OS Tamu, untuk opsi orkestrasi Patch, pilih Azure-orkestrasi.
5. Isi entri pada tab Pemantauan, Tingkat Lanjut, dan Tag .
6. Pilih Tinjau + Buat. Pilih Buat untuk membuat VM baru dengan opsi orkestrasi patch yang sesuai.

Aktifkan untuk VM yang ada

Untuk memperbarui mode patch:

1. Masuk ke portal Azure.
2. Buka Manajer Pembaruan dan pilih Perbarui pengaturan.
3. Pada panel Ubah pengaturan pembaruan, pilih Tambahkan komputer.
4. Pada panel Pilih sumber daya , pilih VM Anda lalu pilih Tambahkan.
5. Pada panel Ubah pengaturan pembaruan, di bawah Orkestrasi patch, pilih Azure Managed - Brankas Deployment lalu pilih Simpan.

REST API

Prasyarat

• Mode patch = AutomaticByPlatform
• BypassPlatformSafetyChecksOnUserSchedule = FALSE

Aktifkan pada VM Windows

PATCH on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2023-03-01` 

{ 

  "location":"<location>", 
  "properties": { 
    "osProfile": { 
      "windowsConfiguration": { 
        "provisionVMAgent": true, 
        "enableAutomaticUpdates": true, 
        "patchSettings": { 
          "patchMode": "AutomaticByPlatform", 
          "automaticByPlatformSettings":{ 
            "bypassPlatformSafetyChecksOnUserSchedule":false 
          } 
        } 
      } 
    } 
  } 
} 

Aktifkan pada VM Linux

PATCH on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2023-03-01` 

{ 
  "location":"<location>", 
  "properties": { 
    "osProfile": { 
      "linuxConfiguration": { 
        "provisionVMAgent": true,  
        "patchSettings": { 
          "patchMode": "AutomaticByPlatform", 
          "automaticByPlatformSettings":{ 
            "bypassPlatformSafetyChecksOnUserSchedule":false 
          } 
        } 
      } 
    } 
  } 
} 

Skenario pengguna

Skenario	Diorkestrasi Azure	BypassPlatform Brankas tyChecksOnUserSchedule	Menjadwalkan terkait	Perilaku yang diharapkan di Azure
Skenario 1	Ya	Benar	Ya	Patch jadwal berjalan seperti yang didefinisikan oleh pengguna.
Skenario 2	Ya	Benar	No	Pengiriman otomatis dan patch jadwal tidak berjalan.
Skenario 3	Ya	Salah	Ya	Pengiriman otomatis dan patch jadwal tidak berjalan. Anda mendapatkan kesalahan bahwa prasyarat untuk patch jadwal tidak terpenuhi.
Skenario 4	Ya	Salah	No	VM dikirim secara otomatis.
Skenario 5	No	Benar	Ya	Pengiriman otomatis dan patch jadwal tidak berjalan. Anda mendapatkan kesalahan bahwa prasyarat untuk patch jadwal tidak terpenuhi.
Skenario 6	No	Benar	No	Pengiriman otomatis dan patch jadwal tidak berjalan.
Skenario 7	No	Salah	Ya	Pengiriman otomatis dan patch jadwal tidak berjalan. Anda mendapatkan kesalahan bahwa prasyarat untuk patch jadwal tidak terpenuhi.
Skenario 8	No	Salah	No	Pengiriman otomatis dan patch jadwal tidak berjalan.

Langkah berikutnya

• Pelajari selengkapnya tentang Cakupan dinamis, kemampuan patching jadwal tingkat lanjut.
• Ikuti instruksi tentang cara mengelola berbagai operasi cakupan Dinamis
• Pelajari cara menginstal pembaruan secara otomatis sesuai dengan jadwal yang dibuat baik untuk satu VM maupun dalam skala besar.
• Pelajari tentang peristiwa pra dan posting untuk melakukan tugas secara otomatis sebelum dan sesudah konfigurasi pemeliharaan terjadwal.