Pianificare la distribuzione di Gestione aggiornamenti

  • Articolo

Passaggio 1: Account di Automazione

Gestione aggiornamenti è una funzionalità di Automazione di Azure e pertanto richiede un account di Automazione. È possibile usare un account di Automazione esistente nella sottoscrizione oppure creare un nuovo account dedicato solo per Gestione aggiornamenti e nessun'altra funzionalità di Automazione.

Passaggio 2: Log di Monitoraggio di Azure

Gestione aggiornamenti dipende da un'area di lavoro Log Analytics in Monitoraggio di Azure per l'archiviazione dei dati dei log di stato di valutazione e aggiornamento raccolti dai computer gestiti. L'integrazione con Log Analytics consente anche analisi dettagliate e avvisi in Monitoraggio di Azure. È possibile usare un'area di lavoro esistente nella sottoscrizione o crearne una nuova dedicata solo per Gestione aggiornamenti.

Se non si ha esperienza con Log di Monitoraggio di Azure e l'area di lavoro Log Analytics, vedere la guida alla progettazione di un'area di lavoro Log Analytics.

Passaggio 3: Sistemi operativi supportati

Gestione aggiornamenti supporta versioni specifiche dei sistemi operativi Windows Server e Linux. Prima di abilitare Gestione aggiornamenti, verificare che i computer di destinazione soddisfino i requisiti del sistema operativo.

Passaggio 4: Agente di Log Analytics

L'agente di Log Analytics per Windows e Linux è necessario per supportare Gestione aggiornamenti. L'agente viene usato sia per la raccolta dati che per il ruolo di lavoro ibrido per runbook del sistema di Automazione per supportare i runbook di Gestione aggiornamenti usati per gestire le distribuzioni di valutazione e aggiornamento nel computer.

Se l'agente di Log Analytics non è già installato nelle macchine virtuali di Azure, quando si abilita Gestione aggiornamenti per la macchina virtuale viene installato automaticamente l'agente tramite l'estensione della macchina virtuale Log Analytics per Windows o Linux. L'agente è configurato per inviare report all'area di lavoro Log Analytics collegata a Gestione aggiornamenti dell'account di Automazione in cui è abilitato.

Per le macchine virtuali o i server non di Azure è necessario che l'agente di Log Analytics per Windows o Linux sia installato e invii report all'area di lavoro collegata. È consigliabile installare l'agente di Log Analytics per Windows o Linux connettendo prima di tutto il computer ai server abilitati per Azure Arc e quindi usare Criteri di Azure per assegnare la definizione dei criteri Distribuisci l'agente di Log Analytics nelle macchine virtuali Linux o Windows in Azure Arc predefinita. In alternativa, se si prevede di monitorare i computer con Informazioni dettagliate macchina virtuale, usare l'iniziativa Abilita Monitoraggio di Azure per le macchine virtuali.

In caso di abilitazione di un computer attualmente gestito da Operations Manager, non è richiesto un nuovo agente. Le informazioni sull'area di lavoro verranno aggiunte alla configurazione degli agenti quando si connette il gruppo di gestione all'area di lavoro Log Analytics.

Non è consentito avere un computer registrato per Gestione aggiornamenti in più di un'area di lavoro Log Analytics (definito anche multihoming).

Passaggio 5 - Pianificare la rete

Per preparare la rete per supportare Gestione aggiornamenti, potrebbe essere necessario configurare alcuni componenti dell'infrastruttura. Aprire ad esempio le porte del firewall per il passaggio delle comunicazioni usate da Gestione aggiornamenti e Monitoraggio di Azure.

Vedere Configurazione di rete di Automazione di Azure per ottenere informazioni dettagliate sulle porte, gli URL e altri dettagli di rete necessari per Gestione aggiornamenti, incluso il ruolo di lavoro ibrido per runbook. Per connettersi al servizio Automazione dalle macchine virtuali di Azure in modo sicuro e privato, vedere Usare Collegamento privato di Azure.

Per i computer Windows è necessario consentire anche il traffico verso eventuali endpoint richiesti dall'agente di Windows Update. Un elenco aggiornato degli endpoint necessari è disponibile in Problemi correlati a HTTP/proxy. Se si usa una distribuzione di Windows Server Update Services (WSUS) locale, è necessario consentire anche il traffico verso il server specificato nella chiave di WSUS.

Per computer Red Hat Linux, vedere Gli indirizzi IP per i server di distribuzione di contenuti RHUI per informazioni sugli endpoint necessari. Per altre distribuzioni di Linux, vedere la documentazione del provider.

Se i criteri di sicurezza IT non consentono ai computer della rete di connettersi a Internet, è possibile configurare un gateway di Log Analytics, quindi configurare il computer per la connessione tramite il gateway ad Automazione di Azure e Monitoraggio di Azure.

Passaggio 6: Autorizzazioni

Per creare e gestire le distribuzioni degli aggiornamenti, sono necessarie autorizzazioni specifiche. Per informazioni su queste autorizzazioni, vedere Controllo degli accessi in base al ruolo - Gestione aggiornamenti.

Passaggio 7: Agente di Windows Update

Gestione aggiornamenti di Automazione di Azure si basa sull'agente di Windows Update per scaricare e installare gli aggiornamenti di Windows. Esistono impostazioni di Criteri di gruppo specifiche usate dall'agente di Windows Update nei computer per connettersi a Windows Server Update Services (WSUS) o Microsoft Update. Queste impostazioni di Criteri di gruppo vengono anche usate per analizzare correttamente la conformità degli aggiornamenti software e aggiornare automaticamente gli aggiornamenti software. Per esaminare le raccomandazioni, vedere Configurare le impostazioni di Windows Update per Gestione aggiornamenti.

Passaggio 8: Repository Linux

Le macchine virtuali create dalle immagini di Red Hat Enterprise Linux (RHEL) su richiesta disponibili in Azure Marketplace vengono registrate per accedere al servizio Red Hat Update Infrastructure (RHUI) distribuito in Azure. Altre distribuzioni di Linux devono essere aggiornate dal repository di file online della distribuzione mediante i metodi supportati della distribuzione.

Per classificare gli aggiornamenti in Red Hat Enterprise versione 6, è necessario installare il plug-in yum-security. In Red Hat Enterprise Linux 7 il plug-in fa già parte di yum e non è necessario eseguire alcuna installazione supplementare. Per altre informazioni, vedere questo file di caratteristiche del caso su Red Hat.

Passaggio 9: Pianificare le destinazioni di distribuzione

Gestione aggiornamenti consente di applicare in modo specifico gli aggiornamenti a un gruppo dinamico che rappresenta i computer Azure o non Azure, in modo da garantire che i computer specifici ottengono sempre gli aggiornamenti corretti nei momenti ottimali. Un gruppo dinamico viene risolto in fase di distribuzione e si basa sui criteri seguenti:

  • Subscription
  • Gruppi di risorse
  • Ubicazioni
  • Tag

Per i computer non Azure, un gruppo dinamico usa ricerche salvate, dette anche gruppi di computer. Le distribuzioni degli aggiornamenti con ambito a un gruppo di computer sono visibili solo dall'account di Automazione nell'opzione Pianificazioni di distribuzione di Gestione aggiornamenti, non da una macchina virtuale di Azure specifica.

In alternativa, gli aggiornamenti possono essere gestiti solo per una macchina virtuale di Azure selezionata. Le distribuzioni degli aggiornamenti con ambito per il computer specifico sono visibili sia dal computer che dall'account di Automazione nell'opzione Pianificazioni della distribuzione di Gestione aggiornamenti.

Passaggi successivi

Abilitare Gestione aggiornamenti e selezionare i computer da gestire usando uno dei metodi seguenti:

  • Uso di un modello di Azure Resource Manager per distribuire Gestione aggiornamenti in un account di Automazione nuovo o esistente e nell'area di lavoro Log Analytics di Monitoraggio di Azure nella sottoscrizione. Non configura l'ambito dei computer che devono essere gestiti. Questa operazione viene eseguita come passaggio separato dopo l'uso del modello.

  • Dall'account di Automazione per uno o più computer Azure e non Azure, inclusi i server abilitati per Azure Arc.

  • Uso del runbook Enable-AutomationSolutionper automatizzare l'onboarding delle macchine virtuali di Azure.

  • Per una macchina virtuale di Azure selezionata nella pagina Macchine virtuali nella portale di Azure. Questo scenario è disponibile per macchine virtuali Linux e Windows.

  • Per più macchine virtuali di Azure selezionandole nella pagina Macchine virtuali del portale di Azure.