Gestire aggiornamenti e patch per le macchine virtuali

Attenzione

Questo articolo fa riferimento a CentOS, una distribuzione Linux vicina allo stato end of life (EOL). Prendere in considerazione l'uso e la pianificazione di conseguenza. Per altre informazioni, vedere le linee guida per la fine della vita di CentOS.

Gli aggiornamenti software in gestione aggiornamenti di Automazione di Azure offrono un set di strumenti e risorse che consentono di gestire l'attività complessa di rilevamento e applicazione degli aggiornamenti software ai computer in Azure e nel cloud ibrido. Un processo efficace di gestione degli aggiornamenti software è necessario per mantenere l'efficienza operativa, superare i problemi di sicurezza e ridurre i rischi di minacce alla sicurezza informatica maggiori. Tuttavia, a causa della natura mutevole della tecnologia e della continua comparsa di nuove minacce per la sicurezza, una gestione efficiente degli aggiornamenti software richiede un'attenzione costante e ininterrotta.

Nota

Gestione aggiornamenti supporta la distribuzione di aggiornamenti di prima parte e il pre-download di tali aggiornamenti. Questo supporto richiede modifiche nei sistemi da aggiornare. Per informazioni su come configurare queste impostazioni nei sistemi in uso, vedere Configurare le impostazioni di Windows Update per Gestione aggiornamenti di Automazione di Azure.

Prima di tentare di gestire gli aggiornamenti per le macchine virtuali, assicurarsi di aver abilitato Gestione aggiornamenti su di essi usando uno di questi metodi:

• Abilitare Gestione aggiornamenti da un account di Automazione
• Abilitare Gestione aggiornamenti dal portale di Azure
• Abilitare Gestione aggiornamenti da un runbook
• Abilitare Gestione aggiornamenti da una macchina virtuale di Azure

Limitare l'ambito della distribuzione

Gestione aggiornamenti usa una configurazione dell'ambito all'interno dell'area di lavoro per individuare i computer nei quali ricevere gli aggiornamenti. Per altre informazioni, vedere Limitare l'ambito di distribuzione di Gestione aggiornamenti.

Valutazione della conformità

Prima di distribuire gli aggiornamenti software nei computer, esaminare i risultati della valutazione della conformità degli aggiornamenti per i computer abilitati. Per ogni aggiornamento software, lo stato di conformità viene registrato e quindi dopo il completamento della valutazione, viene raccolto e inoltrato in blocco ai log di Monitoraggio di Azure.

In un computer Windows, l'analisi di conformità viene eseguita ogni 12 ore per impostazione predefinita e viene avviata entro 15 minuti dal riavvio dell'agente di Log Analytics per Windows. I dati di valutazione vengono quindi inoltrati all'area di lavoro e aggiornano la tabella Aggiornamenti. Prima e dopo l'installazione dell'aggiornamento, viene eseguita un'analisi di conformità degli aggiornamenti per identificare gli aggiornamenti mancanti, ma i risultati non vengono usati per aggiornare i dati di valutazione nella tabella.

È importante esaminare le raccomandazioni su come configurare il client Windows Update con Gestione aggiornamenti per evitare problemi che impediscono la corretta gestione.

Per un computer Linux, l'analisi della conformità viene eseguita ogni ora per impostazione predefinita. Se l'agente di Log Analytics per Linux viene riavviato, viene avviata un'analisi di conformità entro 15 minuti.

I risultati della conformità vengono presentati in Gestione aggiornamenti per ogni computer valutato. La visualizzazione dei dati aggiornati da un nuovo computer abilitato per la gestione può richiedere fino a 30 minuti.

Vedere Monitorare gli aggiornamenti software per informazioni su come visualizzare i risultati di conformità.

Distribuire gli aggiornamenti

Dopo aver esaminato i risultati della conformità, la fase di distribuzione degli aggiornamenti software è il processo di distribuzione degli aggiornamenti software. Per installare gli aggiornamenti, pianificare una distribuzione che rispetti la pianificazione dei rilasci e l'intervallo di servizio. È possibile scegliere i tipi di aggiornamento da includere nella distribuzione. È possibile ad esempio includere gli aggiornamenti critici o della sicurezza ed escludere gli aggiornamenti cumulativi.

Vedere Distribuire gli aggiornamenti software per informazioni su come pianificare una distribuzione di aggiornamenti.

Escludere gli aggiornamenti

In alcune varianti di Linux, ad esempio Red Hat Enterprise Linux, è possibile che gli aggiornamenti a livello di sistema operativo vengano eseguiti tramite pacchetti. Di conseguenza potrebbero verificarsi esecuzioni di Gestione aggiornamenti in cui il numero di versione del sistema operativo cambia. Poiché Gestione aggiornamenti usa gli stessi metodi per l'aggiornamento dei pacchetti usati localmente da un amministratore in un computer Linux, questo comportamento è intenzionale.

Per evitare l'aggiornamento della versione del sistema operativo tramite distribuzioni di Gestione aggiornamenti, usare la funzionalità Esclusione.

In Red Hat Enterprise Linux il nome del pacchetto da escludere è redhat-release-server.x86_64.

Classificazioni degli aggiornamenti linux

Durante la distribuzione degli aggiornamenti in un computer Linux è possibile selezionare le classificazioni degli aggiornamenti. Questa opzione filtra gli aggiornamenti che soddisfano i criteri specificati. Questo filtro viene applicato in locale nel computer in cui viene distribuito l'aggiornamento.

Poiché Gestione aggiornamenti esegue l'arricchimento degli aggiornamenti nel cloud, è possibile contrassegnare alcuni aggiornamenti in Gestione aggiornamenti come elementi che influiscono sulla sicurezza, anche se questa informazione non è indicata nel computer locale. Se si applicano aggiornamenti critici a un computer Linux, è possibile che alcuni non vengano contrassegnati come elementi che influiscono sulla sicurezza del computer e che quindi non vengano applicati. Tuttavia, Gestione aggiornamenti potrebbe comunque segnalare tale computer come non conforme perché contiene informazioni aggiuntive sull'aggiornamento pertinente.

La distribuzione degli aggiornamenti in base alla relativa classificazione non funziona nelle versioni RTM di CentOS. Per distribuire correttamente gli aggiornamenti per CentOS, selezionare tutte le classificazioni per assicurarsi che gli aggiornamenti vengano applicati. Per SU edizione Standard, selezionare SOLO Altri aggiornamenti perché la classificazione può installare alcuni altri aggiornamenti della sicurezza se sono correlati a zypper (gestione pacchetti) o le relative dipendenze sono necessarie per prime. Si tratta di una limitazione di zypper. In alcuni casi può essere necessario eseguire di nuovo la distribuzione degli aggiornamenti e quindi verificarla tramite l'apposito log.

Esaminare le distribuzioni degli aggiornamenti

Al termine della distribuzione, esaminare il processo per determinare l'esito positivo della distribuzione degli aggiornamenti in base al computer o al gruppo di destinazione. Vedere Esaminare lo stato della distribuzione per informazioni su come monitorare lo stato della distribuzione.

Passaggi successivi

• Per informazioni su come creare avvisi per notificare i risultati della distribuzione degli aggiornamenti, vedere Creare avvisi per Gestione aggiornamenti.

• È possibile eseguire query sui log di Monitoraggio di Azure per analizzare le valutazioni degli aggiornamenti, le distribuzioni e altre attività di gestione correlate. Include query predefinite che consentono di iniziare.