Come distribuire gli aggiornamenti ed esaminare i risultati

Attenzione

Questo articolo fa riferimento a CentOS, una distribuzione Linux vicina allo stato end of life (EOL). Prendere in considerazione l'uso e la pianificazione di conseguenza. Per altre informazioni, vedere le linee guida per la fine della vita di CentOS.

Questo articolo descrive come pianificare una distribuzione degli aggiornamenti ed esaminare il processo al termine della distribuzione. È possibile configurare una distribuzione di aggiornamenti da una macchina virtuale di Azure selezionata, dal server abilitato per Azure Arc selezionato o dall'account di Automazione in tutti i computer e i server configurati.

In ogni scenario, la distribuzione creata è destinata a un computer o a un server selezionato o, nel caso di creazione di una distribuzione dall'account di Automazione, è possibile specificare come destinazione uno o più computer. Quando si pianifica una distribuzione di aggiornamenti da una macchina virtuale di Azure o da un server abilitato per Azure Arc, la procedura è identica alla distribuzione dall'account di Automazione, con le eccezioni seguenti:

• Il sistema operativo viene selezionato automaticamente in base al sistema operativo del computer.
• Il computer di destinazione da aggiornare viene impostato automaticamente come destinazione.

Importante

Creando una distribuzione di aggiornamenti, si accettano le condizioni delle Condizioni di licenza software (EULA) fornite dall'azienda che offre aggiornamenti per il sistema operativo.

Accedere al portale di Azure

Accedere al portale di Azure

Pianificare la distribuzione degli aggiornamenti

La pianificazione di una distribuzione degli aggiornamenti crea una risorsa di pianificazione collegata al runbook Patch-MicrosoftOMSComputers che gestisce la distribuzione degli aggiornamenti nel computer o nei computer di destinazione. È necessario pianificare una distribuzione che rispetti la pianificazione delle versioni e l'intervallo di servizio per installare gli aggiornamenti. È possibile scegliere i tipi di aggiornamento da includere nella distribuzione. Ad esempio, è possibile includere aggiornamenti critici o di sicurezza ed escludere gli aggiornamenti cumulativi.

Nota

Se si elimina la risorsa di tipo pianificazione dal portale di Azure o si usa PowerShell dopo aver creato la distribuzione, l'eliminazione interrompe la distribuzione degli aggiornamenti pianificati e viene visualizzato un errore quando si prova a riconfigurare la risorsa di pianificazione dal portale. È possibile eliminare la risorsa di tipo pianificazione solo eliminando la pianificazione di distribuzione corrispondente.

Per pianificare una nuova distribuzione degli aggiornamenti, seguire questa procedura. A seconda della risorsa selezionata, ovvero dell'account di Automazione, del server abilitato per Azure Arc, della macchina virtuale di Azure, i passaggi seguenti si applicano a tutte le differenze minime durante la configurazione della pianificazione della distribuzione.

1. Nel portale pianificare una distribuzione per:

   • Uno o più computer, passare ad Account di Automazione e selezionare l'account di Automazione con Gestione aggiornamenti abilitato nell'elenco.
   • Per una macchina virtuale di Azure passare a Macchine virtuali e selezionare la macchina virtuale dall'elenco.
   • Per un server abilitato per Azure Arc, passare a Server - Azure Arc e selezionare il server dall'elenco.

2. A seconda della risorsa selezionata, passare a Gestione aggiornamenti:

   • Se è stato selezionato l'account di Automazione, passare a Gestione aggiornamenti in Gestione aggiornamenti e quindi selezionare Pianifica distribuzione degli aggiornamenti.
   • Se è stata selezionata una macchina virtuale di Azure, passare a Aggiornamenti guest e host e quindi selezionare Vai a Gestione aggiornamenti.
   • Se è stato selezionato un server abilitato per Azure Arc, passare a Gestione aggiornamenti e quindi selezionare Pianifica distribuzione degli aggiornamenti.

3. In Nuova distribuzione degli aggiornamenti, nel campo Nome immettere un nome univoco per la distribuzione.

4. Selezionare il sistema operativo di destinazione per la distribuzione degli aggiornamenti.

   Nota

   Questa opzione non è disponibile se è stata selezionata una macchina virtuale di Azure o un server abilitato per Azure Arc. Il sistema operativo viene identificato automaticamente.

5. In Gruppi da aggiornare l'area definire una query che combina sottoscrizioni, gruppi di risorse, posizioni e tag per creare un gruppo dinamico di macchine virtuali di Azure da includere nella distribuzione. Per altre informazioni, vedere Usare i gruppi dinamici con Gestione aggiornamenti.

   Nota

   Questa opzione non è disponibile se è stata selezionata una macchina virtuale di Azure o un server abilitato per Azure Arc. Il computer è destinato automaticamente alla distribuzione pianificata.

   Importante

   Quando si compila un gruppo dinamico di macchine virtuali di Azure, Gestione aggiornamenti supporta solo un massimo di 500 query che combinano sottoscrizioni o gruppi di risorse nell'ambito del gruppo.

6. Nell'area Computer da aggiornare selezionare una ricerca salvata o un gruppo importato oppure scegliere Computer dall'elenco a discesa e selezionare computer singoli. Con questa opzione è possibile visualizzare l'idoneità dell'agente di Log Analytics per ogni computer. Per altre informazioni sui diversi metodi di creazione di gruppi di computer nei log di Monitoraggio di Azure, vedere Gruppi di computer nei log di Monitoraggio di Azure. È possibile includere fino a un massimo di 1000 computer in una distribuzione di aggiornamenti pianificata.

   Nota

   Questa opzione non è disponibile se è stata selezionata una macchina virtuale di Azure o un server abilitato per Azure Arc. Il computer è destinato automaticamente alla distribuzione pianificata.

7. Usare l'area Classificazioni aggiornamenti per specificare classificazioni degli aggiornamenti per i prodotti. Per ogni prodotto, deselezionare tutte le classificazioni degli aggiornamenti supportate, tranne quelle da includere nella distribuzione degli aggiornamenti.

   

   Se la distribuzione è destinata a applicare solo un set selezionato di aggiornamenti, è necessario deselezionare tutte le classificazioni degli aggiornamenti pre-selezionate quando si configura l'opzione Includi/escludi aggiornamenti come descritto nel passaggio successivo. In questo modo, solo gli aggiornamenti specificati da includere in questa distribuzione vengono installati nei computer di destinazione.

   Nota

   La distribuzione degli aggiornamenti in base alla relativa classificazione non funziona nelle versioni RTM di CentOS. Per distribuire correttamente gli aggiornamenti per CentOS, selezionare tutte le classificazioni per assicurarsi che gli aggiornamenti vengano applicati. Attualmente non è supportato alcun metodo per abilitare la disponibilità dei dati di classificazione nativi in CentOS. Per altre informazioni sulle classificazioni degli aggiornamenti, vedere quanto segue.

   Nota

   La distribuzione degli aggiornamenti in base alla classificazione degli aggiornamenti potrebbe non funzionare correttamente per le distribuzioni Linux supportate da Gestione aggiornamenti. Si tratta di un problema identificato con lo schema di denominazione del file OVAL e ciò impedisce a Gestione aggiornamenti di associare correttamente le classificazioni in base alle regole di filtro. A causa della diversa logica usata nelle valutazioni degli aggiornamenti della sicurezza, i risultati possono differire dagli aggiornamenti della sicurezza applicati durante la distribuzione. Se la classificazione è impostata su Critico e Sicurezza, la distribuzione degli aggiornamenti funzionerà come previsto. È interessata solo la classificazione degli aggiornamenti durante una valutazione.

   Gestione aggiornamenti per i computer Windows Server non è interessato; le distribuzioni e la classificazione degli aggiornamenti sono invariate.

8. Usare l'area Includi/escludi aggiornamenti per aggiungere o escludere gli aggiornamenti selezionati dalla distribuzione. Nella pagina Includi/Escludi immettere i numeri ID articolo della Knowledge Base da includere o escludere per gli aggiornamenti di Windows. Per le distribuzioni Linux supportate, specificare il nome del pacchetto.

   

   Importante

   Tenere presente che le esclusioni eseguono l'override delle inclusioni. Se, ad esempio, si definisce la regola di esclusione *, Gestione aggiornamenti esclude tutte le patch o i pacchetti dall'installazione. Le patch escluse vengono ancora visualizzate come mancanti dai computer. Per i computer Linux, se si include un pacchetto contenente un pacchetto dipendente che è stato escluso, Gestione aggiornamenti non installa il pacchetto principale.

   Nota

   Non è possibile indicare aggiornamenti sostituiti perché vengano inclusi nella distribuzione degli aggiornamenti.

   Ecco alcuni scenari di esempio che consentono di comprendere come usare la classificazione di inclusione/esclusione e aggiornamento contemporaneamente nelle distribuzioni degli aggiornamenti:

   • Se si vuole installare solo un elenco specifico di aggiornamenti, non è consigliabile selezionare alcuna classificazione degli aggiornamenti e fornire un elenco di aggiornamenti da applicare usando l'opzione Includi .

   • Se si desidera installare solo aggiornamenti critici e di sicurezza, insieme a uno o più aggiornamenti facoltativi, è consigliabile selezionare Sicurezza e critici in Classificazioni degli aggiornamenti. Quindi, per l'opzione Includi , specificare gli KBID per gli aggiornamenti facoltativi.

   • Se si vogliono installare solo aggiornamenti critici e di sicurezza, ma ignorare uno o più aggiornamenti per Python per evitare l'interruzione dell'applicazione legacy, selezionare Sicurezza e criticità in Classificazioni degli aggiornamenti. Per l'opzione Escludi aggiungere quindi i pacchetti Python da ignorare.

9. Selezionare Impostazioni pianificazione. L'ora di inizio predefinita è 30 minuti dopo il momento corrente. È possibile impostare l'ora di inizio su qualsiasi orario a partire da 10 minuti dal momento corrente.

10. Usare ricorrenzaper specificare se la distribuzione si verifica una volta o usa una pianificazione ricorrente, quindi selezionare OK.

11. Nell'area Pre-script e post-script selezionare gli script da eseguire prima e dopo la distribuzione. Per altre informazioni, vedere Gestire pre-script e post-script.

12. Usare il campo Finestra di manutenzione (minuti) per specificare la quantità di tempo consentita per l'installazione di aggiornamenti. Quando si specifica una finestra di manutenzione, tenere presenti i dettagli seguenti:

    • Le finestre di manutenzione controllano la quantità di aggiornamenti che vengono installati.
    • Se il passaggio successivo del processo di aggiornamento consiste nell'installare un Service Pack, la finestra di manutenzione deve avere ancora 20 minuti o tale aggiornamento verrà ignorato.
    • Se il passaggio successivo del processo di aggiornamento consiste nell'installare un altro tipo di aggiornamento oltre a Service Pack, la finestra di manutenzione deve avere ancora 15 minuti o tale aggiornamento verrà ignorato.
    • Se il passaggio successivo del processo di aggiornamento consiste in un riavvio, nella finestra di manutenzione devono esserci 10 minuti rimanenti oppure il riavvio verrà ignorato.
    • Gestione aggiornamenti non interrompe l'installazione di nuovi aggiornamenti se si avvicina la fine di una finestra di manutenzione.
    • Gestione aggiornamenti non termina gli aggiornamenti in corso se viene superata la finestra di manutenzione. Gli aggiornamenti rimanenti da installare non vengono eseguiti. Se questo errore si verifica in modo costante, è consigliabile rivalutare la durata della finestra di manutenzione.
    • Se la finestra di manutenzione viene superata in Windows, il motivo è in genere dovuto all'aggiornamento di un Service Pack la cui installazione impiega molto tempo.

    Nota

    Per evitare che gli aggiornamenti vengano applicati al di fuori di una finestra di manutenzione in Ubuntu, riconfigurare il pacchetto Unattended-Upgrade in modo da disabilitare gli aggiornamenti automatici. Per informazioni su come configurare il pacchetto, vedere l'argomento sugli aggiornamenti automatici nella guida a Ubuntu Server.

13. Usare il campo Opzioni di riavvio per specificare la modalità di gestione dei riavvii durante la distribuzione. Sono disponibili le seguenti opzioni:

    • Riavvia se necessario (impostazione predefinita)
    • Riavvia sempre
    • Non riavviare mai
    • Solo riavvio - Gli aggiornamenti non verranno installati

    Nota

    Le chiavi del Registro di sistema elencate in Chiavi del Registro di sistema usate per gestire il riavvio possono causare un evento di riavvio se le Opzioni di riavvio sono impostate su Non riavviare mai.

14. Al termine della configurazione della pianificazione della distribuzione, selezionare Crea.

    

    Nota

    Al termine della configurazione della pianificazione della distribuzione per un server abilitato per Azure Arc selezionato, selezionare Rivedi e crea.

15. Verrà nuovamente visualizzato il dashboard dello stato. Selezionare Pianificazioni di distribuzione per visualizzare la pianificazione della distribuzione creata. Sono elencate al massimo 500 pianificazioni. Se sono presenti più di 500 pianificazioni e si vuole esaminare l'elenco completo, vedere il metodo dell'API REST List Software Update Configurations - List . Specificare l'API versione 2019-06-01 o successiva.

Pianificare una distribuzione di aggiornamenti a livello di codice

Per informazioni su come creare una distribuzione di aggiornamenti con l'API REST, vedere Configurazione degli aggiornamenti software - Creazione.

È possibile usare un runbook di esempio per creare una distribuzione di aggiornamenti settimanale. Per altre informazioni su questo runbook, vedere Create a weekly update deployment for one or more VMs in a resource group (Creare una distribuzione di aggiornamenti settimanale per una o più macchine virtuali in un gruppo di risorse).

Controllare lo stato della distribuzione

Dopo l'avvio della distribuzione pianificata, è possibile visualizzarne lo stato nella scheda Cronologia in Gestione aggiornamenti. Se la distribuzione è attualmente in esecuzione, lo stato sarà In corso. Al termine della distribuzione, se questa ha esito positivo, lo stato passa a Completata. Se si verificano errori con uno o più aggiornamenti nella distribuzione, lo stato è Non riuscito.

Visualizzare i risultati di una distribuzione di aggiornamenti completata

Al termine della distribuzione, è possibile selezionarlo per visualizzarne i risultati.

In Risultati aggiornamento è disponibile un riepilogo che indica il numero totale di aggiornamenti e i risultati della distribuzione nelle macchine virtuali di destinazione. La tabella a destra offre una suddivisione dettagliata degli aggiornamenti e dei risultati dell'installazione per ognuno.

I valori disponibili sono:

• Tentativo non eseguito: l'aggiornamento non è stato installato perché il tempo disponibile non era sufficiente, in base alla durata della finestra di manutenzione specificata.
• Non selezionato: l'aggiornamento non è stato selezionato per la distribuzione.
• Completato: l'aggiornamento è stato completato.
• Non riuscito: l'aggiornamento non è riuscito.

Selezionare Tutti i log per visualizzare tutte le voci di log create dalla distribuzione.

Selezionare Output per visualizzare il flusso del processo del runbook responsabile della gestione della distribuzione di aggiornamenti nelle macchine virtuali di destinazione.

Per visualizzare informazioni dettagliate sugli errori della distribuzione, selezionare Errori.

Distribuire gli aggiornamenti nei tenant di Azure

Se si hanno computer in un altro tenant di Azure che segnalano a Gestione aggiornamenti che necessitano di una patch, occorrerà usare la seguente soluzione alternativa per pianificarli. È possibile usare il cmdlet New-AzAutomationSchedule con il parametro ForUpdateConfiguration per creare una pianificazione. Usare quindi il cmdlet New-AzAutomationSoftwareUpdateConfiguration e passare i computer dell'altro tenant al parametro NonAzureComputer. L'esempio seguente illustra come farlo.

$nonAzurecomputers = @("server-01", "server-02")

$startTime = ([DateTime]::Now).AddMinutes(10)

$sched = New-AzAutomationSchedule `
    -ResourceGroupName mygroup `
    -AutomationAccountName myaccount `
    -Name myupdateconfig `
    -Description test-OneTime `
    -OneTime `
    -StartTime $startTime `
    -ForUpdateConfiguration

New-AzAutomationSoftwareUpdateConfiguration  `
    -ResourceGroupName $rg `
    -AutomationAccountName <automationAccountName> `
    -Schedule $sched `
    -Windows `
    -NonAzureComputer $nonAzurecomputers `
    -Duration (New-TimeSpan -Hours 2) `
    -IncludedUpdateClassification Security,UpdateRollup `
    -ExcludedKbNumber KB01,KB02 `
    -IncludedKbNumber KB100

Passaggi successivi

• Per informazioni su come creare avvisi per notificare i risultati della distribuzione degli aggiornamenti, vedere Creare avvisi per Gestione aggiornamenti.
• Per risolvere gli errori generali di Gestione aggiornamenti, vedere Risolvere i problemi relativi a Gestione aggiornamenti.