Applicazione automatica di patch guest alle macchine virtuali di Azure

Si applica a: ✔️ Vm Linux ✔️ Windows VM ✔️ Set di scalabilità flessibili

L'abilitazione dell'applicazione automatica di patch guest alle macchine virtuali di Azure consente di semplificare la gestione degli aggiornamenti tramite l'applicazione automatica di patch alle macchine virtuali per mantenere la conformità alla sicurezza.

L'applicazione automatica delle patch guest alle macchine virtuali presenta le caratteristiche seguenti:

  • Le patch classificate come Critiche o Sicurezza vengono scaricate e applicate automaticamente nella macchina virtuale.
  • Le patch vengono applicate durante le ore non di punta nel fuso orario della macchina virtuale.
  • L'orchestrazione delle patch viene gestita da Azure e le patch vengono applicate in base ai principi di disponibilità first.
  • L'integrità della macchina virtuale, come determinato tramite i segnali di integrità della piattaforma, viene monitorata per rilevare gli errori di applicazione di patch.
  • È adatto per le macchine virtuali di qualsiasi dimensione.

Come funziona l'applicazione automatica delle patch guest alle macchine virtuali?

Se l'applicazione automatica delle patch guest alle macchine virtuali è abilitata in una macchina virtuale, le patch critiche e di sicurezza disponibili vengono scaricate e applicate automaticamente nella macchina virtuale. Questo processo inizia automaticamente ogni mese quando vengono rilasciate nuove patch. La valutazione e l'installazione delle patch sono automatiche e il processo include il riavvio della macchina virtuale in base alle esigenze.

La macchina virtuale viene valutata periodicamente ogni pochi giorni e più volte entro un periodo di 30 giorni per determinare le patch applicabili per tale macchina virtuale. Le patch possono essere installate in qualsiasi giorno nella macchina virtuale durante gli orari di minore attività per la macchina virtuale. Questa valutazione automatica garantisce che eventuali patch mancanti siano individuate al più presto.

Le patch vengono installate entro 30 giorni dalla versione mensile delle patch, dopo l'orchestrazione availability-first descritta di seguito. Le patch vengono installate solo durante gli orari di minore attività per la macchina virtuale, a seconda del fuso orario della macchina virtuale. La macchina virtuale deve essere in esecuzione durante gli orari di minore attività per l'installazione automatica delle patch. Se una macchina virtuale viene spenta durante una valutazione periodica, la macchina virtuale verrà valutata automaticamente e le patch applicabili verranno installate automaticamente durante la valutazione periodica successiva (in genere entro pochi giorni) quando la macchina virtuale viene accesa.

Gli aggiornamenti delle definizioni e altre patch non classificate come Critico o Sicurezza non verranno installati tramite l'applicazione automatica di patch guest alle macchine virtuali. Per installare patch con altre classificazioni di patch o pianificare l'installazione di patch all'interno di una finestra di manutenzione personalizzata, è possibile usare Gestione aggiornamenti.

Aggiornamenti con disponibilità al primo posto

Il processo di installazione delle patch viene orchestrato a livello globale da Azure per tutte le macchine virtuali in cui è abilitata l'applicazione automatica di patch guest alle macchine virtuali. Questa orchestrazione segue i principi della disponibilità in base ai diversi livelli di disponibilità forniti da Azure.

Per un gruppo di macchine virtuali in fase di aggiornamento, la piattaforma Azure orchestra gli aggiornamenti:

Tra aree:

  • Un aggiornamento mensile viene orchestrato in Azure a livello globale in modo graduale per evitare errori di distribuzione globale.
  • Una fase può avere una o più aree e un aggiornamento passa alle fasi seguenti solo se le macchine virtuali idonee in una fase vengono aggiornate correttamente.
  • Le aree geografiche abbinate non vengono aggiornate contemporaneamente e non possono essere nella stessa fase a livello di area.
  • L'esito positivo di un aggiornamento viene misurato verificando l'integrità della macchina virtuale dopo l'aggiornamento. L'integrità della macchina virtuale viene monitorata tramite gli indicatori di integrità della piattaforma per la macchina virtuale.

All'interno di un'area:

  • Le macchine virtuali in zone di disponibilità non vengono aggiornate contemporaneamente con lo stesso aggiornamento.
  • Le macchine virtuali che non fanno parte di un set di disponibilità vengono in batch con il massimo sforzo per evitare aggiornamenti simultanei per tutte le macchine virtuali in una sottoscrizione.

All'interno di un set di disponibilità:

  • Tutte le macchine virtuali in un set di disponibilità comune non vengono aggiornate contemporaneamente.
  • Le macchine virtuali in un set di disponibilità comune vengono aggiornate entro i limiti del dominio di aggiornamento e le macchine virtuali in più domini di aggiornamento non vengono aggiornate contemporaneamente.

La data di installazione della patch per una determinata macchina virtuale può variare da un mese all'altro, perché una macchina virtuale specifica può essere prelevata in un batch diverso tra cicli di applicazione di patch mensili.

Quali patch sono installate?

Le patch installate dipendono dalla fase di implementazione per la macchina virtuale. Ogni mese viene avviata una nuova implementazione globale in cui tutte le patch critiche e di sicurezza valutate per una singola macchina virtuale vengono installate per tale macchina virtuale. L'implementazione è orchestrata in tutte le aree di Azure in batch (descritta nella sezione precedente sull'applicazione di patch availability-first).

Il set esatto di patch da installare varia in base alla configurazione della macchina virtuale, inclusi il tipo di sistema operativo e la tempistica di valutazione. Due macchine virtuali identiche in aree diverse possono installare patch diverse se sono disponibili più o meno patch quando l'orchestrazione delle patch raggiunge aree diverse in momenti diversi. Analogamente, ma meno frequentemente, le macchine virtuali all'interno della stessa area ma valutate in momenti diversi (a causa di diversi batch di zone di disponibilità o set di disponibilità) potrebbero ottenere patch diverse.

Poiché l'applicazione automatica delle patch guest alle macchine virtuali non configura l'origine della patch, anche due macchine virtuali simili configurate per origini di patch diverse, ad esempio repository pubblico e repository privato, possono vedere una differenza nel set esatto di patch installate.

Per i tipi di sistema operativo che rilasciano patch a cadenza fissa, le macchine virtuali configurate nel repository pubblico per il sistema operativo possono prevedere di ricevere lo stesso set di patch nelle diverse fasi di implementazione in un mese. Ad esempio, Windows macchine virtuali configurate per il repository Windows Update pubblico.

Quando viene attivata una nuova implementazione ogni mese, una macchina virtuale riceverà almeno un'implementazione di patch ogni mese se la macchina virtuale viene attivata durante gli orari di minore attività. Questo processo garantisce che alla macchina virtuale siano associate le patch di sicurezza e critiche più recenti su base mensile. Per garantire la coerenza nel set di patch installate, è possibile configurare le macchine virtuali per valutare e scaricare le patch dai propri repository privati.

Immagini del sistema operativo supportate

Sono attualmente supportate solo le macchine virtuali create da determinate immagini della piattaforma del sistema operativo. Le immagini personalizzate non sono attualmente supportate.

Gli SKU della piattaforma seguenti sono attualmente supportati (e ne vengono aggiunti periodicamente altri):

Publisher Offerta sistema operativo Sku
Canonical UbuntuServer 18.04-LTS
Canonical 0001-com-ubuntu-pro-bionic pro-18_04-lts
Canonical 0001-com-ubuntu-server-focal 20_04-lts
Canonical 0001-com-ubuntu-pro-focal pro-20_04-lts
Redhat RHEL 7.2, 7.3, 7.4, 7.5, 7.6, 7.7, 7.8, 7_9, 7-RAW, 7-LVM
Redhat RHEL 8, 8.1, 8.2, 8_3, 8_4, 8-LVM
Redhat RHEL-RAW 8 non elaborato
OpenLogic CentOS 7.2, 7.3, 7.4, 7.5, 7.6, 7.7, 7_8, 7_9, 7-LVM
OpenLogic CentOS 8.0, 8_1, 8_2, 8_3, 8-lvm
SUSE sles-12-sp5 gen1, gen2
SUSE sles-15-sp2 gen1, gen2
MicrosoftWindowsServer WindowsServer 2008 R2-SP1
MicrosoftWindowsServer WindowsServer 2012-R2-Datacenter
MicrosoftWindowsServer WindowsServer 2016-Datacenter
MicrosoftWindowsServer WindowsServer 2016-Datacenter-Server-Core
MicrosoftWindowsServer WindowsServer 2019-Datacenter
MicrosoftWindowsServer WindowsServer 2019-Datacenter-Core

Nota

L'applicazione automatica di patch guest alle macchine virtuali, la valutazione delle patch su richiesta e l'installazione di patch su richiesta sono supportate solo nelle macchine virtuali create da immagini con la combinazione esatta di editore, offerta e sku dall'elenco di immagini del sistema operativo supportate. Le immagini personalizzate o qualsiasi altra combinazione di editori, offerte e sku non sono supportate.

Modalità di orchestrazione delle patch

Le macchine virtuali in Azure supportano ora le modalità di orchestrazione delle patch seguenti:

AutomaticByPlatform:

  • Questa modalità è supportata sia per le macchine virtuali Linux che Windows virtuali.
  • Questa modalità abilita l'applicazione automatica delle patch guest alla macchina virtuale e l'installazione successiva della patch viene orchestrata da Azure.
  • Questa modalità è necessaria per l'applicazione di patch a livello di disponibilità.
  • Questa modalità è supportata solo per le macchine virtuali create usando le immagini della piattaforma del sistema operativo supportate in precedenza.
  • Per Windows macchine virtuali, l'impostazione di questa modalità disabilita anche l'Aggiornamenti automatici nativa nella macchina virtuale Windows per evitare la duplicazione.
  • Per usare questa modalità nelle macchine virtuali Linux, impostare la proprietà osProfile.linuxConfiguration.patchSettings.patchMode=AutomaticByPlatform nel modello di macchina virtuale.
  • Per usare questa modalità nelle Windows, impostare la proprietà osProfile.windowsConfiguration.patchSettings.patchMode=AutomaticByPlatform nel modello di macchina virtuale.

AutomaticByOS:

  • Questa modalità è supportata solo per le Windows virtuali.
  • Questa modalità consente Aggiornamenti automatici nella macchina virtuale Windows e le patch vengono installate nella macchina virtuale tramite Aggiornamenti automatici.
  • Questa modalità non supporta l'applicazione di patch a livello di disponibilità.
  • Questa modalità viene impostata per impostazione predefinita se non viene specificata alcuna altra modalità patch per una macchina Windows macchina virtuale.
  • Per usare questa modalità nelle Windows, impostare la proprietà osProfile.windowsConfiguration.enableAutomaticUpdates=true e la proprietà nel modello di macchina osProfile.windowsConfiguration.patchSettings.patchMode=AutomaticByOS virtuale.

Manuale:

  • Questa modalità è supportata solo per le Windows virtuali.
  • Questa modalità disabilita Aggiornamenti automatici nella macchina Windows virtuale.
  • Questa modalità non supporta l'applicazione di patch a livello di disponibilità.
  • Questa modalità deve essere impostata quando si usano soluzioni di applicazione di patch personalizzate.
  • Per usare questa modalità nelle Windows, impostare la proprietà osProfile.windowsConfiguration.enableAutomaticUpdates=false e la proprietà nel modello di macchina osProfile.windowsConfiguration.patchSettings.patchMode=Manual virtuale.

ImageDefault:

  • Questa modalità è supportata solo per le macchine virtuali Linux.
  • Questa modalità non supporta l'applicazione di patch a livello di disponibilità.
  • Questa modalità rispetta la configurazione di applicazione di patch predefinita nell'immagine usata per creare la macchina virtuale.
  • Questa modalità viene impostata per impostazione predefinita se non viene specificata alcuna altra modalità patch per una macchina virtuale Linux.
  • Per usare questa modalità nelle macchine virtuali Linux, impostare la proprietà osProfile.linuxConfiguration.patchSettings.patchMode=ImageDefault nel modello di macchina virtuale.

Nota

Per Windows macchine virtuali, la proprietà può essere impostata solo osProfile.windowsConfiguration.enableAutomaticUpdates quando la macchina virtuale viene creata per la prima volta. Ciò influisce su determinate transizioni della modalità patch. Il passaggio tra le modalità AutomaticByPlatform e Manual è supportato nelle macchine virtuali con osProfile.windowsConfiguration.enableAutomaticUpdates=false . Analogamente, il passaggio tra le modalità AutomaticByPlatform e AutomaticByOS è supportato nelle macchine virtuali con osProfile.windowsConfiguration.enableAutomaticUpdates=true . Il passaggio tra le modalità AutomaticByOS e Manual non è supportato.

Requisiti per l'abilitazione automatica delle patch guest delle macchine virtuali

  • Per la macchina virtuale deve essere installato l'agente di macchine virtuali di Azure Windows o Linux.
  • Per le macchine virtuali Linux, l'agente Linux di Azure deve essere versione 2.2.53.1 o successiva. Aggiornare l'agente Linux se la versione corrente è inferiore alla versione richiesta.
  • Per Windows macchine virtuali, il Windows update deve essere in esecuzione nella macchina virtuale.
  • La macchina virtuale deve essere in grado di accedere agli endpoint di aggiornamento configurati. Se la macchina virtuale è configurata per l'uso di repository privati per Linux o Windows Server Update Services (WSUS) per le macchine virtuali Windows, gli endpoint di aggiornamento pertinenti devono essere accessibili.
  • Usare l'API di calcolo versione 2021-03-01 o successiva per accedere a tutte le funzionalità, tra cui la valutazione su richiesta e l'applicazione di patch su richiesta.
  • Le immagini personalizzate non sono attualmente supportate.

Abilitare l'applicazione automatica di patch guest alle macchine virtuali

L'applicazione automatica delle patch guest alle macchine virtuali può essere abilitata in qualsiasi macchina Windows o Linux creata da un'immagine della piattaforma supportata. Per abilitare l'applicazione automatica di patch guest alle macchine virtuali Windows, assicurarsi che la proprietà osProfile.windowsConfiguration.enableAutomaticUpdates sia impostata su true nella definizione del modello di macchina virtuale. Questa proprietà può essere impostata solo durante la creazione della macchina virtuale. Questa proprietà aggiuntiva non è applicabile per le macchine virtuali Linux.

API REST per macchine virtuali Linux

L'esempio seguente descrive come abilitare l'applicazione automatica di patch guest alle macchine virtuali:

PUT on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2020-12-01`
{
  "location": "<location>",
  "properties": {
    "osProfile": {
      "linuxConfiguration": {
        "provisionVMAgent": true,
        "patchSettings": {
          "patchMode": "AutomaticByPlatform"
        }
      }
    }
  }
}

API REST per Windows virtuali

L'esempio seguente descrive come abilitare l'applicazione automatica di patch guest alle macchine virtuali:

PUT on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2020-12-01`
{
  "location": "<location>",
  "properties": {
    "osProfile": {
      "windowsConfiguration": {
        "provisionVMAgent": true,
        "enableAutomaticUpdates": true,
        "patchSettings": {
          "patchMode": "AutomaticByPlatform"
        }
      }
    }
  }
}

Azure PowerShell per macchine virtuali Windows

Usare il cmdlet Set-AzVMOperatingSystem per abilitare l'applicazione automatica di patch guest alle macchine virtuali durante la creazione o l'aggiornamento di una macchina virtuale.

Set-AzVMOperatingSystem -VM $VirtualMachine -Windows -ComputerName $ComputerName -Credential $Credential -ProvisionVMAgent -EnableAutoUpdate -PatchMode "AutomaticByPlatform"

Interfaccia della riga di comando di Azure Windows macchine virtuali

Usare az vm create per abilitare l'applicazione automatica delle patch guest alla creazione di una nuova macchina virtuale. L'esempio seguente configura l'applicazione automatica delle patch guest alle macchine virtuali per una macchina virtuale denominata myVM nel gruppo di risorse denominato myResourceGroup:

az vm create --resource-group myResourceGroup --name myVM --image Win2019Datacenter --enable-agent --enable-auto-update --patch-mode AutomaticByPlatform

Per modificare una macchina virtuale esistente, usare az vm update

az vm update --resource-group myResourceGroup --name myVM --set osProfile.windowsConfiguration.enableAutomaticUpdates=true osProfile.windowsConfiguration.patchSettings.patchMode=AutomaticByPlatform

Abilitazione e valutazione

Nota

L'abilitazione degli aggiornamenti guest automatici in una macchina virtuale può richiedere più di tre ore, perché l'abilitazione viene completata durante le ore di minore attività della macchina virtuale. Poiché la valutazione e l'installazione delle patch si verificano solo durante le ore di minore attività, la macchina virtuale deve essere in esecuzione anche durante le ore di minore attività per applicare le patch.

Quando l'applicazione automatica delle patch guest alle macchine virtuali è abilitata per una macchina virtuale, un'estensione di macchina virtuale di tipo viene installata in una macchina virtuale Linux o un'estensione di macchina virtuale di tipo viene installata in una macchina Microsoft.CPlat.Core.LinuxPatchExtension Microsoft.CPlat.Core.WindowsPatchExtension Windows macchina virtuale. Questa estensione non deve essere installata o aggiornata manualmente, perché è gestita dalla piattaforma Azure come parte del processo di applicazione automatica delle patch guest della macchina virtuale.

L'abilitazione degli aggiornamenti guest automatici in una macchina virtuale può richiedere più di tre ore, perché l'abilitazione viene completata durante le ore di minore attività della macchina virtuale. L'estensione viene installata e aggiornata anche durante le ore di minore attività per la macchina virtuale. Se le ore di minore attività della macchina virtuale terminano prima del completamento dell'abilitazione, il processo di abilitazione riprenderà durante il successivo orario di minore attività disponibile.

Gli aggiornamenti automatici sono disabilitati nella maggior parte degli scenari e l'installazione delle patch viene eseguita tramite l'estensione in futuro. Si applicano le condizioni seguenti.

  • Se in una macchina virtuale Windows in precedenza era attivato l'aggiornamento automatico Windows tramite la modalità patch AutomaticByOS, l'aggiornamento automatico Windows viene disattivato per la macchina virtuale quando viene installata l'estensione.
  • Per le macchine virtuali Ubuntu, gli aggiornamenti automatici predefiniti vengono disabilitati automaticamente al completamento dell'abilitazione dell'applicazione automatica delle patch guest alle macchine virtuali.
  • Per RHEL, gli aggiornamenti automatici devono essere disabilitati manualmente. Eseguire:
systemctl stop packagekit
systemctl mask packagekit

Per verificare se l'applicazione automatica delle patch guest alla macchina virtuale è stata completata e se l'estensione per l'applicazione di patch è installata nella macchina virtuale, è possibile esaminare la visualizzazione dell'istanza della macchina virtuale. Se il processo di abilitazione è completo, l'estensione verrà installata e i risultati della valutazione per la macchina virtuale saranno disponibili in patchStatus . È possibile accedere alla vista dell'istanza della macchina virtuale in diversi modi, come descritto di seguito.

API REST

GET on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine/instanceView?api-version=2020-12-01`

Azure PowerShell

Usare il cmdlet Get-AzVM con il -Status parametro per accedere alla vista dell'istanza per la macchina virtuale.

Get-AzVM -ResourceGroupName "myResourceGroup" -Name "myVM" -Status

PowerShell attualmente fornisce solo informazioni sull'estensione della patch. Le informazioni patchStatus su saranno presto disponibili anche tramite PowerShell.

Interfaccia della riga di comando di Azure

Usare az vm get-instance-view per accedere alla vista dell'istanza per la macchina virtuale.

az vm get-instance-view --resource-group myResourceGroup --name myVM

Informazioni sullo stato della patch per la macchina virtuale

La patchStatus sezione della risposta di visualizzazione dell'istanza fornisce informazioni dettagliate sulla valutazione più recente e sull'ultima installazione della patch per la macchina virtuale.

I risultati della valutazione per la macchina virtuale possono essere esaminati nella availablePatchSummary sezione . Viene eseguita periodicamente una valutazione per una macchina virtuale in cui è abilitata l'applicazione automatica delle patch guest alle macchine virtuali. Numero di patch disponibili dopo la valutazione in criticalAndSecurityPatchCount e otherPatchCount risultati. L'applicazione automatica delle patch guest alle macchine virtuali installerà tutte le patch valutate nelle classificazioni delle patch critiche e di sicurezza. Qualsiasi altra patch valutata viene ignorata.

I risultati dell'installazione della patch per la macchina virtuale possono essere esaminati nella lastPatchInstallationSummary sezione . Questa sezione fornisce informazioni dettagliate sull'ultimo tentativo di installazione della patch nella macchina virtuale, incluso il numero di patch installate, in sospeso, non riuscite o ignorate. Le patch vengono installate solo durante la finestra di manutenzione degli orari di minore attività per la macchina virtuale. Le patch in sospeso e non riuscite vengono ritentate automaticamente durante la finestra di manutenzione successiva degli orari di minore attività.

Disabilitare l'applicazione automatica delle patch guest alle macchine virtuali

L'applicazione automatica delle patch guest alle macchine virtuali può essere disabilitata modificando la modalità di orchestrazione delle patch per la macchina virtuale.

Per disabilitare l'applicazione automatica delle patch guest alle macchine virtuali Linux, impostare la modalità patch su ImageDefault .

Per abilitare l'applicazione automatica di patch guest alle macchine virtuali Windows, la proprietà determina le modalità di patch che è possibile impostare nella macchina virtuale e questa proprietà può essere impostata solo quando la macchina virtuale viene creata per la osProfile.windowsConfiguration.enableAutomaticUpdates prima volta. Ciò influisce su determinate transizioni della modalità patch:

  • Per le macchine virtuali con osProfile.windowsConfiguration.enableAutomaticUpdates=false , disabilitare l'applicazione automatica delle patch guest alle macchine virtuali impostando la modalità patch su Manual .
  • Per le macchine virtuali con osProfile.windowsConfiguration.enableAutomaticUpdates=true , disabilitare l'applicazione automatica delle patch guest alle macchine virtuali impostando la modalità patch su AutomaticByOS .
  • Il passaggio tra le modalità AutomaticByOS e Manual non è supportato.

Usare gli esempi della sezione di abilitazione precedente in questo articolo per gli esempi di utilizzo di API, PowerShell e dell'interfaccia della riga di comando per impostare la modalità patch richiesta.

Valutazione delle patch su richiesta

Se l'applicazione automatica delle patch guest alle macchine virtuali è già abilitata per la macchina virtuale, viene eseguita una valutazione periodica delle patch nella macchina virtuale durante le ore di minore attività della macchina virtuale. Questo processo è automatico e i risultati della valutazione più recente possono essere esaminati tramite la visualizzazione dell'istanza della macchina virtuale, come descritto in precedenza in questo documento. È anche possibile attivare una valutazione delle patch su richiesta per la macchina virtuale in qualsiasi momento. Il completamento della valutazione delle patch può richiedere alcuni minuti e lo stato della valutazione più recente viene aggiornato nella vista dell'istanza della macchina virtuale.

Nota

La valutazione delle patch su richiesta non attiva automaticamente l'installazione delle patch. Se è stata abilitata l'applicazione automatica delle patch guest della macchina virtuale, le patch valutate e applicabili per la macchina virtuale verranno installate durante le ore di minore attività della macchina virtuale, seguendo il processo di applicazione delle patch per la disponibilità-first descritto in precedenza in questo documento.

API REST

Usare l'API Valuta patch per valutare le patch disponibili per la macchina virtuale.

POST on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine/assessPatches?api-version=2020-12-01`

Azure PowerShell

Usare il cmdlet Invoke-AzVmPatchAssessment per valutare le patch disponibili per la macchina virtuale.

Invoke-AzVmPatchAssessment -ResourceGroupName "myResourceGroup" -VMName "myVM"

Interfaccia della riga di comando di Azure

Usare az vm assess-patches per valutare le patch disponibili per la macchina virtuale.

az vm assess-patches --resource-group myResourceGroup --name myVM

Installazione di patch su richiesta

Se l'applicazione automatica delle patch guest alle macchine virtuali è già abilitata per la macchina virtuale, viene eseguita un'installazione periodica delle patch di sicurezza e critiche nella macchina virtuale durante le ore di minore attività della macchina virtuale. Questo processo è automatico e i risultati dell'installazione più recente possono essere esaminati tramite la visualizzazione dell'istanza della macchina virtuale, come descritto in precedenza in questo documento.

È anche possibile attivare un'installazione di patch su richiesta per la macchina virtuale in qualsiasi momento. Il completamento dell'installazione della patch può richiedere alcuni minuti e lo stato dell'installazione più recente viene aggiornato nella visualizzazione dell'istanza della macchina virtuale.

È possibile usare l'installazione di patch su richiesta per installare tutte le patch di una o più classificazioni delle patch. È anche possibile scegliere di includere o escludere pacchetti specifici per Linux o ID KB specifici per Windows. Quando si attiva un'installazione di patch su richiesta, assicurarsi di specificare almeno una classificazione delle patch o almeno una patch (pacchetto per Linux, ID KB per Windows) nell'elenco di inclusione.

API REST

Usare l'API Installa patch per installare le patch nella macchina virtuale.

POST on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine/installPatches?api-version=2020-12-01`

Corpo della richiesta di esempio per Linux:

{
  "maximumDuration": "PT1H",
  "rebootSetting": "IfRequired",
  "linuxParameters": {
    "classificationsToInclude": [
      "Critical",
      "Security"
    ]
  }
}

Corpo della richiesta di esempio per Windows:

{
  "maximumDuration": "PT1H",
  "rebootSetting": "IfRequired",
  "windowsParameters": {
    "classificationsToInclude": [
      "Critical",
      "Security"
    ]
  }
}

Azure PowerShell

Usare il cmdlet Invoke-AzVMInstallPatch per installare le patch nella macchina virtuale.

Esempio per installare determinati pacchetti in una macchina virtuale Linux:

Invoke-AzVmInstallPatch -ResourceGroupName "myResourceGroup" -VMName "myVM" -MaximumDuration "PT90M" -RebootSetting "Always" -Linux -ClassificationToIncludeForLinux "Security" -PackageNameMaskToInclude ["package123"] -PackageNameMaskToExclude ["package567"]

Esempio per installare tutte le patch critiche in una macchina Windows macchina virtuale:

Invoke-AzVmInstallPatch -ResourceGroupName "myResourceGroup" -VMName "myVM" -MaximumDuration "PT2H" -RebootSetting "Never" -Windows   -ClassificationToIncludeForWindows Critical

Esempio per installare tutte le patch di sicurezza in una macchina virtuale Windows, includendo ed escludendo le patch con ID KB specifici ed escludendo qualsiasi patch che richiede un riavvio:

Invoke-AzVmInstallPatch -ResourceGroupName "myResourceGroup" -VMName "myVM" -MaximumDuration "PT90M" -RebootSetting "Always" -Windows -ClassificationToIncludeForWindows "Security" -KBNumberToInclude ["KB1234567", "KB123567"] -KBNumberToExclude ["KB1234702", "KB1234802"] -ExcludeKBsRequiringReboot

Interfaccia della riga di comando di Azure

Usare az vm install-patches per installare le patch nella macchina virtuale.

Esempio per installare tutte le patch critiche in una macchina virtuale Linux:

az vm install-patches --resource-group myResourceGroup --name myVM --maximum-duration PT2H --reboot-setting IfRequired --classifications-to-include-linux Critical

Esempio per installare tutte le patch critiche e di sicurezza in una macchina Windows, escludendo al tempo stesso tutte le patch che richiedono un riavvio:

az vm install-patches --resource-group myResourceGroup --name myVM --maximum-duration PT2H --reboot-setting IfRequired --classifications-to-include-win Critical Security --exclude-kbs-requiring-reboot true

Passaggi successivi