Jak wdrażać aktualizacje i przeglądać wyniki

Uwaga

W tym artykule odwołuje się do systemu CentOS — dystrybucji systemu Linux, która zbliża się do stanu zakończenia życia (EOL). Rozważ odpowiednie użycie i planowanie. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące zakończenia życia systemu CentOS.

W tym artykule opisano sposób planowania wdrożenia aktualizacji i przeglądania procesu po zakończeniu wdrażania. Wdrożenie aktualizacji można skonfigurować z wybranej maszyny wirtualnej platformy Azure z wybranego serwera z obsługą usługi Azure Arc lub z konta usługi Automation na wszystkich skonfigurowanych maszynach i serwerach.

W każdym scenariuszu wdrożenie tworzy obiekty docelowe wybranej maszyny lub serwera lub w przypadku tworzenia wdrożenia na podstawie konta usługi Automation, można wybrać co najmniej jedną maszynę. Podczas planowania wdrożenia aktualizacji z maszyny wirtualnej platformy Azure lub serwera z obsługą usługi Azure Arc kroki są takie same jak wdrażanie z konta usługi Automation z następującymi wyjątkami:

• System operacyjny jest automatycznie wybierany wstępnie na podstawie systemu operacyjnego maszyny.
• Maszyna docelowa do aktualizacji jest ustawiana automatycznie na wartość docelową.

Ważne

Tworząc wdrożenie aktualizacji, akceptujesz warunki postanowień licencyjnych dotyczących oprogramowania (EULA) udostępnianych przez firmę oferującą aktualizacje ich systemu operacyjnego.

Zaloguj się do witryny Azure Portal.

Zaloguj się do witryny Azure Portal.

Planowanie wdrożenia aktualizacji

Planowanie wdrożenia aktualizacji tworzy zasób harmonogramu połączony z elementem Runbook Patch-MicrosoftOMSComputers obsługującym wdrożenie aktualizacji na maszynie docelowej lub maszynach. Aby zainstalować aktualizacje, należy zaplanować wdrożenie zgodne z harmonogramem wydania i oknem usługi. Możesz wybrać typy aktualizacji do uwzględnienia we wdrożeniu. Można na przykład uwzględnić aktualizacje krytyczne lub aktualizacje zabezpieczeń i wykluczyć pakiety zbiorcze aktualizacji.

Uwaga

Jeśli usuniesz zasób harmonogramu z witryny Azure Portal lub programu PowerShell po utworzeniu wdrożenia, usunięcie spowoduje przerwanie zaplanowanego wdrożenia aktualizacji i wyświetlenie błędu podczas próby ponownego skonfigurowania zasobu harmonogramu z portalu. Zasób harmonogramu można usunąć tylko przez usunięcie odpowiedniego harmonogramu wdrożenia.

Aby zaplanować nowe wdrożenie aktualizacji, wykonaj następujące kroki. W zależności od wybranego zasobu (czyli konta usługi Automation, serwera z obsługą usługi Azure Arc, maszyny wirtualnej platformy Azure) poniższe kroki dotyczą wszystkich z niewielkimi różnicami podczas konfigurowania harmonogramu wdrażania.

1. W portalu, aby zaplanować wdrożenie dla:

   • Co najmniej jedna maszyna przejdź do pozycji Konta usługi Automation i wybierz swoje konto usługi Automation z włączoną usługą Update Management z listy.
   • W przypadku maszyny wirtualnej platformy Azure przejdź do pozycji Maszyny wirtualne i wybierz maszynę wirtualną z listy.
   • W przypadku serwera z obsługą usługi Azure Arc przejdź do pozycji Serwery — Azure Arc i wybierz serwer z listy.

2. W zależności od wybranego zasobu przejdź do rozwiązania Update Management:

   • Jeśli wybrano konto usługi Automation, przejdź do pozycji Update Management w obszarze Update Management, a następnie wybierz pozycję Zaplanuj wdrożenie aktualizacji.
   • Jeśli wybrano maszynę wirtualną platformy Azure, przejdź do pozycji Aktualizacje gościa i hosta, a następnie wybierz pozycję Przejdź do rozwiązania Update Management.
   • Jeśli wybrano serwer z obsługą usługi Azure Arc, przejdź do obszaru Update Management, a następnie wybierz pozycję Zaplanuj wdrożenie aktualizacji.

3. W obszarze Nowe wdrożenie aktualizacji w polu Nazwa wprowadź unikatową nazwę wdrożenia.

4. Wybierz system operacyjny, który ma być przeznaczony dla wdrożenia aktualizacji.

   Uwaga

   Ta opcja nie jest dostępna, jeśli wybrano maszynę wirtualną platformy Azure lub serwer z obsługą usługi Azure Arc. System operacyjny jest identyfikowany automatycznie.

5. W obszarze Grupy do aktualizacji regionu zdefiniuj zapytanie, które łączy subskrypcję, grupy zasobów, lokalizacje i tagi, aby utworzyć dynamiczną grupę maszyn wirtualnych platformy Azure do uwzględnienia we wdrożeniu. Aby dowiedzieć się więcej, zobacz Używanie grup dynamicznych z rozwiązaniem Update Management.

   Uwaga

   Ta opcja nie jest dostępna, jeśli wybrano maszynę wirtualną platformy Azure lub serwer z obsługą usługi Azure Arc. Maszyna jest automatycznie przeznaczona dla zaplanowanego wdrożenia.

   Ważne

   Podczas tworzenia dynamicznej grupy maszyn wirtualnych platformy Azure usługa Update Management obsługuje tylko maksymalnie 500 zapytań łączących subskrypcje lub grupy zasobów w zakresie grupy.

6. W obszarze Maszyny do zaktualizowania regionu wybierz zapisane wyszukiwanie, zaimportowaną grupę lub wybierz pozycję Maszyny z menu rozwijanego i wybierz poszczególne maszyny. Dzięki tej opcji można zobaczyć gotowość agenta usługi Log Analytics dla każdej maszyny. Aby dowiedzieć się więcej o różnych metodach tworzenia grup komputerów w dziennikach usługi Azure Monitor, zobacz Grupy komputerów w dziennikach usługi Azure Monitor. W zaplanowanym wdrożeniu aktualizacji można uwzględnić maksymalnie 1000 maszyn.

   Uwaga

   Ta opcja nie jest dostępna, jeśli wybrano maszynę wirtualną platformy Azure lub serwer z obsługą usługi Azure Arc. Maszyna jest automatycznie przeznaczona dla zaplanowanego wdrożenia.

7. Użyj regionu Klasyfikacje aktualizacji, aby określić klasyfikacje aktualizacji dla produktów. Dla każdego produktu usuń zaznaczenie wszystkich obsługiwanych klasyfikacji aktualizacji, ale te, które mają być uwzględnione we wdrożeniu aktualizacji.

   

   Jeśli wdrożenie ma mieć zastosowanie tylko wybranego zestawu aktualizacji, należy usunąć zaznaczenie wszystkich wstępnie wybranych klasyfikacji aktualizacji podczas konfigurowania opcji Dołączanie/wykluczanie aktualizacji zgodnie z opisem w następnym kroku. Gwarantuje to, że na maszynach docelowych są instalowane tylko aktualizacje określone do uwzględnienia w tym wdrożeniu.

   Uwaga

   Wdrażanie aktualizacji według klasyfikacji aktualizacji nie działa w wersjach RTM systemu CentOS. Aby prawidłowo wdrożyć aktualizacje dla systemu CentOS, wybierz wszystkie klasyfikacje, aby upewnić się, że aktualizacje są stosowane. Obecnie nie ma obsługiwanej metody włączania natywnej dostępności danych klasyfikacji w systemie CentOS. Aby uzyskać więcej informacji na temat klasyfikacji aktualizacji, zobacz następujące informacje.

   Uwaga

   Wdrażanie aktualizacji według klasyfikacji aktualizacji może nie działać poprawnie w przypadku dystrybucji systemu Linux obsługiwanych przez rozwiązanie Update Management. Jest to wynik problemu zidentyfikowanego ze schematem nazewnictwa pliku OVAL i uniemożliwia usłudze Update Management prawidłowe dopasowywanie klasyfikacji na podstawie reguł filtrowania. Ze względu na różne logiki używane w ocenach aktualizacji zabezpieczeń wyniki mogą różnić się od aktualizacji zabezpieczeń stosowanych podczas wdrażania. Jeśli klasyfikacja jest ustawiona jako Krytyczne i Zabezpieczenia, wdrożenie aktualizacji będzie działać zgodnie z oczekiwaniami. Dotyczy to tylko klasyfikacji aktualizacji podczas oceny.

   Rozwiązanie Update Management dla maszyn z systemem Windows Server nie ma wpływu; klasyfikacja aktualizacji i wdrożenia są niezmienione.

8. Użyj regionu Dołączanie/wykluczanie aktualizacji, aby dodać lub wykluczyć wybrane aktualizacje z wdrożenia. Na stronie Dołączanie/wykluczanie wprowadź numery identyfikatorów artykułu BAZY wiedzy, które mają zostać dołączone lub wykluczone w przypadku aktualizacji systemu Windows. W przypadku obsługiwanych dystrybucji systemu Linux należy określić nazwę pakietu.

   

   Ważne

   Pamiętaj, że wykluczenia zastępują dołączania. Jeśli na przykład zdefiniujesz regułę wykluczania programu *, rozwiązanie Update Management wyklucza wszystkie poprawki lub pakiety z instalacji. Wykluczone poprawki nadal są wyświetlane jako brakujące z maszyn. W przypadku maszyn z systemem Linux, jeśli dołączysz pakiet zawierający pakiet zależny, który został wykluczony, usługa Update Management nie instaluje pakietu głównego.

   Uwaga

   Nie można określić aktualizacji, które zostały zastąpione do uwzględnienia we wdrożeniu aktualizacji.

   Poniżej przedstawiono kilka przykładowych scenariuszy, które ułatwiają zrozumienie, jak używać dołączania/wykluczania i aktualizowania klasyfikacji jednocześnie we wdrożeniach aktualizacji:

   • Jeśli chcesz zainstalować tylko określoną listę aktualizacji, nie należy wybierać żadnych klasyfikacji aktualizacji i udostępniać listę aktualizacji do zastosowania przy użyciu opcji Dołącz .

   • Jeśli chcesz zainstalować tylko aktualizacje zabezpieczeń i aktualizacji krytycznych, wraz z co najmniej jedną opcjonalną aktualizacją, wybierz pozycję Zabezpieczenia i krytyczne w obszarze Klasyfikacje aktualizacji. Następnie dla opcji Dołącz określ identyfikatory KBID dla opcjonalnych aktualizacji.

   • Jeśli chcesz zainstalować tylko aktualizacje zabezpieczeń i aktualizacji krytycznych, ale pomiń co najmniej jedną aktualizację dla języka Python, aby uniknąć zerwania starszej aplikacji, wybierz pozycję Zabezpieczenia i krytyczne w obszarze Klasyfikacje aktualizacji. Następnie dla opcji Wyklucz dodaj pakiety języka Python, aby pominąć.

9. Wybierz pozycję Ustawienia harmonogramu. Domyślny czas rozpoczęcia to 30 minut po bieżącej godzinie. Czas rozpoczęcia można ustawić na dowolny czas od 10 minut w przyszłości.

10. Użyj cyklu, aby określić, czy wdrożenie ma miejsce raz, czy używa harmonogramu cyklicznego, a następnie wybierz przycisk OK.

11. W regionie Pre-scripts + Post-scripts (Skrypty wstępne i post-scripts) wybierz skrypty do uruchomienia przed wdrożeniem i po nim. Aby dowiedzieć się więcej, zobacz Manage pre-scripts and post-scripts (Zarządzanie skryptami wstępnymi i po skryptach).

12. Użyj pola Okno obsługi (minuty) , aby określić czas, w którym mogą być instalowane aktualizacje. Podczas określania okna obsługi weź pod uwagę następujące kwestie:

    • Okna obsługi kontrolują liczbę zainstalowanych aktualizacji.
    • Jeśli kolejnym krokiem w procesie aktualizacji jest zainstalowanie dodatku Service Pack, w oknie obsługi musi pozostać 20 minut — w przeciwnym razie ta aktualizacja zostanie pominięta.
    • Jeśli kolejnym krokiem w procesie aktualizacji jest zainstalowanie aktualizacji innej niż dodatek Service Pack, w oknie obsługi musi pozostać 15 minut — w przeciwnym razie ta aktualizacja zostanie pominięta.
    • Jeśli kolejnym krokiem procesu aktualizacji jest ponowne uruchomienie, w oknie aktualizacji musi pozostać 10 minut — w przeciwnym razie ponowne uruchomienie zostanie pominięte.
    • Rozwiązanie Update Management nie przestaje instalować nowych aktualizacji, gdy zbliża się koniec okna obsługi.
    • Rozwiązanie Update Management nie kończy trwających aktualizacji po przekroczeniu okna obsługi. Nie będą podejmowane próby instalacji pozostałych aktualizacji. Jeśli ten problem występuje stale, ponownie oceń czas trwania okna obsługi.
    • Jeśli okno obsługi zostaje przekroczone w systemie Windows, często dzieje się tak z powodu długiego czasu instalacji dodatku Service Pack.

    Uwaga

    Aby uniknąć stosowania aktualizacji poza oknem obsługi w systemie Ubuntu, skonfiguruj ponownie pakiet w Unattended-Upgrade celu wyłączenia aktualizacji automatycznych. Aby uzyskać informacje o sposobie konfigurowania pakietu, zobacz temat Aktualizacje automatyczne w Przewodniku po systemie Ubuntu Server.

13. Użyj pola Opcje ponownego uruchamiania, aby określić sposób obsługi ponownych rozruchów podczas wdrażania. Dostępne są następujące opcje:

    • Uruchom ponownie, jeśli jest to konieczne (ustawienie domyślne)
    • Zawsze uruchamiaj ponownie
    • Nigdy nie uruchamiaj ponownie
    • Tylko ponowny rozruch; ta opcja nie instaluje aktualizacji

    Uwaga

    Klucze rejestru wymienione w obszarze Klucze rejestru używane do zarządzania ponownym uruchomieniem mogą spowodować zdarzenie ponownego uruchomienia, jeśli opcje ponownego rozruchu są ustawione na Nigdy nie uruchamiaj ponownie.

14. Po zakończeniu konfigurowania harmonogramu wdrażania wybierz pozycję Utwórz.

    

    Uwaga

    Po zakończeniu konfigurowania harmonogramu wdrażania dla wybranego serwera z obsługą usługi Azure Arc wybierz pozycję Przejrzyj i utwórz.

15. Nastąpi powrót do pulpitu nawigacyjnego stanu. Wybierz pozycję Harmonogramy wdrażania, aby wyświetlić utworzony harmonogram wdrażania. Zostanie wyświetlonych maksymalnie 500 harmonogramów. Jeśli masz więcej niż 500 harmonogramów i chcesz przejrzeć pełną listę, zobacz metodę Interfejs API REST konfiguracji aktualizacji oprogramowania — lista . Określ interfejs API w wersji 2019-06-01 lub nowszej.

Programowe planowanie wdrożenia aktualizacji

Aby dowiedzieć się, jak utworzyć wdrożenie aktualizacji za pomocą interfejsu API REST, zobacz Konfiguracje aktualizacji oprogramowania — tworzenie.

Przykładowy element Runbook umożliwia utworzenie tygodniowego wdrożenia aktualizacji. Aby dowiedzieć się więcej na temat tego elementu Runbook, zobacz Tworzenie cotygodniowego wdrożenia aktualizacji dla co najmniej jednej maszyny wirtualnej w grupie zasobów.

Sprawdzanie stanu wdrożenia

Po rozpoczęciu zaplanowanego wdrożenia na karcie Historia w obszarze Update Management będzie widoczny jego stan. Wyświetlany stan W toku oznacza, że wdrożenie jest aktualnie uruchomione. Po pomyślnym zakończeniu wdrożenia stan zmieni się na Powodzenie. Jeśli w wdrożeniu wystąpią błędy z co najmniej jedną aktualizacją, stan to Niepowodzenie.

Wyświetlanie wyników ukończonego wdrożenia aktualizacji

Po zakończeniu wdrażania możesz wybrać go, aby wyświetlić jego wyniki.

Obszar Wyniki aktualizacji zawiera podsumowanie z łączną liczbą aktualizacji i wynikami wdrożenia na docelowych maszynach wirtualnych. Tabela po prawej stronie zawiera szczegółowy podział aktualizacji i wyniki instalacji dla każdego z nich.

Dostępne wartości to:

• Nie podjęto próby — aktualizacja nie została zainstalowana, ponieważ była niewystarczająca ilość czasu na podstawie zdefiniowanego czasu trwania okna obsługi.
• Nie wybrano — aktualizacja nie została wybrana do wdrożenia.
• Powodzenie — aktualizacja zakończyła się pomyślnie.
• Niepowodzenie — aktualizacja nie powiodła się.

Wybierz pozycję Wszystkie dzienniki , aby wyświetlić wszystkie wpisy dziennika utworzone przez wdrożenie.

Wybierz pozycję Dane wyjściowe , aby wyświetlić strumień zadań elementu Runbook odpowiedzialnego za zarządzanie wdrożeniem aktualizacji na docelowych maszynach wirtualnych.

Aby wyświetlić szczegółowe informacje o błędach związanych z wdrożeniem, wybierz pozycję Błędy.

Wdrażanie aktualizacji w dzierżawach platformy Azure

Jeśli masz maszyny, które wymagają stosowania poprawek w innym raportowaniu dzierżawy platformy Azure do rozwiązania Update Management, należy użyć następującego obejścia, aby je zaplanować. Aby utworzyć harmonogram, możesz użyć polecenia cmdlet New-AzAutomationSchedule z ForUpdateConfiguration określonym parametrem. Możesz użyć polecenia cmdlet New-AzAutomationSoftwareUpdateConfiguration i przekazać maszyny w innej dzierżawie do parametru NonAzureComputer . W przykładzie poniżej pokazano, jak to zrobić.

$nonAzurecomputers = @("server-01", "server-02")

$startTime = ([DateTime]::Now).AddMinutes(10)

$sched = New-AzAutomationSchedule `
    -ResourceGroupName mygroup `
    -AutomationAccountName myaccount `
    -Name myupdateconfig `
    -Description test-OneTime `
    -OneTime `
    -StartTime $startTime `
    -ForUpdateConfiguration

New-AzAutomationSoftwareUpdateConfiguration  `
    -ResourceGroupName $rg `
    -AutomationAccountName <automationAccountName> `
    -Schedule $sched `
    -Windows `
    -NonAzureComputer $nonAzurecomputers `
    -Duration (New-TimeSpan -Hours 2) `
    -IncludedUpdateClassification Security,UpdateRollup `
    -ExcludedKbNumber KB01,KB02 `
    -IncludedKbNumber KB100

Następne kroki

• Aby dowiedzieć się, jak tworzyć alerty w celu powiadamiania o wynikach wdrożenia aktualizacji, zobacz Tworzenie alertów dla rozwiązania Update Management.
• Aby rozwiązać problemy z ogólnymi błędami rozwiązania Update Management, zobacz Rozwiązywanie problemów z rozwiązaniem Update Management.