Omówienie rozwiązania Update Management

Uwaga

W tym artykule odwołuje się do systemu CentOS — dystrybucji systemu Linux, która zbliża się do stanu zakończenia życia (EOL). Rozważ odpowiednie użycie i planowanie. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące zakończenia życia systemu CentOS.

Ważne

  • Usługa Azure Automation Update Management zostanie wycofana 31 sierpnia 2024 r. Postępuj zgodnie z wytycznymi dotyczącymi migracji do usługi Azure Update Manager.
  • Agent usługi Azure Log Analytics, znany również jako program Microsoft Monitoring Agent (MMA) zostanie wycofany w sierpniu 2024 roku. Rozwiązanie Azure Automation Update Management korzysta z tego agenta i może napotkać problemy po wycofaniu agenta, ponieważ nie działa z agentem monitorowania platformy Azure (AMA). W związku z tym, jeśli używasz rozwiązania Azure Automation Update Management, zalecamy przejście do usługi Azure Update Manager zgodnie z potrzebami aktualizacji oprogramowania. Wszystkie możliwości rozwiązania Azure Automation Update Management będą dostępne w usłudze Azure Update Manager przed datą wycofania. Postępuj zgodnie ze wskazówkami , aby przenieść maszyny i harmonogramy z usługi Automation Update Management do usługi Azure Update Manager.

Za pomocą usługi Update Management w usłudze Azure Automation można zarządzać aktualizacjami systemu operacyjnego maszyn wirtualnych z systemami Windows i Linux na platformie Azure, maszynach fizycznych lub wirtualnych w środowiskach lokalnych oraz w innych środowiskach chmury. Umożliwia szybką ocenę stanu dostępnych aktualizacji oraz zarządzanie procesem instalacji wymaganych aktualizacji dla maszyn podlegających usłudze Update Management.

Jako dostawca usług możesz dołączyć wiele dzierżaw klientów do usługi Azure Lighthouse. Rozwiązanie Update Management może służyć do oceniania i planowania wdrożeń aktualizacji na maszynach w wielu subskrypcjach w tej samej dzierżawie firmy Microsoft Entra lub w różnych dzierżawach przy użyciu usługi Azure Lighthouse.

Firma Microsoft oferuje inne możliwości ułatwiające zarządzanie aktualizacjami maszyn wirtualnych platformy Azure lub zestawów skalowania maszyn wirtualnych platformy Azure, które należy wziąć pod uwagę w ramach ogólnej strategii zarządzania aktualizacjami.

  • Jeśli interesuje Cię automatyczne ocenianie i aktualizowanie maszyn wirtualnych platformy Azure w celu zachowania zgodności z zabezpieczeniami aktualizacji krytycznych i zabezpieczeń wydanych co miesiąc, zapoznaj się z tematem Automatyczne stosowanie poprawek gościa maszyny wirtualnej. Jest to alternatywne rozwiązanie do zarządzania aktualizacjami dla maszyn wirtualnych platformy Azure w celu ich automatycznej aktualizacji poza godzinami szczytu, a w tym maszyn wirtualnych w zestawie dostępności, w porównaniu z zarządzaniem wdrożeniami aktualizacji na tych maszynach wirtualnych z usługi Update Management w usłudze Azure Automation.

  • Jeśli zarządzasz zestawami skalowania maszyn wirtualnych platformy Azure, zapoznaj się ze sposobem przeprowadzania automatycznych uaktualnień obrazów systemu operacyjnego w celu bezpiecznego i automatycznego uaktualniania dysku systemu operacyjnego dla wszystkich wystąpień w zestawie skalowania.

Przed wdrożeniem rozwiązania Update Management i włączeniem maszyn do zarządzania upewnij się, że rozumiesz informacje przedstawione w poniższych sekcjach.

Informacje o usłudze Update Management

Na poniższym diagramie pokazano, jak usługa Update Management ocenia i stosuje aktualizacje zabezpieczeń do wszystkich połączonych serwerów z systemem Windows Server i Linux.

Przepływ pracy rozwiązania Update Management

Rozwiązanie Update Management integruje się z dziennikami usługi Azure Monitor, aby przechowywać oceny aktualizacji i aktualizować wyniki wdrożenia jako dane dziennika z przypisanych maszyn platformy Azure i innych niż azure. Aby zebrać te dane, konto usługi Automation i obszar roboczy usługi Log Analytics są połączone razem, a agent usługi Log Analytics dla systemów Windows i Linux jest wymagany na maszynie i skonfigurowany do raportowania do tego obszaru roboczego.

Rozwiązanie Update Management obsługuje zbieranie informacji o aktualizacjach systemu od agentów w grupie zarządzania programu System Center Operations Manager połączonej z obszarem roboczym. Zarejestrowanie maszyny w usłudze Update Management w więcej niż jednym obszarze roboczym usługi Log Analytics (nazywanym również obsługą wielu regionów) nie jest obsługiwane.

Poniższa tabela zawiera podsumowanie obsługiwanych połączonych źródeł za pomocą rozwiązania Update Management.

Połączone źródło Obsługiwane opis
Windows Tak Rozwiązanie Update Management zbiera informacje o aktualizacjach systemu z maszyn z systemem Windows za pomocą agenta usługi Log Analytics i instalacji wymaganych aktualizacji.
Maszyny muszą zgłaszać usługi Microsoft Update lub Windows Server Update Services (WSUS).
Linux Tak Rozwiązanie Update Management zbiera informacje o aktualizacjach systemu z maszyn z systemem Linux za pomocą agenta usługi Log Analytics i instalacji wymaganych aktualizacji w obsługiwanych dystrybucjach.
Maszyny muszą raportować do lokalnego lub zdalnego repozytorium.
Grupa zarządzania programu Operations Manager Tak Rozwiązanie Update Management zbiera informacje o aktualizacjach oprogramowania od agentów w połączonej grupie zarządzania.

Bezpośrednie połączenie z agenta programu Operations Manager do dzienników usługi Azure Monitor nie jest wymagane. Dane dziennika są przekazywane z grupy zarządzania do obszaru roboczego usługi Log Analytics.

Maszyny przypisane do rozwiązania Update Management zgłaszają, jak są aktualne na podstawie źródła, z którym są skonfigurowane do synchronizacji. Maszyny z systemem Windows muszą być skonfigurowane do raportowania do usług Windows Server Update Services lub Microsoft Update, a maszyny z systemem Linux muszą być skonfigurowane do raportowania do lokalnego lub publicznego repozytorium. Możesz również użyć rozwiązania Update Management z usługą Microsoft Configuration Manager, a aby dowiedzieć się więcej, zobacz Integrowanie rozwiązania Update Management z usługą Windows Configuration Manager.

Jeśli agent usługi Windows Update (WUA) na maszynie z systemem Windows jest skonfigurowany do raportowania do serwera WSUS, to w zależności od tego, kiedy usługa WSUS była ostatnio synchronizowana z usługą Microsoft Update, wyniki mogą się różnić od tych pokazywanych przez usługę Microsoft Update. To zachowanie jest takie samo w przypadku maszyn z systemem Linux skonfigurowanych do raportowania do repozytorium lokalnego zamiast publicznego. Na komputerze z systemem Windows skanowanie pod kątem zgodności jest domyślnie uruchamiane co 12 godzin. W przypadku maszyny z systemem Linux skanowanie pod kątem zgodności jest domyślnie wykonywane co godzinę. Jeśli agent usługi Log Analytics zostanie uruchomiony ponownie, skanowanie pod kątem zgodności zostanie uruchomione w ciągu 15 minut. Gdy maszyna zakończy skanowanie pod kątem zgodności aktualizacji, agent przekazuje zbiorcze informacje do dzienników usługi Azure Monitor.

Aktualizacje oprogramowania można wdrożyć i zainstalować na maszynach, które ich wymagają, tworząc zaplanowane wdrożenie. Aktualizacje sklasyfikowane jako Opcjonalne nie są uwzględnione w zakresie wdrażania dla maszyn z systemem Windows. Zakres wdrożenia obejmuje tylko wymagane aktualizacje.

Zaplanowane wdrożenie definiuje, które maszyny docelowe otrzymują odpowiednie aktualizacje. W ten sposób jawnie określa określone maszyny lub wybierając grupę komputerów opartą na przeszukiwaniu dzienników określonego zestawu maszyn (lub na podstawie zapytania platformy Azure, które dynamicznie wybiera maszyny wirtualne platformy Azure na podstawie określonych kryteriów). Te grupy różnią się od konfiguracji zakresu, która służy do kontrolowania określania wartości docelowej maszyn odbierających konfigurację w celu włączenia rozwiązania Update Management. Uniemożliwia to wykonywanie i raportowanie zgodności aktualizacji oraz instalowanie zatwierdzonych wymaganych aktualizacji.

Podczas definiowania wdrożenia określa się również harmonogram do zatwierdzenia i ustawia okres, w którym można instalować aktualizacje. Ten okres jest nazywany oknem obsługi. 10-minutowy przedział okna obsługi jest zarezerwowany dla ponownych uruchomień, zakładając, że jest potrzebny i wybrano odpowiednią opcję ponownego rozruchu. Jeśli stosowanie poprawek trwa dłużej niż oczekiwano i w oknie obsługi zostanie mniej niż 10 minut, ponowny rozruch nie zostanie wykonany.

Po zaplanowaniu wdrożenia pakietu aktualizacji aktualizacja może potrwać od 2 do 3 godzin, aby aktualizacja została wyświetlona dla maszyn z systemem Linux na potrzeby oceny. W przypadku maszyn z systemem Windows wyświetlenie aktualizacji do oceny po jej wydaniu trwa od 12 do 15 godzin. Przed i po instalacji aktualizacji przeprowadza się skanowanie pod kątem zgodności aktualizacji, a wyniki danych dziennika są przekazywane do obszaru roboczego.

Aktualizacje są instalowane za pomocą elementów runbook w usłudze Azure Automation. Nie można wyświetlić tych elementów Runbook i nie wymagają one żadnej konfiguracji. Utworzenie wdrożenia aktualizacji powoduje utworzenie harmonogramu, który uruchamia główny element Runbook aktualizacji w określonym czasie na uwzględnionych komputerach. Główny element Runbook uruchamia podrzędny element Runbook na każdym agencie, który inicjuje instalację wymaganych aktualizacji za pomocą agenta Windows Update w systemie Windows, lub odpowiednie polecenie w obsługiwanej dystrybucji systemu Linux.

W dniu i o godzinie określonych we wdrożeniu aktualizacji maszyny docelowe wykonują wdrożenie równolegle. Przed instalacją zostanie uruchomione skanowanie w celu sprawdzenia, czy aktualizacje są nadal wymagane. W przypadku maszyn klienckich programu WSUS, jeśli aktualizacje nie są zatwierdzone w programie WSUS, wdrażanie aktualizacji zakończy się niepowodzeniem.

Limity

Aby uzyskać limity dotyczące rozwiązania Update Management, zobacz Limity usługi Azure Automation.

Uprawnienia

Do tworzenia wdrożeń aktualizacji i zarządzania nimi potrzebne są określone uprawnienia. Aby dowiedzieć się więcej o tych uprawnieniach, zobacz Dostęp oparty na rolach — Update Management.

Składniki rozwiązania Update Management

Rozwiązanie Update Management używa zasobów opisanych w tej sekcji. Te zasoby są automatycznie dodawane do konta usługi Automation po włączeniu rozwiązania Update Management.

Hybrydowe grupy procesów roboczych elementu Runbook

Po włączeniu rozwiązania Update Management wszystkie maszyny z systemem Windows połączone bezpośrednio z obszarem roboczym usługi Log Analytics są automatycznie konfigurowane jako hybrydowy proces roboczy elementu Runbook systemu do obsługi elementów Runbook obsługujących rozwiązanie Update Management.

Każda maszyna z systemem Windows zarządzana przez rozwiązanie Update Management znajduje się w okienku Grupy hybrydowych procesów roboczych jako grupa hybrydowych procesów roboczych systemu dla konta usługi Automation. Grupy używają Hostname FQDN_GUID konwencji nazewnictwa. Nie można kierować tych grup do tych grup za pomocą elementów Runbook na swoim koncie. Jeśli spróbujesz, próba zakończy się niepowodzeniem. Te grupy mają obsługiwać tylko rozwiązanie Update Management. Aby dowiedzieć się więcej na temat wyświetlania listy maszyn z systemem Windows skonfigurowanych jako hybrydowy proces roboczy elementu Runbook, zobacz wyświetlanie hybrydowych procesów roboczych elementów Runbook.

Maszynę z systemem Windows można dodać do grupy hybrydowych procesów roboczych elementu Runbook użytkownika na koncie usługi Automation, aby obsługiwać elementy Runbook usługi Automation, jeśli używasz tego samego konta do zarządzania aktualizacjami i członkostwa w grupie hybrydowych procesów roboczych elementu Runbook. Ta funkcja została dodana w wersji 7.2.12024.0 hybrydowego procesu roboczego elementu Runbook.

Zależności zewnętrzne

Usługa Azure Automation Update Management zależy od następujących zależności zewnętrznych w celu dostarczania aktualizacji oprogramowania.

  • Usługi Windows Server Update Services (WSUS) lub Microsoft Update są potrzebne w przypadku pakietów aktualizacji oprogramowania i skanowania stosowania aktualizacji oprogramowania na maszynach z systemem Windows.
  • Klient programu Windows Update Agent (WUA) jest wymagany na komputerach z systemem Windows, aby mógł nawiązać połączenie z serwerem programu WSUS lub usługą Microsoft Update.
  • Lokalne lub zdalne repozytorium do pobierania i instalowania aktualizacji systemu operacyjnego na maszynach z systemem Linux.

Pakiety administracyjne

Następujące pakiety administracyjne są instalowane na maszynach zarządzanych przez rozwiązanie Update Management. Jeśli grupa zarządzania programu Operations Manager jest połączona z obszarem roboczym usługi Log Analytics, pakiety administracyjne są instalowane w grupie zarządzania programu Operations Manager. Pakietów administracyjnych nie trzeba konfigurować ani zarządzać nimi.

  • Microsoft System Center Advisor Update Assessment Intelligence Pack (Microsoft.IntelligencePacks.UpdateAssessment)
  • Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
  • Pakiet administracyjny wdrożenia aktualizacji

Uwaga

Jeśli masz grupę zarządzania programu Operations Manager 1807 lub 2019 połączoną z obszarem roboczym usługi Log Analytics z agentami skonfigurowanymi w grupie zarządzania w celu zbierania danych dziennika, musisz zastąpić parametr IsAutoRegistrationEnabled i ustawić go na True wartość w regule Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init .

Aby uzyskać więcej informacji na temat aktualizacji pakietów administracyjnych, zobacz Połączenie Operations Manager do dzienników usługi Azure Monitor.

Uwaga

Aby rozwiązanie Update Management w pełni zarządzało maszynami za pomocą agenta usługi Log Analytics, należy zaktualizować agenta usługi Log Analytics dla systemu Windows lub agenta usługi Log Analytics dla systemu Linux. Aby dowiedzieć się, jak zaktualizować agenta, zobacz Jak uaktualnić agenta programu Operations Manager. W środowiskach korzystających z programu Operations Manager należy uruchomić program System Center Operations Manager 2012 R2 UR 14 lub nowszy.

Częstotliwość zbierania danych

Rozwiązanie Update Management skanuje zarządzane maszyny pod kątem danych przy użyciu następujących reguł. Wyświetlenie zaktualizowanych danych z zarządzanych maszyn może potrwać od 30 minut do 6 godzin.

  • Każda maszyna z systemem Windows — rozwiązanie Update Management wykonuje skanowanie dwa razy dziennie dla każdej maszyny.

  • Każda maszyna z systemem Linux — rozwiązanie Update Management wykonuje skanowanie co godzinę.

Średnie użycie danych przez dzienniki usługi Azure Monitor dla maszyny korzystającej z rozwiązania Update Management wynosi około 25 MB miesięcznie. Ta wartość jest tylko przybliżeniem i może ulec zmianie w zależności od środowiska. Zalecamy monitorowanie środowiska w celu śledzenia dokładnego użycia. Aby uzyskać więcej informacji na temat analizowania użycia danych dzienników usługi Azure Monitor, zobacz Szczegóły cennika dzienników usługi Azure Monitor.

Klasyfikacje aktualizacji

Poniższa tabela definiuje klasyfikacje obsługiwane przez usługę Update Management dla aktualizacji systemu Windows.

Klasyfikacja Opis
Aktualizacje krytyczne Aktualizacja dotycząca konkretnego problemu, która stanowi odpowiedź na krytyczną usterkę niepowiązaną z zabezpieczeniami.
Aktualizacje zabezpieczeń Aktualizacja problemu związanego z zabezpieczeniami specyficznymi dla produktu.
Pakiety zbiorcze aktualizacji Zbiorczy zestaw poprawek zebranych w jednym pakiecie w celu łatwiejszego wdrożenia.
Pakiety funkcji Nowe funkcje produktów dystrybuowane poza wydaniem produktu.
Dodatki Service Pack Zbiorczy zestaw poprawek stosowany do jakiejś aplikacji.
Aktualizacje definicji Aktualizacja plików definicji wirusów lub innych plików definicji.
Narzędzia Program narzędziowy lub funkcja pomagająca wykonać jedno lub więcej zadań.
Aktualizacje Aktualizacja zainstalowanej obecnie aplikacji lub zainstalowanego pliku.

W następnej tabeli zdefiniowano obsługiwane klasyfikacje aktualizacji systemu Linux.

Klasyfikacja Opis
Aktualizacje krytyczne i zabezpieczeń Aktualizacje dotyczące konkretnego problemu lub problemu związanego z zabezpieczeniami specyficznego dla produktu.
Inne aktualizacje Wszystkie inne aktualizacje, które nie mają znaczenia krytycznego lub które nie są aktualizacjami zabezpieczeń.

Uwaga

Klasyfikacja aktualizacji dla maszyn z systemem Linux jest dostępna tylko w przypadku użycia w obsługiwanych regionach chmury publicznej platformy Azure. W przypadku korzystania z rozwiązania Update Management w następujących regionach chmury krajowej nie ma klasyfikacji aktualizacji systemu Linux:

  • Wersja platformy Azure dla administracji USA
  • 21Vianet w Chinach

Zamiast klasyfikować aktualizacje są zgłaszane w kategorii Inne aktualizacje .

Rozwiązanie Update Management używa danych publikowanych przez obsługiwane dystrybucje, w szczególności ich wydanych plików OVAL (Open Vulnerability and Assessment Language). Ponieważ dostęp do Internetu jest ograniczony z tych chmur krajowych, usługa Update Management nie może uzyskać dostępu do plików.

Logika klasyfikacji aktualizacji systemu Linux

  1. W przypadku oceny usługa Update Management klasyfikuje aktualizacje w trzech kategoriach: Zabezpieczenia, Krytyczne lub Inne. Ta klasyfikacja aktualizacji jest zgodna z danymi z dwóch źródeł:

    • Otwarte pliki języka luk w zabezpieczeniach i oceny (OVAL) są dostarczane przez dostawcę dystrybucji systemu Linux, który zawiera dane dotyczące problemów z zabezpieczeniami lub luk w zabezpieczeniach, które poprawki aktualizacji.
    • Menedżer pakietów na maszynie, taki jak YUM, APT lub ZYPPER.
  2. W przypadku stosowania poprawek usługa Update Management klasyfikuje aktualizacje do dwóch kategorii: Krytyczne i Zabezpieczenia lub Inne. Ta klasyfikacja aktualizacji jest oparta wyłącznie na danych z menedżerów pakietów, takich jak YUM, APT lub ZYPPER.

CentOS — w przeciwieństwie do innych dystrybucji system CentOS nie ma danych klasyfikacji dostępnych w menedżerze pakietów. Jeśli masz maszyny z systemem CentOS skonfigurowane pod kątem zwracania danych zabezpieczeń dla następującego polecenia, rozwiązanie Update Management może stosować poprawki na podstawie klasyfikacji.

sudo yum -q --security check-update

Uwaga

Obecnie nie ma obsługiwanej metody włączania natywnej dostępności danych klasyfikacji w systemie CentOS. Obecnie zapewniamy ograniczoną pomoc techniczną klientom, którzy mogli samodzielnie włączyć tę funkcję.

Redhat — aby sklasyfikować aktualizacje w systemie Red Hat Enterprise w wersji 6, należy zainstalować wtyczkę zabezpieczeń YUM. W systemie Red Hat Enterprise Linux 7 wtyczka jest już częścią samego rozwiązania YUM i nie ma potrzeby, aby ją instalować. Aby uzyskać więcej informacji, zobacz następujący artykuł wiedzy na temat systemu Red Hat.

Integrowanie rozwiązania Update Management z programem Configuration Manager

Klienci, którzy zainwestowali w program Microsoft Configuration Manager na potrzeby zarządzania komputerami, serwerami i urządzeniami przenośnymi, również polegają na sile i dojrzałości programu Configuration Manager, aby ułatwić zarządzanie aktualizacjami oprogramowania. Aby dowiedzieć się, jak zintegrować rozwiązanie Update Management z programem Configuration Manager, zobacz Integrowanie rozwiązania Update Management z programem Windows Configuration Manager.

Aktualizacje innych firm w systemie Windows

Rozwiązanie Update Management opiera się na lokalnie skonfigurowanym repozytorium aktualizacji w celu aktualizacji obsługiwanych systemów Windows, usług WSUS lub Windows Update. Narzędzia, takie jak System Center Aktualizacje Publisher, umożliwiają importowanie i publikowanie aktualizacji niestandardowych za pomocą programu WSUS. Ten scenariusz umożliwia usłudze Update Management aktualizowanie maszyn używających programu Configuration Manager jako repozytorium aktualizacji za pomocą oprogramowania innej firmy. Aby dowiedzieć się, jak skonfigurować program Aktualizacje Publisher, zobacz Instalowanie programu Aktualizacje Publisher.

Aktualizowanie agenta usługi Windows Log Analytics do najnowszej wersji

Rozwiązanie Update Management wymaga agenta usługi Log Analytics do działania. Zalecamy zaktualizowanie agenta usługi Windows Log Analytics (nazywanego również programem Microsoft Monitoring Agent (MMA) systemu Windows do najnowszej wersji w celu zmniejszenia luk w zabezpieczeniach i korzystania z poprawek błędów. Wersje agenta usługi Log Analytics wcześniejsze niż 10.20.18053 (pakiet) i 1.0.18053.0 (rozszerzenie) używają starszej metody obsługi certyfikatów, dlatego nie jest to zalecane. Starsi agenci usługi Log Analytics systemu Windows nie będą mogli nawiązać połączenia z platformą Azure, a rozwiązanie Update Management przestanie na nich działać.

Agent usługi Log Analytics należy zaktualizować do najnowszej wersji, wykonując poniższe kroki:

  1. Sprawdź bieżącą wersję agenta usługi Log Analytics dla maszyny: przejdź do ścieżki instalacji — C:\ProgramFiles\Microsoft Monitoring Agent\Agent i kliknij prawym przyciskiem myszy HealthService.exe , aby sprawdzić właściwości. Na karcie Szczegóły pole Wersja produktu zawiera numer wersji agenta usługi Log Analytics.

  2. Jeśli agent usługi Log Analytics jest w wersji wcześniejszej niż 10.20.18053 (pakiet) i 1.0.18053.0 (rozszerzenie), przeprowadź uaktualnienie do najnowszej wersji agenta usługi Windows Log Analytics, postępując zgodnie z tymi wytycznymi. 

Uwaga

Podczas procesu uaktualniania harmonogramy zarządzania aktualizacjami mogą zakończyć się niepowodzeniem. Upewnij się, że nie ma zaplanowanego harmonogramu.

Następne kroki