Planowanie cyklicznych aktualizacji maszyn przy użyciu witryny Azure Portal i usługi Azure Policy

  • Artykuł

Dotyczy: ✔️ Maszyny wirtualne z systemem Windows Maszyny ✔️ wirtualne z systemem Linux ✔️ w środowisku ✔️ lokalnym serwery z obsługą usługi Azure Arc.

Ważne

  • Aby zapewnić bezproblemowe zaplanowane stosowanie poprawek, zalecamy, aby wszystkie maszyny wirtualne platformy Azure zaktualizowały aranżację poprawek do harmonogramów zarządzanych przez klienta do 30 czerwca 2023 r. Jeśli nie zaktualizujesz aranżacji poprawek do 30 czerwca 2023 r., możesz doświadczyć zakłóceń w ciągłości działania, ponieważ harmonogramy nie będą poprawiać maszyn wirtualnych. Dowiedz się więcej.
  • Planowanie cyklicznych aktualizacji za pośrednictwem usługi Azure Policy nie jest dostępne w usługach Azure US Government i Azure (Chiny) obsługiwanych przez 21 Vianet.

Za pomocą usługi Azure Update Manager można tworzyć i zapisywać cyklicznych harmonogramów wdrażania. Możesz utworzyć harmonogram według dziennego, tygodniowego lub godzinowego. Można określić maszyny, które muszą zostać zaktualizowane w ramach harmonogramu i aktualizacje do zainstalowania.

Następnie ten harmonogram automatycznie instaluje aktualizacje zgodnie z utworzonym harmonogramem dla pojedynczej maszyny wirtualnej i na dużą skalę.

Program Update Manager używa harmonogramu kontroli konserwacji zamiast tworzenia własnych harmonogramów. Kontrola konserwacji umożliwia klientom zarządzanie aktualizacjami platformy. Aby uzyskać więcej informacji, zobacz dokumentację dotyczącą kontroli konserwacji.

Wymagania wstępne dotyczące zaplanowanego stosowania poprawek

  1. Zobacz Wymagania wstępne dotyczące programu Update Manager.

  2. Orkiestracja poprawek maszyn platformy Azure powinna być ustawiona na harmonogramy zarządzane przez klienta. Aby uzyskać więcej informacji, zobacz Włączanie stosowania poprawek harmonogramu na istniejących maszynach wirtualnych. W przypadku maszyn obsługujących Azure Arc nie jest to wymagane.

    Uwaga

    Jeśli ustawisz tryb poprawek na platformę Azure zaaranżowaną (AutomaticByPlatform), ale nie włączysz flagi BypassPlatform Sejf tyChecksOnUserSchedule i nie dołączysz konfiguracji konserwacji do maszyny platformy Azure, jest ona traktowana jako automatyczna maszyna z obsługą poprawek gościa. Platforma Azure automatycznie instaluje aktualizacje zgodnie z własnym harmonogramem. Dowiedz się więcej.

Planowanie stosowania poprawek w zestawie dostępności

Wszystkie maszyny wirtualne w wspólnym zestawie dostępności nie są aktualizowane współbieżnie.

Maszyny wirtualne w typowym zestawie dostępności są aktualizowane w granicach domeny aktualizacji. Maszyny wirtualne w wielu domenach aktualizacji nie są aktualizowane współbieżnie.

W scenariuszach, w których maszyny z tego samego zestawu dostępności są poprawiane w tym samym czasie w różnych harmonogramach, prawdopodobnie mogą nie zostać poprawione lub potencjalnie zakończyć się niepowodzeniem w przypadku przekroczenia okna obsługi. Aby tego uniknąć, zalecamy zwiększenie okna obsługi lub podzielenie maszyn należących do tego samego zestawu dostępności w wielu harmonogramach w różnym czasie.

Konfigurowanie ustawień ponownego rozruchu

Klucze rejestru wymienione w sekcji Konfigurowanie automatycznego Aktualizacje przez edytowanie rejestru i kluczy rejestru używanych do zarządzania ponownym uruchomieniem może spowodować ponowne uruchomienie maszyn. Ponowny rozruch może wystąpić, nawet jeśli w ustawieniach Harmonogramu określono opcję Nigdy nie uruchamiaj ponownie. Skonfiguruj te klucze rejestru, aby najlepiej pasowały do twojego środowiska.

Limity usługi

Zalecamy następujące limity dla wskaźników.

Wskaźnik Limit
Liczba harmonogramów na subskrypcję na region 250
Łączna liczba skojarzeń zasobów z harmonogramem 3000
Skojarzenia zasobów w każdym zakresie dynamicznym 1000
Liczba zakresów dynamicznych na grupę zasobów lub subskrypcję na region 250
Liczba zakresów dynamicznych na harmonogram 30
Łączna liczba subskrypcji dołączonych do wszystkich zakresów dynamicznych na harmonogram 30

Aby uzyskać więcej informacji, zobacz limity usługi dla zakresu dynamicznego.

Planowanie cyklicznych aktualizacji na jednej maszynie wirtualnej

Aktualizacje można zaplanować w okienku Przegląd lub Maszyny na stronie Menedżera aktualizacji lub z wybranej maszyny wirtualnej.

Aby zaplanować cykliczne aktualizacje na jednej maszynie wirtualnej:

  1. Zaloguj się w witrynie Azure Portal.

  2. Na stronie Przegląd usługi Azure Update Manager | wybierz subskrypcję, a następnie wybierz pozycję Zaplanuj aktualizacje.

  3. Na stronie Tworzenie nowej konfiguracji konserwacji możesz utworzyć harmonogram dla pojedynczej maszyny wirtualnej.

    Obecnie obsługiwane są maszyny wirtualne i konfiguracja konserwacji w tej samej subskrypcji.

  4. Na stronie Podstawowe wybierz pozycję Subskrypcja, Grupa zasobów i wszystkie opcje w obszarze Szczegóły wystąpienia.

    • Wybierz pozycję Zakres konserwacji jako gość (maszyna wirtualna platformy Azure, maszyny wirtualne z obsługą usługi Azure Arc/serwery).

    • Wybierz pozycję Dodaj harmonogram. W obszarze Dodaj/Modyfikuj harmonogram określ szczegóły harmonogramu, takie jak:

      • Rozpocznij w dniu
      • Okno obsługi (w godzinach). Górne okno obsługi wynosi 3 godziny 55 minut.
      • Powtarza się (co miesiąc, codziennie lub co tydzień)
      • Dodaj datę zakończenia
      • Podsumowanie harmonogramu

    Opcja godzinowa nie jest obsługiwana w portalu, ale może być używana za pośrednictwem interfejsu API.

    Zrzut ekranu przedstawiający stronę Podstawy zaplanowanego stosowania poprawek.

    W przypadku powtórzeń miesięcznych dostępne są dwie opcje:

    • Powtórz datę kalendarza (opcjonalnie uruchom polecenie w dniu ostatniego miesiąca).
    • Powtórz na nth (pierwszy, drugi itp.) x dzień (na przykład poniedziałek, wtorek) miesiąca. Możesz również określić przesunięcie z zestawu dni. Może to być +6/-6. Jeśli na przykład chcesz zastosować poprawkę w pierwszą sobotę po poprawce we wtorek, ustaw cykl jako drugi wtorek miesiąca z przesunięciem +4 dni. Opcjonalnie możesz również określić datę zakończenia, gdy harmonogram ma wygasnąć.

  5. Na karcie Maszyny wybierz maszynę, a następnie wybierz pozycję Dalej.

    Menedżer aktualizacji nie obsługuje aktualizacji sterowników.

  6. Na karcie Tagi przypisz tagi do konfiguracji konserwacji.

  7. Na karcie Przeglądanie + tworzenie sprawdź opcje wdrażania aktualizacji, a następnie wybierz pozycję Utwórz.

  1. Zaloguj się w witrynie Azure Portal.

  2. Na stronie Maszyny usługi Azure Update Manager | wybierz subskrypcję, wybierz maszynę, a następnie wybierz pozycję Zaplanuj aktualizacje.

  3. W obszarze Tworzenie nowej konfiguracji konserwacji można utworzyć harmonogram dla pojedynczej maszyny wirtualnej i przypisać maszynę i tagi. Postępuj zgodnie z procedurą z kroku 3 wymienionego w okienku Przegląd w okienkuPlanowanie cyklicznych aktualizacji na jednej maszynie wirtualnej , aby utworzyć konfigurację konserwacji i przypisać harmonogram.

Powiadomienie potwierdza, że wdrożenie zostało utworzone.

Planowanie cyklicznych aktualizacji na dużą skalę

Aby zaplanować cykliczne aktualizacje na dużą skalę, wykonaj następujące kroki.

Aktualizacje można zaplanować w okienku Przegląd lub Maszyny .

  1. Zaloguj się w witrynie Azure Portal.

  2. Na stronie Przegląd usługi Azure Update Manager | wybierz subskrypcję, a następnie wybierz pozycję Zaplanuj aktualizacje.

  3. Na stronie Tworzenie nowej konfiguracji konserwacji można utworzyć harmonogram dla wielu maszyn.

    Obecnie obsługiwane są maszyny wirtualne i konfiguracja konserwacji w tej samej subskrypcji.

  4. Na karcie Podstawy wybierz pozycję Subskrypcja, Grupa zasobów i wszystkie opcje w obszarze Szczegóły wystąpienia.

    • Wybierz pozycję Dodaj harmonogram. W obszarze Dodaj/Modyfikuj harmonogram określ szczegóły harmonogramu, takie jak:

      • Rozpocznij w dniu
      • Okno obsługi (w godzinach)
      • Powtarza się (co miesiąc, codziennie lub co tydzień)
      • Dodaj datę zakończenia
      • Podsumowanie harmonogramu

    Opcja godzinowa nie jest obsługiwana w portalu, ale może być używana za pośrednictwem interfejsu API.

  5. Na karcie Maszyny sprawdź, czy wybrane maszyny są wyświetlane. Z listy można dodawać lub usuwać maszyny. Wybierz Dalej.

  6. Na karcie Aktualizacje określ aktualizacje, które mają zostać uwzględnione we wdrożeniu, takie jak klasyfikacje aktualizacji lub identyfikator bazy wiedzy/pakiety, które należy zainstalować po wyzwoleniu harmonogramu.

    Menedżer aktualizacji nie obsługuje aktualizacji sterowników.

  7. Na karcie Tagi przypisz tagi do konfiguracji konserwacji.

  8. Na karcie Przeglądanie + tworzenie sprawdź opcje wdrażania aktualizacji, a następnie wybierz pozycję Utwórz.

Powiadomienie potwierdza, że wdrożenie zostało utworzone.

Dołączanie konfiguracji konserwacji

Konfigurację konserwacji można dołączyć do wielu maszyn. Można go dołączyć do maszyn w momencie utworzenia nowej konfiguracji konserwacji, a nawet po jego utworzeniu.

  1. Na stronie Azure Update Manager wybierz pozycję Maszyny, a następnie wybierz subskrypcję.

  2. Wybierz maszynę, a następnie w okienku Aktualizacje wybierz pozycję Zaplanowane aktualizacje, aby utworzyć konfigurację konserwacji lub dołączyć istniejącą konfigurację konserwacji do zaplanowanych aktualizacji cyklicznych.

  3. Na karcie Planowanie wybierz pozycję Dołącz konfigurację konserwacji.

  4. Wybierz konfigurację konserwacji, którą chcesz dołączyć, a następnie wybierz pozycję Dołącz.

  5. W okienku Aktualizacje wybierz pozycję Planowanie>Dołącz konfigurację konserwacji.

  6. Na stronie Dołączanie istniejącej konfiguracji konserwacji wybierz konfigurację konserwacji, którą chcesz dołączyć, a następnie wybierz pozycję Dołącz.

    Zrzut ekranu przedstawiający konfigurację konserwacji dołączania zaplanowanego stosowania poprawek.

Planowanie aktualizacji cyklicznych z poziomu konfiguracji konserwacji

Możesz przeglądać wszystkie konfiguracje konserwacji i zarządzać nimi z jednego miejsca.

  1. Konfiguracje konserwacji wyszukiwania w witrynie Azure Portal. Przedstawia listę wszystkich konfiguracji konserwacji wraz z zakresem konserwacji, grupą zasobów, lokalizacją i subskrypcją, do której należy.

  2. Konfiguracje konserwacji można filtrować przy użyciu filtrów u góry. Konfiguracje konserwacji związane z aktualizacjami systemu operacyjnego gościa to te, które mają zakres konserwacji jako InGuestPatch.

Możesz utworzyć nową konfigurację konserwacji aktualizacji systemu operacyjnego gościa lub zmodyfikować istniejącą konfigurację.

Zrzut ekranu przedstawiający konfigurację konserwacji.

Tworzenie nowej konfiguracji konserwacji

  1. Przejdź do pozycji Maszyny i wybierz maszyny z listy.

  2. W okienku Aktualizacje wybierz pozycję Zaplanowane aktualizacje.

  3. W okienku Tworzenie konfiguracji konserwacji wykonaj krok 3 w tej procedurze , aby utworzyć konfigurację konserwacji.

  4. Na karcie Podstawowe wybierz zakres konserwacji jako gość (maszyna wirtualna platformy Azure, maszyny wirtualne z obsługą usługi Arc/serwery).

    Zrzut ekranu przedstawiający tworzenie konfiguracji konserwacji.

Dodawanie lub usuwanie maszyn z konfiguracji konserwacji

  1. Przejdź do pozycji Maszyny i wybierz maszyny z listy.

  2. Na stronie Aktualizacje wybierz pozycję Aktualizacje jednorazowe.

  3. W okienku Instalowanie aktualizacji jednorazowych wybierz pozycję Maszyny>Dodaj maszynę.

    Zrzut ekranu przedstawiający dodawanie lub usuwanie maszyn z konfiguracji konserwacji.

Zmienianie kryteriów wyboru aktualizacji

  1. W okienku Instalowanie aktualizacji jednorazowych wybierz zasoby i maszyny do zainstalowania aktualizacji.

  2. Na karcie Maszyny wybierz pozycję Dodaj maszynę, aby dodać maszyny, które nie zostały wcześniej wybrane, a następnie wybierz pozycję Dodaj.

  3. Na karcie Aktualizacje określ aktualizacje do uwzględnienia we wdrożeniu.

  4. Wybierz odpowiednio pozycję Uwzględnij identyfikator/pakiet BAZY wiedzy i Wyklucz identyfikator bazy wiedzy/pakiet, aby wybrać aktualizacje, takie jak aktualizacje krytyczne, zabezpieczenia i funkcje.

    Zrzut ekranu przedstawiający zmianę kryteriów wyboru aktualizacji konfiguracji konserwacji.

Dołączanie do harmonogramu przy użyciu usługi Azure Policy

Rozwiązanie Update Manager umożliwia określenie grupy maszyn wirtualnych platformy Azure lub maszyn wirtualnych spoza platformy Azure na potrzeby wdrażania aktualizacji za pośrednictwem usługi Azure Policy. Grupowanie przy użyciu zasad zapobiega konieczności edytowania wdrożenia w celu aktualizowania maszyn. Do zdefiniowania zakresu można użyć subskrypcji, grupy zasobów, tagów lub regionów. Tej funkcji można używać dla wbudowanych zasad, które można dostosować zgodnie z przypadkiem użycia.

Uwaga

Te zasady zapewniają również, że właściwość orkiestracji poprawek dla maszyn platformy Azure jest ustawiona na harmonogramy zarządzane przez klienta, ponieważ jest to wymaganie wstępne dotyczące zaplanowanego stosowania poprawek.

Przypisywanie zasad

Usługa Azure Policy umożliwia przypisywanie standardów i ocenę zgodności na dużą skalę. Aby uzyskać więcej informacji, zobacz Omówienie usługi Azure Policy. Aby przypisać zasady do zakresu:

  1. Zaloguj się do witryny Azure Portal i wybierz pozycję Zasady.

  2. W obszarze Przypisania wybierz pozycję Przypisz zasady.

  3. Na stronie Przypisywanie zasad na karcie Podstawy:

    • W obszarze Zakres wybierz subskrypcję i grupę zasobów, a następnie wybierz pozycję Wybierz.

    • Wybierz pozycję Definicja zasad, aby wyświetlić listę zasad.

    • W okienku Dostępne definicje wybierz pozycję Wbudowane dlapozycji Typ. W obszarze Wyszukiwanie wprowadź pozycję Zaplanuj aktualizacje cykliczne przy użyciu usługi Azure Update Manager , a następnie kliknij pozycję Wybierz.

      Zrzut ekranu przedstawiający sposób wybierania definicji.

    • Upewnij się, że dla wymuszania zasad ustawiono wartość Włączone, a następnie wybierz przycisk Dalej.

  4. Na karcie Parametry domyślnie widoczny jest tylko identyfikator arm konfiguracji konserwacji.

    Jeśli nie określisz żadnych innych parametrów, wszystkie maszyny w subskrypcji i grupie zasobów wybranej na karcie Podstawowe zostaną objęte zakresem. Jeśli chcesz dalej określać zakres na podstawie grupy zasobów, lokalizacji, systemu operacyjnego, tagów itd., wyczyść pole Pokaż tylko parametry, które wymagają danych wejściowych lub przeglądowych , aby wyświetlić wszystkie parametry:

    • Identyfikator arm konfiguracji konserwacji: należy podać obowiązkowy parametr. Określa identyfikator usługi Azure Resource Manager (ARM) harmonogramu, który chcesz przypisać do maszyn.
    • Grupy zasobów: opcjonalnie możesz określić grupę zasobów, jeśli chcesz ograniczyć jej zakres do grupy zasobów. Domyślnie wybierane są wszystkie grupy zasobów w ramach subskrypcji.
    • Typy systemów operacyjnych: możesz wybrać system Windows lub Linux. Domyślnie oba są wstępnie wybrane.
    • Lokalizacje maszyn: opcjonalnie możesz określić regiony, które chcesz wybrać. Domyślnie wszystkie są zaznaczone.
    • Tagi na maszynach: tagi umożliwiają dalsze określanie zakresu. Domyślnie wszystkie są zaznaczone.
    • Operator tagów: jeśli wybierzesz wiele tagów, możesz określić, czy zakres ma być maszynami, które mają wszystkie tagi lub maszyny, które mają dowolny z tych tagów.

    Zrzut ekranu przedstawiający sposób przypisywania zasad.

  5. Na karcie Korygowanie w polu Typ tożsamości zarządzanej typu tożsamości> zarządzanej wybierz pozycję Tożsamość zarządzana przypisana przez system. Uprawnienia są już ustawione jako Współautor zgodnie z definicją zasad.

    Jeśli wybierzesz pozycję Korygowanie, zasady będą obowiązywać na wszystkich istniejących maszynach w zakresie lub do każdej nowej maszyny, która zostanie dodana do zakresu.

  6. Na karcie Przeglądanie + tworzenie sprawdź wybrane opcje, a następnie wybierz pozycję Utwórz, aby zidentyfikować niezgodne zasoby, aby zrozumieć stan zgodności środowiska.

Wyświetlanie zgodności

Aby wyświetlić bieżący stan zgodności istniejących zasobów:

  1. W obszarze Przypisania zasad wybierz pozycję Zakres , aby wybrać subskrypcję i grupę zasobów.

  2. W polu Typ definicji wybierz zasady. Na liście wybierz nazwę przypisania.

  3. Wybierz pozycję Wyświetl zgodność. Zgodność zasobów zawiera listę maszyn i przyczyn awarii.

    Zrzut ekranu przedstawiający zgodność z zasadami.

Sprawdzanie zaplanowanego przebiegu stosowania poprawek

Stan wdrożenia i historia konfiguracji konserwacji można sprawdzić w portalu programu Update Manager. Aby uzyskać więcej informacji, zobacz Aktualizowanie historii wdrażania według identyfikatora przebiegu konserwacji.

Oś czasu okna obsługi

Okno obsługi kontroluje liczbę aktualizacji, które można zainstalować na maszynie wirtualnej i serwerach z obsługą usługi Arc. Zalecamy zapoznanie się z poniższą tabelą w celu zrozumienia osi czasu okna obsługi podczas instalowania aktualizacji:

Jeśli na przykład okno obsługi wynosi 3 godziny i rozpoczyna się o godzinie 15:00, poniżej przedstawiono szczegółowe informacje na temat sposobu instalowania aktualizacji:

Typ aktualizacji Szczegóły
Dodatek Service Pack Jeśli instalujesz dodatek Service Pack, potrzebujesz 20 minut w oknie obsługi, aby aktualizacje zostały pomyślnie zainstalowane, w przeciwnym razie aktualizacja zostanie pominięta.
W tym przykładzie należy zakończyć instalowanie dodatku Service Pack o 17:40.
Inne aktualizacje Jeśli instalujesz inną aktualizację oprócz dodatku Service Pack, musisz pozostawić 15 minut w oknie obsługi, w przeciwnym razie zostanie pominięta.
W tym przykładzie należy zakończyć instalowanie innych aktualizacji o godzinie 17:45.
Ponowne uruchamianie Jeśli maszyny wymagają ponownego uruchomienia, musisz pozostawić 10 minut w oknie obsługi, w przeciwnym razie ponowne uruchomienie zostanie pominięte.
W tym przykładzie należy uruchomić ponowny rozruch o 17:50.
Uwaga: w przypadku maszyn wirtualnych platformy Azure i serwerów z obsługą usługi Arc usługa Azure Update Manager czeka maksymalnie 15 minut dla maszyn wirtualnych platformy Azure i 25 minut dla serwerów arc po ponownym uruchomieniu, aby ukończyć operację ponownego rozruchu przed oznaczeniem jej jako nieudanej.

Uwaga

  • Usługa Azure Update Manager nie przestaje instalować nowych aktualizacji, jeśli zbliża się do końca okna obsługi.
  • Program Azure Update Manger nie kończy aktualizacji w toku, jeśli zostanie przekroczone okno obsługi i nie zostaną podjęta próba zainstalowania tylko pozostałych aktualizacji. Zalecamy ponowne oszacowanie czasu trwania okna obsługi, aby upewnić się, że wszystkie aktualizacje są zainstalowane.
  • Jeśli okno obsługi zostaje przekroczone w systemie Windows, często dzieje się tak z powodu długiego czasu instalacji dodatku Service Pack.

Następne kroki