Planejar a implantação do Gerenciamento de Atualizações

  • Artigo

Etapa 1: Conta de automação

Gerenciamento de Atualizações é um recurso de Automação do Azure e, portanto, requer uma conta de Automação. Você pode usar uma conta de Automação existente em sua assinatura ou criar uma conta dedicada apenas para Gerenciamento de Atualizações e nenhum outro recurso de Automação.

Etapa 2: Logs do Azure Monitor

O Gerenciamento de Atualizações depende de um workspace do Log Analytics no Azure Monitor para armazenar a avaliação e atualizar os dados de log de status coletados de computadores gerenciados. A integração ao Log Analytics também permite a análise detalhada e alertas no Azure Monitor. Você pode usar um workspace existente em sua assinatura ou criar um dedicado apenas para Gerenciamento de Atualizações.

Se você não está familiarizado com os Logs do Azure Monitor e o workspace do Log Analytics, leia o guia Projetar uma implantação de workspace do Log Analytics.

Etapa 3: Sistemas operacionais compatíveis

O Gerenciamento de Atualizações dá suporte a versões específicas dos sistemas operacionais Windows Server e Linux. Antes de habilitar Gerenciamento de Atualizações, confirme se os computadores de destino atendem aos requisitos do sistema operacional.

Etapa 4: Agente do Log Analytics

O agente do Log Analytics para Windows e Linux é necessário para dar suporte a Gerenciamento de Atualizações. O agente é usado para a coleta de dados e a função Hybrid Runbook Worker do sistema de Automação para dar suporte a runbooks do Gerenciamento de Atualizações usados para gerenciar as implantações de avaliação e atualização no computador.

Em VMs do Azure, se o agente de Log Analytics ainda não estiver instalado, quando você habilitar Gerenciamento de Atualizações para a VM, ele será instalado automaticamente usando a extensão de VM Log Analytics para Windows ou Linux. O agente está configurado para relatar para o workspace do Log Analytics vinculado à conta de Automação em que o Gerenciamento de Atualizações está habilitado.

As VMs ou servidores não Azure precisam ter o agente do Log Analytics para Windows ou Linux instalado e o relatório do workspace vinculado. Nós recomendamos instalar o agente do Log Analytics para Windows ou Linux conectando primeiro o computador aos servidores habilitados para Azure Arc e usar o Azure Policy para atribuir a definição de política interna Implantar agente do Log Analytics a computadores Azure Arc Linux ou Windows. Como alternativa, se você pretende monitorar os computadores com os Insights da VM, use a iniciativa Habilitar o Azure Monitor para VMs.

Se você estiver habilitando um computador que seja gerenciado atualmente pelo Operations Manager, não será necessário um novo agente. As informações do espaço de trabalho são adicionadas à configuração dos agentes quando você conecta o grupo de gerenciamento ao workspace do Log Analytics.

Não há suporte para o registro de um computador para o Gerenciamento de Atualizações em mais de um workspace do Log Analytics (também chamado de hospedagem múltipla).

Etapa 5 – Planejamento de rede

Para preparar sua rede para dar suporte ao Gerenciamento de Atualizações, talvez seja necessário configurar alguns componentes de infraestrutura. Por exemplo, abra portas de firewall para passar as comunicações usadas por Gerenciamento de Atualizações e Azure Monitor.

Examine a Configuração de Rede da Automação do Azure para obter informações detalhadas sobre as portas, URLs e outros detalhes de rede necessários para o Gerenciamento de Atualizações, incluindo a função de Hybrid Runbook Worker. Para se conectar ao serviço de Automação nas VMs do Azure de maneira segura e privada, confira Usar o Link Privado do Azure.

Para computadores Windows, você também precisa permitir o tráfego para os ponto de extremidade exigidos pelo agente do Windows Update. Você pode encontrar uma lista atualizada de pontos de extremidade necessários em Problemas relacionados a HTTP/Proxy. Se você tiver uma implantação local do WSUS (Windows Server Update Services), também precisará permitir o tráfego para o servidor especificado na chave do WSUS.

Para computadores com Red Hat Linux, confira IPs para os servidores de distribuição de conteúdo da RHUI para conhecer os pontos de extremidade necessários. Para outras distribuições do Linux, confira a documentação do provedor.

Se as políticas de segurança de TI não permitirem que os computadores na rede se conectem à Internet, você poderá configurar um gateway do Log Analytics e configurar o computador para se conectar por meio do gateway a Automação do Azure e ao Azure Monitor.

Etapa 6: Permissões

Para criar e gerenciar implantações de atualização, você precisa ter permissões específicas. Para saber mais sobre essas permissões, consulte Acesso baseado em Função - Gerenciamento de Atualizações.

Etapa 7: Agente do Windows Update

O Gerenciamento de Atualizações de Automação do Azure se baseia no Agente do Windows Update para baixar e instalar atualizações do Windows. Há configurações de política de grupo específicas que o WUA (Windows Update Agent) usa em computadores para se conectar ao WSUS (Windows Server Update Services) ou ao Microsoft Update. Essas configurações de política de grupo são usadas também para verificar a conformidade de atualizações de software com êxito e atualizar automaticamente as atualizações de software. Para examinar nossas recomendações, confira Definir configurações do Windows Update para Gerenciamento de Atualizações.

Etapa 8: Repositório do Linux

As VMs criadas por meio das imagens do RHEL (Red Hat Enterprise Linux) sob demanda que estão disponíveis no Azure Marketplace são registradas para acessar a RHUI (Infraestrutura de Atualização do Red Hat) que é implantada no Azure. Qualquer distribuição do Linux deve ser atualizada nos repositórios de distribuição de arquivo online usando os métodos compatíveis com aquela distribuição.

Para classificar atualizações no Red Hat Enterprise versão 6, você precisa instalar o plug-in yum-security. No Red Hat Enterprise Linux 7, esse plug-in já faz parte do yum propriamente dito e não há necessidade de instalar nada. Para obter mais informações, veja o artigo de conhecimento do Red Hat a seguir.

Etapa 9: Planejar destinos de implantação

O Gerenciamento de Atualizações permite que você direcione atualizações para um grupo dinâmico que representa computadores Azure ou não Azure, para que você possa garantir que computadores específicos sempre obtenham as atualizações corretas no horário mais conveniente. Um grupo dinâmico é resolvido no momento da implantação e é baseado nos seguintes critérios:

  • Assinatura
  • Grupos de recursos
  • Locais
  • Marcações

Para computadores não Azure, um grupo dinâmico usa pesquisas salvas, também chamadas de grupos de computadores. As implantações de atualização no escopo de um grupo de computadores só são visíveis da conta de automação na opção Agendas de implantação do Gerenciamento de Atualizações, não de uma VM do Azure específica.

Como alternativa, as atualizações podem ser gerenciadas apenas para uma VM do Azure selecionada. As implantações de atualização com escopo definido para o computador específico ficam visíveis no computador e na conta de Automação na opção Agendas de implantação do Gerenciamento de Atualizações.

Próximas etapas

Habilite o Gerenciamento de Atualizações e selecione os computadores a serem gerenciados usando um dos seguintes métodos:

  • Usar um Modelo do Azure Resource Manager para implantar o Gerenciamento de Atualizações em uma conta de Automação nova ou existente e o workspace do Log Analytics do Azure Monitor em sua assinatura. Ele não configura o escopo de computadores que devem ser gerenciados; isso é realizado como uma etapa separada após o uso do modelo.

  • Em sua Conta de Automação de um ou mais computadores, que podem ser do Azure ou não, incluindo servidores habilitados para Azure Arc.

  • Usando o runbookEnable-AutomationSolution para automatizar a integração de VMs do Azure.

  • Para uma VM do Azure selecionada da página de Máquinas virtuais no portal do Azure. Esse cenário está disponível para VMs do Linux e do Windows.

  • Para várias VMs do Azure, selecionando-as na página de Máquinas virtuais no portal do Azure.