Configure o agendamento de patches em VMs do Azure para a continuidade dos negócios

Aplica-se a: ✔️ VMs Windows ✔️ VMs Linux ✔️ VMs Azure.

Este artigo é uma visão geral sobre como configurar o patch de agendamento e o patch automático de máquina virtual (VM) convidado em VMs do Azure usando o novo pré-requisito para garantir a continuidade dos negócios. As etapas para configurar as duas opções de aplicação de patches nas VMs do Azure Arc permanecem iguais.

Atualmente, você pode habilitar a aplicação automática de patches de VM convidada (autopatch) definindo o modo de patch como orquestrado pelo Azure no portal do Azure ou AutomaticByPlatform na API REST, onde os patches são aplicados automaticamente durante os horários de menor movimento.

Para personalizar o controle sobre a instalação de patch, você pode usar o agendamento de aplicação de patches para definir sua janela de manutenção. Você pode habilitar o agendamento de aplicação de patches definindo o modo de patch como orquestrado pelo Azure no portal do Azure ou AutomaticByPlatform na API REST e anexando um agendamento à VM do Azure. Portanto, as propriedades da VM não puderam ser diferenciadas entre a aplicação agendada de patches ou a aplicação automática de patches de VM de convidada porque ambas tinham o modo de patch definido como orquestrado pelo Azure.

Em alguns casos, quando você remove o agendamento de uma VM, há a possibilidade de que o patch seja aplicado automaticamente à VM e ela seja reinicializada. Para superar as limitações, introduzimos um novo pré-requisito, ByPassPlatformSafetyChecksOnUserSchedule, que agora pode ser definido como true para identificar uma VM usando a aplicação agendada de patches. Isso significa que as VMs com essa propriedade definida como true não terão mais aplicações automáticas de patches quando as VMs não tiverem uma configuração de manutenção associada.

Importante

Para uma experiência contínua de aplicação agendada de patches, você deve garantir que a nova propriedade BypassPlatformSafetyChecksOnUserSchedule da VM esteja habilitada em todas as VMs do Azure (existentes ou novas) que tenham agendamentos anexados a elas até 30 de junho de 2023. Essa configuração garante que os patches sejam aplicados às máquinas usando seus agendamentos configurados e não de forma automática. Se a habilitação não for feita até 30 de junho de 2023, um erro de que os pré-requisitos não foram atendidos será gerado.

Agendar a aplicação de patches em um conjunto de disponibilidade

Todas as VMs de um conjunto de disponibilidade em comum não são atualizadas simultaneamente.

As VMs em um conjunto de disponibilidade comum são atualizadas dentro dos limites do Domínio de Atualização. As VMs em vários Domínios de Atualização não são atualizadas simultaneamente.

Em cenários nos quais os patches são aplicados às máquinas do mesmo conjunto de disponibilidade ao mesmo tempo em diferentes agendamentos, é provável que o patch não seja aplicado ou possa falhar se a janela de manutenção for excedida. Para evitar isso, recomendamos que você aumente a janela de manutenção ou divida as máquinas que pertencem ao mesmo conjunto de disponibilidade entre vários agendamentos em horários diferentes.

Localizar VMs com agendamentos associados

Para identificar a lista de VMs com os agendamentos associados para os quais você precisa habilitar uma nova propriedade da VM:

1. Vá para a home page do Gerenciador de Atualizações do Azure e selecione a guia Máquinas.

2. No filtro de Orquestração de patch, selecione Gerenciado pelo Azure – Implantação Segura.

3. Use a opção Selecionar todas para selecionar as máquinas e, em seguida, selecione Exportar para CSV.

4. Abra o arquivo CSV e, na coluna Agendamentos associados, selecione as linhas que têm uma entrada.

   Na coluna Nome correspondente, você pode exibir a lista de VMs para as quais você precisa habilitar o sinalizador ByPassPlatformSafetyChecksOnUserSchedule.

Habilitar a aplicação de patch programado nas VMs do Azure

Para habilitar a aplicação agendada de patches em VMs do Azure, siga estas etapas.

Portal do Azure

Pré-requisitos

Orquestração de patch = Agendamentos Gerenciados pelo Cliente

Selecione a opção de orquestração de patches como Agendamentos Gerenciados pelo Cliente. A nova opção de orquestração de patches habilita as seguintes propriedades da VM em seu nome depois de receber seu consentimento:

• Modo de patch = Azure-orchestrated
• BypassPlatformSafetyChecksOnUserSchedule = TRUE

Habilitar para novas VMs

Você pode selecionar a opção de orquestração de patches para novas VMs que seriam associadas aos agendamentos.

Para atualizar o modo de patch:

1. Entre no portal do Azure.
2. Vá para a Máquina virtual e selecione Criar para abrir a página Criar uma máquina virtual.
3. Na guia Básico, preencha todos os campos obrigatórios.
4. Na guia Gerenciamento, em Atualizações do sistema operacional convidado, para Opções de orquestração de patches, selecione Orquestrado pelo Azure.
5. Preencha as entradas nas guias Monitoramento, Avançado e Marcas.
6. Selecione Examinar + criar. Selecione Criar para criar uma nova VM com a opção apropriada de orquestração de patches.

Para agendar patches para as VMs recém-criadas, siga o procedimento da etapa 2 na próxima seção, "Habilitar para VMs existentes".

Habilitar para VMs existentes

Você pode atualizar a opção de orquestração de patches para VMs existentes que já têm agendamentos associados ou que serão associados a um agendamento posteriormente.

Se a Orquestração de patches for definida como Orquestrada pelo Azure ou Gerenciada pelo Azure – Implantação Segura (AutomaticByPlatform), BypassPlatformSafetyChecksOnUserSchedule estiver definida como false e não houver nenhum agendamento associado, os patches serão aplicados às VMs automaticamente.

Para atualizar o modo de patch:

1. Entre no portal do Azure.
2. Acesse o Gerenciador de Atualizações do Azure e selecione Configurações de Atualização.
3. Em Alterar configurações de atualização, selecione Adicionar máquina.
4. Em Selecionar recursos, selecione suas VMs e, em seguida, selecione Adicionar.
5. No painel Alterar configurações de atualização, em Orquestração de patches, selecione Agendamentos Gerenciados pelo Cliente e, em seguida, selecione Salvar.

Anexe um agendamento depois de concluir as etapas anteriores.

Para verificar se BypassPlatformSafetyChecksOnUserSchedule está habilitado, vá para a home page da Máquina virtual e selecione Visão geral>Exibição em JSON.

REST API

Pré-requisitos

• Modo de patch = AutomaticByPlatform
• BypassPlatformSafetyChecksOnUserSchedule = TRUE

Habilitar em VMs do Windows

PATCH on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2023-03-01` 

{ 
  "location":"<location>", 
  "properties": { 
    "osProfile": { 
      "windowsConfiguration": { 
        "provisionVMAgent": true, 
        "enableAutomaticUpdates": true, 
        "patchSettings": { 
          "patchMode": "AutomaticByPlatform", 
          "automaticByPlatformSettings":{ 
            "bypassPlatformSafetyChecksOnUserSchedule":true 
          } 
        } 
      } 
    } 
  } 
} 

Habilitar em VMs do Linux

PATCH on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2023-03-01` 

{ 

  "location":"<location>", 
  "properties": { 
    "osProfile": { 
      "linuxConfiguration": { 
        "provisionVMAgent": true, 
         "patchSettings": { 
           "patchMode": "AutomaticByPlatform", 
           "automaticByPlatformSettings":{ 
             "bypassPlatformSafetyChecksOnUserSchedule":true 
            } 
         } 
      } 
    } 
  } 
} 

PowerShell

Pré-requisitos

• Modo de patch = AutomaticByPlatform
• BypassPlatformSafetyChecksOnUserSchedule = TRUE

Habilitar em VMs do Windows

$VirtualMachine = Get-AzVM -ResourceGroupName "<resourceGroup>" -Name "<vmName>"
Set-AzVMOperatingSystem -VM $VirtualMachine -Windows -PatchMode "AutomaticByPlatform"
$AutomaticByPlatformSettings = $VirtualMachine.OSProfile.WindowsConfiguration.PatchSettings.AutomaticByPlatformSettings
 
if ($null -eq $AutomaticByPlatformSettings) {
   $VirtualMachine.OSProfile.WindowsConfiguration.PatchSettings.AutomaticByPlatformSettings = New-Object -TypeName Microsoft.Azure.Management.Compute.Models.WindowsVMGuestPatchAutomaticByPlatformSettings -Property @{BypassPlatformSafetyChecksOnUserSchedule = $true}
} else {
   $AutomaticByPlatformSettings.BypassPlatformSafetyChecksOnUserSchedule = $true
}
 
Update-AzVM -VM $VirtualMachine -ResourceGroupName "<resourceGroup>"

Habilitar em VMs do Linux

$VirtualMachine = Get-AzVM -ResourceGroupName "<resourceGroup>" -Name "<vmName>"
Set-AzVMOperatingSystem -VM $VirtualMachine -Linux -PatchMode "AutomaticByPlatform"
$AutomaticByPlatformSettings = $VirtualMachine.OSProfile.LinuxConfiguration.PatchSettings.AutomaticByPlatformSettings
 
if ($null -eq $AutomaticByPlatformSettings) {
   $VirtualMachine.OSProfile.LinuxConfiguration.PatchSettings.AutomaticByPlatformSettings = New-Object -TypeName Microsoft.Azure.Management.Compute.Models.LinuxVMGuestPatchAutomaticByPlatformSettings -Property @{BypassPlatformSafetyChecksOnUserSchedule = $true}
} else {
   $AutomaticByPlatformSettings.BypassPlatformSafetyChecksOnUserSchedule = $true
}
 
Update-AzVM -VM $VirtualMachine -ResourceGroupName "<resourceGroup>"

Observação

Atualmente, você só pode habilitar o novo pré-requisito para agendar a aplicação de patches por meio do portal do Azure, da API REST e do PowerShell. Ele não pode ser habilitado por meio da CLI do Azure.

Habilitar a aplicação automática de patches de VM convidada em VMs do Azure

Para habilitar a aplicação automática de patches de VM convidada em suas VMs do Azure agora, siga estas etapas.

Portal do Azure

Pré-requisito

Modo de patch = Azure-orchestrated

Habilitar para novas VMs

Você pode selecionar a opção de orquestração de patches para novas VMs que seriam associadas aos agendamentos.

Para atualizar o modo de patch:

1. Entre no portal do Azure.
2. Vá para a Máquina virtual e selecione Criar para abrir a página Criar uma máquina virtual.
3. Na guia Básico, preencha todos os campos obrigatórios.
4. Na guia Gerenciamento, em Atualizações do sistema operacional convidado, para Opções de orquestração de patches, selecione Orquestrado pelo Azure.
5. Preencha as entradas nas guias Monitoramento, Avançado e Marcas.
6. Selecione Examinar + criar. Selecione Criar para criar uma nova VM com a opção apropriada de orquestração de patches.

Habilitar para VMs existentes

Para atualizar o modo de patch:

1. Entre no portal do Azure.
2. Vá para o Gerenciador de Atualizações e selecione as Configurações de atualização.
3. No painel Alterar configurações de atualização, selecione Adicionar máquina.
4. No painel Selecionar recursos, selecione suas VMs e, em seguida, selecione Adicionar.
5. No painel Alterar configurações de atualização, em Orquestração de patches, selecione Gerenciado pelo Azure – Implantação Segura e, em seguida, selecione Salvar.

REST API

Pré-requisitos

• Modo de patch = AutomaticByPlatform
• BypassPlatformSafetyChecksOnUserSchedule = FALSE

Habilitar em VMs do Windows

PATCH on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2023-03-01` 

{ 

  "location":"<location>", 
  "properties": { 
    "osProfile": { 
      "windowsConfiguration": { 
        "provisionVMAgent": true, 
        "enableAutomaticUpdates": true, 
        "patchSettings": { 
          "patchMode": "AutomaticByPlatform", 
          "automaticByPlatformSettings":{ 
            "bypassPlatformSafetyChecksOnUserSchedule":false 
          } 
        } 
      } 
    } 
  } 
} 

Habilitar em VMs do Linux

PATCH on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2023-03-01` 

{ 
  "location":"<location>", 
  "properties": { 
    "osProfile": { 
      "linuxConfiguration": { 
        "provisionVMAgent": true,  
        "patchSettings": { 
          "patchMode": "AutomaticByPlatform", 
          "automaticByPlatformSettings":{ 
            "bypassPlatformSafetyChecksOnUserSchedule":false 
          } 
        } 
      } 
    } 
  } 
} 

Cenários de usuário

Cenários	Orquestrado pelo Azure	BypassPlatformSafetyChecksOnUserSchedule	Agendamento associado	Comportamento esperado no Azure
Cenário 1	Sim	Verdadeiro	Sim	O patch agendado é executado conforme definido pelo usuário.
Cenário 2	Sim	Verdadeiro	Não	A aplicação automática de patches e os patches agendados não são executados.
Cenário 3	Sim	Falso	Sim	A aplicação automática de patches e os patches agendados não são executados. Você recebe um erro de que os pré-requisitos para o patch agendado não foram atendidos.
Cenário 4	Sim	Falso	Não	O patch é aplicado automaticamente à VM.
Cenário 5	Não	Verdadeiro	Sim	A aplicação automática de patches e os patches agendados não são executados. Você recebe um erro de que os pré-requisitos para o patch agendado não foram atendidos.
Cenário 6	Não	Verdadeiro	Não	A aplicação automática de patches e os patches agendados não são executados.
Cenário 7	Não	Falso	Sim	A aplicação automática de patches e os patches agendados não são executados. Você recebe um erro de que os pré-requisitos para o patch agendado não foram atendidos.
Cenário 8	Não	Falso	Não	A aplicação automática de patches e os patches agendados não são executados.

Próximas etapas

• Saiba mais sobre o Escopo dinâmico, uma funcionalidade avançada de aplicação agendada de patches.
• Siga as instruções sobre como gerenciar várias operações de Escopo dinâmico
• Saiba como instalar automaticamente as atualizações de acordo com o agendamento criado para uma única VM e em escala.
• Saiba mais sobre pré e pós-eventos para executar tarefas automaticamente antes e depois de uma configuração de manutenção agendada.