Planear a implementação da Gestão de Atualizações
Etapa 1: Conta de automação
A Gestão de Atualizações é uma funcionalidade de Automatização do Azure e, por conseguinte, exige uma Conta de automatização. Pode utilizar uma Conta de automatização existente na subscrição ou criar uma nova dedicada apenas à Gestão de Atualizações e sem outras funcionalidades de Automatização.
Etapa 2: Logs do Azure Monitor
A Gestão de Atualizações depende de uma área de trabalho do Log Analytics no Azure Monitor para armazenar dados de registo de estado de avaliação e atualização recolhidos a partir de computadores geridos. A integração com o Log Analytics também permite análises detalhadas e alertas no Azure Monitor. Pode utilizar uma área de trabalho existente na subscrição ou criar uma nova dedicada apenas à Gestão de Atualizações.
Se não estiver familiarizado com os Registos do Azure Monitor e a área de trabalho do Log Analytics, deverá rever o Guia de implementação da estrutura de uma área de trabalho do Log Analytics.
Etapa 3: Sistemas operacionais suportados
A Gestão de Atualizações suporta versões específicas dos sistemas operativos Windows Server e Linux. Antes de ativar a Gestão de Atualizações, confirme se os computadores de destino cumprem os requisitos do sistema operativo.
Etapa 4: Agente do Log Analytics
O agente do Log Analytics para Windows e Linux é necessário para suportar a Gestão de Atualizações. O agente é utilizado para a recolha de dados e para a Função de Trabalho de Runbook Híbrida do Sistema de automatização para suportar os runbooks de Gestão de Atualizações utilizados para gerir as implementações de avaliação e atualização no computador.
Nas VMs do Azure, se o agente do Log Analytics ainda não estiver instalado, quando ativa a Gestão de Atualizações para a VM, este será instalado automaticamente com a extensão da VM do Log Analytics para Windows ou Linux. O agente está configurado para comunicar com a área de trabalho do Log Analytics associada à Conta de automatização na qual a Gestão de Atualizações está ativada.
As VMs ou os servidores que não são do Azure precisam de ter o agente do Log Analytics para Windows ou Linux instalado e a comunicar com a área de trabalho associada. Recomendamos que instale o agente do Log Analytics para Windows ou Linux. Para tal, comece por ligar o computador aos servidores compatíveis com o Azure Arc e, em seguida, utilize o Azure Policy para atribuir a definição de política incorporada Implementar o agente do Log Analytics em computadores compatíveis com o Azure Arc para Linux ou Windows. Em alternativa, se planear monitorizar os computadores com informações de VM, utilize a iniciativa Ativar o Azure Monitor para VMs.
Se estiver a ativar um computador que seja atualmente gerido pelo Operations Manager, não será necessário um novo agente. As informações da área de trabalho são adicionadas à configuração dos agentes quando liga o grupo de gestão à área de trabalho do Log Analytics.
Não é suportado ter um computador registado para a Gestão de Atualizações em mais do que uma área de trabalho do Log Analytics (também denominado multihoming).
Passo 5 – Planeamento da rede
Para preparar a rede para suportar a Gestão de Atualizações, poderá ter de configurar alguns componentes de infraestrutura. Por exemplo, abra as portas de firewall para transmitir as comunicações utilizadas pela Gestão de Atualizações e pelo Azure Monitor.
Veja Configuração de Rede da Automatização do Azure para obter informações detalhadas sobre as portas, os URLs e outros detalhes de rede necessários para a Gestão de Atualizações, incluindo a Função de Trabalho de Runbook Híbrida. Para se ligar ao Serviço de automatização a partir das VMs do Azure de forma segura e privada, veja Utilizar o Azure Private Link.
Para computadores Windows, também tem de permitir o tráfego para os pontos finais exigidos pelo agente do Windows Update. Pode encontrar uma lista atualizada dos pontos finais exigidos em Problemas relacionados com HTTP/Proxy. Se tiver uma implementação local do Windows Server Update Services (WSUS),, também terá de permitir o tráfego para o servidor especificado na chave do WSUS.
Para computadores Red Hat Linux, veja IPs dos servidores de entrega de conteúdos RHUI para obter os pontos finais exigidos. Para outras distribuições do Linux, veja a documentação do fornecedor.
Se as políticas de segurança de TI não permitirem que os computadores na rede se liguem à Internet, poderá configurar um gateway do Log Analytics e, em seguida, configurar o computador para se ligar à Automatização do Azure e ao Azure Monitor através desse gateway.
Etapa 6: Permissões
Para criar e gerir implementações de atualizações, precisa de permissões específicas. Para saber mais sobre estas permissões, veja Acesso baseado em funções – Gestão de Atualizações.
Etapa 7: Windows Update Agent
A Gestão de Atualizações da Automatização do Azure depende do Agente do Windows Update para transferir e instalar atualizações do Windows. Existem definições de política de grupo específicas que são utilizadas pelo Agente do Windows Update (WUA) nos computadores para se ligar ao Windows Server Update Services (WSUS) ou ao Microsoft Update. Estas definições de política de grupo também são utilizadas para analisar com sucesso a compatibilidade das atualizações de software e para atualizar automaticamente as atualizações de software. Para rever as nossas recomendações, veja Configurar as definições do Windows Update para a Gestão de Atualizações.
Passo 8: Repositório Linux
As VMs criadas a partir de imagens do Red Hat Enterprise Linux (RHEL) a pedido disponíveis no Azure Marketplace estão registadas para aceder à Infraestrutura de Atualização do Red Hat (RHUI) implementada no Azure. Qualquer outra distribuição do Linux tem de ser atualizada a partir do repositório de ficheiros online da distribuição através de métodos suportados pela distribuição relevante.
Para classificar as atualizações na versão 6 do Red Hat Enterprise, tem de instalar o plug-in yum-security. No Red Hat Enterprise Linux 7, o plug-in já faz parte do próprio yum e não é necessário instalar nada. Para obter mais informações, veja o seguinte artigo de conhecimento da Red Hat.
Etapa 9: Planejar metas de implantação
A Gestão de Atualizações permite direcionar as atualizações para um grupo dinâmico que representa os computadores do Azure ou não Azure, para que possa garantir que os computadores específicos obtêm sempre as atualizações certas nos momentos mais convenientes. Um grupo dinâmico é resolvido no momento da implementação e baseia-se nos seguintes critérios:
- Subscrição
- Grupos de recursos
- Localizações
- Etiquetas
Para máquinas que não sejam do Azure, um grupo dinâmico usa pesquisas salvas, também chamadas de grupos de computadores. As implantações de atualização com escopo para um grupo de máquinas só são visíveis a partir da conta de Automação na opção Agendas de Implantação do Gerenciamento de Atualizações, não de uma VM específica do Azure.
Em alternativa, as atualizações só podem ser geridas para uma VM do Azure selecionada. As implantações de atualização com escopo para a máquina específica são visíveis da máquina e da conta de automação na opção Agendas de implantação do Update Management.
Próximos passos
Habilite o Gerenciamento de Atualizações e selecione máquinas a serem gerenciadas usando um dos seguintes métodos:
Usando um modelo do Azure Resource Manager para implantar o Gerenciamento de Atualizações em uma conta de Automação nova ou existente e no espaço de trabalho do Azure Monitor Log Analytics em sua assinatura. Ele não configura o escopo de máquinas que devem ser gerenciadas, isso é executado como uma etapa separada após o uso do modelo.
A partir da sua conta de Automação para uma ou mais máquinas Azure e não Azure, incluindo servidores habilitados para Azure Arc.
Usando o runbook Enable-AutomationSolutionpara automatizar a integração de VMs do Azure.
Para uma VM do Azure selecionada na página Máquinas virtuais no portal do Azure. Este cenário está disponível para VMs Linux e Windows.
Para várias VMs do Azure, selecione-as na página Máquinas virtuais no portal do Azure.