Развертывание обновлений и результатов проверки

Внимание

Эта статья ссылается на CentOS, дистрибутив Linux, который приближается к состоянию конца жизни (EOL). Пожалуйста, рассмотрите возможность использования и планирования соответствующим образом. Дополнительные сведения см. в руководстве centOS End Of Life.

В этой статье описывается, как запланировать развертывание обновлений и ознакомится с этим процессом после завершения развертывания. Развертывание обновлений можно настроить на выбранной виртуальной машине Azure, на выбранном сервере с поддержкой Azure Arc или из учетной записи службы автоматизации на всех настроенных компьютерах и серверах.

В каждом из этих сценариев создаются целевые объекты предназначенные для выбранного компьютера или сервера. В случае создания развертывания из учетной записи службы автоматизации можно выбрать один или несколько компьютеров. При планировании развертывания обновлений с виртуальной машины Azure или сервера с поддержкой Azure Arc шаги совпадают с развертыванием из учетной записи службы автоматизации со следующими исключениями:

• Операционная система автоматически выбирается на основе ОС компьютера.
• Целевой компьютер для обновления настроен автоматически.

Внимание

Создавая развертывание обновлений, вы тем самым принимаете условия лицензионного соглашения на использование программного обеспечения (EULA), предоставляемые компанией для обновления операционной системы.

Войдите на портал Azure

Войдите на портал Azure

Планирование развертывания обновлений

При планировании развертывания обновлений создается ресурс расписания, связанный с модулем runbook Patch-MicrosoftOMSComputers, который обрабатывает развертывание обновления на целевых компьютерах. Для установки обновлений задайте расписание развертывания, соответствующее вашему графику выпуска и периоду обслуживания. Вы можете выбрать типы обновлений, которые будут включены в развертывание. Например, можно включить только критические обновления или обновления для системы безопасности и исключить накопительные пакеты обновления.

Примечание.

Если вы удалите ресурс расписания с помощью портала Azure или PowerShell после создания развертывания, это приведет к прерыванию запланированного развертывания обновлений и ошибке при попытке повторной настройки ресурса расписания на портале. Ресурс расписания можно удалить только удалив соответствующее расписание развертывания.

Чтобы запланировать новое развертывание обновлений, выполните следующие действия. В зависимости от выбранного ресурса (то есть учетной записи службы автоматизации, сервера с поддержкой Azure Arc, виртуальной машины Azure), приведенные ниже действия применяются ко всем с незначительными различиями при настройке расписания развертывания.

1. Действия по планированию развертывания, которые следует выполнить на портале:

   • для одного или нескольких компьютеров. Перейдите на вкладку Учетные записи службы автоматизации и выберите из списка учетную запись службы автоматизации с включенным Управлением обновлениями;
   • для виртуальной машины Azure. Перейдите на вкладку Виртуальные машины и выберите свою виртуальную машину из списка;
   • Для сервера с поддержкой Azure Arc перейдите к серверам — Azure Arc и выберите сервер из списка.

2. В зависимости от выбранного ресурса для перехода к Управлению обновлениями потребуется выполнить следующие действия:

   • если вы выбрали учетную запись службы автоматизации, в области Управление обновлениями выберите раздел Управление обновлениями. Нажмите Запланировать развертывание обновлений;
   • если вы выбрали виртуальную машину Azure, в области Обновления гостевой и узловой ОС выберите раздел Перейти к Управлению обновлениями;
   • Если вы выбрали сервер с поддержкой Azure Arc, перейдите в раздел "Управление обновлениями" и выберите " Запланировать развертывание обновления".

3. В области Новое развертывание обновления введите уникальное имя развертывания в поле Имя.

4. Выберите операционную систему для развертывания обновлений.

   Примечание.

   Этот параметр недоступен, если вы выбрали виртуальную машину Azure или сервер с поддержкой Azure Arc. Операционная система определяется автоматически.

5. В области Группы для обновления определите запрос, в котором объединены подписка, группа ресурсов, расположение и теги, для создания динамической группы виртуальных машин Azure, предназначенной для включения в развертывание. Узнайте, как использовать динамические группы с Управлением обновлениями.

   Примечание.

   Этот параметр недоступен, если вы выбрали виртуальную машину Azure или сервер с поддержкой Azure Arc. Компьютер автоматически предназначается для запланированного развертывания.

   Внимание

   При создании динамической группы виртуальных машин Azure служба Управления обновлениями поддерживает не более 500 запросов, которые объединяют подписки или группы ресурсов в области действия группы.

6. В области Обновляемые компьютеры выберите сохраненный поисковый запрос, импортированную группу либо нажмите в раскрывающемся меню пункт Компьютеры и укажите нужные компьютеры. Так вы сможете проверить готовность агента Log Analytics для каждого компьютера. Дополнительные сведения о различных способах создания групп компьютеров в журналах Azure Monitor см. в статье Группы компьютеров в запросах к журналам Azure Monitor. В запланированное развертывание обновлений можно включить не более 1000 компьютеров.

   Примечание.

   Этот параметр недоступен, если вы выбрали виртуальную машину Azure или сервер с поддержкой Azure Arc. Компьютер автоматически предназначается для запланированного развертывания.

7. В области Классификации обновлений укажите классификации обновлений продуктов. Для каждого продукта отмените выбор всех поддерживаемых классификаций обновлений, кроме тех, которые нужно включить в развертывание обновлений.

   

   Если развертывание предназначено для применения только выбранного набора обновлений, необходимо отменить выбор всех предварительно выбранных классификаций обновлений при настройке параметра Включение или исключение обновлений, как это описано в следующем шаге. Это гарантирует, что на целевых компьютерах будут установлены только те обновления, которые были указаны для включения в это развертывание.

   Примечание.

   Развертывание обновлений на основе их классификации не поддерживается в CentOS версий RTM. Чтобы правильно развернуть обновления для CentOS, выберите все классификации для установки всех обновлений. В настоящее время отсутствуют поддерживаемые методы настройки доступности данных с собственной классификацией в CentOS. См. следующие сведения об обновлении классификаций.

   Примечание.

   Развертывание обновлений с помощью классификации обновлений может работать неправильно для дистрибутивов Linux, поддерживаемых Управлением обновлениями. Это вызвано проблемой со схемой именования OVAL-файла и не позволяет Управлению обновлениями корректно сопоставлять классификации на основе правил фильтрации. Так как в оценках обновлений системы безопасности используется другая логика, результаты могут отличаться от обновлений безопасности, примененных во время развертывания. Если для классификации заданы параметры Критическая и Безопасность, развертывание обновления будет выполнено правильно. Такое поведение влияет только на классификацию обновлений в ходе оценки.

   Управление обновлениями для компьютеров Windows Server не затрагивается. Классификация обновлений и развертывания не изменяются.

8. Используйте область Включение или исключение обновлений, чтобы добавить или исключить выбранные обновления из развертывания. На странице Включение или исключение введите идентификационные номера статей базы знаний, которые будут включены или исключены для обновлений Windows. Укажите имя пакета для поддерживаемых дистрибутивов Linux.

   

   Внимание

   Помните: исключения переопределяют включения. Например, если вы определите правило исключения *, решение "Управление обновлениями" не установит ни одного исправления и пакета, так как они все будут исключены. Исключенные исправления будут отображаться как отсутствующие на компьютере. На компьютерах под управлением Linux: если вы включите пакет с зависимым пакетом, который был исключен, решение "Управление обновлениями" не установит основной пакет.

   Примечание.

   Замененные обновления нельзя включать в развертывание.

   Ниже приведено несколько примеров сценариев, которые помогут вам понять, как одновременно использовать включение/исключение и классификацию обновлений в развертываниях обновлений:

   • Если вы хотите установить только определенный список обновлений, не следует выбирать какие-либо классификации обновлений и предоставлять список обновлений, которые будут применяться, с помощью параметра Включить.

   • Если вы хотите установить только обновления безопасности и критически важных обновлений, а также одно или несколько необязательных обновлений, выберите "Безопасность " и "Критически важные " в разделе "Классификации обновлений". Затем для параметра "Включить" укажите идентификаторы КБ для необязательных обновлений.

   • Если вы хотите установить только обновления безопасности и критически важных обновлений, но пропустите одно или несколько обновлений для Python, чтобы избежать нарушения устаревшего приложения, следует выбрать "Безопасность " и "Критически важный " в разделе "Классификации обновлений". Затем для параметра "Исключить " добавьте пропустить пакеты Python.

9. Выберите Параметры расписания. Время начала по умолчанию — на 30 минут позднее текущего времени. В будущем можно изменить время начала на любое другое начиная с 10 минут.

10. В поле Периодичность, укажите сколько раз следует выполнять развертывание — единожды или регулярно. Затем нажмите ОК.

11. В области Сценарии предварительного и последующего выполнения выберите сценарии, которые будут выполняться до и после развертывания. Узнайте, как управлять сценариями предварительного и последующего выполнения.

12. В поле Период обслуживания (минуты) укажите, сколько времени может длиться установка обновлений. При указании периода обслуживания учитывайте следующие особенности.

    • Период обслуживания определяет количество устанавливаемых обновлений.
    • Если далее в ходе обновления устанавливается пакет обновления, необходимо, чтобы для периода обслуживания оставалось 20 минут. Иначе обновление будет пропущено.
    • Если далее в процессе обновления устанавливается любое другое обновление, отличное от пакета обновления, необходимо, чтобы для периода обслуживания оставалось 15 минут. Иначе обновление будет пропущено.
    • Если далее в процессе обновления выполняется перезагрузка, необходимо, чтобы в периоде обслуживания оставалось 10 минут. Иначе перезагрузка будет пропущена.
    • Решение "Управление обновлениями" не останавливает установку новых обновлений, если приближается окончание периода обслуживания.
    • Решение "Управление обновлениями" не прекращает выполняющиеся обновления, если время периода обслуживания истекло. Любые попытки установки оставшихся обновлений не будут выполняться. Если это происходит постоянно, следует пересмотреть длительность периода обслуживания.
    • Если период обслуживания в Windows превышен, это часто обусловлено тем, что установка пакета обновления занимает много времени.

    Примечание.

    Чтобы обновления применялись в Ubuntu только в период обслуживания, отключите в пакете Unattended-Upgrade автоматическое обновление. Инструкции по настройке пакета см. в разделе Автоматические обновления руководства по Ubuntu Server.

13. В поле Параметры перезагрузки укажите, нужно ли перезагружать компьютеры при развертывании обновлений. Имеются следующие варианты:

    • Reboot if necessary (Перезагружать при необходимости) (по умолчанию).
    • Всегда перезагружать;
    • Никогда не перезагружать;
    • Только перезагрузка (без установки обновлений)

    Примечание.

    Разделы реестра, перечисленные в разделе Registry keys used to manage restart (Разделы реестра, используемые для управления перезапуском), могут вызвать событие перезагрузки, даже если для параметров перезагрузки установлено значение Никогда не перезагружать.

14. Настроив расписание развертывания, выберите Создать.

    

    Примечание.

    Когда вы завершите настройку расписания развертывания для выбранного сервера с поддержкой Azure Arc, выберите "Проверить и создать".

15. Вы вернетесь к панели мониторинга состояния. Чтобы посмотреть созданное расписание развертывания, выберите Расписания развертываний. В списке должно отображатся не более 500 расписаний. Если у вас есть более 500 расписаний и вы хотите просмотреть полный список, см. метод REST API в статье Конфигурации обновления программного обеспечения. Список. Укажите API-интерфейс версии 2019-06-01 или более поздней

Программное планирование развертывания обновлений

Чтобы узнать, как создать развертывание обновлений с помощью REST API, ознакомьтесь со статьей Software Update Configurations — Create (Конфигурации обновления программного обеспечения. Создание).

Развертывание еженедельного обновления можно создать с помощью примера модуля runbook. Дополнительные сведения об этом модуле runbook см. в статье Create a weekly update deployment for one or more VMs in a resource group (Создание развертывания еженедельного обновления для одной или нескольких виртуальных машин в группе ресурсов).

Проверка состояния развертывания

После запуска запланированного развертывания можно контролировать его состояние на вкладке Журнал в разделе Управление обновлениями. Во время выполнения развертывания отображается состояние Выполняется. Когда развертывание успешно завершится, состояние изменится на Выполнено. В случае сбоя одного или нескольких обновлений в развертывании устанавливается состояние Сбой.

Просмотр результатов выполненного развертывания обновлений

Когда развертывание завершится, выберите его и просмотрите результаты.

В разделе Результаты обновления содержится сводная информация об общем количестве обновлений и результатах их развертывания на целевых виртуальных машинах. В таблице справа представлена подробная информация о каждом обновлении и результатах его установки.

Возможные значения:

• Попытка не предпринималась. Обновление не установлено из-за недостатка времени (т. е. слишком короткого периода обслуживания).
• Не выбрано. Обновление не включено в развертывание.
• Выполнено. Обновление успешно установлено.
• Сбой. Обновление не удалось установить.

Чтобы просмотреть все записи журнала, созданные при этом развертывании, выберите Все журналы.

Чтобы просмотреть поток заданий для модуля runbook, который управляет развертыванием обновлений на целевых виртуальных машинах, выберите Выходные данные.

Чтобы просмотреть подробные сведения об ошибках развертывания, выберите Ошибки.

Развертывание обновлений в клиентах Azure

Если у вас есть в другом клиенте Azure компьютеры для обновления, которые подключены к функции "Управление обновлениями", для включения их в график обновлений вы можете применить следующее обходное решение. Выполните командлет New-AzAutomationSchedule с параметром ForUpdateConfiguration, чтобы создать расписание. Можете также применить командлет New-AzAutomationSoftwareUpdateConfiguration, передав ему параметр NonAzureComputer со списком компьютеров в другом клиенте. В приведенном ниже примере показано, как это сделать.

$nonAzurecomputers = @("server-01", "server-02")

$startTime = ([DateTime]::Now).AddMinutes(10)

$sched = New-AzAutomationSchedule `
    -ResourceGroupName mygroup `
    -AutomationAccountName myaccount `
    -Name myupdateconfig `
    -Description test-OneTime `
    -OneTime `
    -StartTime $startTime `
    -ForUpdateConfiguration

New-AzAutomationSoftwareUpdateConfiguration  `
    -ResourceGroupName $rg `
    -AutomationAccountName <automationAccountName> `
    -Schedule $sched `
    -Windows `
    -NonAzureComputer $nonAzurecomputers `
    -Duration (New-TimeSpan -Hours 2) `
    -IncludedUpdateClassification Security,UpdateRollup `
    -ExcludedKbNumber KB01,KB02 `
    -IncludedKbNumber KB100

Следующие шаги

• Инструкции по созданию оповещений о результатах развертывания обновлений см. в статье Создание оповещений для Управления обновлениями.
• Дополнительные сведения см. в статье Устранение неполадок с Управлением обновлениями.