Управление обновлениями и исправлениями для виртуальных машин

Внимание

Эта статья ссылается на CentOS, дистрибутив Linux, который приближается к состоянию конца жизни (EOL). Пожалуйста, рассмотрите возможность использования и планирования соответствующим образом. Дополнительные сведения см. в руководстве centOS End Of Life.

Обновление программного обеспечения в рамках Управления обновлениями в составе службы автоматизации Azure предоставляет набор инструментов и ресурсов, помогающих решать сложные задачи отслеживания и применения обновлений программного обеспечения к виртуальным машинам в Azure и в гибридном облаке. Эффективный процесс управления обновлением программного обеспечения необходим для поддержания высокого уровня производительности, решения проблемы безопасности и защиты от угроз кибербезопасности. Однако постоянное развитие технологий и непрерывное возникновение новых угроз безопасности требует применения согласованного подхода к решению данных проблем, а также постоянного внимания к этой области.

Примечание.

Управление обновлениями поддерживает развертывание обновлений из Центра обновления Windows и их предварительное скачивание. Для поддержки этой возможности потребуется внести изменения в обновляемые системы. Узнайте, как настроить параметры Центра обновления Windows для решения "Управление обновлениями" в службе автоматизации Azure.

Прежде чем управлять обновлениями для виртуальных машин, включите на них Управление обновлениями одним из следующих способов.

• Включение Управления обновлениями в учетной записи службы автоматизации
• Включение Управления обновлениями на портале Azure
• Включение Управления обновлениями в последовательности runbook
• Включение Управления обновлениями на виртуальных машинах Azure

Ограничение области развертывания

В Управлении обновлениями используется конфигурация в пределах рабочей области, определяющая целевые компьютеры, на которых будут устанавливаться обновления. Узнайте, как ограничить область развертывания Управления обновлениями.

Оценка соответствия

Прежде чем развертывать обновления программного обеспечения на своих машинах, ознакомьтесь с результатами оценки соответствия обновлений для них. Состояние соответствия требованиям записывается для каждого обновления, а после завершения оценки эти записи единым пакетом пересылаются в журналы Azure Monitor.

На машине с Windows проверка соответствия по умолчанию выполняется каждые 12 часов, а также запускается в течение 15 минут после перезапуска агента Log Analytics для Windows. Затем данные оценки пересылаются в рабочую область и обновляются в таблице Обновления. До и после установки обновления выполняется проверка соответствия для выявления отсутствующих обновлений, но по ее результатам данные оценки в таблице не обновляются.

Во избежание проблем ознакомьтесь с нашими рекомендациями по настройке клиента Центра обновления Windows для использования Управления обновлениями.

На компьютере с Linux проверка на соответствие по умолчанию выполняется каждый час. После перезапуска агента Log Analytics для Linux проверка соответствия запускается в течение 15 минут.

Результаты проверки соответствия для каждой оцененной машины отображаются в Управлении обновлениями. После включения управления на новой машине обновленные данные появляются на панели мониторинга в течение 30 минут.

Инструкции по просмотру результатов проверки соответствия см. в статье Отслеживание обновлений программного обеспечения.

Развертывание обновлений

После просмотра результатов проверки соответствия мы переходим к следующему этапу — процессу развертывания обновлений программного обеспечения. Чтобы установить обновления, составьте план развертывания в рамках графика выпуска и периода обслуживания. Вы можете выбрать типы обновлений, которые будут включены в развертывание. Например, можно включить только критические обновления или обновления для системы безопасности и исключить накопительные пакеты обновления.

Инструкции по составлению графика развертывания обновлений см. в статье Развертывание обновлений программного обеспечения.

Исключение обновлений

В некоторых вариациях Linux, например в Red Hat Enterprise Linux, обновления на уровне ОС могут выполняться через пакеты. Это может привести к тому, что при запуске функции "Управление обновлениями" изменяется номер версии операционной системы. Так как функция "Управление обновлениями" использует те же методы для обновления пакетов, что и администратор на локальном компьютере Linux, такое поведение считается преднамеренным.

Чтобы избежать обновления версий ОС при развертывании функции "Управление обновлениями", примените функцию исключения.

В Red Hat Enterprise Linux укажите для исключения пакет с именем redhat-release-server.x86_64.

Классификации обновлений Linux

При развертывании обновлений на компьютер Linux вы можете выбрать категории обновлений. Это позволит отобрать те обновления, которые соответствуют указанным критериям. Этот фильтр применяется локально на компьютере при развертывании обновления.

Так как функция "Управление обновлениями" оптимизирует обновления в облаке, некоторые обновления могут быть помечены как влияющие на безопасность, а на локальном компьютере такие сведения отсутствуют. Когда вы применяете критические обновления для компьютера Linux, некоторые из них не будут на локальном компьютере помечены как влияющие на безопасность, а значит не будут применены. При этом функция "Управление обновлениями" сохранит для компьютера статус не соответствующего требованиям, так как есть дополнительные сведения о необходимых обновлениях.

Развертывание обновлений на основе их классификации не поддерживается в CentOS версий RTM. Чтобы правильно развернуть обновления для CentOS, выберите все классификации для установки всех обновлений. Если для SUSE вы выберете в качестве классификации ТОЛЬКО вариант Другие обновления, некоторые обновления системы безопасности все равно могут быть установлены, если они являются обязательными для работы диспетчера пакетов zypper или его зависимостей. Это поведение является ограничением zypper. В некоторых случаях вам придется повторно запускать развертывание обновлений, а затем проверять развертывание по журналу обновлений.

Просмотр состояния развертываний обновлений

После завершения развертывания обновлений определите его успешность для каждой машины или целевой группы. Инструкции по отслеживанию состояния развертывания см. в статье Просмотр состояния развертывания.

Следующие шаги

• Инструкции по созданию оповещений о результатах развертывания обновлений см. в статье Создание оповещений для Управления обновлениями.

• Вы можете использовать запросы к журналам Azure Monitor для анализа задач управления обновлениями (оценок, развертываний и т. п.). Он включает предварительно определенные запросы, которые помогут вам начать работу.