Планирование повторяющихся обновлений для компьютеров с помощью портал Azure и Политика Azure

Область применения: ✔️ виртуальные машины ✔️ ✔️ Linux под управлением Windows на локальных серверах с ✔️ поддержкой Azure Arc.

Внимание

• Для простого запланированного исправления рекомендуется обновить оркестрацию исправлений для всех виртуальных машин Azure до расписаний, управляемыхклиентом, к 30 июня 2023 года. Если к 30 июня 2023 г. не удалось обновить оркестрацию исправлений, вы можете столкнуться с нарушением непрерывности бизнес-процессов, так как расписания не будут исправлять виртуальные машины. Подробнее.
• Планирование повторяющихся обновлений через Политика Azure недоступно в Azure для государственных организаций США и Azure Для Китая, управляемых 21 Vianet.

Диспетчер обновлений Azure можно использовать для создания и сохранения расписаний повторяющегося развертывания. Вы можете создать расписание на ежедневной, еженедельной или почасовой периодичностью. Вы можете указать компьютеры, которые необходимо обновить в рамках расписания и установленные обновления.

Затем это расписание автоматически устанавливает обновления в соответствии с созданным расписанием для одной виртуальной машины и в масштабе.

Диспетчер обновлений использует расписание управления обслуживанием вместо создания собственных расписаний. Управление обслуживанием позволяет клиентам управлять обновлениями платформы. Дополнительные сведения см. в документации по управлению обслуживанием.

Предварительные условия для планового обновления

1. См . предварительные требования для диспетчера обновлений.

2. Оркестрация исправлений компьютеров Azure должна иметь значение "Управляемые клиентом расписания". Дополнительные сведения см. в разделе Включение исправлений по расписанию на существующих виртуальных машинах. Для компьютеров с поддержкой Azure Arc это не является обязательным требованием.

   Примечание.

   Если вы устанавливаете режим исправлений для Azure с оркестрированным (AutomaticByPlatform), но не включаете флаг BypassPlatform Сейф tyChecksOnUserSchedule и не присоединяете конфигурацию обслуживания к компьютеру Azure, она рассматривается как компьютер с поддержкой автоматического исправления гостевой системы. Платформа Azure автоматически устанавливает обновления в соответствии с собственным расписанием. Подробнее.

Планирование исправлений в группе доступности

Все виртуальные машины в общем наборе доступности не обновляются одновременно.

Виртуальные машины в общем наборе доступности обновляются в пределах границ домена обновления. Виртуальные машины в нескольких доменах обновления не обновляются одновременно.

В сценариях, когда компьютеры из одной группы доступности исправляются одновременно в разных расписаниях, скорее всего, они не могут получить исправление или потенциально сбой в случае превышения периода обслуживания. Чтобы избежать этого, рекомендуется увеличить период обслуживания или разделить компьютеры, принадлежащие одному набору доступности по нескольким расписаниям в разное время.

Настройка параметров перезагрузки

Разделы реестра, перечисленные в разделе "Настройка автоматического Обновления", изменяя разделы реестра и реестра, используемые для управления перезапуском, могут привести к перезагрузке компьютеров. Перезагрузка может произойти, даже если в параметрах расписания указать никогда не перезагружается. Укажите для этих ключей реестра значения, которые лучше подходят в вашей среде.

Лимиты служб

Мы рекомендуем использовать следующие ограничения для индикаторов.

Индикатор	Лимит
Количество расписаний на подписку в каждом регионе	250
Общее количество сопоставлений ресурсов с расписанием	3,000
Связи ресурсов для каждого динамического область	1,000
Число динамических область для каждой группы ресурсов или подписки в каждом регионе	250
Число динамических область на расписание	30
Общее количество подписок, подключенных ко всем динамическим область на расписание	30

Дополнительные сведения см. в ограничениях службы для dynamic область.

Планирование повторяющихся обновлений на одной виртуальной машине

Вы можете запланировать обновления из области "Обзор" или "Компьютеры" на странице диспетчера обновлений или на выбранной виртуальной машине.

Чтобы запланировать повторяющиеся обновления на одной виртуальной машине, выполните следующие действия.

1. Войдите на портал Azure.

2. На странице обзора диспетчера | обновлений Azure выберите подписку и выберите пункт "Расписание обновлений".

3. На странице "Создание конфигурации обслуживания" можно создать расписание для одной виртуальной машины.

   В настоящее время поддерживаются виртуальные машины и конфигурация обслуживания в одной подписке.

4. На странице "Основы" выберите "Подписка", "Группа ресурсов" и все параметры в сведениях об экземпляре.

   • Выберите область обслуживания в качестве гостя (виртуальная машина Azure, виртуальные машины с поддержкой Azure Arc или серверы).

   • Выберите Добавить расписание. В расписании добавления и изменения укажите сведения о расписании, например:

     • Начинается
     • Период обслуживания (в часах). Верхний период обслуживания составляет 3 часа 55 минут.
     • Повторы (ежемесячно, ежедневно или еженедельно)
     • Добавление даты окончания
     • Сводка по расписанию

   Почасовой параметр не поддерживается на портале, но его можно использовать через API.

   

   Для повторов ежемесячно существует два варианта:

   • Повторите дату календаря (при необходимости выполните дату последнего месяца).
   • Повторите на nth (первый, второй, и т. д.) x день (например, понедельник, вторник) месяца. Вы также можете указать смещение из набора дней. Это может быть +6/-6. Например, если вы хотите исправить в первую субботу после исправления во вторник, установите повторение во второй вторник месяца со смещением +4 дня. При необходимости можно также указать дату окончания, когда требуется срок действия расписания.

5. На вкладке "Компьютеры" выберите компьютер и нажмите кнопку "Далее".

   Диспетчер обновлений не поддерживает обновления драйверов.

6. На вкладке "Теги" назначьте теги конфигурациям обслуживания.

7. На вкладке "Проверка и создание " проверьте параметры развертывания обновления и нажмите кнопку "Создать".

На панели "Компьютеры"

1. Войдите на портал Azure.

2. На странице "Компьютеры Диспетчера обновлений Azure" | выберите подписку, выберите компьютер и выберите пункт "Расписание обновлений".

3. В разделе "Создание конфигурации обслуживания" можно создать расписание для одной виртуальной машины и назначить компьютер и теги. Выполните процедуру из шага 3, указанного в областиобзора расписания повторяющихся обновлений на одной виртуальной машине , чтобы создать конфигурацию обслуживания и назначить расписание.

Из выбранной виртуальной машины

1. Выберите виртуальную машину, чтобы открыть виртуальные машины | страница Обновления.
2. В разделе "Операции" выберите Обновления.
3. На вкладке Обновления выберите "Перейти к Обновления" с помощью Центра обновления.
4. В Обновления предварительной версии выберите "Запланировать обновления". В разделе "Создание конфигурации обслуживания" можно создать расписание для одной виртуальной машины. Выполните процедуру из шага 3, указанного в областиобзора расписания повторяющихся обновлений на одной виртуальной машине , чтобы создать конфигурацию обслуживания и назначить расписание.

Уведомление подтверждает, что развертывание было создано.

Планирование повторяющихся обновлений в масштабе

Чтобы запланировать повторяющиеся обновления в масштабе, выполните следующие действия.

Вы можете запланировать обновления на панели "Обзор" или "Компьютеры".

На панели обзора

1. Войдите на портал Azure.

2. На странице обзора диспетчера | обновлений Azure выберите подписку и выберите пункт "Расписание обновлений".

3. На странице "Создание конфигурации обслуживания" можно создать расписание для нескольких компьютеров.

   В настоящее время поддерживаются виртуальные машины и конфигурация обслуживания в одной подписке.

4. На вкладке "Основные сведения" выберите "Подписка", "Группа ресурсов" и "Все параметры" в сведениях об экземпляре.

   • Выберите Добавить расписание. В расписании добавления и изменения укажите сведения о расписании, например:

     • Начинается
     • Период обслуживания (в часах)
     • Повторы (ежемесячно, ежедневно или еженедельно)
     • Добавление даты окончания
     • Сводка по расписанию

   Почасовой параметр не поддерживается на портале, но его можно использовать через API.

5. На вкладке "Компьютеры" проверьте, указаны ли выбранные компьютеры. Вы можете добавить или удалить компьютеры из списка. Выберите Далее.

6. На вкладке Обновления укажите обновления для включения в развертывание, например классификации обновлений или КБ идентификатор/пакеты, которые должны быть установлены при запуске расписания.

   Диспетчер обновлений не поддерживает обновления драйверов.

7. На вкладке "Теги" назначьте теги конфигурациям обслуживания.

8. На вкладке "Проверка и создание " проверьте параметры развертывания обновления и нажмите кнопку "Создать".

На панели "Компьютеры"

1. Войдите на портал Azure.

2. На странице "Компьютеры Диспетчера обновлений Azure" | выберите подписку, выберите компьютеры и выберите пункт "Расписание обновлений".

На странице "Создание конфигурации обслуживания" можно создать расписание для одной виртуальной машины. Выполните процедуру из шага 3, указанного в областиобзора расписания повторяющихся обновлений на одной виртуальной машине , чтобы создать конфигурацию обслуживания и назначить расписание.

Уведомление подтверждает, что развертывание было создано.

Подключение конфигурации обслуживания

Конфигурацию обслуживания можно подключить к нескольким компьютерам. Его можно подключить к компьютерам во время создания конфигурации обслуживания или даже после создания.

1. На странице диспетчера обновлений Azure выберите компьютеры и выберите подписку.

2. Выберите компьютер и на панели Обновления выберите запланированные обновления, чтобы создать конфигурацию обслуживания или подключить существующую конфигурацию обслуживания к запланированным повторяющимся обновлениям.

3. На вкладке "Планирование " выберите "Подключить конфигурацию обслуживания".

4. Выберите конфигурацию обслуживания, которую требуется подключить, и нажмите кнопку "Подключить".

5. На панели Обновления выберите конфигурацию обслуживания "Планирование>подключения".

6. На странице "Подключение существующей конфигурации обслуживания" выберите конфигурацию обслуживания, которую требуется подключить, и нажмите кнопку "Подключить".

   

Планирование повторяющихся обновлений из конфигурации обслуживания

Вы можете просматривать все конфигурации обслуживания и управлять ими из одного места.

1. Конфигурации обслуживания поиска в портал Azure. В нем отображается список всех конфигураций обслуживания, а также область обслуживания, группы ресурсов, расположения и подписки, к которой она принадлежит.

2. Конфигурации обслуживания можно фильтровать с помощью фильтров в верхней части. Конфигурации обслуживания, связанные с обновлениями гостевой ОС, — это те, которые имеют область обслуживания в качестве InGuestPatch.

Можно создать новую конфигурацию обслуживания обновления гостевой ОС или изменить существующую конфигурацию.

Создание конфигурации обслуживания

1. Перейдите на компьютеры и выберите компьютеры из списка.

2. На панели Обновления выберите запланированные обновления.

3. На панели "Создание конфигурации обслуживания" выполните шаг 3 в этой процедуре, чтобы создать конфигурацию обслуживания.

4. На вкладке "Основные сведения" выберите область обслуживания в качестве гостя (виртуальные машины Azure, виртуальные машины с поддержкой Arc и серверы).

   

Добавление или удаление компьютеров из конфигурации обслуживания

1. Перейдите на компьютеры и выберите компьютеры из списка.

2. На странице Обновления выберите однократные обновления.

3. На панели "Установка однократных обновлений" выберите "Компьютеры".>

   

Изменение условий выбора обновления

1. На панели "Установка однократных обновлений" выберите ресурсы и компьютеры для установки обновлений.

2. На вкладке "Компьютеры" выберите "Добавить компьютер ", чтобы добавить компьютеры, которые ранее не были выбраны, и нажмите кнопку "Добавить".

3. На вкладке Обновления укажите обновления для включения в развертывание.

4. Выберите "Включить КБ идентификатор/пакет" и "Исключить КБ идентификатор/пакет" соответственно, чтобы выбрать такие обновления, как критически важные, безопасность и обновления компонентов.

   

Подключение к расписанию с помощью Политика Azure

Диспетчер обновлений позволяет нацеливать группу виртуальных машин Azure или виртуальных машин, отличных от Azure, для развертывания обновлений с помощью Политика Azure. Группирование с помощью политики позволяет изменять развертывание для обновления компьютеров. Вы можете использовать подписку, группу ресурсов, теги или регионы для определения область. Эту функцию можно использовать для встроенных политик, которые можно настроить в соответствии с вашим вариантом использования.

Примечание.

Эта политика также гарантирует, что свойство оркестрации исправлений для компьютеров Azure имеет значение "Управляемые клиентом расписания", так как это обязательное условие для запланированного исправления.

Назначение политики

Политика Azure позволяет назначать стандарты и оценивать соответствие в масштабе. Дополнительные сведения см. в статье Что такое служба "Политика Azure"?. Чтобы назначить политику область, выполните следующие действия.

1. Войдите в портал Azure и выберите "Политика".

2. В разделе "Назначения" выберите " Назначить политику".

3. На странице "Назначение политики" на вкладке "Основные сведения":

   • В области выберите подписку и группу ресурсов и нажмите кнопку "Выбрать".

   • Выберите определение политики, чтобы просмотреть список политик.

   • На панели "Доступные определения" выберите "Встроенный" для типа. В поле "Поиск" введите расписание повторяющихся обновлений с помощью диспетчера обновлений Azure и нажмите кнопку "Выбрать".

     

   • Убедитесь, что для применения политики задано значение "Включено", а затем нажмите кнопку "Далее".

4. На вкладке "Параметры" по умолчанию отображается только идентификатор ARM конфигурации обслуживания.

   Если вы не указываете другие параметры, все компьютеры в подписке и группе ресурсов, выбранной на вкладке "Основные сведения", рассматриваются в разделе область. Если вы хотите область далее на основе группы ресурсов, расположения, ОС, тегов и т. д., снимите флажок "Только показать параметры, необходимые для ввода или проверки" для просмотра всех параметров:

   • Идентификатор ARM конфигурации обслуживания: обязательный параметр для предоставления. Он обозначает идентификатор расписания Azure Resource Manager (ARM), который требуется назначить компьютерам.
   • Группы ресурсов. При необходимости можно указать группу ресурсов, если вы хотите область ее до группы ресурсов. По умолчанию выбираются все группы ресурсов в подписке.
   • Типы операционной системы: вы можете выбрать Windows или Linux. По умолчанию оба варианта предварительно выбраны.
   • Расположения компьютеров. При необходимости можно указать регионы, которые нужно выбрать. По умолчанию выбраны все.
   • Теги на компьютерах: можно использовать теги для область вниз. По умолчанию выбраны все.
   • Оператор тегов. Если выбрать несколько тегов, можно указать, требуется ли область быть компьютерами, имеющими все теги или компьютеры с любым из этих тегов.

   

5. На вкладке "Исправление" в типе управляемого удостоверения управляемого удостоверения> выберите назначаемое системой управляемое удостоверение. Разрешения уже заданы в качестве участника в соответствии с определением политики.

   Если выбрать исправление, политика действует на всех существующих компьютерах в область или иначе она назначена любому новому компьютеру, добавленному в область.

6. На вкладке "Просмотр и создание" проверьте выбранные элементы, а затем выберите "Создать ", чтобы определить несоответствующие ресурсы, чтобы понять состояние соответствия вашей среды.

Просмотреть статус соответствия

Чтобы просмотреть текущее состояние соответствия существующих ресурсов, выполните следующие действия.

1. В разделе "Назначения политик" выберите область , чтобы выбрать подписку и группу ресурсов.

2. В типе определения выберите политику. В списке выберите имя назначения.

3. Выберите "Просмотр соответствия". Соответствие ресурсам содержит список компьютеров и причин сбоя.

   

Проверка запланированного выполнения исправлений

Вы можете проверка состояние развертывания и журнал конфигурации обслуживания, запущенные на портале Update Manager. Дополнительные сведения см. в разделе "Обновление журнала развертывания по идентификатору запуска обслуживания".

Временная шкала периода обслуживания

В окне обслуживания определяется количество обновлений, которые можно установить на виртуальных машинах и серверах с поддержкой Arc. Мы рекомендуем ознакомиться со следующей таблицей, чтобы понять, временная шкала периода обслуживания при установке обновления:

Например, если период обслуживания составляет 3 часа и начинается с 3:00 вечера, ниже приведены сведения о том, как устанавливаются обновления:

Windows

Тип обновления	Сведения
Пакет обновления	Если вы устанавливаете пакет обновления, вам потребуется 20 минут, оставшихся в окне обслуживания, чтобы обновления были успешно установлены, в противном случае обновление пропускается. В этом примере необходимо завершить установку пакета обновления до 5:40 вечера.
Другие обновления	Если вы устанавливаете любое другое обновление, кроме пакета обновления, вам нужно оставить 15 минут в окне обслуживания, в противном случае он пропускается. В этом примере необходимо завершить установку других обновлений до 5:45 вечера.
Перезагрузка	Если компьютеру требуется перезагрузка, в течение 10 минут осталось в окне обслуживания, в противном случае перезагрузка пропускается. В этом примере необходимо запустить перезагрузку до 5:50 вечера. Примечание. Для виртуальных машин Azure и серверов с поддержкой Arc Диспетчер обновлений Azure ожидает не более 15 минут для виртуальных машин Azure и 25 минут после перезагрузки, чтобы завершить операцию перезагрузки, прежде чем пометить ее как неудачную.

Linux

Тип обновления	Сведения
Перезагрузка	Если виртуальные машины нуждаются в перезагрузке, в течение 15 минут осталось в окне обслуживания, в противном случае перезагрузка пропускается. Примечание. Это применимо только для виртуальных машин Azure, а не для серверов с поддержкой Arc. В этом примере необходимо запустить перезагрузку до 5:45 вечера.
Обновления установлен в пакетах	Если размер пакета равен X, минимальное время, необходимое для обновления пакетов, вычисляется следующим образом : если X меньше или равно 3, минимальное требуемое время = 5 x X минут. — Если X больше 3, минимальное требуемое время = 15+2 x (X-3) минут. Примечание. Только служба Azure Update Manager управляет размером пакета (X) обновлений.

Примечание.

• Диспетчер обновлений Azure не останавливает установку новых обновлений, если он приближается к концу периода обслуживания.
• Служба "Центр обновления Azure" не завершает обновления, выполняемые при превышении периода обслуживания, и только оставшиеся обновления, которые должны быть установлены, не выполняются. Рекомендуется повторно оценить продолжительность периода обслуживания, чтобы убедиться, что установлены все обновления.
• Если период обслуживания в Windows превышен, это часто обусловлено тем, что установка пакета обновления занимает много времени.

Следующие шаги

• Узнайте больше о динамической область, расширенной возможности планирования исправлений.
• Узнайте больше о том , как настроить исправление расписания на виртуальных машинах Azure для обеспечения непрерывности бизнес-процессов.
• Следуйте инструкциям по управлению различными операциями Dynamic область
• Сведения о событиях предварительной и последующей отправки для автоматического выполнения задач до и после запланированной конфигурации обслуживания.