Güncelleştirme Yönetimi’ne genel bakış
azure otomasyonu 'nda, azure 'daki Windows ve Linux sanal makineleriniz için işletim sistemi güncelleştirmelerini, şirket içi ortamlardaki fiziksel veya vm 'leri ve diğer bulut ortamlarında yönetmek için Güncelleştirme Yönetimi kullanabilirsiniz. Kullanılabilir güncelleştirmelerin durumunu hızlı bir şekilde değerlendirebilir ve Güncelleştirme Yönetimi üzere makineleriniz için gerekli güncelleştirmeleri yükleme sürecini yönetebilirsiniz.
Hizmet sağlayıcı olarak, Azure açık Thouseiçin birden fazla müşteri kiracısından eklendi olabilirsiniz. Güncelleştirme Yönetimi, aynı Azure Active Directory (Azure AD) kiracısındaki birden çok abonelikteki makinelere veya azure açık thouse kullanarak kiracılar arasında güncelleştirme dağıtımlarını değerlendirmek ve çizelgelemek için kullanılabilir.
Microsoft, genel güncelleştirme yönetimi stratejinizin bir parçası olarak göz önünde bulundurmanız gereken Azure VM 'leriniz veya Azure sanal makine ölçek kümeleri için güncelleştirmeleri yönetmenize yardımcı olacak başka yetenekler sunmaktadır.
Azure sanal makinelerinizi, her ay yayınlanan kritik ve güvenlik güncelleştirmeleriyle güvenlik uyumluluğunu koruyacak şekilde otomatik olarak değerlendirmek ve GÜNCELLEŞTIRMEK istiyorsanız, Otomatik VM Konuk düzeltme eki uygulama (Önizleme) konusunu gözden geçirin. Bu, Azure sanal makinelerinizin, bir kullanılabilirlik kümesindeki VM 'Ler de dahil olmak üzere, Azure Automation 'daki Güncelleştirme Yönetimi güncelleştirme dağıtımlarını yönetmeye kıyasla, bu sanal makinelerinize yönelik alternatif bir güncelleştirme yönetimi çözümüdür.
Azure sanal makine ölçek kümelerini yönetiyorsanız, Otomatik işletim sistemi görüntüsü yükseltmelerini güvenle gerçekleştirmeyi ve ölçek kümesindeki tüm örnekler için işletim sistemi diskini otomatik olarak yükseltmeyi gözden geçirin.
Güncelleştirme Yönetimi dağıtılmadan ve makinelerinizi yönetim için etkinleştirmeden önce, aşağıdaki bölümlerde yer alan bilgileri anladığınızdan emin olun.
Güncelleştirme Yönetimi hakkında
aşağıdaki diyagramda Güncelleştirme Yönetimi nasıl değerlendirir ve tüm bağlı Windows sunucusu ve Linux sunucularına güvenlik güncelleştirmelerinin nasıl uygulandığı gösterilmektedir.
Güncelleştirme Yönetimi, güncelleştirme değerlendirmelerini depolamak ve dağıtım sonuçlarını atanan Azure ve Azure dışı makinelerden günlük verileri olarak güncelleştirmek için Azure Izleyici günlükleri ile tümleşir. bu verileri toplamak için, Automation hesabı ve Log Analytics çalışma alanı birlikte bağlanır ve makinede Windows ve Linux için Log Analytics aracısı gereklidir ve bu çalışma alanına raporlamak için yapılandırılır.
Güncelleştirme Yönetimi, çalışma alanına bağlı System Center Operations Manager yönetim grubundaki aracılardan sistem güncelleştirmeleri hakkında bilgi toplamayı destekler. Birden fazla Log Analytics çalışma alanında (aynı zamanda çoklu kayıt olarak da adlandırılır) Güncelleştirme Yönetimi için bir makinenin kayıtlı olması desteklenmez.
Aşağıdaki tablo, Güncelleştirme Yönetimi ile desteklenen bağlı kaynakları özetler.
| Bağlı kaynak | Destekleniyor | Description |
|---|---|---|
| Windows | Yes | Güncelleştirme Yönetimi, Windows makinelerden gelen sistem güncelleştirmeleriyle ilgili bilgileri Log Analytics aracısına ve gerekli güncelleştirmeleri yüklemeye toplar. makinelerin Microsoft Update veya Windows Server Update Services (WSUS) hizmetine raporlama yapması gerekir. |
| Linux | Yes | Güncelleştirme Yönetimi, Linux makinelerden gelen sistem güncelleştirmeleriyle ilgili bilgileri, Log Analytics Aracısı ve desteklenen dağıtımlarda gerekli güncelleştirmelerin yüklenmesiyle toplar. Makinelerin yerel veya uzak bir depoya raporlama yapması gerekir. |
| Operations Manager yönetim grubu | Yes | Güncelleştirme Yönetimi, bağlı bir yönetim grubundaki aracılardan yazılım güncelleştirmeleri hakkında bilgi toplar. Operations Manager aracısından Azure Izleyici günlüklerine doğrudan bağlantı gerekli değildir. Günlük verileri yönetim grubundan Log Analytics çalışma alanına iletilir. |
Güncelleştirme Yönetimi atanan makineler, ne kadar güncel olduklarını raporlamak için yapılandırdıkları kaynakları temel alır. Windows makineler, Windows Server Update Services veya Microsoft Updateraporlamak üzere yapılandırılmalıdır ve Linux makinelerin yerel veya ortak bir depoya rapor verecek şekilde yapılandırılması gerekir. ayrıca, Microsoft Endpoint Configuration Manager Güncelleştirme Yönetimi de kullanabilir ve daha fazla bilgi edinmek için Windows uç nokta Configuration Manager ile tümleştirme Güncelleştirme Yönetimikonusuna bakın.
Windows makinesindeki Windows Update aracısı (WUA) wsus 'e rapor verecek şekilde yapılandırıldıysa, wsus tarafından Microsoft Update en son ne zaman eşitlendiğine bağlı olarak sonuçlar Microsoft Update gösterebilir. Bu davranış, genel depo yerine yerel depoya raporlamak üzere yapılandırılmış Linux makineleri için aynıdır. Windows bir makinede, uyumluluk taraması varsayılan olarak her 12 saatte bir çalıştırılır. Bir Linux makinesi için, uyumluluk taraması her saat varsayılan olarak gerçekleştirilir. Log Analytics Aracısı yeniden başlatılırsa, 15 dakika içinde bir uyumluluk taraması başlatılır. Bir makine, güncelleştirme uyumluluğu için bir tarama tamamladığında, aracı bilgileri toplu olarak Azure Izleyici günlüklerine iletir.
Zamanlanmış bir dağıtım oluşturarak güncelleştirmeleri gerektiren makinelere yazılım güncelleştirmeleri dağıtabilir ve yükleyebilirsiniz. isteğe bağlı olarak sınıflandırılan güncelleştirmeler Windows makineler için dağıtım kapsamına dahil edilmez. Dağıtım kapsamında yalnızca gerekli güncelleştirmeler bulunur.
Zamanlanan dağıtım, hangi hedef makinelerin geçerli güncelleştirmeleri alacağını tanımlar. Bu, belirli makineleri açıkça belirterek ya da belirli bir makine kümesinin günlük aramalarını temel alan bir bilgisayar grubu seçerek (veya belirtilen ölçütlere göre Azure VM 'leri dinamik olarak seçen bir Azure sorgusuna bağlı olarak). Bu gruplar, Güncelleştirme Yönetimi etkinleştirmek üzere yapılandırmayı alan makinelerin hedeflenmesini denetlemek için kullanılan kapsam yapılandırmasındanfarklıdır. Bu, güncelleştirme uyumluluğunu gerçekleştirmenizi ve raporlamasını ve onaylanan gerekli güncelleştirmeleri yüklemenizi engeller.
Bir dağıtım tanımlarken, güncelleştirmelerin yüklenebileceği bir zaman aralığını onaylamak ve ayarlamak için bir zamanlama da belirtirsiniz. Bu döneme bakım penceresi denir. Bakım penceresinin 20 dakikalık bir yayılımı yeniden başlatmalar için ayrılmıştır, bir tane gereklidir ve uygun yeniden başlatma seçeneğini seçmiş olursunuz. Düzeltme Eki beklenenden uzun sürüyorsa ve bakım penceresinde 20 dakikadan kısa bir süre sonra yeniden başlatma gerçekleşmez.
Bir güncelleştirme paketi dağıtım için zamanlandıktan sonra, güncelleştirmenin değerlendirme için Linux makinelere gösterilmesi 2 ile 3 saat sürer. Windows makineler için, güncelleştirmenin yayımlandıktan sonra değerlendirmesi göstermesi için 12 ile 15 saat sürer. Güncelleştirme yüklemesinden önce ve sonra, güncelleştirme uyumluluğu için bir tarama gerçekleştirilir ve günlük veri sonuçları çalışma alanına iletilir.
Güncelleştirmeler Azure Otomasyonu’nda runbook'lar tarafından yüklenir. Bu runbook 'ları görüntüleyemezsiniz ve herhangi bir yapılandırma gerektirmez. Bir güncelleştirme dağıtımı oluşturulduğunda, dahil edilen makineler için belirtilen zamanda ana güncelleştirme runbook 'unu Başlatan bir zamanlama oluşturur. ana runbook, gerekli güncelleştirmelerin Windows Windows Update aracısına yüklenmesini veya desteklenen Linux 'taki ilgili komutu yüklemeyi başlatan her aracıda bir alt runbook başlatır.
Güncelleştirme dağıtımında belirtilen tarih ve saatte, hedef makineler dağıtımı paralel olarak yürütür. Yüklemeden önce, güncelleştirmelerin hala gerekli olduğunu doğrulamak üzere bir tarama çalıştırılır. WSUS istemci makineleri için güncelleştirmeler WSUS 'ta onaylanmamışsa güncelleştirme dağıtımı başarısız olur.
Sınırlar
Güncelleştirme Yönetimi için uygulanan sınırlar için bkz. Azure Otomasyonu hizmet limitleri.
İzinler
Güncelleştirme dağıtımları oluşturmak ve yönetmek için belirli izinlere sahip olmanız gerekir. Bu izinler hakkında bilgi edinmek için bkz. rol tabanlı erişim-güncelleştirme yönetimi.
Güncelleştirme Yönetimi bileşenleri
Güncelleştirme Yönetimi, bu bölümde açıklanan kaynakları kullanır. Güncelleştirme Yönetimi etkinleştirdiğinizde bu kaynaklar Otomasyon hesabınıza otomatik olarak eklenir.
Karma runbook çalışanı grupları
Güncelleştirme Yönetimi etkinleştirdikten sonra, doğrudan Log Analytics çalışma alanınıza bağlı olan tüm Windows makineler, Güncelleştirme Yönetimi destekleyen runbook 'ları destekleyecek bir sistem karma Runbook Worker olarak otomatik olarak yapılandırılır.
Güncelleştirme Yönetimi tarafından yönetilen her Windows makine, otomasyon hesabı için bir sistem karma çalışanı grubu olarak karma çalışan grupları bölmesinde listelenir. Gruplar, Hostname FQDN_GUID adlandırma kuralını kullanır. Bu grupları hesabınızdaki runbook 'lar ile hedefleyebilirsiniz. Denerseniz, deneme başarısız olur. Bu gruplar yalnızca Güncelleştirme Yönetimi desteklemeye yöneliktir. karma runbook Worker olarak yapılandırılmış Windows makinelerin listesini görüntüleme hakkında daha fazla bilgi edinmek için bkz. karma runbook çalışanlarını görüntüleme.
Güncelleştirme Yönetimi ve karma Runbook çalışanı grup üyeliği için aynı hesabı kullanırsanız otomasyon runbook 'larını desteklemek için Windows makinesini otomasyon hesabınızdaki bir kullanıcı karma runbook worker grubuna ekleyebilirsiniz. Bu işlev, karma Runbook Worker 'ın 7.2.12024.0 sürümüne eklenmiştir.
Dış bağımlılıklar
Azure Otomasyonu Güncelleştirme Yönetimi, yazılım güncelleştirmeleri sunmak için aşağıdaki dış bağımlılıklara bağımlıdır.
- Windows Server Update Services (WSUS) veya Microsoft Update, yazılım güncelleştirme paketleri ve Windows tabanlı makinelerde yazılım güncelleştirmeleri uygulanabilirlik taraması için gereklidir.
- Windows Update aracısı (WUA) istemcisi, Windows tabanlı makinelerde, WSUS sunucusuna veya Microsoft Update bağlanabilmeleri için gereklidir.
- Linux tabanlı makinelerde işletim sistemi güncelleştirmelerini almak ve yüklemek için yerel veya uzak bir depo.
Yönetim paketleri
Aşağıdaki yönetim paketleri Güncelleştirme Yönetimi tarafından yönetilen makinelere yüklenir. Operations Manager yönetim grubunuz bir Log Analytics çalışma alanına bağlıysa, yönetim paketleri Operations Manager yönetim grubuna yüklenir. Bu yönetim paketlerini yapılandırmanız veya yönetmeniz gerekmez.
- Microsoft System Center Advisor Update Assessment Intelligence Pack (Microsoft.IntelligencePacks.UpdateAssessment)
- Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
- MP Dağıtımını güncelleştirme
Not
Günlük verilerini toplamak üzere yönetim grubunda yapılandırılmış aracılarla bir Log Analytics çalışma alanına bağlı Operations Manager 1807 veya 2019 yönetim grubunuz varsa, parametreyi geçersiz kılmanız IsAutoRegistrationEnabled ve True Microsoft. ıntelligencepacks. AzureAutomation. Hybridavgent. Init kuralında olarak ayarlamanız gerekir.
yönetim paketlerine yönelik güncelleştirmeler hakkında daha fazla bilgi için bkz. Azure izleyici günlüklerine Bağlan Operations Manager.
Not
Log Analytics aracısı ile makineleri tamamen yönetmek için Güncelleştirme Yönetimi için Windows Log Analytics aracısına veya Linux için Log Analytics aracısına güncelleştirmeniz gerekir. Aracıyı güncelleştirme hakkında bilgi edinmek için bkz. Operations Manager aracısını yükseltme. Operations Manager kullanan ortamlarda, 2012 R2 UR 14 veya System Center Operations Manager çalıştırması gerekir.
Veri toplama sıklığı
Güncelleştirme Yönetimi kuralları kullanarak yönetilen makineleri veriler için tarar. Panonun yönetilen makinelerden güncelleştirilmiş verileri görüntülemesi 30 dakika ile 6 saat arasında sürebilir.
Her Windows makine - Güncelleştirme Yönetimi her makine için günde iki kez tarama yapar.
Her Linux makinesi - Güncelleştirme Yönetimi saatte bir tarama yapar.
Sanal makine kullanan bir Azure İzleyici günlüklerinin ortalama veri Güncelleştirme Yönetimi ayda yaklaşık 25 MB'tır. Bu değer yalnızca yaklaşık değerdir ve ortamınıza bağlı olarak değişebilir. Tam kullanımınızı izlemek için ortamınızı izlemenizi öneririz. Günlükler veri kullanımını Azure İzleyici daha fazla bilgi için bkz. Kullanımı ve maliyeti yönetme.
Update classifications
Aşağıdaki tablo, güncelleştirmeler için Güncelleştirme Yönetimi sınıflandırmaları Windows tanımlar.
| Sınıflandırma | Açıklama |
|---|---|
| Kritik güncelleştirmeler | Kritik, güvenlikle ilgili olmayan bir hatayı çözen belirli bir soruna yönelik güncelleştirme. |
| Güvenlik güncelleştirmeleri | Ürüne özgü, güvenlikle ilgili bir sorun için güncelleştirme. |
| Güncelleştirme paketleri | Kolay dağıtım için birlikte paketlenmiş toplu bir düzeltme kümesi. |
| Özellik paketleri | Bir ürün sürümü dışında dağıtılan yeni ürün özellikleri. |
| Hizmet paketleri | Bir uygulamaya uygulanan toplu düzeltme kümesi. |
| Tanım güncelleştirmeleri | Virüs veya diğer tanım dosyalarına güncelleştirme. |
| Araçlar | Bir veya daha fazla görevi tamamlamaya yardımcı olan bir yardımcı program veya özellik. |
| Güncelleştirmeler | Şu anda yüklü olan bir uygulama veya dosyanın güncelleştirmesi. |
Sonraki tabloda Linux güncelleştirmeleri için desteklenen sınıflandırmalar tanımlandı.
| Sınıflandırma | Açıklama |
|---|---|
| Kritik güncelleştirmeler ve güvenlik güncelleştirmeleri | Belirli bir sorun veya ürüne özgü, güvenlikle ilgili bir sorun için güncelleştirmeler. |
| Diğer güncelleştirmeler | Doğası gereği kritik olmayan veya güvenlik güncelleştirmeleri olmayan diğer tüm güncelleştirmeler. |
Not
Linux makineleri için güncelleştirme sınıflandırması yalnızca desteklenen Azure genel bulut bölgelerinde kullanılır. Aşağıdaki ulusal bulut bölgelerinde Linux güncelleştirmeleri Güncelleştirme Yönetimi sınıflandırması yoktur:
- Azure ABD Kamu
- Çin'de 21Vianet
Güncelleştirmeler sınıflandırılma yerine Diğer güncelleştirmeler kategorisi altında raporlanmıştır.
Güncelleştirme Yönetimi, özellikle de yayımlanan OVAL (Açık Güvenlik Açığı ve Değerlendirme Dili) dosyaları olmak üzere desteklenen dağıtımlar tarafından yayımlanan verileri kullanır. İnternet erişimi bu ulusal bulutlardan kısıtlanmış olduğundan, Güncelleştirme Yönetimi dosyalara erişe değildir.
Linux için, Güncelleştirme Yönetimi buluttaki kritik güncelleştirmeler ve güvenlik güncelleştirmeleri arasında Güvenlik ve Diğerleri sınıflandırması altında ayırt ederken, bulutta veri zenginleştirmesi nedeniyle değerlendirme verilerini görüntüleyerek ayırt edin. Düzeltme eki uygulama Güncelleştirme Yönetimi makinede bulunan sınıflandırma verilerine bağlı olur. Diğer dağıtımların aksine, CentOS'ta RTM sürümünde bu bilgiler mevcut değildir. Aşağıdaki komut için güvenlik verilerini iade etmek üzere yapılandırılmış CentOS makinelerine sahip Güncelleştirme Yönetimi sınıflandırmalara göre düzeltme eki uygulama.
sudo yum -q --security check-update
CentOS üzerinde yerel sınıflandırma-veri kullanılabilirliğini etkinleştirmek için şu anda desteklenen bir yöntem yoktur. Şu anda, bu özelliği kendi başına etkinleştirmiş olan müşterilere sınırlı destek sağlanır.
Red Hat sürüm 6'Enterprise sınıflandırmak için yum-security eklentisini yüklemeniz gerekir. Red Hat Enterprise Linux 7'de eklenti zaten yum'un bir parçası ve herhangi bir şey yüklemenize gerek yoktur. Daha fazla bilgi için aşağıdaki Red Hat bilgi makalesine bakın.
Bir güncelleştirmeyi Linux makinede çalıştıracak şekilde zamanlamanız, örneğin yalnızca Güvenlik sınıflandırması ile eşleşen güncelleştirmeleri yüklemek üzere yapılandırılmışsa, yüklü güncelleştirmeler bu sınıflandırmayla eşleşen güncelleştirmelerin bir alt kümesi olabilir veya bunlardan farklı olabilir. Linux makineniz için bekleyen işletim sistemi güncelleştirmelerinin değerlendirmesi gerçekleştiriliyorsa, Linux dağıtım satıcısı tarafından sağlanan Açık Güvenlik Açığı ve Değerlendirme Dili (OVAL) dosyaları sınıflandırma için Güncelleştirme Yönetimi kullanılır.
Linux güncelleştirmeleri için güvenlik sorunlarını veya güvenlik açıklarını ele alan güncelleştirmeleri içeren OVAL dosyalarına göre Güvenlik veya Diğerleri olarak kategorilere ayırma yapılır. Ancak güncelleştirme zamanlaması çalıştırıldıkça, bunları yüklemek için YUM, APT veya ZYPPER gibi uygun paket yöneticisini kullanarak Linux makinesi üzerinde yürütülür. Linux dağıtımı için paket yöneticisi, güncelleştirmeleri sınıflandırmak için farklı bir mekanizmaya sahip olabilir; burada sonuçlar, güncelleştirmeler tarafından OVAL dosyalarından elde edilenlerden farklı Güncelleştirme Yönetimi. Makineyi el ile kontrol etmek ve paket yöneticiniz tarafından hangi güncelleştirmelerin güvenlikle ilgili olduğunu anlamak için bkz. Linux güncelleştirme dağıtımı sorunlarını giderme.
Not
Güncelleştirme değerlendirmesi sırasında eksik güncelleştirmelerin Güvenlik ve Kritik olarak sınıflandırılması, güncelleştirmeler tarafından desteklenen Linux dağıtımları için Güncelleştirme Yönetimi. Bu, değerlendirme sırasında güncelleştirmeleri sınıflandırmak için kullanılan OVAL dosyalarının adlandırma şemasıyla Güncelleştirme Yönetimi bir sorunun sonucudur. Bu, Güncelleştirme Yönetimi değerlendirme sırasında filtreleme kurallarına göre sınıflandırmaları düzgün bir şekilde eşleştirmesini önler. Bu, güncelleştirmelerin dağıtımını etkilemez. Güvenlik güncelleştirme değerlendirmeleri farklı bir mantık kullandığından, sonuçlar dağıtım sırasında uygulanan güvenlik güncelleştirmelerinden farklı olabilir. Kritik ve Güvenlik olarak ayarlanmış sınıflandırmanız varsa, güncelleştirme dağıtımı beklendiği gibi işlev gösterir. Değerlendirme sırasında yalnızca güncelleştirmelerin sınıflandırılması etkilenir. Güncelleştirme Yönetimi server Windows için güncelleştirmeler etkilenmez; güncelleştirme sınıflandırması ve dağıtımları değişmez.
Güncelleştirme Yönetimi ile Yapılandırma Yöneticisi
Bilgisayarları, sunucuları ve mobil Microsoft Endpoint Configuration Manager yönetmeye yatırım yapan müşteriler, yazılım güncelleştirmelerini yönetmeye yardımcı olmak için Yapılandırma Yöneticisi ve olgunluklarını da kullanır. Uygulamaları Yapılandırma Yöneticisi ile Güncelleştirme Yönetimi için bkz. Güncelleştirme Yönetimi Endpoint Windows ile Yapılandırma Yöneticisi.
Windows'da üçüncü taraf güncelleştirmeleri
Güncelleştirme Yönetimi, WSUS veya Windows Update gibi desteklenen Windows güncelleştirmek için yerel olarak yapılandırılmış güncelleştirme Windows kullanıyor. System Center güncelleştirmeleri Publisher WSUS ile özel güncelleştirmeleri içeri aktarmanızı ve yayımlamanızı sağlar. Bu senaryo, Güncelleştirme Yönetimi depoları olarak Yapılandırma Yöneticisi kullanan makineleri üçüncü taraf yazılımlarla güncelleştirmesini sağlar. Güncelleştirmeleri yapılandırma hakkında bilgi Publisher için bkz. Güncelleştirmeleri yükleme Publisher.
Sonraki adımlar
Yapılandırmayı etkinleştirmeden ve Güncelleştirme Yönetimi önce Dağıtım dağıtımınızı planlama Güncelleştirme Yönetimi gözden geçirebilirsiniz.
sık sorulan sorular için Güncelleştirme Yönetimi sık sorulan Azure Otomasyonu gözden geçirme.