規劃更新管理部署

  • 發行項

步驟 1:自動化帳戶

更新管理是 Azure 自動化功能,因此需要自動化帳戶。 您可以在訂用帳戶中使用現有的自動化帳戶,或建立僅供更新管理使用且沒有其他自動化功能的新帳戶。

步驟 2:Azure 監視器記錄

更新管理取決於 Azure 監視器中的 Log Analytics 工作區,以儲存從受控機器收集的評量和更新狀態記錄資料。 與 Log Analytics 的整合也可在 Azure 監視器中實現詳細的分析和警示。 您可以在訂用帳戶中使用現有的工作區,或建立僅供更新管理使用的新工作區。

如果您不熟悉 Azure 監視器記錄和 Log Analytics 工作區,您應該檢閱設計 Log Analytics 工作區部署指南。

步驟 3:支援的作業系統

更新管理支援 Windows Server 和 Linux 作業系統的特定版本。 啟用更新管理之前,請確認目標機器符合作業系統需求

步驟 4:Log Analytics 代理程式

需要適用於 Windows 和 Linux 的 Log Analytics 代理程式才能支援更新管理。 代理程式同時用於資料收集,以及自動化系統混合式 Runbook 背景工作角色,以支援用來管理機器上評量和更新部署的更新管理 Runbook。

在 Azure VM 上,如果尚未安裝 Log Analytics 代理程式,當您為 VM 啟用更新管理時,就會使用適用於 WindowsLinux 的 Log Analytics VM 延伸模組自動安裝 Log Analytics 代理程式。 已將此代理程式設定為向 Log Analytics 工作區報告,Log Analytics 工作區連結的自動化帳戶已啟用更新管理。

非 Azure VM 或伺服器必須安裝適用於 Windows 或 Linux 的 Log Analytics 代理程式,並向連結的工作區報告。 建議您先將機器連線到已啟用 Azure Arc 的伺服器,然後使用 Azure 原則將部署 Log Analytics 代理程式指派給 Linux 或 Windows Azure Arc 機器內建原則定義,來安裝適用於 Windows 或 Linux 的 Log Analytics 代理程式。 或者,如果您計畫使用 VM 深入解析來監視機器,請改用啟用適用於 VM 的 Azure 監視器方案。

如果您啟用目前受 Operations Manager 管理的機器,則不需新的代理程式。 當您將管理群組連線到 Log Analytics 工作區時,工作區資訊會新增至代理程式設定。

不支援讓一部機器在多個 Log Analytics 工作區 (亦稱為多重主目錄) 註冊更新管理。

步驟 5 - 網路規劃

若要準備網路以支援更新管理,您可能需要設定一些基礎結構元件。 例如,開啟防火牆連接埠以傳遞更新管理和 Azure 監視器所使用的通訊。

如需更新管理 (包含混合式 Runbook 背景工作角色) 所需的連接埠、URL 和其他網路詳細資料的詳細資訊,請檢閱 Azure 自動化網路設定。 若要從 Azure VM 安全且私下地連線至自動化服務,請檢閱使用 Azure Private Link

若是 Windows 機器,您也必須允許將流量傳送到 Windows Update 所需的任何端點。 您可以在與 HTTP/Proxy 相關的問題中,找到所需端點的更新清單。 如果您有本地 Windows Server Update Services (WSUS),也必須允許將流量傳送到 WSUS 金鑰中指定的伺服器。

對於 Red Hat Linux 機器,請參閱 RHUI 內容傳遞伺服器的 IP 以取得必要的端點。 對於其他 Linux 發行版本,請參閱您的提供者文件。

如果 IT 安全性原則不允許網路上的機器連線到網際網路,您可以設定 Log Analytics 閘道,然後將機器設定為透過閘道連線至 Azure 自動化和 Azure 監視器。

步驟 6:權限

若要建立及管理更新部署,您必須具有特定權限。 若要了解這些權限,請參閱角色型存取 - 更新管理

步驟 7:Windows Update 代理程式

Azure 自動化更新管理會倚賴 Windows Update 代理程式來下載並安裝 Windows 更新。 有特定的群組原則設定,機器上的 Windows Update Agent (WUA) 會使用這些設定來連線到 Windows Server Update Services (WSUS) 或 Microsoft Update。 這些群組原則設定也會用來成功掃描軟體更新相容性,並且自動更新軟體更新。 若要檢閱我們的建議,請參閱設定更新管理的 Windows Update設定

步驟 8:Linux 存放庫

需註冊從隨選 Red Hat Enterprise Linux (RHEL) 映像建立的 VM,以存取在 Azure 中部署的 Red Hat Update Infrastructure (RHUI);前述映像可在 Azure Marketplace 中找到。 針對任何其他 Linux 發行版本,則必須使用該發行版本所支援的方法,從發行版本的線上檔案存放庫進行更新。

若要將 Red Hat Enterprise 版本 6 上的更新分類,您必須安裝 yum-security 外掛程式。 在 Red Hat Enterprise Linux 7 上,此外掛程式已經是 yum 本身的一部分,因此不需要安裝任何項目。 如需詳細資訊,請參閱下列 Red Hat 知識文章

步驟 9:規劃部署目標

更新管理可讓您以代表 Azure 或非 Azure 機器的動態群組更新為目標,因此您可以確保特定機器一律在最合宜的時間取得正確的更新。 系統會在部署時解析動態群組,且動態群組會以下列準則為基礎:

  • 訂用帳戶
  • 資源群組
  • 位置
  • 標籤

對於非 Azure 機器,動態群組會使用名為「電腦群組」的已儲存搜尋。 只有更新管理 [部署排程] 選項中的自動化帳戶,而不是從特定 Azure VM,才會看到範圍設定為一組機器的更新部署。

或者,只能針對選取的 Azure VM 管理更新。 在更新管理 [部署排程] 選項中,同時從機器和自動化帳戶中,都可以看到範圍設定為特定機器的更新部署。

下一步

啟用更新管理,並使用下列其中一種方法,選取要管理的機器:

  • 使用 Azure Resource Manager 範本 來將更新管理部署到新的或現有的自動化帳戶及訂用帳戶中的 Azure 監視器 Log Analytics 工作區。 其不會設定應管理的機器範圍,這會在使用範本之後以個別步驟執行。

  • 從一或多部 Azure 和非 Azure 機器的 [自動化帳戶],包括已啟用 Azure Arc 的伺服器。

  • 使用 Enable-AutomationSolutionRunbook 將 Azure VM 上線自動化。

  • 針對選取的 Azure VM,從 Azure 入口網站的 [虛擬機器] 頁面啟用。 此案例適用於 Linux 與 Windows VM。

  • 針對多部 Azure VM,透過從 Azure 入口網站的 [虛擬機器] 頁面中選取這些 VM 的方式來啟用。