從自動化更新管理移至 Azure 更新管理員
適用於: ✔️ Windows VM ✔️ Linux VM ✔️ 內部部署環境✔️已啟用 Azure Arc 的伺服器
本文提供將虛擬機從自動化更新管理移至 Azure Update Manager 的指引。
Azure 更新管理員提供 SaaS 解決方案,可跨 Azure、內部部署和多重雲端環境管理 Windows 和 Linux 機器的軟體更新。 它是 Azure 自動化 更新管理解決方案的演進,具有新功能,可在單一機器或大規模多部計算機上評估及部署軟體更新。
針對 Azure 更新管理員,AMA 和 MMA 都不是管理軟體更新工作流程的需求,因為它依賴適用於 Azure VM 的 Microsoft Azure VM 代理程式和 Azure Connected Machine Agent (用於已啟用 Arc 的伺服器)。 您第一次在機器上執行更新作業時,延伸項目會推送至機器,並與代理程式互動,以評估遺漏的更新並安裝更新。
注意
如果您使用 Azure 自動化更新管理解決方案,建議您不要從機器移除 MMA 代理程式,而不需要完成移轉至 Azure 更新管理員以符合機器修補程式的管理需求。 如果您從機器移除 MMA 代理程式,而不移至 Azure 更新管理員,它會中斷該機器的修補工作流程。
Azure 自動化 更新管理的所有功能都將在淘汰日期之前於 Azure Update Manager 上取得。
Azure 入口網站體驗
本節說明如何使用入口網站體驗,將排程和機器從自動化更新管理移至 Azure Update Manager。 使用最少的點選和自動化方式來移動資源,如果您未在自動化更新管理解決方案之上建置自定義專案,這是最簡單的移動方式。
若要存取入口網站移轉體驗,您可以使用數個進入點。
選取下列進入點上的 [ 立即 移轉] 按鈕。 選取之後,系統會引導您完成將排程和機器移至 Azure Update Manager 的程式。 此程式的設計訴求是方便使用者且直接使用,可讓您以最少的心力完成移轉。
您可以從下列任何進入點移轉:
選取 [ 立即 移轉] 按鈕,然後開啟移轉刀鋒視窗。 其中包含所有資源的摘要,包括機器,以及自動化帳戶中的排程。 根據預設,如果您透過此路由進行,則會預先選取您存取此刀鋒視窗的自動化帳戶。
在這裡,您可以看到自動化更新管理中已啟用 Azure、已啟用 Arc 的伺服器、非 Azure 非 Arc 的伺服器數目,以及排程已啟用,且必須移至 Azure 更新管理員。 您也可以檢視這些資源的詳細數據。
[移轉] 刀鋒視窗提供將移動的資源概觀,讓您在繼續之前檢閱並確認移轉。 準備好之後,您可以繼續進行移轉程式,將排程和機器移至 Azure Update Manager。
檢閱必須移動的資源之後,您可以繼續進行移轉程式,這是三個步驟的程式:
先決條件
這包括兩個步驟:
a. 將非已啟用 Arc 的機器上線至 Arc - 這是因為 Arc 連線是 Azure 更新管理員的必要條件。 將機器上線至 Azure Arc 是免費的成本,一旦這麼做,您就可以像任何 Azure 機器一樣使用所有管理服務。 如需詳細資訊,請參閱 Azure Arc 檔 ,以瞭解如何將機器上線。
b. 在本機 下載並執行 PowerShell 腳本 - 這是建立使用者身分識別和適當角色指派的必要專案,以便進行移轉。 此腳本會將適當的 RBAC 提供給自動化帳戶所屬訂用帳戶上的使用者身分識別、已上線至自動化更新管理的計算機、屬於動態查詢的範圍等等。因此可以將設定指派給機器,您可以建立 MRP 設定,並移除更新解決方案。 如需詳細資訊,請參閱 Azure Update Manager 檔。
將自動化帳戶中的資源移至 Azure Update Manager
移轉程式的下一個步驟是讓機器上的 Azure Update Manager 能夠移動,並建立要移轉之排程的對等維護設定。 當您選取 [立即移轉] 按鈕時,它會將 MigrateToAzureUpdateManager Runbook 匯入至您的自動化帳戶,並將詳細資訊記錄設定為 True。
選取 [ 啟動 Runbook],其中顯示必須傳遞至 Runbook 的參數。
如需要擷取的參數詳細資訊,以及必須從中擷取的位置,請參閱 機器和排程的移轉。 傳遞所有參數之後啟動 Runbook 之後,Azure Update Manager 就會開始在機器上啟用,Azure Update Manager 中的維護設定將會開始建立。 您可以監視 Azure Runbook 記錄,以取得排程的執行狀態和移轉狀態。
從自動化更新管理取消資源
執行清除文稿,以從自動化更新管理解決方案取消排程的計算機,並停用自動化更新管理排程。
選取 [ 執行清除腳本 ] 按鈕之後,Runbook DeboardFromAutomationUpdateManagement 將會匯入至您的自動化帳戶,而且其詳細資訊記錄會設定為 True。
當您選取 [ 啟動 Runbook] 時,會要求將參數傳遞至 Runbook。 如需詳細資訊,請參閱 從自動化更新管理解決方案 取消上線,以擷取要傳遞至 Runbook 的參數。
移轉腳本
使用移轉 Runbook,您可以將所有工作負載(機器和排程)從自動化更新管理移轉至 Azure Update Manager。 本節詳細說明如何執行腳本、腳本在後端執行的動作、預期的行為,以及適用時的任何限制。 腳本可以一次移轉一個自動化帳戶中的所有機器和排程。 如果您有多個自動化帳戶,則必須針對所有自動化帳戶執行 Runbook。
概括而言,您必須遵循下列步驟,將機器和排程從自動化更新管理移轉至 Azure Update Manager。
必要條件摘要
- 將非 Azure 機器上線 至 Azure Arc。
- 下載並執行PowerShell腳本,以在本機系統上建立使用者身分識別和角色指派。 請參閱逐步指南中的詳細指示,因為它也有某些必要條件。
步驟摘要
- 執行移轉自動化 Runbook,以將機器和排程從自動化更新管理移轉至 Azure Update Manager。 請參閱逐步指南中的詳細指示。
- 執行清除文稿以從自動化更新管理取消註冊。 請參閱逐步指南中的詳細指示。
不支援的情節
- 不會移轉非 Azure 儲存的搜尋查詢;這些必須手動移轉。
如需要注意的限制和事項的完整清單,請參閱本文的最後一節。
逐步解說指南
上述每個步驟中提及的資訊如下所述。
必要條件 1:將非 Azure 機器上線至 Arc
該怎麼做
移轉自動化 Runbook 會忽略未上線至 Arc 的資源。因此,在執行移轉 Runbook 之前,必須先將所有非 Azure 機器上架至 Azure Arc。 請遵循將機器上線至 Azure Arc 的步驟。
必要條件 2:執行 PowerShell 腳本建立使用者身分識別和角色指派
A. 執行腳本的必要條件
- 在 PowerShell 中執行 命令
Install-Module -Name Az -Repository PSGallery -Force。 必要條件腳本取決於 Az.Modules。 如果 Az.Modules 不存在或更新,則需要此步驟。 - 若要執行此必要條件腳本,您必須擁有 Microsoft.Authorization/roleAssignments/write 許可權,其中包含自動化更新管理資源的所有訂用帳戶,例如機器、排程、記錄分析工作區和自動化帳戶。 請參閱 如何指派 Azure 角色。
- 您必須擁有 更新管理許可權。
B. 執行指令碼
在本機下載並執行PowerShell腳本 MigrationPrerequisiteScript 。 此腳本會採用自動化帳戶的 AutomationAccountResourceId 進行移轉,並採用 AutomationAccountAzureEnvironment 作為輸入。 AutomationAccountAzureEnvironment 的接受值為 AzureCloud、AzureUSGovernment 和 AzureChina,表示自動化帳戶所屬的雲端。
您可以移至自動化帳戶>屬性來擷取 AutomationAccountResourceId。
C. Verify
執行腳本之後,請確認已在自動化帳戶中建立使用者受控識別。 自動化帳戶>身分>識別使用者指派。
D. 腳本的後端作業
更新自動化帳戶的 Az.Modules,這是執行移轉和取消註冊腳本的必要專案。
建立名稱為 AutomationAccountAzureEnvironment 的自動化變數,以儲存自動化帳戶所屬的 Azure 雲端環境。
在與自動化帳戶相同的訂用帳戶和資源群組中建立使用者身分識別。 使用者身分識別的名稱會像 AutomationAccount_aummig_umsi。
將使用者身分識別附加至自動化帳戶。
腳本會將下列許可權指派給使用者受控識別: 需要更新管理許可權。
- 為此,腳本會擷取此自動化帳戶下上線至自動化更新管理的所有機器,並剖析其訂用帳戶標識符,以提供給使用者身分識別所需的 RBAC。
- 腳本會將適當的 RBAC 提供給自動化帳戶所屬訂用帳戶上的使用者身分識別,以便在這裡建立 MRP 組態。
- 腳本會指派Log Analytics工作區和解決方案的必要角色。
註冊 Microsoft.Maintenance 和 Microsoft.EventGrid 資源提供者所需的訂用帳戶。
步驟 1:機器和排程的移轉
此步驟牽涉到使用自動化 Runbook 將所有機器,以及排程從自動化帳戶移轉至 Azure Update Manager。
請遵循下列步驟:
從 Runbook 資源庫匯入移轉 Runbook 併發布。 從瀏覽資源庫搜尋 Azure 自動化更新,並將名為 Migrate from Azure 自動化 Update Management 的移轉 Runbook 匯入至 Azure Update Manager,併發佈 Runbook。
Runbook 支援 PowerShell 5.1。
將 Runbook 的詳細資訊記錄設定為 True。
執行 Runbook 並傳遞必要的參數,例如 AutomationAccountResourceId、UserManagedServiceIdentityClientId 等。
您可以從自動化帳戶>屬性擷取 AutomationAccountResourceId。
您可以從自動化帳戶>識別使用者指派的>身分>識別>屬性>用戶端標識符擷取 UserManagedServiceIdentityClientId。
將 EnablePeriodicAssessmentForMachinesOnboardedToUpdateManagement 設定為 TRUE,將會在所有上線至自動化更新管理的電腦上啟用定期評估屬性。
將 MigrateUpdateSchedulesAndEnablePeriodicAssessmentonLinkedMachines 設定為 TRUE 會將自動化更新管理中的所有更新排程移轉至 Azure Update Manager,也會在所有連結至這些排程的計算機上,將定期評定屬性設為 True 。
您必須指定 ResourceGroupForMaintenanceConfigurations ,其中會建立 Azure Update Manager 中的所有維護設定。 如果您提供新的名稱,則會在建立所有維護組態的地方建立資源群組。 不過,如果您提供資源群組已經存在的名稱,則會在現有的資源群組中建立所有維護組態。
檢查 Azure Runbook 記錄,以取得 SUC 的執行狀態和移轉狀態。
後端中的 Runbook 作業
Runbook 的移轉會執行下列工作:
- 在所有電腦上啟用定期評量。
- 自動化帳戶中的所有排程都會移轉至 Azure Update Manager,並針對每個排程建立對應的維護設定,並具有相同的屬性。
關於腳本
以下是移轉文稿的行為:
檢查名稱為輸入的資源群組是否已經存在於自動化帳戶的訂用帳戶中。 如果沒有,請以客戶指定的名稱建立資源群組。 此資源群組用於建立 V2 的 MRP 設定。
Azure Update Manager 中無法使用 RebootOnly 設定。 不會移轉具有 RebootOnly 設定的排程。
篩選出錯誤/已過期/布建/已停用狀態的 SUC,並將其標示為 「未移轉」,並列印指出這類 SUC 未移轉的適當記錄。
組態指派名稱是字串,格式 為 AUMMig_AAName_SUCName
找出是否已透過檢查 Azure Resource Graph,將此動態範圍指派給維護設定。 如果未指派,則只會以AUMMig_ AAName_SUCName_SomeGUID格式指派指派。
針對已設定前置/張貼工作的排程,腳本會在前置/張貼工作和事件方格訂用帳戶中建立 Runbook 的自動化 Webhook,以用於前置/后維護事件。 如需詳細資訊,請參閱 Azure 更新管理員中的前置/張貼運作方式
摘要的記錄集會列印至輸出數據流,以提供計算機和 SUC 的整體狀態。
詳細記錄會列印至詳細信息數據流。
移轉後,軟體更新組態可以有下列四種移轉狀態之一:
- MigrationFailed
- PartiallyMigrated
- NotMigrated
- 遷移
下表顯示與每個移轉狀態相關聯的案例。
| MigrationFailed | PartiallyMigrated | NotMigrated | 遷移 |
|---|---|---|---|
| 無法建立軟體更新組態的維護設定。 | 無法套用 Patch-設定 的非零數目機器。 | 無法從 API 取得軟體更新組態,因為某些用戶端/伺服器錯誤,例如內部 服務錯誤。 | |
| 設定指派失敗的計算機數目非零。 | 軟體更新組態只會將重新啟動設定為重新啟動。 Azure 更新管理員目前不支援此功能。 | ||
| 無法解析無法對 Azure Resource Graph 執行查詢的非零數目動態查詢。 | |||
| 動態範圍設定指派失敗的非零數目。 | 軟體更新組態在 DB 中未成功布建狀態。 | ||
| 軟體更新組態具有已儲存的搜尋查詢。 | 軟體更新組態在 DB 中處於錯誤狀態。 | ||
| 軟體更新組態具有尚未成功移轉的前置/後置工作。 | 與軟體更新組態相關聯的排程已在移轉時過期。 | ||
| 已停用與軟體更新組態相關聯的排程。 | |||
| 移轉軟體更新組態時未處理的例外狀況。 | 無法套用 Patch-設定 的零部電腦。 And 設定指派失敗的零部計算機。 And 零動態查詢無法解析無法對 Azure Resource Graph 執行查詢。 And 零動態範圍設定指派失敗。 And 軟體更新組態有零個已儲存的搜尋查詢。 |
若要從上述數據表中找出案例/案例對應至軟體更新組態為何具有特定狀態,請查看詳細資訊/失敗/警告記錄,以取得錯誤碼和錯誤訊息。
您也可以使用更新排程的名稱進行搜尋,以取得其特定的記錄以進行偵錯。
步驟 2:從自動化更新管理解決方案取消上線
請遵循下列步驟:
從 Runbook 資源庫匯入移轉 Runbook。 從瀏覽資源庫搜尋 Azure 自動化更新,然後從 Azure 自動化 Update Management 匯入名為 Deboard 的移轉 Runbook 併發布 Runbook。
Runbook 支援 PowerShell 5.1。
將 Runbook 的詳細資訊記錄設定為 True 。
啟動 Runbook 並傳遞自動化帳戶ResourceId、UserManagedServiceIdentityClientId 等參數。
您可以從自動化帳戶>屬性擷取 AutomationAccountResourceId。
您可以從自動化帳戶>識別使用者指派的>身分>識別>屬性>用戶端標識符擷取 UserManagedServiceIdentityClientId。
檢查 Azure Runbook 記錄,以取得機器和排程的取消註冊狀態。
在後端取消撰寫文本作業
- 停用此自動化帳戶中所有軟體更新組態的所有基礎排程。 這樣做可確保未針對部分移轉至 V2 的 SUC 觸發 Patch-MicrosoftOMSComputers Runbook。
- 從 V1 中從自動化帳戶的已連結 Log Analytics 工作區中刪除 更新 解決方案。
- 已停用所有 SUC 的摘要記錄,以及從連結的記錄分析工作區移除更新解決方案的狀態也會列印至輸出數據流。
- 詳細記錄會列印在詳細信息數據流上。
移轉程式的圖說文字:
- 不會移轉非 Azure 儲存的搜尋查詢。
- 移轉和取消撰寫 Runbook 必須更新 Az.Modules 才能運作。
- 必要條件腳本會將 Az.Modules 更新為最新版本 8.0.0。
- MRP 排程的 StartTime 將等於軟體更新組態的 nextRunTime。
- 不會移轉來自Log Analytics的數據。
- 使用者受控識別 不支援 跨租使用者案例。
- Azure Update Manager 中無法使用 RebootOnly 設定。 不會移轉具有 RebootOnly 設定的排程。
- 針對週期,自動化排程每小時/每日/每周/每月排程支援介於 (1 到 100) 之間的值,而 Azure Update Manager 的維護組態支持小時/每周/每月的 6 到 35 之間,而每日/每週/每月的維護組態則支援介於 6 到 35 之間。
- 例如,如果自動化排程每 100 小時有一次週期,則相等的維護設定排程會針對每 100/24 = 4.16 (四捨五入到最接近的值) -> 四天會是維護設定的週期。
- 例如,如果自動化排程每隔 1 小時重複一次,則對等的維護設定排程會每隔 6 小時進行一次。
- 針對每周和每日套用相同的慣例。
- 如果自動化排程的每日週期為 100 天,則 100/7 = 14.28 (四捨五入至最接近值) -> 14 周將是維護設定排程的週期。
- 如果自動化排程的每周週期為 100 周,則 100/4.34 = 23.04 (四捨五入至最接近值) -> 23 個月將是維護設定排程的週期。
- 如果自動化排程應該每 100 周遞歸一次,而且必須在星期五執行。 當轉譯為維護組態時,每23個月(100/4.34)。 但 Azure 更新管理員中沒有辦法表示,該月的所有星期五每 23 個月執行一次,因此不會移轉排程。
- 如果自動化排程的週期超過 35 個月,則在維護設定中,它一律會有 35 個月的週期。
- SUC 支援維護時段的 30 分鐘到 6 小時。 MRP 支援 1 小時 30 分鐘到 4 小時。
- 例如,如果 SUC 的維護期間為 30 分鐘,則對等的 MRP 排程將會有 1 小時 30 分鐘的時間。
- 例如,如果 SUC 的維護期間為 6 小時,則對等的 MRP 排程將會有 4 小時的時間。
- 當移轉 Runbook 執行多次時,假設您確實移轉所有自動化排程,然後再次嘗試移轉所有排程,然後移轉 Runbook 會執行相同的邏輯。 如果 SUC 中有任何新的變更,請再次進行更新 MRP 排程。 它不會進行重複的設定指派。 此外,只有啟用排程的自動化排程才會進行作業。 如果 SUC 先前已 移轉 ,則會在下一回合略過,因為其基礎排程將會 停用。
- 最後,您可以在 Azure Update Manager 中解析更多來自 Azure Resource Graph 的電腦;您無法檢查混合式 Runbook 背景工作角色是否報告,與自動化更新管理不同,這是動態查詢和混合式 Runbook 背景工作角色的交集。
手動移轉指引
以下資料表提供移動各種功能的指導:
| S.No | 功能 | 自動化更新管理 | Azure 更新管理員 | 使用 Azure 入口網站的步驟 | 使用 API/腳本的步驟 |
|---|---|---|---|---|---|
| 1 | Off-Azure 機器的修補程式管理。 | 可以搭配或不使用 Arc 連線來執行。 | Azure Arc 是非 Azure 機器的必要條件。 | 1. 建立服務主體 2。 產生安裝腳本 3。 安裝代理程式並連線到 Azure |
1. 建立服務主體 2. 產生安裝腳本 3。 安裝代理程式並連線到 Azure |
| 2 | 啟用定期評定,每隔幾小時自動檢查最新更新。 | Windows 機器會自動每隔 12 小時收到最新更新,Linux 機器為每隔 3 小時一次。 | 定期評定是機器上的更新設定。 如果開啟,更新管理員會每隔 24 小時擷取機器的更新,並顯示最新的更新狀態。 | 1. 單一計算機 2。 縮放 比例為 3。 使用原則大規模 |
1. 適用於 Azure VM 2。針對已啟用 Arc 的 VM |
| 3 | 靜態更新部署排程 (更新部署的機器靜態清單)。 | 自動化更新管理有自己的排程。 | Azure Update Manager 會 建立排程的維護 設定物件。 因此,您需要建立此物件,將所有排程設定從自動化更新管理複製到 Azure 更新管理員排程。 | 1. 單一 VM 2。 縮放 比例為 3。 使用原則大規模 |
建立靜態範圍 |
| 4 | 動態更新部署排程 (使用資源群組、標籤等定義在執行階段動態評估的機器範圍)。 | 與靜態更新排程相同。 | 與靜態更新排程相同。 | 新增動態範圍 | 建立動態範圍 |
| 5 | 從 Azure 自動化更新管理中登出。 | 完成步驟 1、2 和 3 之後,您需要清理 Azure 更新管理物件。 | 移除更新管理解決方案 |
NA | |
| 6 | 報表 | 使用 Log Analytics 查詢自訂更新報告。 | 更新資料會儲存在 Azure Resource Graph (ARG) 中。 客戶可以查詢 ARG 資料,以建置自訂儀表板、活頁簿等。 | 您可以存取儲存在 Log Analytics 中的舊自動化更新管理資料,但無法佈建將資料移至 ARG。 您可以撰寫 ARG 查詢,以存取透過 Azure 更新管理員修補虛擬機器之後,儲存至 ARG 的資料。 使用 ARG 查詢,您可以使用下列指示來建置儀錶板和活頁簿: 1。 Azure Resource Graph 的記錄結構會更新數據 2。 ARG 查詢 範例 3。 建立活頁簿 |
NA |
| 7 | 使用前置和後置指令碼自訂工作流程。 | 作為自動化 Runbook 提供。 | 建議您嘗試在非生產計算機上預先和張貼腳本的公開預覽,並在功能進入正式運作之後,在生產工作負載上使用此功能。 | 管理預先和張貼事件 (預覽) 和 教學課程:使用 Webhook 搭配自動化建立預先和張貼事件 | |
| 8 | 根據環境的更新資料建立警示 | 您可以在 Log Analytics 中儲存的更新資料上設定警示。 | 建議您試用非生產計算機上警示的公開預覽,並在功能進入正式運作之後,在生產工作負載上使用此功能。 | 建立警示 (預覽) |