Jak nasadit aktualizace a zkontrolovat výsledky

Upozornění

Tento článek odkazuje na CentOS, linuxovou distribuci, která se blíží stavu Konec životnosti (EOL). Zvažte své použití a plánování odpovídajícím způsobem. Další informace najdete v doprovodných materiálech CentOS End Of Life.

Tento článek popisuje, jak naplánovat nasazení aktualizace a zkontrolovat proces po dokončení nasazení. Nasazení aktualizací můžete nakonfigurovat z vybraného virtuálního počítače Azure, z vybraného serveru s podporou Služby Azure Arc nebo z účtu Automation na všech nakonfigurovaných počítačích a serverech.

V každém scénáři vytvoříte nasazení, které cílí na vybraný počítač nebo server, nebo v případě vytvoření nasazení z vašeho účtu Automation můžete cílit na jeden nebo více počítačů. Když plánujete nasazení aktualizací z virtuálního počítače Azure nebo serveru s podporou Azure Arc, postup je stejný jako nasazení z vašeho účtu Automation s následujícími výjimkami:

• Operační systém je automaticky předem vybraný na základě operačního systému počítače.
• Cílový počítač, který se má aktualizovat, je nastavený tak, aby se automaticky cílil.

Důležité

Vytvořením nasazení aktualizací přijímáte podmínky licenčních podmínek pro software (EULA) poskytovaných společností nabízejícími aktualizace operačního systému.

Přihlaste se k portálu Azure Portal.

Přihlaste se k portálu Azure Portal.

Naplánování nasazení aktualizace

Plánování nasazení aktualizací vytvoří prostředek plánu propojený s runbookem Patch-MicrosoftOMSComputers , který zpracovává nasazení aktualizací na cílovém počítači nebo počítačích. Pokud chcete nainstalovat aktualizace, musíte naplánovat nasazení, které se řídí plánem vydání a oknem služby. Můžete zvolit typy aktualizací, které se mají zahrnout do nasazení. Můžete například zahrnout důležité aktualizace nebo aktualizace zabezpečení a vyloučit kumulativní aktualizace.

Poznámka:

Pokud odstraníte prostředek plánu z webu Azure Portal nebo použijete PowerShell po vytvoření nasazení, odstranění přeruší nasazení naplánované aktualizace a při pokusu o překonfigurování prostředku plánu z portálu se zobrazí chyba. Prostředek plánu můžete odstranit pouze odstraněním odpovídajícího plánu nasazení.

Pokud chcete naplánovat nové nasazení aktualizací, proveďte následující kroky. V závislosti na vybraném prostředku (tj. účtu Automation, serveru s podporou Azure Arc, virtuálního počítače Azure) platí následující postup pro všechny s drobnými rozdíly při konfiguraci plánu nasazení.

1. Na portálu naplánujte nasazení pro:

   • Jeden nebo více počítačů, přejděte na účty Automation a ze seznamu vyberte svůj účet Automation s povolenou službou Update Management.
   • U virtuálního počítače Azure přejděte na virtuální počítače a ze seznamu vyberte svůj virtuální počítač.
   • V případě serveru s podporou Azure Arc přejděte na Servery – Azure Arc a ze seznamu vyberte svůj server.

2. V závislosti na vybraném prostředku přejděte do řešení Update Management:

   • Pokud jste vybrali svůj účet Automation, přejděte do řešení Update Management v části Správa aktualizací a pak vyberte Naplánovat nasazení aktualizací.
   • Pokud jste vybrali virtuální počítač Azure, přejděte na Aktualizace hosta a hostitele a pak vyberte Přejít do řešení Update Management.
   • Pokud jste vybrali server s podporou Služby Azure Arc, přejděte do řešení Update Management a pak vyberte Naplánovat nasazení aktualizací.

3. V části Nové nasazení aktualizace zadejte do pole Název jedinečný název pro vaše nasazení.

4. Vyberte operační systém, na který chcete cílit pro nasazení aktualizace.

   Poznámka:

   Tato možnost není dostupná, pokud jste vybrali virtuální počítač Azure nebo server s podporou Azure Arc. Operační systém se automaticky identifikuje.

5. V části Skupiny, které mají aktualizovat oblast, definujte dotaz, který kombinuje předplatné, skupiny prostředků, umístění a značky pro sestavení dynamické skupiny virtuálních počítačů Azure, které se mají zahrnout do vašeho nasazení. Další informace najdete v tématu Použití dynamických skupin s řešením Update Management.

   Poznámka:

   Tato možnost není dostupná, pokud jste vybrali virtuální počítač Azure nebo server s podporou Azure Arc. Počítač se automaticky zaměřuje na plánované nasazení.

   Důležité

   Při vytváření dynamické skupiny virtuálních počítačů Azure update Management podporuje maximálně 500 dotazů, které kombinují předplatná nebo skupiny prostředků v oboru skupiny.

6. V oblasti Počítače, které chcete aktualizovat , vyberte uložené vyhledávání, importovanou skupinu nebo v rozevírací nabídce vyberte Počítače a vyberte jednotlivé počítače. Díky této možnosti uvidíte připravenost agenta Log Analytics pro každý počítač. Informace o různých metodách vytváření skupin počítačů v protokolech služby Azure Monitor najdete v tématu Skupiny počítačů v protokolech služby Azure Monitor. Do naplánovaného nasazení aktualizací můžete zahrnout až 1 000 počítačů.

   Poznámka:

   Tato možnost není dostupná, pokud jste vybrali virtuální počítač Azure nebo server s podporou Azure Arc. Počítač se automaticky zaměřuje na plánované nasazení.

7. Oblast klasifikace aktualizací slouží k určení klasifikací aktualizací pro produkty. U každého produktu zrušte výběr všech podporovaných klasifikací aktualizací, ale těch, které chcete zahrnout do nasazení aktualizací.

   

   Pokud má vaše nasazení použít jenom vybranou sadu aktualizací, je nutné při konfiguraci možnosti Zahrnout nebo vyloučit aktualizace zrušit výběr všech předem vybraných klasifikací aktualizací, jak je popsáno v dalším kroku. Tím se zajistí, že se na cílových počítačích nainstalují jenom aktualizace, které jste zadali pro zahrnutí do tohoto nasazení.

   Poznámka:

   Nasazení aktualizací podle klasifikace aktualizací nefunguje ve verzích RTM CentOS. Pokud chcete správně nasadit aktualizace pro CentOS, vyberte všechny klasifikace, abyste měli jistotu, že jsou aktualizace použity. V současné době neexistuje žádná podporovaná metoda povolení nativní dostupnosti klasifikačních dat v CentOS. Další informace o klasifikacích aktualizací najdete v následujícím článku.

   Poznámka:

   Nasazení aktualizací podle klasifikace aktualizací nemusí správně fungovat pro distribuce Linuxu podporované řešením Update Management. Jedná se o výsledek problému zjištěného se schématem pojmenování souboru OVAL, což brání službě Update Management v správné shodě klasifikací na základě pravidel filtrování. Vzhledem k jiné logice používané v posouzeních aktualizací zabezpečení se výsledky můžou lišit od aktualizací zabezpečení použitých během nasazování. Pokud máte klasifikaci nastavenou jako Kritická a Zabezpečení, nasazení aktualizací bude fungovat podle očekávání. Ovlivněna je pouze klasifikace aktualizací během posouzení.

   Update Management pro počítače s Windows Serverem nemá vliv; klasifikace aktualizací a nasazení se nemění.

8. Pomocí oblasti Zahrnout nebo vyloučit aktualizace můžete přidat nebo vyloučit vybrané aktualizace z nasazení. Na stránce Zahrnout/Vyloučit zadáte čísla ID článku znalostní báze, která chcete zahrnout nebo vyloučit pro aktualizace Windows. U podporovaných distribucí Linuxu zadáte název balíčku.

   

   Důležité

   Nezapomeňte, že vyloučení přepíší zahrnutí. Pokud například definujete pravidlo *vyloučení , Update Management vyloučí z instalace všechny opravy nebo balíčky. Vyloučené opravy se stále zobrazují jako chybějící v počítačích. Pokud pro počítače s Linuxem zahrnete balíček, který obsahuje závislý balíček, který je vyloučený, Update Management nenainstaluje hlavní balíček.

   Poznámka:

   Nemůžete určit aktualizace, které byly nahrazeny tak, aby zahrnovaly do nasazení aktualizace.

   Tady je několik ukázkových scénářů, které vám pomůžou pochopit, jak používat zahrnutí a vyloučení a klasifikaci aktualizací současně v nasazeních aktualizací:

   • Pokud chcete nainstalovat jenom určitý seznam aktualizací, neměli byste vybrat žádné klasifikace aktualizací a zadat seznam aktualizací, které se mají použít pomocí možnosti Zahrnout .

   • Pokud chcete nainstalovat pouze aktualizace zabezpečení a důležité aktualizace spolu s jednou nebo více volitelnými aktualizacemi, měli byste v části Klasifikace aktualizací vybrat zabezpečení a kritické. Potom u možnosti Zahrnout zadejte identifikátory KBID pro volitelné aktualizace.

   • Pokud chcete nainstalovat pouze aktualizace zabezpečení a kritické aktualizace, ale přeskočte jednu nebo více aktualizací pro Python, abyste zabránili porušení starší verze aplikace, měli byste v části Klasifikace aktualizací vybrat zabezpečení a kritické. Potom pro možnost Vyloučit přidejte balíčky Pythonu, které chcete přeskočit.

9. Vyberte Nastavení plánu. Výchozí čas spuštění je 30 minut po aktuálním čase. Čas spuštění můžete nastavit na jakýkoli čas minimálně 10 minut po aktuálním čase.

10. Pomocí opakování určete, jestli se nasazení provádí jednou nebo používá opakovaný plán, a pak vyberte OK.

11. V oblasti Pre-scripts + Post-scripts vyberte skripty, které se mají spustit před a po nasazení. Další informace najdete v tématu Správa předzálohovacích skriptů a po skriptů.

12. Pole Časové období údržby (minuty) slouží k zadání doby, po kterou se mají aktualizace instalovat. Při zadávání okna údržby zohledněte následující údaje:

    • Časové intervaly údržby určují počet nainstalovaných aktualizací.
    • Pokud je dalším krokem aktualizačního procesu instalace aktualizace Service Pack, musí v časovém období údržby zůstat 20 minut, jinak dojde k přeskočení příslušné aktualizace.
    • Pokud je dalším krokem aktualizačního procesu instalace jakékoli jiné aktualizace než Service Pack, musí v časovém období údržby zůstat 15 minut, jinak dojde k přeskočení příslušné aktualizace.
    • Pokud je dalším krokem aktualizačního procesu restartování, musí v časovém období údržby zůstat 10 minut, jinak se restartování přeskočí.
    • Update Management nezastaví instalaci nových aktualizací v případě, že se blíží konec časového období údržby.
    • Update Management neukončí probíhající aktualizace, pokud dojde k překročení časového období údržby. Nedojde k pokusu o instalaci žádných zbývajících aktualizací, které se mají nainstalovat. Pokud k této chybě dochází konzistentně, měli byste přehodnotit dobu trvání časového období údržby.
    • Pokud je ve Windows překročeno časové období údržby, je to často způsobeno tím, že instalace aktualizace Service Pack trvá dlouhou dobu.

    Poznámka:

    Aby se zabránilo instalaci aktualizací mimo časové období údržby v Ubuntu, překonfigurujte Unattended-Upgrade balíček tak, aby zakázal automatické aktualizace. Informace o konfiguraci balíčku naleznete v tématu Automatické aktualizace v Příručce k Ubuntu Serveru.

13. Pomocí pole Možnosti restartování určete způsob zpracování restartování během nasazování. Existují tyto možnosti:

    • V případě potřeby restartujte (výchozí)
    • Vždy restartovat
    • Nikdy nerestartovat
    • Pouze restartovat; tato možnost neinstaluje aktualizace.

    Poznámka:

    Klíče registru uvedené v části Klíče registru používané ke správě restartování můžou způsobit událost restartování, pokud jsou možnosti restartování nastaveny na Nikdy restartovat.

14. Po dokončení konfigurace plánu nasazení vyberte Vytvořit.

    

    Poznámka:

    Po dokončení konfigurace plánu nasazení pro vybraný server s podporou Služby Azure Arc vyberte Zkontrolovat a vytvořit.

15. Vrátíte se na řídicí panel stavu. Vyberte Plány nasazení a zobrazte plán nasazení, který jste vytvořili. Zobrazí se maximálně 500 plánů. Pokud máte více než 500 plánů a chcete zkontrolovat úplný seznam, podívejte se na metodu Rozhraní REST API pro aktualizace softwaru. Zadejte rozhraní API verze 2019-06-01 nebo vyšší.

Naplánování nasazení aktualizací prostřednictvím kódu programu

Informace o vytvoření nasazení aktualizací pomocí rozhraní REST API najdete v tématu Konfigurace aktualizací softwaru – Vytvoření.

Ukázkový runbook můžete použít k vytvoření týdenního nasazení aktualizací. Další informace o tomto runbooku najdete v tématu Vytvoření týdenního nasazení aktualizací pro jeden nebo více virtuálních počítačů ve skupině prostředků.

Kontrola stavu nasazení

Po spuštění naplánovaného nasazení se jeho stav zobrazí na kartě Historie v části Správa aktualizací. Pokud je nasazení aktuálně spuštěné, jeho stav je Probíhá. Po úspěšném dokončení nasazení se stav změní na Úspěch. Pokud dojde k selháním s jednou nebo více aktualizacemi v nasazení, stav se nezdařil.

Zobrazení výsledků dokončeného nasazení aktualizace

Po dokončení nasazení ho můžete vybrat a zobrazit jeho výsledky.

V části Výsledky aktualizací je souhrn celkového počtu aktualizací a výsledků nasazení na cílových virtuálních počítačích. V tabulce vpravo je podrobný rozpis aktualizací a výsledky instalace pro každou z nich.

Dostupné hodnoty jsou:

• Nepokoušel se – Aktualizace nebyla nainstalována, protože na základě definované doby trvání časového období údržby nebyla k dispozici dostatek času.
• Není vybraná – aktualizace nebyla vybrána pro nasazení.
• Úspěšné – aktualizace byla úspěšná.
• Nezdařilo se – aktualizace se nezdařila.

Výběrem možnosti Všechny protokoly zobrazíte všechny položky protokolu, které nasazení vytvořilo.

Výběrem možnosti Výstup zobrazíte datový proud úlohy runbooku zodpovědného za správu nasazení aktualizací na cílových virtuálních počítačích.

Výběrem možnosti Chyby zobrazíte podrobné informace o případných chybách tohoto nasazení.

Nasazení aktualizací napříč tenanty Azure

Pokud máte počítače, které potřebují opravy v jiných sestavách tenantů Azure do řešení Update Management, musíte k jejich naplánování použít následující alternativní řešení. K vytvoření plánu můžete použít rutinu New-AzAutomationSchedule se ForUpdateConfiguration zadaným parametrem. Můžete použít rutinu New-AzAutomationSoftwareUpdateConfiguration a předat do parametru NonAzureComputer počítače v druhém tenantovi. Následující příklad ukazuje, jak to provést.

$nonAzurecomputers = @("server-01", "server-02")

$startTime = ([DateTime]::Now).AddMinutes(10)

$sched = New-AzAutomationSchedule `
    -ResourceGroupName mygroup `
    -AutomationAccountName myaccount `
    -Name myupdateconfig `
    -Description test-OneTime `
    -OneTime `
    -StartTime $startTime `
    -ForUpdateConfiguration

New-AzAutomationSoftwareUpdateConfiguration  `
    -ResourceGroupName $rg `
    -AutomationAccountName <automationAccountName> `
    -Schedule $sched `
    -Windows `
    -NonAzureComputer $nonAzurecomputers `
    -Duration (New-TimeSpan -Hours 2) `
    -IncludedUpdateClassification Security,UpdateRollup `
    -ExcludedKbNumber KB01,KB02 `
    -IncludedKbNumber KB100

Další kroky

• Informace o vytváření výstrah, které vás upozorní na výsledky nasazení aktualizací, najdete v tématu Vytváření upozornění pro Řešení Update Management.
• Pokud chcete vyřešit obecné chyby řešení Update Management, přečtěte si téma Řešení potíží s řešením Update Management.