Správa aktualizací a oprav pro virtuální počítače

  • Článek

Upozornění

Tento článek odkazuje na CentOS, linuxovou distribuci, která se blíží stavu Konec životnosti (EOL). Zvažte své použití a plánování odpovídajícím způsobem. Další informace najdete v doprovodných materiálech CentOS End Of Life.

Aktualizace softwaru ve službě Azure Automation Update Management poskytují sadu nástrojů a prostředků, které pomáhají spravovat komplexní úlohu sledování a použití aktualizací softwaru na počítače v Azure a hybridním cloudu. Efektivní proces správy aktualizací softwaru je nezbytný k zajištění provozní efektivity, překonání problémů se zabezpečením a snížení rizik zvýšené kybernetické bezpečnosti. Vzhledem ke změně povahy technologií a neustálému vzhledu nových bezpečnostních hrozeb však efektivní správa aktualizací softwaru vyžaduje konzistentní a nepřetržitou pozornost.

Poznámka:

Update Management podporuje nasazení aktualizací první strany a jejich předběžné stažení. Tato podpora vyžaduje změny v aktualizovaných systémech. Informace o konfiguraci těchto nastavení v systémech najdete v tématu Konfigurace nastavení služba Windows Update pro Azure Automation Update Management.

Než se pokusíte spravovat aktualizace pro vaše virtuální počítače, ujistěte se, že jste na nich povolili Řešení Update Management pomocí jedné z těchto metod:

Omezení rozsahu nasazení

Update Management používá konfiguraci oboru v rámci pracovního prostoru k zacílení počítačů na příjem aktualizací. Další informace najdete v tématu Omezení rozsahu nasazení Update Management.

Posouzení dodržování předpisů

Než na počítače nasadíte aktualizace softwaru, zkontrolujte výsledky posouzení dodržování předpisů aktualizací pro povolené počítače. U každé aktualizace softwaru se její stav dodržování předpisů zaznamená a po dokončení vyhodnocení se shromažďuje a předává hromadně do protokolů služby Azure Monitor.

Na počítači s Windows se kontrola dodržování předpisů spouští ve výchozím nastavení každých 12 hodin a spustí se do 15 minut od restartování agenta Log Analytics pro Windows. Data posouzení se pak předávají do pracovního prostoru a aktualizují tabulku Aktualizace. Před a po instalaci aktualizace se provede kontrola kompatibility aktualizací, která identifikuje chybějící aktualizace, ale výsledky se nepoužívají k aktualizaci dat posouzení v tabulce.

Je důležité si projít naše doporučení týkající se konfigurace klienta služba Windows Update pomocí řešení Update Management, aby nedocházelo k problémům, které brání jeho správné správě.

Na počítačích s Linuxem se kontrola dodržování předpisů ve výchozím nastavení provádí každou hodinu. Pokud se agent Log Analytics pro Linux restartuje, zahájí se kontrola dodržování předpisů během 15 minut.

Výsledky dodržování předpisů se zobrazují ve službě Update Management pro každý vyhodnocený počítač. Zobrazení aktualizovaných dat z nového počítače s povolenou správou může trvat až 30 minut.

Projděte si monitorování aktualizací softwaru a zjistěte, jak zobrazit výsledky dodržování předpisů.

Nasazení aktualizací

Po kontrole výsledků dodržování předpisů je fáze nasazení aktualizace softwaru procesem nasazení aktualizací softwaru. Pokud chcete nainstalovat aktualizace, naplánujte nasazení, které je v souladu s plánem vydání a oknem služby. Můžete zvolit typy aktualizací, které budou součástí nasazení. Můžete například zahrnout důležité aktualizace nebo aktualizace zabezpečení a vyloučit kumulativní aktualizace.

Projděte si nasazení aktualizací softwaru a zjistěte, jak naplánovat nasazení aktualizací.

Vyloučení aktualizací

U některých variant Linuxu, jako je Red Hat Enterprise Linux, můžou probíhat upgrady na úrovni operačního systému prostřednictvím balíčků. To může vést ke spuštění řešení Update Management, ve kterém se změní číslo verze operačního systému. Vzhledem k tomu, že Update Management používá stejné metody k aktualizaci balíčků, které správce používá místně na počítači s Linuxem, je toto chování záměrné.

Pokud se chcete vyhnout aktualizaci verze operačního systému prostřednictvím nasazení Update Management, použijte funkci vyloučení .

V Systému Red Hat Enterprise Linux je název balíčku, který chcete vyloučit, je redhat-release-server.x86_64.

Klasifikace aktualizací Pro Linux

Když nasadíte aktualizace na počítač s Linuxem, můžete vybrat klasifikace aktualizací. Tato možnost filtruje aktualizace, které splňují zadaná kritéria. Tento filtr se použije místně na počítači při nasazení aktualizace.

Vzhledem k tomu, že Update Management provádí rozšiřování aktualizací v cloudu, můžete některé aktualizace ve službě Update Management označit jako ovlivněné zabezpečení, i když místní počítač tyto informace nemá. Pokud na počítač s Linuxem použijete důležité aktualizace, můžou se na tento počítač označit aktualizace, které nemají na tento počítač vliv na zabezpečení, a proto se nepoužijí. Update Management ale může i nadále hlásit tento počítač jako nekompatibilní, protože obsahuje další informace o příslušné aktualizaci.

Nasazení aktualizací podle klasifikace aktualizací nefunguje ve verzích RTM CentOS. Pokud chcete správně nasadit aktualizace pro CentOS, vyberte všechny klasifikace, abyste měli jistotu, že jsou aktualizace použity. V případě SUSE je nejprve potřeba vybrat pouze jiné aktualizace , protože klasifikace může nainstalovat některé další aktualizace zabezpečení, pokud souvisí se zypperem (správcem balíčků) nebo jeho závislostmi. Toto chování je omezením zypperu. V některých případech může být nutné znovu spustit nasazení aktualizace a ověřit nasazení prostřednictvím protokolu aktualizací.

Kontrola nasazení aktualizací

Po dokončení nasazení zkontrolujte proces a zjistěte úspěšnost nasazení aktualizací podle počítače nebo cílové skupiny. Podívejte se na stav nasazení a zjistěte, jak můžete monitorovat stav nasazení.

Další kroky