Přehled Update Managementu
Upozornění
Tento článek odkazuje na CentOS, linuxovou distribuci, která se blíží stavu Konec životnosti (EOL). Zvažte své použití a plánování odpovídajícím způsobem. Další informace najdete v doprovodných materiálech CentOS End Of Life.
Důležité
- Azure Automation Update Management bude 31. srpna 2024 vyřazena. Postupujte podle pokynů pro migraci do Azure Update Manageru.
- Agent Azure Log Analytics, označovaný také jako Microsoft Monitoring Agent (MMA), bude vyřazen v srpnu 2024. Řešení Azure Automation Update Management spoléhá na tohoto agenta a může narazit na problémy, když se agent vyřadí, protože nefunguje s agentem monitorování Azure (AMA). Proto pokud používáte řešení Azure Automation Update Management, doporučujeme přejít do Azure Update Manageru pro potřeby aktualizací softwaru. Všechny možnosti řešení Azure Automation Update Management budou k dispozici v Azure Update Manageru před datem vyřazení. Podle pokynů přesuňte počítače a plány ze služby Automation Update Management do Azure Update Manageru.
Update Management ve službě Azure Automation můžete použít ke správě aktualizací operačního systému pro virtuální počítače s Windows a Linuxem v Azure a fyzické nebo virtuální počítače v místních prostředích a v jiných cloudových prostředích. Můžete rychle vyhodnotit stav dostupných aktualizací a spravovat proces instalace požadovaných aktualizací pro počítače, které se hlásí v Update Managementu.
Jako poskytovatel služeb jste možná do služby Azure Lighthouse onboardovali tenanty několika zákazníků. Řešení Update Management se dá použít k posouzení a plánování nasazení aktualizací na počítače v několika předplatných ve stejném tenantovi Microsoft Entra nebo napříč tenanty pomocí Služby Azure Lighthouse.
Microsoft nabízí další možnosti, které vám pomůžou spravovat aktualizace pro virtuální počítače Azure nebo škálovací sady virtuálních počítačů Azure. Měli byste je zvážit v rámci celkové strategie správy aktualizací.
Pokud vás zajímá automatické posuzování a aktualizace virtuálních počítačů Azure, abyste zachovali dodržování předpisů zabezpečení s důležitými aktualizacemi a aktualizacemi zabezpečení vydané každý měsíc, zkontrolujte automatické opravy hosta virtuálního počítače. Jde o alternativní řešení správy aktualizací pro virtuální počítače Azure, které umožňuje jejich automatickou aktualizaci mimo špičku, včetně virtuálních počítačů v rámci skupiny dostupnosti, v porovnání se správou nasazení aktualizací do těchto virtuálních počítačů z Update Managementu ve službě Azure Automation.
Pokud spravujete škálovací sady virtuálních počítačů Azure, přečtěte si, jak provádět automatické upgrady imagí operačního systému, abyste mohli bezpečně a automaticky upgradovat disk s operačním systémem pro všechny instance ve škálovací sadě.
Před nasazením řešení Update Management a povolením správy počítačů se ujistěte, že rozumíte informacím v následujících částech.
Informace o řešení Update Management
Následující diagram znázorňuje, jak Update Management posuzuje a aplikuje aktualizace zabezpečení na všechny připojené servery s Windows Serverem a Linuxem.
Update Management se integruje s protokoly služby Azure Monitor a ukládá výsledky vyhodnocení aktualizací a výsledky nasazení aktualizací jako data protokolů z přiřazených počítačů Azure a počítačů mimo Azure. Ke shromažďování těchto dat jsou účet Automation a pracovní prostor služby Log Analytics propojené dohromady a agent Log Analytics pro Windows a Linux se vyžaduje na počítači a konfiguruje pro sestavy do tohoto pracovního prostoru.
Update Management podporuje shromažďování informací o aktualizacích systému z agentů ve skupině pro správu system Center Operations Manageru připojené k pracovnímu prostoru. Počítač zaregistrovaný ve službě Update Management ve více než jednom pracovním prostoru služby Log Analytics (označovaný také jako multihoming) se nepodporuje.
Následující tabulka shrnuje podporované připojené zdroje pomocí řešení Update Management.
| Připojený zdroj | Podporováno | Popis |
|---|---|---|
| Windows | Ano | Update Management shromažďuje informace o aktualizacích systému z počítačů s Windows pomocí agenta Log Analytics a instalace požadovaných aktualizací. Počítače musí hlásit službu Microsoft Update nebo windows Server Update Services (WSUS). |
| Linux | Ano | Update Management shromažďuje informace o aktualizacích systému z počítačů s Linuxem pomocí agenta Log Analytics a instalace požadovaných aktualizací v podporovaných distribucích. Počítače musí hlásit místní nebo vzdálené úložiště. |
| Skupina pro správu Operations Manageru | Ano | Update Management shromažďuje informace o aktualizacích softwaru z agentů v připojené skupině pro správu. Přímé připojení z agenta Operations Manageru k protokolům služby Azure Monitor se nevyžaduje. Data protokolu se předávají ze skupiny pro správu do pracovního prostoru služby Log Analytics. |
Počítače přiřazené k řešení Update Management hlásí svou aktuálnost podle toho, s jakým zdrojem mají nakonfigurovanou synchronizaci. Počítače s Windows musí být nakonfigurované tak, aby hlásily buď službě Windows Server Update Services , nebo službě Microsoft Update, a počítače s Linuxem musí být nakonfigurované tak, aby se hlásily do místního nebo veřejného úložiště. Můžete také použít řešení Update Management s Configuration Managerem. Další informace najdete v tématu Integrace řešení Update Management s Windows Configuration Managerem.
Pokud je agent služby Windows Update (WUA) na počítači s Windows nakonfigurovaný tak, aby se hlásil ve službě WSUS, v závislosti na času poslední synchronizace služby WSUS s Microsoft Update se výsledky můžou lišit od toho, co ukazuje Microsoft Update. Toto chování je stejné u počítačů s Linuxem, které jsou nakonfigurované tak, aby se hlásily v místním úložišti, a ne ve veřejném úložišti. Na počítačích s Windows se kontrola dodržování předpisů ve výchozím nastavení provádí každých 12 hodin. Na počítačích s Linuxem se kontrola dodržování předpisů ve výchozím nastavení provádí každou hodinu. Pokud se agent Log Analytics restartuje, během 15 minut se spustí kontrola dodržování předpisů. Jakmile se na počítači dokončí kontrola dodržování předpisů pro aktualizace, agent tyto informace hromadně přesměruje do protokolů služby Azure Monitor.
Na počítače, které vyžadují aktualizace softwaru, můžete tyto aktualizace nasadit a nainstalovat tak, že vytvoříte naplánované nasazení. Aktualizace klasifikovaná jako Volitelné nejsou zahrnuté v oboru nasazení pro počítače s Windows. Obor nasazení zahrnuje pouze požadované aktualizace.
Naplánované nasazení definuje, které cílové počítače obdrží příslušné aktualizace. Provede to buď explicitním zadáním určitých počítačů, nebo výběrem skupiny počítačů, která je založená na prohledávání protokolu konkrétní sady počítačů (nebo na základě dotazu Azure, který dynamicky vybírá virtuální počítače Azure na základě zadaných kritérií). Tyto skupiny se liší od konfigurace oboru, která slouží k řízení cílení počítačů, které obdrží konfiguraci pro povolení řešení Update Management. To jim brání v provádění a hlášení výsledků kontroly dodržování předpisů pro aktualizace a instalaci schválených požadovaných aktualizací.
Při definování nasazení se také určuje plán pro schválení a nastavuje časové období, během kterého se můžou instalovat aktualizace. Toto období se označuje jako časové období údržby. 10minutové rozpětí časového období údržby je vyhrazené pro restartování, za předpokladu, že je potřeba a vy jste vybrali příslušnou možnost restartování. Pokud oprava trvá déle, než se čekalo, a časové období údržby je méně než 10 minut, k restartování nedojde.
Po naplánování nasazení balíčku aktualizací trvá aktualizace 2 až 3 hodiny, než se aktualizace zobrazí pro počítače s Linuxem pro posouzení. U počítačů s Windows trvá aktualizace po vydání 12 až 15 hodin, než se aktualizace zobrazí pro posouzení. Před instalací aktualizací a po ní se provede kontrola dodržování předpisů pro aktualizace a výsledky s daty protokolu se přesměrují do pracovního prostoru.
Aktualizace se instalují po sadách runbook službou Azure Automation. Tyto runbooky není možné zobrazit a nevyžadují žádnou konfiguraci. Při vytvoření nasazení aktualizací se vytvoří plán, který v zadanou dobu spustí hlavní runbook aktualizace pro zahrnuté počítače. Hlavní runbook na každém agentovi spustí podřízený runbook, který zahájí instalaci požadovaných aktualizací pomocí agenta služby Windows Update ve Windows nebo příslušného příkazu v podporované distribuci Linuxu.
V den a čas, který zadáte v nasazení aktualizací, spustí cílové počítače paralelně nasazení. Před instalací se provede kontrola za účelem ověření, jestli se dané aktualizace stále vyžadují. V případě klientských počítačů WSUS platí, že pokud aktualizace nejsou schválené ve WSUS, jejich nasazení selže.
Omezení
Omezení, která platí pro Řešení Update Management, najdete v tématu Omezení služby Azure Automation.
Oprávnění
K vytváření a správě nasazení aktualizací potřebujete konkrétní oprávnění. Další informace o těchto oprávněních najdete v tématu Přístup na základě role – Update Management.
Součásti řešení Update Management
Update Management používá prostředky popsané v této části. Tyto prostředky se při povolení řešení Update Management automaticky přidají do vašeho účtu Automation.
Skupiny Hybrid Runbook Worker
Po povolení řešení Update Management se každý počítač s Windows, který je přímo připojený k vašemu pracovnímu prostoru služby Log Analytics, automaticky nakonfiguruje jako systémový hybrid Runbook Worker pro podporu runbooků, které podporují Řešení Update Management.
Každý počítač s Windows spravovaný řešením Update Management je uvedený v podokně Skupiny Hybrid Worker jako skupina System Hybrid Worker pro účet Automation. Skupiny používají Hostname FQDN_GUID konvenci vytváření názvů. Tyto skupiny nemůžete cílit na runbooky ve vašem účtu. Pokud se pokusíte, pokus se nezdaří. Tyto skupiny jsou určeny pouze pro podporu řešení Update Management. Další informace o zobrazení seznamu počítačů s Windows nakonfigurovaných jako Hybrid Runbook Worker najdete v tématu Hybrid Runbook Worker.
Pokud používáte stejný účet pro Řešení Update Management a členství ve skupině Hybrid Runbook Worker, můžete počítač s Windows přidat do skupiny Hybrid Runbook Worker ve vašem účtu Automation. Tato funkce byla přidána ve verzi 7.2.12024.0 funkce Hybrid Runbook Worker.
Externí závislosti
Azure Automation Update Management závisí na následujících externích závislostech pro doručování aktualizací softwaru.
- Služba Windows Server Update Services (WSUS) nebo Microsoft Update je nutná pro balíčky aktualizací softwaru a pro kontrolu použitelnosti aktualizací softwaru na počítačích se systémem Windows.
- Klient agenta služba Windows Update (WUA) je vyžadován na počítačích se systémem Windows, aby se mohl připojit k serveru WSUS nebo ke službě Microsoft Update.
- Místní nebo vzdálené úložiště pro načtení a instalaci aktualizací operačního systému na počítačích s Linuxem.
Sady Management Pack
Následující sady Management Pack jsou nainstalované na počítačích spravovaných řešením Update Management. Pokud je vaše skupina pro správu Operations Manageru připojená k pracovnímu prostoru služby Log Analytics, sady Management Pack se nainstalují do skupiny pro správu Operations Manageru. Sady Management Pack nemusíte konfigurovat ani spravovat:
- Aktualizace Microsoft System Center Advisor Update Assessment Intelligence Pack (Microsoft.IntelligencePacks.UpdateAssessment)
- Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
- Update Deployment MP (Management Pack pro nasazení aktualizací)
Poznámka:
Pokud máte skupinu pro správu Operations Manageru 1807 nebo 2019 připojenou k pracovnímu prostoru služby Log Analytics s agenty nakonfigurovanými ve skupině pro správu ke shromažďování dat protokolu, musíte tento parametr IsAutoRegistrationEnabled přepsat a nastavit ho True v pravidle Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init .
Další informace oaktualizacích Připojení ch
Poznámka:
Aby Služba Update Management mohla plně spravovat počítače s agentem Log Analytics, musíte aktualizovat na agenta Log Analytics pro Windows nebo agenta Log Analytics pro Linux. Informace o tom, jak aktualizovat agenta, najdete v tématu Postup upgradu agenta Operations Manageru. V prostředích, která používají Operations Manager, musíte používat System Center Operations Manager 2012 R2 UR 14 nebo novější.
Frekvence shromažďování dat
Update Management kontroluje data spravovaných počítačů pomocí následujících pravidel. Zobrazení aktualizovaných dat ze spravovaných počítačů může trvat 30 minut až 6 hodin.
Každý počítač s Windows – Update Management pro každý počítač provede kontrolu dvakrát denně.
Každý počítač s Linuxem – Update Management provede kontrolu každou hodinu.
Průměrné využití dat v protokolech služby Azure Monitor pro počítač používající Řešení Update Management je přibližně 25 MB za měsíc. Tato hodnota je pouze aproximace a v závislosti na vašem prostředí se může změnit. Doporučujeme monitorovat vaše prostředí, abyste měli přehled o vašem přesném využití. Další informace o analýze využití dat protokolů služby Azure Monitor najdete v podrobnostech o cenách protokolů služby Azure Monitor.
Update classifications
Následující tabulka definuje klasifikace, které Update Management podporuje pro aktualizace systému Windows.
| Klasifikace | Popis |
|---|---|
| Důležité aktualizace | Aktualizace ke konkrétnímu problému, která řeší kritickou chybu nesouvisející s bezpečností. |
| Aktualizace zabezpečení | Aktualizace pro problém související se zabezpečením konkrétního produktu. |
| Kumulativní aktualizace | Kumulativní sada oprav hotfix, které jsou pro snazší nasazení spojeny do jednoho balíčku. |
| Balíčky funkcí | Nové funkce produktu, které se distribuují mimo vydání produktu. |
| Aktualizace Service Pack | Kumulativní sada oprav hotfix, které se zavádějí do aplikace. |
| Aktualizace definic | Aktualizace souborů definic virů nebo jiných definičních souborů. |
| Nástroje | Nástroj nebo funkce sloužící k provedení jedné či více úloh. |
| Aktualizace | Aktualizace momentálně nainstalované aplikace nebo souboru. |
Následující tabulka definuje podporované klasifikace pro aktualizace Linuxu.
| Klasifikace | Popis |
|---|---|
| Důležité aktualizace a aktualizace zabezpečení | Aktualizace pro konkrétní problém nebo problém související se zabezpečením konkrétního produktu. |
| Další aktualizace | Všechny ostatní aktualizace, které nejsou ze své podstaty kritické nebo které nejsou aktualizacemi zabezpečení. |
Poznámka:
Klasifikace aktualizací pro počítače s Linuxem je dostupná jenom v podporovaných oblastech veřejného cloudu Azure. Při používání řešení Update Management v následujících národních cloudových oblastech neexistuje žádná klasifikace aktualizací Pro Linux:
- Azure pro vládu USA
- 21Vianet v Číně
Místo klasifikace se aktualizace oznamují v kategorii Jiné aktualizace .
Update Management používá data publikovaná podporovanými distribucemi, konkrétně jejich vydané soubory OVAL (Open Vulnerability and Assessment Language). Vzhledem k tomu, že přístup k internetu je z těchto národních cloudů omezený, nemůže update Management přistupovat k souborům.
Logika klasifikace aktualizací Linuxu
Řešení Update Management klasifikuje aktualizace do tří kategorií: zabezpečení, kritické nebo jiné. Tato klasifikace aktualizací odpovídá datům ze dvou zdrojů:
- Soubory OVAL (Open Vulnerability and Assessment Language) poskytuje dodavatel distribuce Linuxu, který obsahuje data o problémech se zabezpečením nebo ohroženích zabezpečení, která opravují aktualizace.
- Správce balíčků na vašem počítači, jako je YUM, APT nebo ZYPPER.
Pro opravy update Management klasifikuje aktualizace do dvou kategorií: kritické a zabezpečení nebo jiné. Tato klasifikace aktualizací je založená výhradně na datech od správců balíčků, jako jsou YUM, APT nebo ZYPPER.
CentOS – Na rozdíl od ostatních distribucí centOS nemá data klasifikace dostupná ze správce balíčků. Pokud máte počítače CentOS nakonfigurované tak, aby vracely data zabezpečení pro následující příkaz, může Update Management provádět opravy na základě klasifikací.
sudo yum -q --security check-update
Poznámka:
V současné době neexistuje žádná podporovaná metoda povolení nativní dostupnosti klasifikačních dat v CentOS. V tuto chvíli poskytujeme omezenou podporu zákazníkům, kteří mohli tuto funkci povolit sami.
Redhat - Chcete-li klasifikovat aktualizace na Red Hat Enterprise verze 6, musíte nainstalovat modul plug-in zabezpečení YUM. V Red Hat Enterprise Linuxu 7 je tento modul plug-in již součástí samotného YUMu a není potřeba nic instalovat. Další informace najdete v následujícím článku ve znalostní bázi Red Hat.
Integrace řešení Update Management s Configuration Managerem
Zákazníci, kteří investovali do Microsoft Configuration Manageru pro správu počítačů, serverů a mobilních zařízení, také spoléhají na sílu a vyspělost Configuration Manageru, aby mohli spravovat aktualizace softwaru. Informace o integraci řešení Update Management s Configuration Managerem najdete v tématu Integrace řešení Update Management s nástrojem Windows Configuration Manager.
Aktualizace třetích stran ve Windows
Update Management spoléhá na místně nakonfigurované úložiště aktualizací k aktualizaci podporovaných systémů Windows, a to buď WSUS, nebo služba Windows Update. Nástroje, jako je System Center Aktualizace Publisher, umožňují importovat a publikovat vlastní aktualizace pomocí služby WSUS. Tento scénář umožňuje řešení Update Management aktualizovat počítače, které používají Configuration Manager jako úložiště aktualizací se softwarem třetích stran. Informace o konfiguraci Aktualizace Publisheru najdete v tématu Instalace Aktualizace Publisheru.
Aktualizace agenta Log Analytics pro Windows na nejnovější verzi
Update Management vyžaduje pro fungování agenta Log Analytics. Doporučujeme aktualizovat agenta Windows Log Analytics (označovaného také jako Agent microsoft Microsoft Monitoring Agent (MMA) na nejnovější verzi, abyste snížili ohrožení zabezpečení a využili výhod oprav chyb. Verze agenta Log Analytics starší než 10.20.18053 (bundle) a 1.0.18053.0 (rozšíření) používají starší metodu zpracování certifikátů, a proto se nedoporučuje. Starší agenti Windows Log Analytics se nemůžou připojit k Azure a Update Management by na nich přestali pracovat.
Agenta Log Analytics musíte aktualizovat na nejnovější verzi pomocí následujícího postupu:
Zkontrolujte aktuální verzi agenta Log Analytics pro váš počítač: Přejděte na instalační cestu – C:\ProgramFiles\Microsoft Monitoring Agent\Agent\Agent a kliknutím pravým tlačítkem na HealthService.exe zkontrolujte vlastnosti. Na kartě Podrobnosti pole Verze produktu poskytuje číslo verze agenta Log Analytics.
Pokud je vaše verze agenta Log Analytics starší než 10.20.18053 (sada) a 1.0.18053.0 (rozšíření), upgradujte na nejnovější verzi agenta Služby Log Analytics pro Windows podle těchto pokynů.
Poznámka:
Během procesu upgradu můžou plány správy aktualizací selhat. Pokud neexistuje žádný plánovaný plán, ujistěte se, že to uděláte.
Další kroky
Před povolením a používáním řešení Update Management zkontrolujte plánování nasazení řešení Update Management.
Projděte si nejčastější dotazy týkající se řešení Update Management v nejčastějších dotazech ke službě Azure Automation.