Sdílet prostřednictvím


Plánování nasazení řešení Update Management

Krok 1: Účet Automation

Update Management je funkce služby Azure Automation, a proto vyžaduje účet Automation. Můžete použít stávající účet Automation v rámci předplatného nebo vytvořit nový účet určený jenom pro Update Management bez dalších funkcí Automation.

Krok 2: Protokoly služby Azure Monitor

Správa aktualizací závisí na pracovním prostoru služby Log Analytics v nástroji Azure Monitor, který slouží k ukládání dat protokolů o stavu hodnocení a aktualizací shromážděných ze spravovaných počítačů. Integrace se službou Log Analytics také umožňuje podrobnou analýzu a upozorňování v Azure Monitoru. Můžete použít stávající pracovní prostor v rámci předplatného nebo vytvořit nový prostor určený jenom pro Update Management.

Pokud s protokoly Azure Monitoru a pracovním prostorem služby Log Analytics teprve začínáte, měli byste si projít průvodce návrhem nasazení pracovního prostoru služby Log Analytics.

Krok 3: Podporované operační systémy

Update Management podporuje konkrétní verze operačních systémů Windows Server a Linux. Před povolením řešení Update Management ověřte, že cílové počítače splňují požadavky na operační systém.

Krok 4: Agent Log Analytics

Agent Log Analytics pro Windows a Linux se vyžaduje pro podporu řešení Update Management. Tento agent se používá jak pro shromažďování dat, tak pro systémovou roli Hybrid Runbook Worker služby Automation. Podporuje runbooky Update Managementu používané ke správě hodnocení a nasazení aktualizací v počítači.

Pokud agent Log Analytics ještě není na virtuálních počítačích Azure nainstalovaný, po povolení řešení Update Management pro virtuální počítač se automaticky nainstaluje pomocí rozšíření Log Analytics pro Windows nebo Linux. Agent je nakonfigurovaný tak, aby se hlásil do pracovního prostoru služby Log Analytics propojeného s účtem Automation, ve kterém je povolený Update Management.

Na serverech nebo virtuálních počítačích jiných než Azure musí být nainstalovaný agent Log Analytics pro Windows nebo Linux a musí se hlásit do propojeného pracovního prostoru. Doporučujeme nainstalovat agenta Log Analytics pro Windows nebo Linux tak, že nejprve připojíte počítač k serverům s podporou Azure Arc a pak pomocí Azure Policy přiřadíte předdefinovanou definici zásady nasazení agenta Log Analytics do počítačů Azure Arc s Linuxem nebo Windows. Případně pokud plánujete monitorovat počítače pomocí VM Insights, použijte místo toho iniciativu Povolení Azure Monitoru pro virtuální počítače.

Pokud povolujete počítač, který je aktuálně spravovaný nástrojem Operations Manager, nový agent se nevyžaduje. Informace o pracovním prostoru se přidají do konfigurace agentů, když připojíte skupinu pro správu k pracovnímu prostoru služby Log Analytics.

Počítač zaregistrovaný ve službě Update Management ve více než jednom pracovním prostoru služby Log Analytics (označovaný také jako multihoming) se nepodporuje.

Krok 5: Plánování sítě

Pokud chcete připravit síť na podporu Update Managementu, budete možná muset nakonfigurovat některé součásti infrastruktury. Například otevřít porty brány firewall, abyste mohli předávat komunikaci používanou Update Managementem a Azure Monitorem.

Podrobné informace o portech, adresách URL a dalších podrobnostech o sítích požadovaných pro řešení Update Management, včetně role Hybrid Runbook Worker, najdete v tématu věnovaném konfiguraci sítě pro Azure Automation. Pokud se chcete zabezpečeně a privátně připojit ke službě Automation z virtuálních počítačů Azure, projděte si využití Azure Private Linku.

U počítačů s Windows musíte také povolit provoz do všech koncových bodů vyžadovaných agentem Windows Update. Aktualizovaný seznam požadovaných koncových bodů najdete v tématu věnovaném problémům souvisejícím s HTTP / proxy serverem. Pokud máte místní nasazení Windows Server Update Services (WSUS), musíte také povolit provoz na server zadaný v klíči WSUS.

V případě počítačů s Red Hat Linuxem si projděte IP adresy pro servery pro doručování obsahu RHUI pro požadované koncové body. Informace o ostatních distribucích Linuxu najdete v dokumentaci poskytovatele.

Pokud vaše zásady zabezpečení IT neumožňují počítačům v síti připojit se k internetu, můžete nastavit bránu Log Analytics a potom nakonfigurovat připojení počítače přes tuto bránu ke službě Azure Automation a Azure Monitoru.

Krok 6: Oprávnění

K vytváření a správě nasazení aktualizací potřebujete konkrétní oprávnění. Další informace o těchto oprávněních najdete v tématu Přístup na základě role – Update Management.

Krok 7: služba Windows Update agent

Update Management služby Azure Automation se při stahování a instalaci aktualizací Windows spoléhá na agenta Windows Update. Existují specifická nastavení zásad skupiny, která agent Windows Update (WUA) v počítačích používá pro připojení k Windows Server Update Services (WSUS) nebo Microsoft Update. Tato nastavení zásad skupiny se také využívají pro úspěšnou kontrolu kompatibility aktualizací softwaru a pro automatické aktualizování aktualizací softwaru. Pokud si chcete projít naše doporučení, projděte si téma věnované konfiguraci nastavení Windows Update pro Update Management.

Krok 8: Úložiště Linux

Virtuální počítače vytvořené z imagí Red Hat Enterprise Linuxu (RHEL) na vyžádání dostupných na Azure Marketplace jsou registrované pro přístup k infrastruktuře Red Hat Update (RHUI) nasazené v Azure. Všechny ostatní linuxové distribuce se musí aktualizovat z online úložiště souborů distribuce pomocí metod podporovaných danou distribucí.

Pokud chcete klasifikovat aktualizace v Red Hat Enterprise verze 6, musíte nainstalovat modul plug-in yum-security. V Red Hat Enterprise Linuxu 7 je tento modul plug-in již součástí samotného yumu a není potřeba nic instalovat. Další informace najdete v následujícím článku ve znalostní bázi Red Hat.

Krok 9: Plánování cílů nasazení

Update Management umožňuje cílit aktualizace na dynamickou skupinu představující počítače Azure nebo jiné počítače, takže můžete zajistit, aby konkrétní počítače vždy dostávaly správné aktualizace v nejvhodnější dobu. Dynamická skupina se řeší v době nasazení a je založená na následujících kritériích:

  • Předplatné
  • Skupiny prostředků
  • Umístění
  • Značky

U počítačů mimo Azure používá dynamická skupina uložená vyhledávání, označovaná také jako skupiny počítačů. Nasazení aktualizací vymezená na skupinu počítačů se zobrazují jenom z účtu Automation v možnosti Plány nasazení řešení Update Management, ne z konkrétního virtuálního počítače Azure.

Případně je možné aktualizace spravovat jenom pro vybraný virtuální počítač Azure. Nasazení aktualizací vymezená na konkrétní počítač jsou viditelná z počítače i z účtu Automation v možnostech plánu nasazení řešení Update Management.

Další kroky

Povolte správu aktualizací a výběr počítačů pomocí jedné z následujících metod:

  • Použití šablony Azure Resource Manageru k nasazení řešení Update Management do nového nebo existujícího účtu Automation a pracovního prostoru služby Azure Monitor Log Analytics ve vašem předplatném Nenakonfiguruje obor počítačů, které by se měly spravovat, a to se provádí jako samostatný krok po použití šablony.

  • Z účtu Automation pro jeden nebo více počítačů Azure a počítačů mimo Azure, včetně serverů s podporou Azure Arc.

  • Použití runbooku Enable-AutomationSolution k automatizaci onboardingu virtuálních počítačů Azure

  • Pro vybraný virtuální počítač Azure ze stránky Virtuální počítače na webu Azure Portal. Tento scénář je k dispozici pro virtuální počítače s Linuxem a Windows.

  • Pro více virtuálních počítačů Azure jejich výběrem na stránce Virtuální počítače na webu Azure Portal.