Informace o službě Azure Update Manager
Důležité
Agent Azure Log Analytics, označovaný také jako Microsoft Monitoring Agent (MMA), bude vyřazen v srpnu 2024. Řešení Azure Automation Update Management spoléhá na tohoto agenta a může narazit na problémy, když se agent vyřadí, protože nefunguje s agentem monitorování Azure (AMA). Proto pokud používáte řešení Azure Automation Update Management, doporučujeme přejít do Azure Update Manageru pro potřeby aktualizací softwaru. Všechny možnosti řešení Azure Automation Update Management budou k dispozici v Azure Update Manageru před datem vyřazení. Podle pokynů přesuňte počítače a plány ze služby Automation Update Management do Azure Update Manageru.
Update Manager je sjednocená služba, která pomáhá spravovat a řídit aktualizace pro všechny vaše počítače. Na jednom řídicím panelu můžete monitorovat dodržování předpisů pro aktualizace Windows a Linuxu napříč vašimi nasazeními v Azure, v místním prostředí a na dalších cloudových platformách. Pomocí Update Manageru můžete provádět aktualizace v reálném čase nebo je naplánovat v rámci definovaného časového období údržby.
Update Manager v Azure můžete použít k:
- Dohled nad dodržováním předpisů aktualizací pro celou řadu počítačů v Azure, v místním prostředí a v jiných cloudových prostředích.
- Okamžitě nasazovat důležité aktualizace, které pomáhají zabezpečit vaše počítače
- Používejte flexibilní možnosti oprav, jako jsou automatické opravy hosta virtuálního počítače v Azure, opravy za provozu a plány údržby definované zákazníkem.
Nabízíme také další možnosti, které vám pomůžou spravovat aktualizace pro vaše virtuální počítače Azure, které byste měli zvážit jako součást celkové strategie správy aktualizací. Další informace o dostupných možnostech najdete v možnostech aktualizace virtuálních počítačů Azure.
Než povolíte počítače pro Update Manager, ujistěte se, že rozumíte informacím v následujících částech.
Klíčové výhody
Správce aktualizací je přepracovaný a nezávisí na protokolech služby Azure Automation ani Azure Monitor, jak to vyžaduje funkce Azure Automation Update Management. Update Manager nabízí mnoho nových funkcí a poskytuje vylepšené funkce oproti původní verzi dostupné ve službě Azure Automation. Tady jsou uvedené některé z těchto výhod:
- Poskytuje nativní prostředí s nulovou onboardingem.
- Jsou vytvořené jako nativní funkce na výpočetních prostředcích Azure a platformě Azure Arc for Servers pro snadné použití.
- Žádná závislost na Log Analytics a Azure Automation.
- Podpora služby Azure Policy
- Globální dostupnost ve všech oblastech Azure Compute a Azure Arc
- Pracuje s rolemi a identitou Azure.
- Podrobné řízení přístupu na úrovni jednotlivých prostředků místo řízení přístupu na úrovni účtu Azure Automation a pracovního prostoru služby Log Analytics.
- Update Manager teď obsahuje operace založené na Azure Resource Manageru. Umožňuje řízení přístupu na základě rolí a rolí na základě Azure Resource Manageru v Azure.
- Nabízí vylepšenou flexibilitu.
- Možnost provést okamžitou akci buď okamžitě instalací aktualizací, nebo jejich naplánováním na pozdější datum.
- Zkontrolujte aktualizace automaticky nebo na vyžádání.
- Pomáhá zabezpečit počítače novými způsoby oprav, jako jsou automatické opravy hosta virtuálního počítače v Azure, opravy za chodu nebo vlastní plány údržby.
- Synchronizační cykly oprav ve vztahu k "patch Tuesday", neoficiální termín pro vydání plánované opravy zabezpečení Od Microsoftu každé druhé úterý v každém měsíci.
Následující diagram znázorňuje, jak Update Manager posuzuje a aplikuje aktualizace na všechny počítače Azure a servery s podporou Azure Arc pro Windows i Linux.
Pokud chcete podporovat správu virtuálního počítače Azure nebo počítače mimo Azure, Update Manager spoléhá na nové rozšíření Azure navržené tak, aby poskytovalo všechny funkce potřebné k interakci s operačním systémem pro správu posouzení a použití aktualizací. Toto rozšíření se nainstaluje automaticky, když zahájíte všechny operace Update Manageru, jako je kontrola aktualizací, jednorázová aktualizace a pravidelné hodnocení na vašem počítači. Rozšíření podporuje nasazení na virtuální počítače Azure nebo servery s podporou Azure Arc pomocí architektury rozšíření. Rozšíření Update Manager se instaluje a spravuje pomocí:
- Agent virtuálního počítače Azure s Windows nebo agent Virtuálního počítače Azure s Linuxem pro virtuální počítače Azure
- Agent serverů s podporou Azure Arc pro počítače s Linuxem a Windows nebo fyzické servery mimo Azure.
Správce aktualizací spravuje instalaci a konfiguraci agenta rozšíření. Ruční zásah se nevyžaduje, pokud je funkční agent virtuálního počítače Azure nebo agent serveru s podporou Azure Arc. Rozšíření Update Manager spouští kód místně na počítači pro interakci s operačním systémem a zahrnuje:
- Načtení informací o posouzení o stavu aktualizací systému určených správcem balíčků služba Windows Update klienta nebo Linuxu.
- Iniciování stahování a instalace schválených aktualizací pomocí klienta služba Windows Update nebo správce balíčků pro Linux.
Všechny informace o posouzení a výsledky instalace aktualizací jsou hlášeny do Update Manageru z rozšíření a jsou k dispozici pro analýzu pomocí Azure Resource Graphu. Můžete zobrazit až posledních sedm dnů dat posouzení a až za posledních 30 dnů výsledků instalace aktualizace.
Počítače přiřazené k Update Manageru hlásí, jak aktuální jsou na základě toho, s jakým zdrojem jsou nakonfigurované pro synchronizaci. Na počítačích s Windows můžete nakonfigurovat služba Windows Update Agent (WUA) tak, aby se hlásil službě Windows Server Update Services nebo službě Microsoft Update, což je ve výchozím nastavení. Počítače s Linuxem můžete nakonfigurovat tak, aby se hlásily do místního nebo veřejného úložiště balíčků YUM nebo APT. Pokud je agent služba Windows Update nakonfigurovaný tak, aby hlásil službu WSUS v závislosti na tom, kdy byla služba WSUS naposledy synchronizována se službou Microsoft Update, můžou se výsledky ve Správci aktualizací lišit od toho, co zobrazuje služba Microsoft Update. Toto chování je stejné pro počítače s Linuxem, které jsou nakonfigurované tak, aby hlásily místní úložiště místo veřejného úložiště balíčků.
Poznámka:
Služba WSUS není dostupná v Azure China provozovaná společností 21 Vianet.
Virtuální počítače Azure nebo servery s podporou Azure Arc můžete spravovat přímo nebo ve velkém měřítku pomocí Update Manageru.
Požadavky
Spolu s následujícími požadavky se podívejte na Matici podpory pro Update Manager.
Role
| Prostředek | Role |
|---|---|
| Virtuální počítač Azure | Přispěvatel virtuálních počítačů Azure nebo vlastník Azure |
| Server s podporou služby Azure Arc | Prostředek Připojení počítače Azure Správa istrator |
Oprávnění
K vytváření a správě nasazení aktualizací potřebujete následující oprávnění. V tabulce jsou uvedena potřebná oprávnění při použití Update Manageru.
| Akce | Oprávnění | Obor |
|---|---|---|
| Čtení vlastností virtuálního počítače Azure | Microsoft.Compute/virtualMachines/read | |
| Posouzení aktualizace na virtuálních počítačích Azure | Microsoft.Compute/virtualMachines/assessPatches/action | |
| Čtení dat posouzení pro virtuální počítače Azure | Microsoft.Compute/virtualMachines/patchAssessmentResults/latest Microsoft.Compute/virtualMachines/patchAssessmentResults/latest/softwarePatches | |
| Instalace aktualizace na virtuální počítače Azure | Microsoft.Compute/virtualMachines/installPatches/action | |
| Čtení dat instalace oprav pro virtuální počítače Azure | Microsoft.Compute/virtualMachines/patchInstallationResults Microsoft.Compute/virtualMachines/patchInstallationResults/softwarePatches | |
| Čtení vlastností serveru s podporou služby Azure Arc | Microsoft.HybridCompute/machines/read | |
| Posouzení aktualizace na serveru s podporou Azure Arc | Microsoft.HybridCompute/machines/assessPatches/action | |
| Čtení dat hodnocení pro server s podporou Azure Arc | Microsoft.HybridCompute/machines/patchAssessmentResults Microsoft.HybridCompute/machines/patchAssessmentResults/softwarePatches | |
| Instalace aktualizace na server s podporou Azure Arc | Microsoft.HybridCompute/machines/installPatches/action | |
| Čtení instalačních dat oprav pro server s podporou Azure Arc | Microsoft.HybridCompute/machines/patchInstallationResults Microsoft.HybridCompute/machines/patchInstallationResults/softwarePatches | |
| Registrace předplatného do služby Microsoft Security Resource Provider | Microsoft.Maintenance/register/action | Předplatné |
| Vytvoření nebo úprava konfiguraci údržby | Microsoft.Maintenance/maintenanceConfigurations/write | Předplatné nebo skupina prostředků |
| Vytvoření nebo úprava přiřazení konfigurace | Microsoft.Maintenance/configurationAssignments/write | Předplatné |
| Oprávnění ke čtení prostředku aktualizací údržby | Microsoft.Maintenance/updates/read | Počítač |
| Oprávnění ke čtení prostředku použití aktualizací údržby | Microsoft.Maintenance/applyUpdates/read | Počítač |
Image virtuálních počítačů
Další informace najdete v seznamu podporovaných operačních systémů a imagí virtuálních počítačů.
Azure Update Manager podporuje specializované image , včetně virtuálních počítačů vytvořených službou Azure Migrate, Azure Backup a Azure Site Recovery.
Rozšíření virtuálních počítačů
K dispozici jsou rozšíření virtuálních počítačů Azure a rozšíření virtuálních počítačů s podporou Azure Arc.
| Operační systém | Rozšíření |
|---|---|
| Windows | Microsoft.CPlat.Core.WindowsPatchExtension |
| Linux | Microsoft.CPlat.Core.LinuxPatchExtension |
Plánování sítě
Pokud chcete připravit síť na podporu Update Manageru, budete možná muset nakonfigurovat některé součásti infrastruktury.
U počítačů s Windows musíte povolit provoz do všech koncových bodů vyžadovaných agentem Windows Update. Aktualizovaný seznam požadovaných koncových bodů najdete v tématu věnovaném problémům souvisejícím s HTTP / proxy serverem. Pokud máte místní nasazení wsus , musíte také povolit provoz na server zadaný v klíči WSUS.
V případě počítačů s Red Hat Linuxem si projděte IP adresy pro servery pro doručování obsahu RHUI pro požadované koncové body. Informace o ostatních distribucích Linuxu najdete v dokumentaci poskytovatele.