Update-Optionen und Orchestrierung in Azure Update Manager
Gilt für: ✔️ Windows-VMs ✔️ Linux-VMs ✔️ Lokale Umgebung ✔️ Azure Arc-fähige Server.
Wichtig
- Für eine nahtlose Erfahrung beim geplanten Patchen sollten Sie die Patchorchestrierung für alle Azure-VMs in Kundenseitig verwaltete Zeitpläne aktualisieren. Wenn Sie die Patchorchestrierung nicht aktualisieren, kann es zu einer Unterbrechung der Geschäftskontinuität kommen, da die Zeitpläne die VMs nicht patchen können. Weitere Informationen finden Sie unter Konfigurieren des geplanten Patchens auf virtuellen Azure-Computern zur Sicherstellung der Geschäftskontinuität.
- Für Server mit Azure Arc-Unterstützung werden die Update- und Wartungsoptionen wie automatische VM-Gastpatches in Azure, automatische Windows-Updates und Hotpatching nicht unterstützt.
Dieser Artikel enthält eine Übersicht über die verschiedenen Updateoptionen und die Orchestrierung in Azure Update Manager.
Optionen aktualisieren
Automatisches Upgrade für Betriebssystemimages
Wenn Sie automatische Upgrades für Betriebssystemimages für Ihre Azure-VM-Skalierungsgruppe (Virtual Machine Scale Set, VMSS) aktivieren, wird der Betriebssystemdatenträger für alle Instanzen in der Skalierungsgruppe sicher und automatisch aktualisiert. Dies vereinfacht die Updateverwaltung.
Das automatische Betriebssystemupgrade weist folgende Merkmale auf:
- Nach der Konfiguration wird das aktuelle von den Imageherausgebern veröffentlichte Betriebssystemimage automatisch ohne Benutzereingriff auf die Skalierungsgruppe angewendet.
- Bei jedem neuen Image, das vom Herausgeber veröffentlicht wird, werden Batches von Instanzen parallel aktualisiert.
- Wird in Anwendungsintegritätstests und Anwendungsintegritätserweiterung integriert.
- Dies funktioniert für alle VM-Größen sowohl für Windows- als auch Linux-Images, einschließlich benutzerdefinierter Images über Azure Compute Gallery.
- Automatische Upgrades können jederzeit deaktiviert werden. (Betriebssystemupgrades können auch manuell initiiert werden).
- Der Betriebssystemdatenträger einer VM wird durch den neuen, mit der aktuellen Imageversion erstellten Betriebssystemdatenträger ersetzt. Konfigurierte Erweiterungen und benutzerdefinierte Datenskripts werden ausgeführt, wobei persistente Datenträger beibehalten werden.
- Die Erweiterungssequenzierung wird unterstützt.
- Sie können diese Funktion für eine Skalierungsgruppe beliebiger Größe aktivieren.
Hinweis
Es wird empfohlen, Folgendes zu überprüfen:
- Anforderungen (vor dem Aktivieren automatischer Upgrades für Betriebssystemimages)
- Unterstützte Betriebssystemimages
- Anforderungen für die Unterstützung von benutzerdefinierten Images. Weitere Informationen
Automatische VM-Gastpatches
Wenn Sie automatische VM-Gastpatches für Ihre Azure-VMs aktivieren, kann Azure Update Manager VMs sicher und automatisch patchen, um die Sicherheitskonformität zu gewährleisten.
Automatische VM-Gastpatches weisen die folgenden Merkmale auf:
- Patches, die als Kritisch oder Sicherheit klassifiziert werden, werden automatisch heruntergeladen und auf die VM angewendet.
- Patches werden außerhalb der Spitzenzeiten für IaaS-VMs in der Zeitzone der VM angewendet.
- Für den Azure Virtual Machine Scale Sets-Modus für flexible VMSS-Orchestrierung werden Patches während aller Stunden angewendet.
- Die Patchorchestrierung wird von Azure verwaltet, und Patches werden nach den verfügbarkeitsbasierten Prinzipien angewendet.
- Die Integrität des virtuellen Computers wird anhand von Integritätssignalen der Plattform ermittelt und überwacht, um Patchfehler zu erkennen.
- Sie können die Anwendungsintegrität über die Erweiterung für Anwendungsintegrität überwachen.
- Dies funktioniert für alle VM-Größen.
Aktivieren der VM-Eigenschaft
Führen Sie die folgenden Schritte aus, um die VM-Eigenschaft zu aktivieren:
- Navigieren Sie auf der Startseite von Azure Update Manager zu Updateeinstellungen.
- Wählen Sie für Azure-verwaltet – Sichere Bereitstellung die Option „Patchorchestrierung“ aus.
Hinweis
Wir empfehlen Folgendes:
- Machen Sie sich mit der Funktionsweise von automatischen VM-Gastpatches vertraut.
- Überprüfen Sie die Anforderungen, bevor Sie automatische VM-Gastpatches aktivieren.
- Überprüfen Sie die unterstützten Betriebssystemimages. Weitere Informationen
Hotpatching
Hotpatching ermöglicht die Installation von Sicherheitsupdates für das Betriebssystem auf unterstützten VMs mit Windows Server Datacenter: Azure-Edition, die nach der Installation keinen Neustart erfordern. Dieses Feature funktioniert, indem der Code der gerade ausgeführten Prozesse im Arbeitsspeicher gepatcht wird, ohne dass der Prozess neu gestartet werden muss.
Im Folgenden sind die Features von Hotpatching aufgeführt:
- Weniger Binärdateien bedeuten eine schnellere Installation und weniger Verbrauch von Datenträger- und CPU-Ressourcen.
- Geringere Auswirkungen auf den Workload mit weniger Neustarts.
- Besserer Schutz, da die Hotpatch-Updatepakete auf Windows-Sicherheitsupdates angewendet werden, die schneller und ohne Neustart installiert werden.
- Reduziert die Zeit, in der die Umgebung Sicherheitsrisiken ausgesetzt ist, sowie Änderungsfenster und vereinfacht die Patchorchestrierung mit Azure Update Manager
Die Hotpatchingeigenschaft ist als Einstellung in Azure Update Manager verfügbar und kann über „Einstellungen aktualisieren“ aktiviert werden. Weitere Informationen finden Sie im Artikel zum Hotpatching für VMs und unterstützte Plattformen.
Automatisches Erweiterungsupgrade
Automatisches Erweiterungsupgrade ist für Azure-VMs und Azure-VM-Skalierungsgruppen (VMSS) verfügbar. Wenn das automatische Erweiterungsupgrade für eine VM oder eine Skalierungsgruppe aktiviert ist, wird die Erweiterung automatisch aktualisiert, sobald der Erweiterungsherausgeber eine neue Version für diese Erweiterung freigibt.
Das automatische Erweiterungsupgrade verfügt über die folgenden Features:
- Die Funktion wird für Azure-VMs und VM-Skalierungsgruppen unterstützt.
- Upgrades werden in einem verfügbarkeitsbasierten Bereitstellungsmodell angewendet.
- Für eine VM-Skalierungsgruppe werden maximal 20 Prozent der virtuellen Computer in Skalierungsgruppen in einem einzelnen Batch aktualisiert. Die minimale Batchgröße ist ein virtueller Computer.
- Dies funktioniert für alle VM-Größen und sowohl für Windows- als auch Linux-Erweiterungen.
- Die Funktion ist für VM-Skalierungsgruppen beliebiger Größe aktiviert.
- Jede unterstützte Erweiterung wird einzeln registriert, und Sie können auswählen, welche Erweiterungen automatisch aktualisiert werden sollen.
- Wird in allen Regionen der öffentlichen Cloud unterstützt. Weitere Informationen finden Sie unter unterstützte Erweiterungen und automatisches Erweiterungsupgrade.
Automatische Windows-Updates
Dieser Patchmodus ermöglicht es dem Betriebssystem, Updates automatisch auf Windows-VMs zu installieren, sobald sie verfügbar sind. In diesem Modus wird die VM-Eigenschaft verwendet, die durch Festlegen der Patchorchestrierung auf „Betriebssystem orchestriert/Automatisch nach Betriebssystem“ aktiviert wird.
Hinweis
- Automatische Windows-Updates sind keine Einstellung in Azure Update Manager, sondern eine Einstellung auf Windows-Ebene.
- Azure Update Manager unterstützt keine direkten Upgrades für VMs, auf denen Windows Server in Azure ausgeführt wird.
Update- oder Patchorchestrierung
Azure Update Manager bietet die Flexibilität, Updates sofort zu installieren oder innerhalb eines definierten Wartungsfensters zu planen. Mit diesen Einstellungen können Sie das Patchen für Ihre VM orchestrieren.
Jetzt aktualisieren/Einmaliges Update
Mit Azure Update Manager können Sie Ihre Computer sofort schützen, indem Sie Updates bei Bedarf installieren. Informationen zum Durchführen von On-Demand-Updates finden Sie unter Überprüfen und Installieren von einmaligen Updates.
Geplantes Patchen
Sie können bedarfsabhängig einen täglichen, wöchentlichen oder stündlichen Zeitplan erstellen, die Computer angeben, die im Rahmen des Zeitplans aktualisiert werden müssen, und die Updates festlegen, die installiert werden müssen. Die Updates den Angaben entsprechend gemäß Zeitplan automatisch installiert.
Azure Update Manager verwendet Wartungssteuerungszeitpläne, anstatt eigene Zeitpläne zu erstellen. Wartungssteuerung ermöglicht es Kunden, Plattformupdates zu verwalten. Weitere Informationen finden Sie unter Wartungssteuerung.
Verwenden Sie geplantes Patchen, um wiederkehrende Bereitstellungspläne zu erstellen und zu speichern.
Hinweis
Die Patchorchestrierungseigenschaft für Azure-Computer muss auf Kundenseitig verwaltete Zeitpläne festgelegt werden, da dies eine Voraussetzung für geplantes Patching ist. Weitere Informationen finden Sie in der Liste der Voraussetzungen.
Wichtig
- Für eine nahtlose Erfahrung beim geplanten Patchen wird empfohlen, die Patchorchestrierung für alle Azure-VMs in Kundenseitig verwaltete Zeitpläne zu aktualisieren. Wenn Sie die Patchorchestrierung nicht aktualisieren, kann es zu einer Unterbrechung der Geschäftskontinuität kommen, da die Zeitpläne die VMs nicht patchen können. Weitere Informationen
- Für Server mit Arc-Unterstützung werden die Update- und Wartungsoptionen wie automatische VM-Gastpatches in Azure, automatische Windows-Updates und Hotpatching nicht unterstützt.
Nächste Schritte
- Informationen zum Anzeigen von Updatebewertungs- und Bereitstellungsprotokollen, die von Update Manager generiert wurden, finden Sie unter Abfrageprotokolle.
- Informationen zum Beheben von Problemen mit Azure Update Manager finden Sie unter Behandeln von Problemen.