Programación de actualizaciones periódicas para máquinas mediante Azure Portal y Azure Policy
Se aplica a: ✔️ Máquinas virtuales de Windows ✔️ Máquinas virtuales de Linux ✔️ En el entorno local ✔️ Servidores habilitados para Azure Arc.
Importante
- Para una experiencia de aplicación de revisiones programadas sin problemas, se recomienda que, en todas las máquinas virtuales (VM) de Azure, actualice la orquestación de revisiones a Programaciones administradas por el cliente antes del 30 de junio de 2023. Si no actualiza la orquestación de revisiones antes del 30 de junio de 2023, puede experimentar interrupciones en la continuidad empresarial, ya que las programaciones no podrán aplicar las revisiones a las máquinas virtuales. Más información.
Puede usar el Administrador de actualizaciones de Azure para crear y guardar programaciones de implementación periódicas. Puede crear una programación con una cadencia diaria, semanal o por hora. Puede especificar las máquinas que se deben actualizar como parte de la programación y las actualizaciones que se van a instalar.
Después, esta programación instala automáticamente las actualizaciones según la programación creada para una sola máquina virtual y a gran escala.
El Administrador de actualizaciones usa una programación del control de mantenimiento en vez de crear sus propias programaciones. El control de mantenimiento permite a los clientes administrar las actualizaciones de la plataforma. Para obtener más información, vea Documentación de control de mantenimiento.
Requisitos previos para la aplicación de revisiones programadas
Vea Requisitos previos del Administrador de actualizaciones.
La orquestación de revisiones de las máquinas de Azure se debe establecer en Programaciones administradas por el cliente. Para más información, vea Habilitación de la programación de revisiones en máquinas virtuales existentes. En el caso de las máquinas habilitadas para Azure Arc, esto no es un requisito.
Nota:
Si establece el modo de revisión en Orquestado por Azure (
AutomaticByPlatform
), pero no habilita la marca BypassPlatformSafetyChecksOnUserSchedule y no asocia una configuración de mantenimiento a una máquina de Azure, se trata como una máquina habilitada para la aplicación automática de revisiones de invitado. La plataforma Azure instala automáticamente las actualizaciones según su propia programación. Más información.
Programar la aplicación de revisiones en un conjunto de disponibilidad
Las máquinas virtuales de un conjunto de disponibilidad común no se actualizan simultáneamente.
Las máquinas virtuales de un conjunto de disponibilidad común se actualizan dentro de los límites del dominio de actualización. Las máquinas virtuales en varios dominios de actualización no se actualizan simultáneamente.
En escenarios en los que las máquinas del mismo conjunto de disponibilidad se están revisando al mismo tiempo en diferentes programaciones, es probable que no se apliquen revisiones o se podría producir un error si se supera la ventana de mantenimiento. Para evitar esto, se recomienda aumentar la ventana de mantenimiento o dividir las máquinas que pertenecen al mismo conjunto de disponibilidad en varias programaciones en momentos diferentes.
Configuración de las opciones de reinicio
Las claves del Registro enumeradas en Configuración de actualizaciones automáticas mediante la edición del Registro y Claves del Registro usadas para administrar reinicios pueden hacer que las máquinas se reinicien. Se puede producir un reinicio incluso si especifica No reiniciar nunca en los valores de Programación. Debe configurar estas claves del Registro para adaptarse a su entorno.
Límites de servicio
Se recomiendan los siguientes límites para los indicadores.
Indicador | Límite de nube pública | Límite de Mooncake/Fairfax |
---|---|---|
Número de programaciones por suscripción por región | 250 | 250 |
Número total de asociaciones de recursos a una programación | 3,000 | 3,000 |
Asociaciones de recursos en cada ámbito dinámico | 1,000 | 1,000 |
Número de ámbitos dinámicos por grupo de recursos o suscripción por región | 250 | 250 |
Número de ámbitos dinámicos por programación | 200 | 30 |
Número total de suscripciones asociadas a todos los ámbitos dinámicos por programación | 200 | 30 |
Para más información, vea Límites de servicio de ámbito dinámico.
Programación de actualizaciones periódicas en una sola máquina virtual
Puede programar actualizaciones desde el panel Información general o Máquinas en la página del Administrador de actualizaciones, o bien desde la máquina virtual seleccionada.
Para programar actualizaciones periódicas en una sola máquina virtual:
Inicie sesión en Azure Portal.
En la página Administrador de actualizaciones de Azure | Información general, seleccione la suscripción y después Programar actualizaciones.
En la página Crear nueva configuración de mantenimiento, puede crear una programación para una sola máquina virtual.
Actualmente, se admiten máquinas virtuales y configuración de mantenimiento en la misma suscripción.
En la página Aspectos básicos, seleccione Suscripción, Grupo de recursos y todas las opciones de Detalles de la instancia.
Seleccione Ámbito de mantenimiento como Invitado (máquina virtual de Azure, máquinas virtuales o servidores habilitados para Azure Arc).
Seleccione Agregar una programación. En Agregar o modificar programación, especifique los detalles de la programación, como los siguientes:
- Iniciar el
- Ventana de mantenimiento (en horas). La ventana de mantenimiento superior es de 3 horas y 55 minutos.
- Repeticiones (mensual, diaria o semanal)
- Agregar fecha de finalización
- Resumen de la programación
La opción horaria no se admite actualmente en el portal, pero se puede usar mediante la API.
Para Repeticiones mensuales, hay dos opciones:
- Repetir en una fecha de calendario (opcionalmente, ejecutar en la última fecha del mes).
- Repetir el día nº (1, 2, etc.) x día (por ejemplo, lunes, martes) del mes. También puede especificar un desplazamiento desde el día establecido. Podría ser +6/-6. Por ejemplo, si quiere aplicar revisiones el primer sábado después de una revisión en martes, establezca la periodicidad como el segundo martes del mes con un desplazamiento de +4 días. Opcionalmente, también puede especificar una fecha de finalización cuando quiera que expire la programación.
En la pestaña Máquinas, seleccione la máquina y después Siguiente.
Update Manager no admite actualizaciones de controladores.
En la pestaña Etiquetas, asigne etiquetas a las configuraciones de mantenimiento.
En la pestaña Revisar y crear, compruebe las opciones de implementación de actualizaciones y, después, seleccione Crear.
Inicie sesión en Azure Portal.
En la página Administrador de actualizaciones de Azure | Máquinas, seleccione la suscripción, la máquina y, después, seleccione Programar actualizaciones.
En Crear nueva configuración de mantenimiento, puede crear una programación para una sola máquina virtual, asignar una máquina y etiquetas. Siga el procedimiento del paso 3 que aparece en Desde el panel Información general de Programación de actualizaciones periódicas en una sola máquina virtual para crear una configuración de mantenimiento y asignar una programación.
Una notificación confirma que se ha creado la implementación.
Programar actualizaciones periódicas a gran escala
Para programar actualizaciones periódicas a gran escala, siga estos pasos.
Puede programar actualizaciones desde el panel Información general o Máquinas.
Inicie sesión en Azure Portal.
En la página Administrador de actualizaciones de Azure | Información general, seleccione la suscripción y después Programar actualizaciones.
En la página Crear nueva configuración de mantenimiento, puede crear una programación para varias máquinas.
Actualmente, se admiten máquinas virtuales y configuración de mantenimiento en la misma suscripción.
En la pestaña Aspectos básicos, seleccione Suscripción, Grupo de recursos y todas las opciones de Detalles de la instancia.
Seleccione Agregar una programación. En Agregar o modificar programación, especifique los detalles de la programación, como los siguientes:
- Iniciar el
- Ventana de mantenimiento (en horas)
- Repeticiones (mensual, diaria o semanal)
- Agregar fecha de finalización
- Resumen de la programación
La opción horaria no se admite actualmente en el portal, pero se puede usar mediante la API.
En la pestaña Máquinas, compruebe si aparecen las máquinas seleccionadas. Agregue o quite máquinas de la lista. Seleccione Siguiente.
En la pestaña Actualizaciones, especifique las actualizaciones que se van a incluir en la implementación, como clasificaciones de actualizaciones o paquetes o id. de KB que se deben instalar al desencadenar la programación.
Update Manager no admite actualizaciones de controladores.
En la pestaña Etiquetas, asigne etiquetas a las configuraciones de mantenimiento.
En la pestaña Revisar y crear, compruebe las opciones de implementación de actualizaciones y, después, seleccione Crear.
Una notificación confirma que se ha creado la implementación.
Asociar una configuración de mantenimiento
Una configuración de mantenimiento se puede asociar a varias máquinas. Se puede asociar a las máquinas en el momento de crear una configuración de mantenimiento o incluso después.
En la página Administrador de actualizaciones de Azure, seleccione Máquinas y después la suscripción.
Seleccione la máquina y, en el panel Actualizaciones, seleccione Actualizaciones programadas para crear una configuración de mantenimiento o asociar la configuración de mantenimiento existente a las actualizaciones periódicas programadas.
En la pestaña Programación, seleccione Asociar configuración de mantenimiento.
Seleccione la configuración de mantenimiento que quiera asociar y, después, seleccione Asociar.
En el panel Actualizaciones, seleccione Programación>Asociar configuración de mantenimiento.
En la página Asociar configuración de mantenimiento existente, seleccione la configuración de mantenimiento que quiera asociar y después Asociar.
Programar actualizaciones periódicas desde la configuración de mantenimiento
Puede examinar y administrar todas las configuraciones de mantenimiento desde un solo lugar.
Buscar Configuraciones de mantenimiento en el Azure Portal. Se muestra una lista de todas las configuraciones de mantenimiento junto con el ámbito de mantenimiento, el grupo de recursos, la ubicación y la suscripción a la que pertenece.
Puede filtrar las configuraciones de mantenimiento mediante los filtros de la parte superior. Las configuraciones de mantenimiento relacionadas con las actualizaciones del sistema operativo invitado son las que tienen ámbito de mantenimiento como InGuestPatch.
Puede crear una configuración de mantenimiento de actualizaciones del sistema operativo invitado, o bien modificar una configuración existente.
Crear una nueva configuración de mantenimiento
Vaya a Máquinas y seleccione máquinas en la lista.
En el panel Actualizaciones, seleccione Actualizaciones programadas.
En el panel Crear una configuración de mantenimiento, siga el paso 3 de este procedimiento para crear una configuración de mantenimiento.
En la pestaña Aspectos básicos, seleccione Ámbito de mantenimiento como Invitado (máquina virtual de Azure, máquinas virtuales o servidores habilitados para Azure Arc).
Adición o eliminación de máquinas de la configuración de mantenimiento
Vaya a Máquinas y seleccione las máquinas en la lista.
En la página Actualizaciones, seleccione Actualizaciones únicas.
En el panel Instalar actualizaciones únicas, seleccione Máquinas>Agregar máquina.
Cambiar los criterios de selección de actualización
En el panel Instalar actualizaciones únicas, seleccione los recursos y las máquinas para instalar las actualizaciones.
En la pestaña Máquinas, seleccione Agregar máquina para agregar máquinas que no se hayan seleccionado antes y seleccione Agregar.
En la pestaña Actualizaciones, especifique las actualizaciones que se van a incluir en la implementación.
Seleccione Incluir Id./paquete de KB y Excluir Id./paquete de KB respectivamente para seleccionar actualizaciones como Crítica, de Seguridad y Actualizaciones de características.
Incorporación a la programación mediante Azure Policy
El Administrador de actualizaciones le permite tener como destino un grupo de VM de Azure o de VM que no sean de Azure para la implementación de actualizaciones mediante Azure Policy. La agrupación con una directiva evita que tenga que editar la implementación para actualizar las máquinas. Puede usar la suscripción, el grupo de recursos, etiquetas o regiones para definir el ámbito. Puede usar esta característica para las directivas integradas, que puede personalizar según el caso de uso.
Nota:
Esta directiva también garantiza que la propiedad de orquestación de revisiones para máquinas de Azure esté establecida en Programaciones administradas por el cliente ya que es un requisito previo para la aplicación de revisiones programadas.
Asignación de una directiva
Azure Policy le permite asignar estándares y evaluar el cumplimiento a gran escala. Para más información, consulte la Introducción a Azure Policy. Para asignar una directiva a un ámbito:
Inicie sesión en Azure Portal y seleccione Directiva.
En Asignaciones, seleccione Asignar directiva.
En la página Asignar directiva, en la pestaña Datos básicos:
En Ámbito, elija la suscripción y el grupo de recursos, y seleccione Seleccionar.
Seleccione Definición de directiva para ver una lista de directivas.
En el panel Definiciones disponibles, seleccione Integrado para Tipo. En Buscar, escriba Programación de actualizaciones periódicas mediante el Administrador de actualizaciones de Azure y haga clic en Seleccionar.
Asegúrese de que Cumplimiento de directivas esté establecido en Habilitado y, después, seleccione Siguiente.
En la pestaña Parámetros, de manera predeterminada, solo es visible el id. de ARM de configuración de mantenimiento.
Si no especifica ningún otro parámetro, todas las máquinas de la suscripción y el grupo de recursos que ha seleccionado en Datos básicos se incluirán en el ámbito. Si quiere limitar más el ámbito en función del grupo de recursos, la ubicación, el sistema operativo, las etiquetas y demás, desactive Mostrar solo los parámetros que necesitan entrada o revisión para ver todos los parámetros:
- Identificador de ARM de configuración de mantenimiento: un parámetro obligatorio que se debe proporcionar. Indica el id. de Azure Resource Manager (ARM) de la programación que quiere asignar a las máquinas.
- Grupos de recursos: opcionalmente puede especificar un grupo de recursos si quiere limitar el ámbito a un grupo de recursos. De forma predeterminada, todos los grupo de recursos dentro de la suscripción se seleccionan.
- Tipos de sistema operativo: puede seleccionar Windows o Linux. De forma predeterminada, ambos están preseleccionados.
- Ubicaciones de la máquina: opcionalmente, puede especificar las regiones que quiere seleccionar. De forma predeterminada, se seleccionan todas.
- Etiquetas en máquinas: puede usar etiquetas para reducir el ámbito aún más. De forma predeterminada, se seleccionan todas.
- Etiquetas de operador: en caso de que haya seleccionado varias etiquetas, puede especificar si quiere que el ámbito sean las máquinas que tengan todas las etiquetas, o bien las máquinas que tengan cualquiera de esas etiquetas.
En la pestaña Corrección, en Identidad administrada>Tipo de identidad administrada, seleccione Identidad administrada asignada por el sistema. Permisos ya está establecido en Colaborador según la definición de directiva.
Si selecciona Corrección, la directiva será efectiva en todas las máquinas existentes en el ámbito, o bien se asigna a cualquier máquina nueva que se agregue al ámbito.
En la pestaña Revisar y crear, compruebe las selecciones y seleccione Crear para identificar los recursos no compatibles y comprender el estado de cumplimiento del entorno.
Ver compatibilidad
Para ver el estado de cumplimiento actual de los recursos existentes:
En Asignaciones de directiva, seleccione Ámbito para seleccionar la suscripción y el grupo de recursos.
En Tipo de definición, seleccione la directiva. En la lista, seleccione el nombre de la asignación.
Seleccione Ver cumplimiento. En Cumplimiento de recursos se enumeran las máquinas y los motivos del error.
Compruebe la ejecución de aplicación de revisión programada
Puede comprobar el estado de la implementación y el historial de las ejecuciones de configuración de mantenimiento desde el portal del Administrador de actualizaciones. Para más información, vea Historial de implementación de las actualizaciones por id. de ejecución de mantenimiento.
Escala de tiempo de la ventana de mantenimiento
La ventana de mantenimiento controla el número de actualizaciones que se pueden instalar en la máquina virtual y los servidores habilitados para Arc. Se recomienda consultar la tabla siguiente para comprender la escala de tiempo de una ventana de mantenimiento al instalar una actualización:
Por ejemplo, si una ventana de mantenimiento es de 3 horas y comienza a las 15:00, los siguientes son los detalles sobre cómo se instalan las actualizaciones:
Tipo de actualización | Detalles |
---|---|
Service Pack | Si va a instalar un Service Pack, necesita 20 minutos en la ventana de mantenimiento para que las actualizaciones se instalen correctamente; de lo contrario, se omite la actualización. En este ejemplo, debe finalizar la instalación del Service Pack a las 17:40. |
Otras actualizaciones | Si va a instalar cualquier otra actualización además de Service Pack, debe dejar 15 minutos en la ventana de mantenimiento; de lo contrario, se omite. En este ejemplo, debe finalizar la instalación de las demás actualizaciones a las 17:45. |
Reboot | Si las máquinas necesitan un reinicio, debe tener 10 minutos en la ventana de mantenimiento; de lo contrario, se omite el reinicio. En este ejemplo, debe iniciar el reinicio a las 17:50. Nota: Para máquinas virtuales de Azure y servidores habilitados para Arc, el Administrador de actualizaciones de Azure espera un máximo de 15 minutos para las máquinas virtuales de Azure y de 25 minutos para los servidores de Arc después de un reinicio para completar la operación de reinicio antes de marcarla como con error. |
Nota:
- El Administrador de actualizaciones de Azure no detiene la instalación de nuevas actualizaciones si se aproxima el final de una ventana de mantenimiento.
- El Administrador de actualizaciones de Azure no finaliza las actualizaciones en curso si se ha superado la ventana de mantenimiento y solo se intentan instalar las actualizaciones restantes que se deben instalar. Se recomienda volver a evaluar la duración de la ventana de mantenimiento para asegurarse de que todas las actualizaciones están instaladas.
- Normalmente, si se supera la ventana de mantenimiento de Windows, se debe a que una actualización de Service Pack tarda mucho tiempo en instalarse.
Pasos siguientes
- Obtenga más información sobre el Ámbito dinámico, una funcionalidad avanzada de la programación de la aplicación de revisiones.
- Más información sobre cómo configurar la programación de la aplicación de revisiones en máquinas virtuales de Azure para la continuidad empresarial.
- Siga las instrucciones sobre cómo administrar varias operaciones del ámbito dinámico
- Obtenga información sobre los eventos previos y posteriores para realizar automáticamente tareas antes y después de una configuración de mantenimiento programado.