Az Update Management áttekintése
Fontos
- Az Automation Update Management a Log Analytics-ügynökre (más néven MMA-ügynökre) támaszkodik, amely elavult, és 2024. augusztus 31. után nem támogatott. Az Update Management Center (előzetes verzió) (UMC) az Automation Update Management v2 verziója, és az Azure-beli frissítéskezelés jövője. Az UMC egy natív szolgáltatás az Azure-ban, és nem támaszkodik a Log Analytics-ügynökre vagy az Azure Monitor-ügynökre.
- Az Automation Update Managementből az Update Management Centerbe való migráláshoz útmutatást ad az ügyfeleknek, ha az utóbbi általánosan elérhető. Az Automation Update Managementet használó ügyfelek számára azt javasoljuk, hogy továbbra is használják a Log Analytics-ügynököt, és NE migráljanak az Azure Monitoring-ügynökbe, amíg a migrálási útmutató meg nem jelenik az Update Managementhez, különben az Automation Update Management nem fog működni. Emellett a Log Analytics-ügynök nem lesz elavult, mielőtt az összes Automation Update Management-ügyfelet áthelyezné az UMC-be.
Az Update Management megoldás Azure Automationben való használatával kezelheti a Windows és Linux rendszerű virtuális gépek operációsrendszer-frissítéseit az Azure-ban, fizikai vagy virtuális gépeken a helyszíni környezetekben és más felhőkörnyezetekben is. Az elérhető frissítések állapota egyszerűen felmérhető, és felügyelhető a szükséges frissítések telepítése is az Update Managementnek információt küldő gépeken.
Előfordulhat, hogy szolgáltatóként több ügyfélbérlőt is előkészített az Azure Lighthouse-hoz. Az Update Management segítségével felmérheti és ütemezheti a frissítéstelepítéseket több előfizetésben lévő gépekre ugyanabban az Azure Active Directory- (Azure AD-) bérlőben vagy az Azure Lighthouse-t használó bérlőkben.
A Microsoft további képességeket kínál az Azure-beli virtuális gépek vagy az Azure-beli virtuálisgép-méretezési csoportok frissítéseinek kezeléséhez, amelyeket érdemes lehet használni az általános frissítéskezelési stratégia részeként.
Ha szeretné automatikusan felmérni és frissíteni az Azure-beli virtuális gépeket, hogy fenntartsa a havonta kiadott kritikus és biztonsági frissítéseknek való megfelelést, tekintse át a virtuális gépek automatikus vendégjavítását ismertető cikket. Ez egy alternatív frissítéskezelési megoldás az Azure-beli virtuális gépek számára, amellyel automatikusan frissítheti őket csúcsidőn kívüli időszakokban, beleértve a rendelkezésre állási csoportban lévő virtuális gépeket is, szemben a virtuális gépek frissítéstelepítésének felügyeletével az Update Managementből az Azure Automationben.
Ha Azure-beli virtuálisgép-méretezési csoportokat kezel, tekintse át, hogyan végezhet automatikus operációsrendszer-lemezkép-frissítéseket a méretezési csoport összes példányának operációsrendszer-lemezének biztonságos és automatikus frissítéséhez.
Mielőtt üzembe helyezné az Update Managementet, és engedélyezné a gépek felügyeletét, győződjön meg arról, hogy tisztában van a következő szakaszokban található információkkal.
Tudnivalók az Update Managementről
Az alábbi ábra bemutatja, hogyan értékeli és alkalmazza az Update Management a biztonsági frissítéseket az összes csatlakoztatott Windows Server- és Linux-kiszolgálóra.
Az Update Management az Azure Monitor-naplókkal integrálva naplóadatokként tárolja a frissítésértékeléseket és a frissítéstelepítési eredményeket a hozzárendelt Azure-beli és nem Azure-beli gépekről. Az adatok gyűjtéséhez a rendszer összekapcsolja az Automation-fiókot és a Log Analytics-munkaterületet, és a Windows és Linux rendszerhez készült Log Analytics-ügynökre van szükség a gépen, és úgy van konfigurálva, hogy erről a munkaterületről jelentsen.
Az Update Management támogatja a rendszerfrissítésekkel kapcsolatos információk gyűjtését a munkaterülethez csatlakoztatott System Center Operations Manager felügyeleti csoport ügynökeitől. Egy gépet nem lehet több Log Analytics-munkaterületen regisztrálni az Update Managementhez (ezt többhelyűségnek is nevezik).
Az alábbi táblázat összefoglalja az Update Managementtel támogatott csatlakoztatott forrásokat.
| Csatlakoztatott forrás | Támogatott | Leírás |
|---|---|---|
| Windows | Igen | Az Update Management a Log Analytics-ügynökkel és a szükséges frissítések telepítésével adatokat gyűjt a Windows rendszerű gépek rendszerfrissítéseiről. A gépeknek jelentenie kell a Microsoft Update vagy Windows Server Update Services (WSUS) szolgáltatásnak. |
| Linux | Igen | Az Update Management a Log Analytics-ügynökkel és a támogatott disztribúciókhoz szükséges frissítések telepítésével adatokat gyűjt a Linux rendszerű gépek rendszerfrissítéseiről. A gépeknek helyi vagy távoli adattárban kell jelentést tenni. |
| Az Operations Manager felügyeleti csoportja | Igen | Az Update Management adatokat gyűjt a szoftverfrissítésekről egy csatlakoztatott felügyeleti csoport ügynökeitől. Nincs szükség közvetlen kapcsolatra az Operations Manager-ügynök és az Azure Monitor naplói között. A naplóadatok a felügyeleti csoportból a Log Analytics-munkaterületre lesznek továbbítva. |
Az Update Managementhez rendelt gépek arról számolnak be, hogy mennyire naprakészek az alapján, hogy milyen forrással vannak konfigurálva a szinkronizáláshoz. A Windows rendszerű gépeket úgy kell konfigurálni, hogy az Windows Server Update Services vagy a Microsoft Update szolgáltatásnak jelentsenek, a Linux rendszerű gépeket pedig úgy kell konfigurálni, hogy helyi vagy nyilvános adattárakban jelentsenek. Az Update Managementet a Microsoft Configuration Manager is használhatja, további információért lásd: Az Update Management integrálása a Windows Configuration Manager.
Ha a Windows rendszerű gépen lévő Windows Update-ügynök (WUA) úgy van konfigurálva, hogy jelentést jelentsen a WSUS-nak attól függően, hogy mikor szinkronizálta utoljára a WSUS-t a Microsoft Update szolgáltatással, az eredmények eltérhetnek attól, amit a Microsoft Update mutat. Ez a viselkedés ugyanaz a linuxos gépek esetében, amelyek úgy vannak konfigurálva, hogy nyilvános adattár helyett helyi adattárnak jelentsenek. Windows rendszerű gépeken a megfelelőségi vizsgálat alapértelmezés szerint 12 óránként fut. Linux rendszerű gépek esetén a rendszer alapértelmezés szerint óránként elvégzi a megfelelőségi vizsgálatot. Ha a Log Analytics-ügynök újraindul, a megfelelőségi vizsgálat 15 percen belül elindul. Amikor egy gép befejezi a frissítési megfelelőség vizsgálatát, az ügynök tömegesen továbbítja az adatokat az Azure Monitor-naplóknak.
Ütemezett központi telepítés létrehozásával szoftverfrissítéseket telepíthet és telepíthet a frissítéseket igénylő gépeken. Frissítések Nem kötelező besorolás nem szerepel a Windows rendszerű gépek központi telepítési hatókörében. Az üzembehelyezési hatókör csak a szükséges frissítéseket tartalmazza.
Az ütemezett üzembe helyezés határozza meg, hogy mely célgépek kapják meg a vonatkozó frissítéseket. Ezt úgy teheti meg, hogy explicit módon megad bizonyos gépeket, vagy kiválaszt egy számítógépcsoportot , amely egy adott gépcsoport naplókeresései alapján történik (vagy egy Olyan Azure-lekérdezés alapján, amely dinamikusan kiválasztja az Azure-beli virtuális gépeket a megadott feltételek alapján). Ezek a csoportok eltérnek a hatókör-konfigurációtól, amely a konfigurációt fogadó gépek célzásának szabályozására szolgál az Update Management engedélyezéséhez. Így nem végezhetik el és nem jelentik a frissítési megfelelőséget, és nem telepíthetik a jóváhagyott szükséges frissítéseket.
Az üzemelő példányok meghatározásakor meg kell adnia egy ütemezést is, amely jóváhagyja és beállítja azt az időszakot, amely alatt a frissítések telepíthetők. Ezt az időszakot karbantartási időszaknak nevezzük. A karbantartási időszak 10 perces időszaka újraindításokra van fenntartva, feltéve, hogy szükség van rá, és a megfelelő újraindítási lehetőséget választotta. Ha a javítás a vártnál tovább tart, és a karbantartási időszak kevesebb mint 10 percet vesz igénybe, nem történik újraindítás.
Miután egy frissítési csomag üzembe helyezésre van ütemezve, 2–3 órát vesz igénybe, hogy a frissítés megjelenjen a Linux rendszerű gépeken értékelésre. Windows rendszerű gépek esetén a frissítés kiadása után 12–15 óra alatt jelenik meg értékelésre. A frissítés telepítése előtt és után a rendszer ellenőrzi a frissítési megfelelőséget, és a naplóadatok eredményeit továbbítja a munkaterületnek.
A telepítést az Azure Automation runbookjai végzik. Ezek a runbookok nem tekinthetők meg, és nem igényelnek konfigurációt. A frissítéstelepítés létrehozásakor létrehoz egy ütemezést, amely elindít egy fő frissítési runbookot a megadott időpontban a belefoglalt gépekhez. A fő runbook minden ügynökön elindít egy gyermek runbookot, amely a szükséges frissítések telepítését kezdeményezi a windowsos Windows Update ügynökkel, vagy a támogatott Linux-disztribúcióra vonatkozó parancsot.
A frissítéstelepítésben megadott dátumon és időpontban a célgépek párhuzamosan hajtják végre az üzembe helyezést. A telepítés előtt a rendszer vizsgálatot futtat annak ellenőrzéséhez, hogy a frissítésekre továbbra is szükség van-e. Ha a WSUS-ügyfélszámítógépek nem hagyják jóvá a frissítéseket a WSUS-ban, a frissítés üzembe helyezése meghiúsul.
Korlátok
Az Update Managementre vonatkozó korlátokért lásd: Azure Automation szolgáltatáskorlátok.
Engedélyek
A frissítéstelepítések létrehozásához és kezeléséhez meghatározott engedélyekre van szükség. Ezekről az engedélyekről a Szerepköralapú hozzáférés – Update Management című témakörben talál további információt.
Az Update Management összetevői
Az Update Management az ebben a szakaszban ismertetett erőforrásokat használja. Ezeket az erőforrásokat a rendszer automatikusan hozzáadja az Automation-fiókjához az Update Management engedélyezésekor.
Hibrid runbook-feldolgozói csoportok
Az Update Management engedélyezése után a Log Analytics-munkaterülethez közvetlenül csatlakozó Windows-gépek automatikusan rendszer hibrid runbook-feldolgozóként vannak konfigurálva az Update Managementet támogató runbookok támogatásához.
Az Update Management által felügyelt összes Windows-gép megjelenik a Hibrid feldolgozócsoportok panelen az Automation-fiók rendszer hibrid feldolgozócsoportjaként. A csoportok az elnevezési konvenciót Hostname FQDN_GUID használják. Ezeket a csoportokat nem célozhatja meg runbookokkal a fiókjában. Ha megpróbálja, a kísérlet sikertelen lesz. Ezek a csoportok csak az Update Managementet támogatják. A hibrid runbook-feldolgozóként konfigurált Windows-gépek listájának megtekintéséről további információt a Hibrid runbook-feldolgozók megtekintése című témakörben talál.
Ha ugyanazt a fiókot használja az Update Managementhez és a hibrid runbook-feldolgozó csoporttagsághoz, hozzáadhatja a Windows-gépet egy felhasználói hibrid runbook-feldolgozó csoporthoz az Automation-fiókban, hogy támogassa az Automation-runbookokat. Ez a funkció a hibrid runbook-feldolgozó 7.2.12024.0-s verziójában lett hozzáadva.
Külső függőségek
Azure Automation Frissítéskezelés a következő külső függőségek függvénye a szoftverfrissítések kézbesítéséhez.
- Windows Server Update Services (WSUS) vagy Microsoft Update szükséges a szoftverfrissítési csomagokhoz és a szoftverfrissítések alkalmazhatósági vizsgálatához Windows-alapú gépeken.
- A Windows Update Agent (WUA) ügyfélre windowsos gépeken van szükség, hogy csatlakozni tudjanak a WSUS-kiszolgálóhoz vagy a Microsoft Update-hez.
- Helyi vagy távoli adattár, amely lekéri és telepíti az operációsrendszer-frissítéseket Linux-alapú gépeken.
Felügyeleti csomagok
Az Update Management által felügyelt gépeken az alábbi felügyeleti csomagok vannak telepítve. Ha az Operations Manager felügyeleti csoportja egy Log Analytics-munkaterülethez csatlakozik, a felügyeleti csomagok az Operations Manager felügyeleti csoportjába lesznek telepítve. A felügyeleti csomagokat nem szükséges konfigurálni vagy felügyelni.
- Microsoft System Center Advisor Update Assessment Intelligence Pack (Microsoft.IntelligencePacks.UpdateAssessment)
- Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
- Frissítéstelepítő felügyeleti csomag
Megjegyzés
Ha az Operations Manager 1807 vagy 2019 felügyeleti csoport egy Log Analytics-munkaterülethez csatlakozik, és a felügyeleti csoportban a naplóadatok gyűjtésére konfigurált ügynökökkel rendelkezik, felül kell bírálnia a paramétert IsAutoRegistrationEnabled , és be kell állítania True a Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init szabályban.
A felügyeleti csomagok frissítéseivel kapcsolatos további információkért lásd: Az Operations Manager csatlakoztatása az Azure Monitor-naplókhoz.
Megjegyzés
Ahhoz, hogy az Update Management teljes körűen felügyelhesse a gépeket a Log Analytics-ügynökkel, frissítenie kell a Windows Log Analytics-ügynökére vagy a Linuxhoz készült Log Analytics-ügynökre. Az ügynök frissítéséről az Operations Manager-ügynök frissítése című témakörben olvashat. Az Operations Managert használó környezetekben a System Center Operations Manager 2012 R2 UR 14 vagy újabb verzióját kell futtatnia.
Adatgyűjtés gyakorisága
Az Update Management az alábbi szabályokkal ellenőrzi a felügyelt gépeket az adatok kereséséhez. Az irányítópulton 30 perc és 6 óra között jelenhetnek meg a felügyelt gépekről származó frissített adatok.
Minden Windows rendszerű gép – Az Update Management naponta kétszer végez vizsgálatot az egyes gépeken.
Minden Linux rendszerű gép – Az Update Management óránként végez vizsgálatot.
Az Azure Monitor-naplók átlagos adathasználata az Update Managementet használó gépek esetében havonta körülbelül 25 MB. Ez az érték csak közelítés, és a környezettől függően változhat. Javasoljuk, hogy monitorozza a környezetet, hogy nyomon kövesse a pontos használatot. Az Azure Monitor-naplók adathasználatának elemzésével kapcsolatos további információkért lásd: Azure Monitor-naplók díjszabásának részletei.
Frissítési besorolások
Az alábbi tábla a Windows-frissítések az Update Management által támogatott besorolásait határozza meg.
| Besorolás | Leírás |
|---|---|
| Kritikus frissítések | Egy meghatározott probléma frissítése, amely kritikus, nem biztonsági hiba kezelésére szolgál. |
| Biztonsági frissítések | Frissítés egy termékspecifikus biztonsági problémára. |
| Kumulatív frissítések | Az egyszerű telepítés érdekében egy csomagban összesített, kumulatív gyorsjavítások. |
| Funkciócsomagok | Termékkiadáson kívül terjesztett új termékfunkciók. |
| Szervizcsomagok | Egy adott alkalmazáshoz készült gyorsjavítások kumulatív csoportja. |
| Definíciófrissítések | Vírus- vagy egyéb definíciós fájlok frissítése. |
| Eszközök | Egy vagy több feladat végrehajtására szolgáló segédprogramok vagy szolgáltatások. |
| Frissítések | Egy jelenleg telepített alkalmazáshoz vagy fájlhoz tartozó frissítés. |
A következő táblázat a Linux-frissítések támogatott besorolásait határozza meg.
| Besorolás | Leírás |
|---|---|
| Kritikus vagy biztonsági frissítések | Adott problémához vagy termékspecifikus, biztonsággal kapcsolatos problémához kapcsolódó frissítések. |
| Egyéb frissítések | Minden más frissítés, amely nem kritikus jellegű vagy nem biztonsági frissítés. |
Megjegyzés
A Linux rendszerű gépek frissítési besorolása csak akkor érhető el, ha támogatott nyilvános Azure-felhőrégiókban használják. Az Update Management a következő nemzeti felhőrégiókban való használatakor nem sorolja be a Linux-frissítéseket:
- Azure US Government
- 21Vianet Kínában
A besorolás helyett a frissítéseket az Egyéb frissítések kategóriában jelenti a rendszer.
Az Update Management a támogatott disztribúciók által közzétett adatokat, különösen a kiadott OVAL-fájlokat (Open Vulnerability and Assessment Language) használja. Mivel az internet-hozzáférés ezekből az országos felhőkből korlátozott, az Update Management nem tud hozzáférni a fájlokhoz.
A Linux frissítési besorolások logikája
Az értékeléssel összefüggésben az Update Management három kategóriába sorolja be a frissítéseket: Biztonsági, Kritikus vagy Egyebek. A frissítések besorolása két forrásból származó adatok szerint történik:
- A Nyílt biztonsági rések és értékelési nyelv (OVAL) fájlokat a Linux disztribúciós szállítója biztosítja, amely a frissítés által kijavított biztonsági problémákra vagy biztonsági résekre vonatkozó adatokat tartalmazza.
- A gépen található csomagkezelő, például: YUM, APT vagy ZYPPER.
A javítással összefüggésben az Update Management két kategóriába sorolja be a frissítéseket: Kritikus és biztonsági vagy Egyebek. A frissítések e besorolása kizárólag a csomagkezelőktől (például: YUM, APT vagy ZYPPER) származó adatok alapján történik.
CentOS – A többi disztribúciótól eltérően a CentOS nem rendelkezik a csomagkezelőtől elérhető besorolási adatokkal. Ha a CentOS-alapú gépeket biztonsági adatok visszaadására konfigurálta a következő parancs esetén, az Update Management a besorolások alapján végezheti a javítást.
sudo yum -q --security check-update
Megjegyzés
Jelenleg nincs támogatott módszer a natív besorolási adatok rendelkezésre állásának engedélyezésére a CentOS-en. Jelenleg korlátozott támogatást nyújtunk azoknak az ügyfeleknek, akik esetleg önállóan engedélyezték ezt a funkciót.
Redhat – A Red Hat Enterprise 6-os verziójának frissítéseinek besorolásához telepítenie kell a YUM biztonsági beépülő modult. A Red Hat Enterprise Linux 7-en a beépülő modul már része a YUM-nak, és nem kell semmit telepítenie. További információért tekintse meg az alábbi Red Hat-ismeretcikket.
Az Update Management integrálása a Configuration Manager
Azok az ügyfelek, akik a Microsoft Configuration Manager pc-k, kiszolgálók és mobileszközök kezelésére fektettek be, az Configuration Manager erősségére és fejlettségére is támaszkodnak a szoftverfrissítések kezeléséhez. Az Update Management és a Configuration Manager integrálásáról az Update Management integrálása a Windows Configuration Manager-nal című témakörben olvashat.
Külső frissítések Windows rendszeren
Az Update Management a helyileg konfigurált frissítési adattárra támaszkodik a támogatott Windows-rendszerek frissítéséhez( WSUS vagy Windows Update). Az olyan eszközök, mint a System Center Frissítések Publisher, lehetővé teszik egyéni frissítések importálását és közzétételét a WSUS használatával. Ez a forgatókönyv lehetővé teszi, hogy az Update Management frissítse azokat a gépeket, amelyek Configuration Manager használják frissítési adattárként harmadik féltől származó szoftverekkel. A Frissítések Publisher konfigurálásáról a Frissítések Publisher telepítése című témakörben olvashat.
A Windows Log Analytics-ügynök frissítése a legújabb verzióra
Az Update Management működéséhez Log Analytics-ügynök szükséges. Javasoljuk, hogy frissítse a Windows Log Analytics-ügynököt (más néven a Windows Microsoft Monitoring Agentet (MMA) a legújabb verzióra, hogy csökkentse a biztonsági réseket, és kihasználhassa a hibajavítások előnyeit. A Log Analytics-ügynök 10.20.18053 előtti verziói (csomag) és 1.0.18053.0 (bővítmény) régebbi tanúsítványkezelési módszert használnak, ezért nem ajánlott. A régebbi Windows Log Analytics-ügynökök nem tudnak csatlakozni az Azure-hoz, és az Update Management nem dolgozik rajtuk.
Az alábbi lépések végrehajtásával frissítenie kell a Log Analytics-ügynököt a legújabb verzióra:
Ellenőrizze a gépéhez tartozó Log Analytics-ügynök aktuális verzióját: Lépjen a telepítési útvonalra – C:\ProgramFiles\Microsoft Monitoring Agent\Agent , majd kattintson a jobb gombbal a HealthService.exe a Tulajdonságok ellenőrzéséhez. A Részletek lapon a Termékverzió mező tartalmazza a Log Analytics-ügynök verziószámát.
Ha a Log Analytics-ügynök verziója a 10.20.18053-at (csomag) és az 1.0.18053.0-s verziót (bővítmény) megelőzően van, frissítsen a Windows Log Analytics-ügynök legújabb verziójára az alábbi irányelvek szerint.
Megjegyzés
A frissítési folyamat során a frissítéskezelési ütemezések meghiúsulhatnak. Ezt akkor tegye, ha nincs tervezett ütemezés.
Következő lépések
Az Update Management engedélyezése és használata előtt tekintse át az Update Management üzembe helyezésének megtervezése című cikket.
Tekintse át az Update Managementtel kapcsolatos gyakori kérdéseket a Azure Automation gyakori kérdések között.