A frissítéskezelés áttekintése
Figyelemfelhívás
Ez a cikk a CentOS-ra, egy olyan Linux-disztribúcióra hivatkozik, amely közel áll az élettartam (EOL) állapotához. Ennek megfelelően fontolja meg a használatot és a tervezést. További információ: CentOS End Of Life útmutató.
Fontos
- Az Azure Automation Update Management 2024. augusztus 31-én megszűnik. Kövesse az Azure Update Managerbe való migrálásra vonatkozó irányelveket.
- Az Azure Log Analytics-ügynök, más néven a Microsoft Monitoring Agent (MMA) 2024 augusztusában megszűnik. Az Azure Automation Update Management megoldás erre az ügynökre támaszkodik, és problémákat tapasztalhat az ügynök kivonása után, mivel nem működik az Azure Monitoring Agenttel (AMA). Ezért ha az Azure Automation Update Management megoldást használja, javasoljuk, hogy a szoftverfrissítési igényeknek megfelelően lépjen az Azure Update Managerbe. Az Azure Automation Frissítéskezelési megoldás minden képessége elérhető lesz az Azure Update Managerben a kivonás dátuma előtt. Az útmutatást követve áthelyezheti a gépeket és az ütemezéseket az Automation Update Managementből az Azure Update Managerbe.
Az Update Management megoldás Azure Automationben való használatával kezelheti a Windows és Linux rendszerű virtuális gépek operációsrendszer-frissítéseit az Azure-ban, fizikai vagy virtuális gépeken a helyszíni környezetekben és más felhőkörnyezetekben is. Az elérhető frissítések állapota egyszerűen felmérhető, és felügyelhető a szükséges frissítések telepítése is az Update Managementnek információt küldő gépeken.
Előfordulhat, hogy szolgáltatóként több ügyfélbérlőt is előkészített az Azure Lighthouse-hoz. Az Update Management segítségével felmérheti és ütemezheti a frissítéstelepítéseket ugyanazon Microsoft Entra-bérlő több előfizetésében lévő gépekre vagy az Azure Lighthouse-t használó bérlőkre.
A Microsoft további képességeket kínál az Azure-beli virtuális gépek vagy az Azure-beli virtuálisgép-méretezési csoportok frissítéseinek kezeléséhez, amelyeket érdemes lehet használni az általános frissítéskezelési stratégia részeként.
Ha szeretné automatikusan felmérni és frissíteni az Azure-beli virtuális gépeket a havonta kiadott kritikus és biztonsági frissítések biztonsági megfelelőségének fenntartása érdekében, tekintse át az automatikus virtuálisgép-vendégjavítást. Ez egy alternatív frissítéskezelési megoldás az Azure-beli virtuális gépek számára, amellyel automatikusan frissítheti őket csúcsidőn kívüli időszakokban, beleértve a rendelkezésre állási csoportban lévő virtuális gépeket is, szemben a virtuális gépek frissítéstelepítésének felügyeletével az Update Managementből az Azure Automationben.
Ha azure-beli virtuálisgép-méretezési csoportokat kezel, tekintse át, hogyan végezhet automatikus operációsrendszer-rendszerkép-frissítéseket a méretezési csoport összes példányának operációsrendszer-lemezének biztonságos és automatikus frissítéséhez.
Mielőtt üzembe helyezné az Update Managementet, és engedélyezné a gépeket a felügyelethez, győződjön meg arról, hogy a következő szakaszokban szereplő információkat ismeri.
Az Update Management ismertetése
Az alábbi ábra bemutatja, hogy az Update Management hogyan értékeli és alkalmazza a biztonsági frissítéseket az összes csatlakoztatott Windows Server- és Linux-kiszolgálóra.
Az Update Management integrálható az Azure Monitor-naplókkal a frissítési értékelések és az üzembe helyezési eredmények naplóadatokként való tárolásához a hozzárendelt Azure-beli és nem Azure-beli gépekről. Az adatok gyűjtéséhez az Automation-fiók és a Log Analytics-munkaterület össze van kapcsolva, és a Windowshoz és Linuxhoz készült Log Analytics-ügynök szükséges a gépen, és úgy van konfigurálva, hogy jelentést jelentsen ezen a munkaterületen.
Az Update Management támogatja a rendszerfrissítésekkel kapcsolatos információk gyűjtését a munkaterülethez csatlakoztatott System Center Operations Manager felügyeleti csoport ügynökeitől. Having a machine registered for Update Management in more than one Log Analytics workspace (also referred to as multihoming) isn't supported.
Az alábbi táblázat összefoglalja a támogatott csatlakoztatott forrásokat az Update Management használatával.
| Csatlakoztatott forrás | Támogatott | Leírás |
|---|---|---|
| Windows | Igen | Az Update Management a Windows-gépek rendszerfrissítéseiről gyűjt információkat a Log Analytics-ügynökkel és a szükséges frissítések telepítésével. A gépeknek jelenteni kell a Microsoft Update vagy a Windows Server Update Services (WSUS) szolgáltatásnak. |
| Linux | Igen | Az Update Management a Log Analytics-ügynökkel gyűjt információkat a Linux rendszerű gépek rendszerfrissítéseiről, valamint a szükséges frissítések telepítéséről a támogatott disztribúciókon. A gépeknek egy helyi vagy távoli adattárban kell jelentést tenni. |
| Az Operations Manager felügyeleti csoportja | Igen | Az Update Management egy csatlakoztatott felügyeleti csoport ügynökeitől gyűjt információkat a szoftverfrissítésekről. Nincs szükség közvetlen kapcsolatra az Operations Manager-ügynök és az Azure Monitor naplói között. A rendszer a naplóadatokat a felügyeleti csoportból a Log Analytics-munkaterületre továbbítja. |
Az Update Management-jelentéshez hozzárendelt gépek naprakészek attól függően, hogy milyen forrással vannak konfigurálva a szinkronizálásra. A Windows rendszerű gépeket úgy kell konfigurálni, hogy a Windows Server Update Services vagy a Microsoft Update szolgáltatásnak jelentsenek, a Linux rendszerű gépeket pedig úgy kell konfigurálni, hogy egy helyi vagy nyilvános adattárban jelentsenek. Az Update Managementet a Microsoft Configuration Managerrel is használhatja, és további információt az Update Management integrálása a Windows Configuration Managerrel című témakörben talál.
Ha a Windows-gépen lévő Windows Update Agent (WUA) a WSUS-nak való jelentésre van konfigurálva, attól függően, hogy mikor szinkronizálta utoljára a WSUS a Microsoft Update-et, az eredmények eltérhetnek a Microsoft Update által megjelenítettektől. Ez a viselkedés ugyanaz a linuxos gépek esetében, amelyek úgy vannak konfigurálva, hogy nyilvános adattár helyett helyi adattárnak jelentsenek. Windows rendszerű gépeken a megfelelőségi vizsgálat alapértelmezés szerint 12 óránként fut. Linux rendszerű gépek esetén a rendszer alapértelmezés szerint óránként elvégzi a megfelelőségi vizsgálatot. Ha a Log Analytics-ügynök újraindul, a rendszer 15 percen belül elindít egy megfelelőségi vizsgálatot. Amikor egy gép befejezi a frissítési megfelelőség vizsgálatát, az ügynök tömegesen továbbítja az adatokat az Azure Monitor naplóinak.
Ütemezett központi telepítés létrehozásával szoftverfrissítéseket helyezhet üzembe és telepíthet olyan gépeken, amelyekhez szükség van a frissítésekre. Frissítések besorolása A Választható lehetőségek nem szerepelnek a Windows rendszerű gépek üzembehelyezési hatókörében. Az üzembehelyezési hatókör csak a szükséges frissítéseket tartalmazza.
Az ütemezett üzembe helyezés határozza meg, hogy mely célgépek kapják meg a vonatkozó frissítéseket. Ez vagy bizonyos gépek explicit megadásával vagy egy adott gépcsoport naplókeresésén alapuló számítógépcsoport kiválasztásával történik (vagy egy Olyan Azure-lekérdezés alapján, amely dinamikusan kiválasztja az Azure-beli virtuális gépeket a megadott feltételek alapján). Ezek a csoportok eltérnek a hatókör konfigurációjától, amely a konfigurációt fogadó gépek célzásának szabályozására szolgál az Update Management engedélyezéséhez. Ez megakadályozza őket a frissítési megfelelőség végrehajtásában és jelentésében, valamint a jóváhagyott szükséges frissítések telepítésében.
Az üzemelő példányok definiálása során meg kell adnia egy ütemezést is a jóváhagyáshoz, és meg kell adnia egy időtartamot, amely alatt a frissítések telepíthetők. Ezt az időszakot karbantartási időszaknak nevezzük. A karbantartási időszak 10 perces időtartama az újraindításokhoz van fenntartva, feltéve, hogy szükség van rá, és ön a megfelelő újraindítási lehetőséget választotta. Ha a javítás a vártnál tovább tart, és a karbantartási időszak kevesebb mint 10 percet vesz igénybe, nem történik újraindítás.
Miután a frissítési csomag üzembe helyezésre van ütemezve, 2–3 órát vesz igénybe, hogy a frissítés megjelenjen a Linux rendszerű gépeken értékelésre. Windows rendszerű gépek esetén 12–15 órát vesz igénybe, hogy a frissítés a kiadás után értékelésre jelenjen meg. A frissítés telepítése előtt és után a rendszer megvizsgálja a frissítési megfelelőséget, és a rendszer továbbítja a naplóadatok eredményeit a munkaterületre.
A telepítést az Azure Automation runbookjai végzik. Ezek a runbookok nem tekinthetők meg, és nem igényelnek konfigurációt. Amikor létrehoz egy frissítéstelepítést, létrehoz egy ütemezést, amely elindít egy fő frissítési runbookot a megadott időpontban a belefoglalt gépekhez. A fő runbook minden ügynökön elindít egy gyermek runbookot, amely kezdeményezi a szükséges frissítések telepítését a Windows Update-ügynökkel a Windows rendszeren, vagy a támogatott Linux-disztribúcióra vonatkozó parancsot.
A frissítéstelepítésben megadott napon és időpontban a célgépek párhuzamosan hajtják végre az üzembe helyezést. A telepítés előtt a rendszer vizsgálattal ellenőrzi, hogy a frissítésekre továbbra is szükség van-e. WSUS-ügyfélszámítógépek esetén, ha a frissítéseket nem hagyják jóvá a WSUS-ban, a frissítés üzembe helyezése meghiúsul.
Korlátok
Az Update Managementre vonatkozó korlátozásokért tekintse meg az Azure Automation szolgáltatás korlátait.
Engedélyek
A frissítéstelepítések létrehozásához és kezeléséhez meghatározott engedélyekre van szükség. Ezekről az engedélyekről a Szerepköralapú hozzáférés – Update Management című témakörben talál további információt.
Frissítéskezelési összetevők
Az Update Management az ebben a szakaszban ismertetett erőforrásokat használja. Ezeket az erőforrásokat a rendszer automatikusan hozzáadja az Automation-fiókjához az Update Management engedélyezésekor.
Hibrid runbook feldolgozói csoportjai
Az Update Management engedélyezése után a Log Analytics-munkaterülethez közvetlenül csatlakozó Windows-gépek automatikusan rendszer hibrid runbook-feldolgozóként vannak konfigurálva az Update Managementet támogató runbookok támogatásához.
Az Update Management által felügyelt windowsos gépek a Hibrid feldolgozócsoportok panelen jelennek meg az Automation-fiók rendszerszintű hibrid feldolgozói csoportjaként. A csoportok az elnevezési konvenciót Hostname FQDN_GUID használják. Ezeket a csoportokat nem célozhatja meg runbookokkal a fiókjában. Ha megpróbálja, a kísérlet sikertelen lesz. Ezek a csoportok csak az Update Managementet támogatják. A hibrid runbook-feldolgozóként konfigurált Windows-gépek listájának megtekintéséről további információt a hibrid Runbook-feldolgozók megtekintése című témakörben talál.
Ha ugyanazt a fiókot használja az Update Managementhez és a hibrid runbook-feldolgozó csoporttagsághoz, akkor az Automation-fiókban hozzáadhatja a Windows-gépet egy hibrid runbook-feldolgozó csoporthoz az Automation-runbookok támogatásához. Ez a funkció a hibrid runbook-feldolgozó 7.2.12024.0-s verziójában lett hozzáadva.
Külső függőségek
Az Azure Automation Update Management a következő külső függőségtől függ a szoftverfrissítések biztosításához.
- A Windows Server Update Services (WSUS) vagy a Microsoft Update szükséges a szoftverfrissítési csomagokhoz és a szoftverfrissítések alkalmazhatósági vizsgálatához a Windows-alapú gépeken.
- A Windows Update Agent (WUA) ügyfélre windowsos gépeken van szükség, hogy csatlakozni tudjanak a WSUS-kiszolgálóhoz vagy a Microsoft Update-hez.
- Helyi vagy távoli adattár, amely lekéri és telepíti az operációsrendszer-frissítéseket Linux-alapú gépeken.
Felügyeleti csomagok
Az Update Management által felügyelt gépeken az alábbi felügyeleti csomagok vannak telepítve. Ha az Operations Manager felügyeleti csoportja egy Log Analytics-munkaterülethez csatlakozik, a felügyeleti csomagok az Operations Manager felügyeleti csoportjában lesznek telepítve. A felügyeleti csomagokat nem szükséges konfigurálni vagy felügyelni.
- Microsoft System Center Advisor Update Assessment Intelligence Pack (Microsoft.IntelligencePacks.UpdateAssessment)
- Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
- Frissítéstelepítő felügyeleti csomag
Feljegyzés
Ha az Operations Manager 1807 vagy 2019 felügyeleti csoport egy Log Analytics-munkaterülethez csatlakozik a felügyeleti csoportban a naplóadatok gyűjtésére konfigurált ügynökökkel, felül kell bírálnia a paramétertIsAutoRegistrationEnabled, és be kell állítania a True Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init szabályban.
További információ a felügyeleti csomagok frissítéseiről: Csatlakozás Operations Manager és az Azure Monitor naplói.
Feljegyzés
Ahhoz, hogy az Update Management teljes mértékben kezelje a gépeket a Log Analytics-ügynökkel, frissítenie kell a Windows Log Analytics-ügynökére vagy a Linux Log Analytics-ügynökére. Az ügynök frissítéséről az Operations Manager-ügynök frissítéséről olvashat. Az Operations Managert használó környezetekben a System Center Operations Manager 2012 R2 UR 14 vagy újabb verzióját kell futtatnia.
Adatgyűjtés gyakorisága
Az Update Management a felügyelt gépeket az alábbi szabályokkal ellenőrzi. Az irányítópult 30 perc és 6 óra között jelenítheti meg a felügyelt gépekről származó frissített adatokat.
Minden Windows rendszerű gép – Az Update Management naponta kétszer végez vizsgálatot az egyes gépeken.
Minden Linux rendszerű gép – Az Update Management óránként végez vizsgálatot.
Az Azure Monitor-naplók által az Update Managementet használó gépek átlagos adathasználata körülbelül havi 25 MB. Ez az érték csak közelítés, és a környezettől függően változhat. Javasoljuk, hogy figyelje a környezetét, hogy nyomon kövesse a pontos használatot. Az Azure Monitor-naplók adathasználatának elemzésével kapcsolatos további információkért tekintse meg az Azure Monitor Logs díjszabásának részleteit.
Frissítési besorolások
Az alábbi tábla a Windows-frissítések az Update Management által támogatott besorolásait határozza meg.
| Osztályozás | Leírás |
|---|---|
| Kritikus frissítések | Egy meghatározott probléma frissítése, amely kritikus, nem biztonsági hiba kezelésére szolgál. |
| Biztonsági frissítések | Frissítés egy termékspecifikus biztonsági problémára. |
| Kumulatív frissítések | Az egyszerű telepítés érdekében egy csomagban összesített, kumulatív gyorsjavítások. |
| Funkciócsomagok | Termékkiadáson kívül terjesztett új termékfunkciók. |
| Szervizcsomagok | Egy adott alkalmazáshoz készült gyorsjavítások kumulatív csoportja. |
| Definíciófrissítések | Vírus- vagy egyéb definíciós fájlok frissítése. |
| Eszközök | Egy vagy több feladat végrehajtására szolgáló segédprogramok vagy szolgáltatások. |
| Frissítések | Egy jelenleg telepített alkalmazáshoz vagy fájlhoz tartozó frissítés. |
A következő táblázat a Linux-frissítések támogatott besorolásait határozza meg.
| Osztályozás | Leírás |
|---|---|
| Kritikus vagy biztonsági frissítések | Adott problémához vagy termékspecifikus, biztonsággal kapcsolatos problémához kapcsolódó frissítések. |
| Egyéb frissítések | Minden más frissítés, amely nem kritikus jellegű vagy nem biztonsági frissítés. |
Feljegyzés
A Linux rendszerű gépek frissítési besorolása csak akkor érhető el, ha támogatott Nyilvános Azure-felhőrégiókban használják. A Linux-frissítések besorolása nem történik meg az Update Management használatakor a következő nemzeti felhőrégiókban:
- Azure US Government
- 21Vianet Kínában
A besorolás helyett a frissítések az Egyéb frissítések kategóriában jelennek meg .
Az Update Management a támogatott disztribúciók által közzétett adatokat használja, különösen a kiadott OVAL -fájlokat (Nyitott biztonsági rések és értékelési nyelv). Mivel az internet-hozzáférés ezen nemzeti felhőktől korlátozott, az Update Management nem tudja elérni a fájlokat.
A Linux frissítési besorolások logikája
Az értékeléshez az Update Management három kategóriába sorolja a frissítéseket: Biztonság, Kritikus vagy Egyéb. A frissítések besorolása két forrásból származó adatok szerint történik:
- A Sebezhetőségi és értékelési nyelv (OVAL) fájlokat a Linux disztribúciós gyártó biztosítja, amely a frissítés által javított biztonsági problémákra vagy biztonsági résekre vonatkozó adatokat tartalmaz.
- A gépen található csomagkezelő, például: YUM, APT vagy ZYPPER.
A javításhoz az Update Management két kategóriába sorolja a frissítéseket: kritikus és biztonsági vagy egyéb kategóriákba. A frissítések e besorolása kizárólag a csomagkezelőktől (például: YUM, APT vagy ZYPPER) származó adatok alapján történik.
CentOS – Más disztribúciókkal ellentétben a CentOS nem rendelkezik a csomagkezelőtől elérhető besorolási adatokkal. Ha a CentOS-alapú gépeket biztonsági adatok visszaadására konfigurálta a következő parancs esetén, az Update Management a besorolások alapján végezheti a javítást.
sudo yum -q --security check-update
Feljegyzés
Jelenleg nincs támogatott módszer a natív besorolási adatok elérhetőségének engedélyezésére a CentOS-en. Jelenleg korlátozott támogatást nyújtunk azoknak az ügyfeleknek, akik esetleg önállóan engedélyezték ezt a funkciót.
Redhat – A Red Hat Enterprise 6-os verziójának frissítéseinek besorolásához telepítenie kell a YUM biztonsági beépülő modult. A Red Hat Enterprise Linux 7 esetében a beépülő modul már a YUM részét képezi, így nem kell további elemeket telepítenie. További információkért tekintse meg a következő, Red Hatről szóló tudásbáziscikket.
Az Update Management integrálása a Configuration Managerrel
Azok az ügyfelek, akik a Microsoft Configuration Managerbe fektettek a számítógépek, kiszolgálók és mobileszközök kezelésére, a Configuration Manager erősségére és fejlettségére is támaszkodnak a szoftverfrissítések kezeléséhez. Az Update Management a Configuration Managerrel való integrálásáról további információt az Update Management integrálása a Windows Configuration Managerrel című témakörben talál.
Külső gyártóktól származó frissítések Windows rendszeren
Az Update Management a helyileg konfigurált frissítési adattárra támaszkodik a támogatott Windows-rendszerek ( WSUS vagy Windows Update) frissítéséhez. Az olyan eszközök, mint a System Center Frissítések Publisher, lehetővé teszik egyéni frissítések importálását és közzétételét a WSUS használatával. Ez a forgatókönyv lehetővé teszi, hogy az Update Management frissítse azokat a gépeket, amelyek a Configuration Managert használják frissítési adattárként harmadik féltől származó szoftverekkel. A Frissítések Publisher konfigurálásáról a Frissítések Publisher telepítése című témakörben olvashat.
A Windows Log Analytics-ügynök frissítése a legújabb verzióra
Az Update Management működéséhez a Log Analytics-ügynök szükséges. Javasoljuk, hogy frissítse a Windows Log Analytics-ügynököt (más néven Windows Microsoft Monitoring Agentet (MMA)) a legújabb verzióra a biztonsági rések csökkentése és a hibajavítások előnyeinek kihasználása érdekében. A Log Analytics-ügynök 10.20.18053(csomag) és 1.0.18053.0 (bővítmény) előtti verziói a tanúsítványkezelés régebbi módszerét használják, ezért nem ajánlott. A régebbi Windows Log Analytics-ügynökök nem tudnak csatlakozni az Azure-hoz, és az Update Management leállna rajtuk.
Az alábbi lépések végrehajtásával frissítenie kell a Log Analytics-ügynököt a legújabb verzióra:
Ellenőrizze a gépéhez tartozó Log Analytics-ügynök aktuális verzióját: Lépjen a telepítési útvonalra – C:\ProgramFiles\Microsoft Monitoring Agent\Agent, majd kattintson a jobb gombbal a HealthService.exe a tulajdonságok ellenőrzéséhez. A Részletek lapon a Termék verzió mező tartalmazza a Log Analytics-ügynök verziószámát.
Ha a Log Analytics-ügynök verziója a 10.20.18053-at (csomag) és az 1.0.18053.0-s verziót (bővítmény) megelőzően van, frissítsen a Windows Log Analytics-ügynök legújabb verziójára az alábbi irányelvek szerint.
Feljegyzés
A frissítési folyamat során előfordulhat, hogy a frissítéskezelési ütemezések meghiúsulnak. Győződjön meg arról, hogy ezt akkor kell megtennie, ha nincs tervezett ütemezés.
Következő lépések
Az Update Management engedélyezése és használata előtt tekintse át az Update Management üzembe helyezésének megtervezését.
Tekintse át az Azure Automation frissítéskezelésével kapcsolatos gyakori kérdéseket.