Megosztás a következőn keresztül:

Az Update Management üzembe helyezésének megtervezése

  • Cikk

Fontos

Az Automation Update Management 2024. augusztus 31-én megszűnt, és javasoljuk, hogy az Azure Update Managert használja. Kövesse az Automation Update Managementből az Azure Update Managerbe való migrálásra vonatkozó irányelveket.

1. lépés: Automation-fiók

Az Update Management az Azure Automation egyik funkciója, ezért Automation-fiók szükséges hozzá. Használhat egy meglévő Automation-fiókot az előfizetésében, vagy létrehozhat egy új fiókot, amelyet csak az Update Management számára tart fenn más Automation-funkciók nélkül.

2. lépés: Azure Monitor-naplók

Az Update Management használatához szükség van egy Log Analytics-munkaterületre az Azure Monitorban, ahol a felügyelt gépekről gyűjtött, az értékelésekkel és a frissítések állapotával kapcsolatos adatokat tárolja. A Log Analytics-integráció ahhoz is szükséges, hogy részletes elemzéseket kapjon, és hogy riasztásokat használhasson az Azure Monitorban. Használhat egy meglévő munkaterületet is az előfizetésében, vagy létrehozhat egy újat, amely csak az Update Management számára van fenntartva.

Ha még nem ismeri az Azure Monitor-naplókat és a Log Analytics-munkaterületeket, tekintse át a Log Analytics-munkaterület üzembehelyezési útmutatóját.

3. lépés: Támogatott operációs rendszerek

Az Update Management a Windows Server és a Linux operációs rendszerek bizonyos verzióit támogatja. Az Update Management engedélyezése előtt ellenőrizze, hogy a célgépek megfelelnek-e az operációs rendszerre vonatkozó követelményeknek.

4. lépés: Log Analytics-ügynök

A Windowshoz és Linuxhoz készült Log Analytics-ügynök szükséges az Update Management támogatásához. Az ügynökre szükség van az adatgyűjtéshez és az Automation rendszer hibrid runbook-feldolgozói szerepköréhez is, amely támogatja az Update Management runbookjait, amelyek a gépeken az értékelések és a frissítéstelepítések kezelését végzik.

Ha az Azure-beli virtuális gépeken a Log Analytics-ügynök még nincs telepítve, az a Windows vagy Linux rendszerhez készült Log Analytics virtuálisgép-bővítmény használatával automatikusan telepítve lesz, amikor engedélyezi az Update Managementet a virtuális géphez. Az ügynök úgy van konfigurálva, hogy jelentéseket küldjön annak a Log Analytics-munkaterületnek, amely ahhoz az Automation-fiókhoz van társítva, amelyben engedélyezve van az Update Management.

A nem Azure-beli virtuális gépeknél vagy kiszolgálóknál telepítve kell lennie a Windows vagy Linux rendszerhez készült Log Analytics-ügynöknek, és annak jelentéseket kell küldenie a csatolt munkaterületnek. Azt javasoljuk, hogy a Windows vagy Linux rendszerhez készült Log Analytics-ügynököt úgy telepítse, hogy először csatlakoztatja a gépet az Azure Arc-kompatibilis kiszolgálókhoz, majd az Azure Policy használatával hozzárendeli a Log Analytics-ügynök üzembe helyezése Linux vagy Windows rendszerű Azure Arc-gépekhez nevű beépített szabályzatdefiníciót. Másik lehetőségként, ha VM-elemzésekkel szeretné figyelni a gépeket, használja az Azure Monitor engedélyezése virtuális gépekhez kezdeményezést.

Ha olyan gépet engedélyez, amelyet jelenleg az Operations Manager felügyel, nincs szükség új ügynökre. A munkaterület adatai hozzá lesznek adva az ügynökkonfigurációhoz, amikor a felügyeleti csoportot csatlakoztatja a Log Analytics-munkaterülethez.

Having a machine registered for Update Management in more than one Log Analytics workspace (also referred to as multihoming) isn't supported.

5. lépés – Hálózattervezés

Ahhoz, hogy a hálózatot az Update Management támogatására előkészítse, esetenként néhány infrastruktúra-összetevőt is konfigurálnia kell. Nyisson meg például tűzfalportokat az Update Management és az Azure Monitor által használt kommunikáció átadásához.

Az Azure Automation hálózati konfigurációját ismertető cikkben részletes információt talál az Update Managementhez szükséges portokról, URL-címekről és egyéb hálózatkezelési részletekről, beleértve a hibrid runbook-feldolgozó szerepkört is. Az Azure Private Link használatát ismertető cikkben tájékozódhat arról, hogyan csatlakozhat biztonságosan és privát módon az Automation szolgáltatáshoz az Azure-beli virtuális gépekről.

Windows rendszerű gépek esetén engedélyeznie kell a Windows Update-ügynök által igényelt végpontokra irányuló forgalmat is. A szükséges végpontok friss listáját a HTTP-/proxyproblémák című témakörben találja. Ha helyi Windows Server Update Services (WSUS) üzemelő példánya van, akkor a WSUS-kulcsban megadott kiszolgáló felé történő forgalmat is engedélyeznie kell.

Ha Red Hat Linux rendszerű gépeket használ, az RHUI tartalomkézbesítési kiszolgálók IP-címeit ismertető cikkben találja a szükséges végpontok felsorolását. Egyéb Linux-disztribúciók esetén tekintse meg a szolgáltató dokumentációját.

Ha az informatikai biztonsági szabályzatok nem teszik lehetővé, hogy a hálózaton lévő gépek csatlakozzanak az internethez, beállíthat egy Log Analytics-átjárót, és a gépet úgy konfigurálhatja, hogy az átjárón keresztül csatlakozzon az Azure Automationhez és az Azure Monitorhoz.

6. lépés: Engedélyek

A frissítéstelepítések létrehozásához és kezeléséhez meghatározott engedélyekre van szükség. Ezekről az engedélyekről a Szerepköralapú hozzáférés – Update Management című témakörben talál további információt.

7. lépés: Windows Update Agent

Az Azure Automation Update Management a Windows Update Agentet használja a Windows-frissítések letöltéséhez és telepítéséhez. A Windows Update Agent (WUA) meghatározott csoportházirend-beállításokat használ a gépeken a Windows Server Update Serviceshez (WSUS) vagy a Microsoft Update-hez való csatlakozáshoz. Ezek a csoportházirend-beállítások a szoftverfrissítés megfelelőségének sikeres vizsgálatához, valamint a szoftverfrissítések automatikus frissítéséhez is szükségesek. A javaslatok áttekintéséhez lásd: A Windows Update-beállítások konfigurálása az Update Managementhez.

8. lépés: Linux-adattár

Az Azure Marketplace-en elérhető, igény szerinti Red Hat Enterprise Linux- (RHEL-) rendszerképekből létrehozott virtuális gépek regisztrálva vannak az Azure-ban üzembe helyezett Red Hat Update Infrastructure (RHUI) eléréséhez. Minden más Linux-disztribúciót frissíteni kell a disztribúció online fájladattárából az adott disztribúció által támogatott módszerekkel.

Ahhoz, hogy a frissítéseket osztályozni tudja a Red Hat Enterprise 6-os verziójához, telepítenie kell a yum-security beépülő modult. A Red Hat Enterprise Linux 7 rendszeren a beépülő modul már része magának a yumnak, és nem kell semmit telepítenie. További információkért tekintse meg a következő, Red Hatről szóló tudásbáziscikket.

9. lépés: Üzembehelyezési célok megtervezése

Az Update Management segítségével Azure-beli és nem Azure-beli gépeket tartalmazó dinamikus csoportok frissítéseit is megcélozhatja, így gondoskodhat arról, hogy bizonyos gépek mindig a legkényelmesebb időpontokban kapják meg a megfelelő frissítéseket. A dinamikus csoportok feloldása az üzembe helyezéskor történik, és a következő feltételek vonatkoznak rá:

  • Előfizetés
  • Erőforráscsoportok
  • Helyek
  • Címkék

Nem Azure-beli gépek esetén a dinamikus csoportok mentett kereséseket, más néven számítógépcsoportokat használnak. A gépek egy csoportjára kiterjedő frissítéstelepítések csak az Automation-fiókból láthatók az Update Management Üzembe helyezés ütemezése beállításban, nem egy adott Azure-beli virtuális gépről.

Arra is lehetőség van, hogy a frissítéseket csak egy kiválasztott Azure-beli virtuális gépre vonatkozóan kezelje. Az adott gépre hatókörbe tartozó frissítéstelepítések mind a gépről, mind az Automation-fiókból láthatók az Update Management Üzembe helyezés ütemezése beállításban.

Következő lépések

Engedélyezze az Update Management használatát, és válassza ki a felügyelni kívánt gépeket az alábbi módszerek egyikével:

  • Azure Resource Manager-sablon használata az Update Management üzembe helyezéséhez egy új vagy meglévő Automation-fiókban és Azure Monitor Log Analytics-munkaterületen az előfizetésben. Nem konfigurálja a felügyelni kívánt gépek hatókörét, ezt a sablon használata után külön lépésként hajtja végre.

  • Az Automation-fiókból egy vagy több Azure-beli és nem Azure-beli géphez, beleértve az Azure Arc-kompatibilis kiszolgálókat is.

  • Az Enable-AutomationSolution runbook használatával automatizálhatja az Azure-beli virtuális gépek előkészítését.

  • Kiválasztott Azure-beli virtuális géphez az Azure Portal Virtuális gépek lapján. Ez a forgatókönyv Linux és Windows rendszerű virtuális gépeken érhető el.

  • Több Azure-beli virtuális gép esetén válassza ki őket az Azure Portal Virtuális gépek lapján.