Menjadwalkan pembaruan berulang untuk komputer dengan menggunakan portal Azure dan Azure Policy

Berlaku untuk: ✔️ VM Windows VM ✔️ ✔️ Linux Lingkungan ✔️ lokal server yang didukung Azure Arc.

Penting

• Untuk pengalaman patching terjadwal yang mulus, kami sarankan untuk semua komputer virtual (VM) Azure, Anda memperbarui orkestrasi patch ke Jadwal yang Dikelola Pelanggan paling cepat 30 Juni 2023. Jika Anda gagal memperbarui orkestrasi patch sebelum 30 Juni 2023, Anda dapat mengalami gangguan dalam kelangsungan bisnis karena jadwal akan gagal menambal VM. Pelajari selengkapnya.
• Menjadwalkan pembaruan berulang melalui Azure Policy tidak tersedia di Azure US Government dan Azure China yang dioperasikan oleh 21 Vianet.

Anda dapat menggunakan Azure Update Manager untuk membuat dan menyimpan jadwal penyebaran berulang. Anda dapat membuat jadwal pada irama harian, mingguan, atau per jam. Anda dapat menentukan komputer yang harus diperbarui sebagai bagian dari jadwal dan pembaruan yang akan diinstal.

Jadwal ini kemudian secara otomatis menginstal pembaruan sesuai dengan jadwal yang dibuat untuk satu VM dan dalam skala besar.

Manajer Pembaruan menggunakan jadwal kontrol pemeliharaan alih-alih membuat jadwalnya sendiri. Kontrol pemeliharaan memungkinkan pelanggan mengelola pembaruan platform. Untuk informasi selengkapnya, lihat Dokumentasi kontrol pemeliharaan.

Prasyarat untuk patching terjadwal

1. Lihat Prasyarat untuk Update Manager.

2. Orkestrasi patch komputer Azure harus diatur ke Jadwal Yang Dikelola Pelanggan. Untuk informasi selengkapnya, lihat Mengaktifkan patching jadwal pada VM yang ada. Untuk komputer dengan dukungan Azure Arc, ini bukan persyaratan.

   Catatan

   Jika Anda mengatur mode patch ke Azure orchestrated (AutomaticByPlatform) tetapi tidak mengaktifkan bendera BypassPlatform Brankas tyChecksOnUserSchedule dan tidak melampirkan konfigurasi pemeliharaan ke komputer Azure, itu diperlakukan sebagai mesin yang mendukung patching tamu otomatis. Platform Azure secara otomatis menginstal pembaruan sesuai dengan jadwalnya sendiri. Pelajari selengkapnya.

Menjadwalkan patching dalam set ketersediaan

Semua VM dalam set ketersediaan umum tidak diperbarui secara bersamaan.

VM dalam set ketersediaan umum diperbarui dalam batas Domain Pembaruan. VM di beberapa Domain Pembaruan tidak diperbarui secara bersamaan.

Dalam skenario di mana komputer dari set ketersediaan yang sama sedang di-patch pada saat yang sama dalam jadwal yang berbeda, kemungkinan komputer tersebut mungkin tidak di-patch atau berpotensi gagal jika jendela pemeliharaan melebihi. Untuk menghindari hal ini, kami sarankan Anda meningkatkan jendela pemeliharaan atau membagi komputer milik ketersediaan yang sama yang ditetapkan di beberapa jadwal pada waktu yang berbeda.

Mengonfigurasi pengaturan reboot

Kunci registri yang tercantum dalam Mengonfigurasi Pembaruan Otomatis dengan mengedit kunci registri dan Registri yang digunakan untuk mengelola mulai ulang dapat menyebabkan komputer Anda di-boot ulang. Boot ulang dapat terjadi bahkan jika Anda menentukan Jangan Pernah Reboot di pengaturan Jadwal . Konfigurasikan kunci registri ini agar paling sesuai dengan lingkungan Anda.

Batas layanan

Kami merekomendasikan batas berikut untuk indikator.

Indikator	Batas
Jumlah jadwal per langganan per wilayah	250
Jumlah total asosiasi sumber daya ke jadwal	3.000
Asosiasi sumber daya pada setiap cakupan dinamis	1,000
Jumlah cakupan dinamis per grup sumber daya atau langganan per wilayah	250
Jumlah cakupan dinamis per jadwal	30
Jumlah total langganan yang dilampirkan ke semua cakupan dinamis per jadwal	30

Untuk informasi selengkapnya, lihat batas layanan untuk cakupan Dinamis.

Menjadwalkan pembaruan berulang pada satu VM

Anda dapat menjadwalkan pembaruan dari panel Gambaran Umum atau Mesin di halaman Manajer Pembaruan atau dari VM yang dipilih.

Untuk menjadwalkan pembaruan berulang pada satu VM:

1. Masuk ke portal Azure.

2. Pada halaman Gambaran Umum Azure Update Manager | , pilih langganan Anda, lalu pilih Jadwalkan pembaruan.

3. Pada halaman Buat konfigurasi pemeliharaan baru, Anda dapat membuat jadwal untuk satu VM.

   Saat ini, VM dan konfigurasi pemeliharaan dalam langganan yang sama didukung.

4. Pada halaman Dasar , pilih Langganan, Grup Sumber Daya, dan semua opsi dalam Detail instans.

   • Pilih Cakupan pemeliharaan sebagai Tamu (Azure VM, VM/server berkemampuan Azure Arc).

   • Pilih Tambahkan jadwal. Di Tambahkan/Ubah jadwal, tentukan detail jadwal, seperti:

     • Mulai pada
     • Jendela pemeliharaan (dalam jam). Jendela pemeliharaan atas adalah 3 jam 55 menit.
     • Berulang (bulanan, harian, atau mingguan)
     • Tambahkan tanggal selesai
     • Ringkasan jadwal

   Opsi per jam tidak didukung di portal tetapi dapat digunakan melalui API.

   

   Untuk Berulang setiap bulan, ada dua opsi:

   • Ulangi pada tanggal kalender (secara opsional berjalan pada tanggal terakhir bulan).
   • Ulangi pada nth (pertama, kedua, dll.) x hari (misalnya, Senin, Selasa) bulan. Anda juga dapat menentukan offset dari hari yang ditetapkan. Bisa jadi +6/-6. Misalnya, jika Anda ingin melakukan patch pada hari Sabtu pertama setelah patch pada hari Selasa, tetapkan pengulangan sebagai Selasa kedua bulan dengan offset +4 hari. Secara opsional, Anda juga dapat menentukan tanggal selesai saat Anda ingin jadwal kedaluwarsa.

5. Pada tab Komputer , pilih komputer Anda, lalu pilih Berikutnya.

   Manajer Pembaruan tidak mendukung pembaruan driver.

6. Pada tab Tag , tetapkan tag ke konfigurasi pemeliharaan.

7. Pada tab Tinjau + buat , verifikasi opsi penyebaran pembaruan Anda, lalu pilih Buat.

Dari panel Komputer

1. Masuk ke portal Azure.

2. Pada halaman Azure Update Manager | Machines, pilih langganan Anda, pilih komputer Anda, lalu pilih Jadwalkan pembaruan.

3. Di Buat konfigurasi pemeliharaan baru, Anda dapat membuat jadwal untuk satu VM dan menetapkan mesin dan tag. Ikuti prosedur dari langkah 3 yang tercantum di Dari panelRingkasan Jadwalkan pembaruan berulang pada satu VM untuk membuat konfigurasi pemeliharaan dan menetapkan jadwal.

Dari VM yang dipilih

1. Pilih komputer virtual Anda untuk membuka Komputer virtual | Halaman pembaruan .
2. Di bawah Operasi, pilih Pembaruan.
3. Pada tab Pembaruan , pilih Buka Pembaruan menggunakan Pusat Pembaruan.
4. Di Pratinjau pembaruan, pilih Jadwalkan pembaruan. Di Buat konfigurasi pemeliharaan baru, Anda dapat membuat jadwal untuk satu VM. Ikuti prosedur dari langkah 3 yang tercantum di Dari panelRingkasan Jadwalkan pembaruan berulang pada satu VM untuk membuat konfigurasi pemeliharaan dan menetapkan jadwal.

Pemberitahuan mengonfirmasi bahwa penyebaran dibuat.

Menjadwalkan pembaruan berulang dalam skala besar

Untuk menjadwalkan pembaruan berulang dalam skala besar, ikuti langkah-langkah berikut.

Anda dapat menjadwalkan pembaruan dari panel Gambaran Umum atau Mesin .

Dari panel Gambaran Umum

1. Masuk ke portal Azure.

2. Pada halaman Gambaran Umum Azure Update Manager | , pilih langganan Anda, lalu pilih Jadwalkan pembaruan.

3. Pada halaman Buat konfigurasi pemeliharaan baru, Anda dapat membuat jadwal untuk beberapa komputer.

   Saat ini, VM dan konfigurasi pemeliharaan dalam langganan yang sama didukung.

4. Pada tab Dasar , pilih Langganan, Grup Sumber Daya, dan semua opsi dalam Detail instans.

   • Pilih Tambahkan jadwal. Di Tambahkan/Ubah jadwal, tentukan detail jadwal, seperti:

     • Mulai pada
     • Jendela pemeliharaan (dalam jam)
     • Berulang (bulanan, harian, atau mingguan)
     • Tambahkan tanggal selesai
     • Ringkasan jadwal

   Opsi per jam tidak didukung di portal tetapi dapat digunakan melalui API.

5. Pada tab Komputer , verifikasi apakah komputer yang dipilih tercantum. Anda dapat menambahkan atau menghapus komputer dari daftar. Pilih Selanjutnya.

6. Pada tab Pembaruan , tentukan pembaruan yang akan disertakan dalam penyebaran, seperti klasifikasi pembaruan atau ID/paket KB yang harus diinstal saat Anda memicu jadwal Anda.

   Manajer Pembaruan tidak mendukung pembaruan driver.

7. Pada tab Tag , tetapkan tag ke konfigurasi pemeliharaan.

8. Pada tab Tinjau + buat , verifikasi opsi penyebaran pembaruan Anda, lalu pilih Buat.

Dari panel Komputer

1. Masuk ke portal Azure.

2. Pada halaman Azure Update Manager | Machines, pilih langganan Anda, pilih komputer Anda, lalu pilih Jadwalkan pembaruan.

Pada halaman Buat konfigurasi pemeliharaan baru, Anda dapat membuat jadwal untuk satu VM. Ikuti prosedur dari langkah 3 yang tercantum di Dari panelRingkasan Jadwalkan pembaruan berulang pada satu VM untuk membuat konfigurasi pemeliharaan dan menetapkan jadwal.

Pemberitahuan mengonfirmasi bahwa penyebaran dibuat.

Melampirkan konfigurasi pemeliharaan

Konfigurasi pemeliharaan dapat dilampirkan ke beberapa komputer. Ini dapat dilampirkan ke mesin pada saat membuat konfigurasi pemeliharaan baru atau bahkan setelah Anda membuatnya.

1. Pada halaman Azure Update Manager , pilih Komputer, lalu pilih langganan Anda.

2. Pilih komputer Anda, dan pada panel Pembaruan , pilih Pembaruan terjadwal untuk membuat konfigurasi pemeliharaan atau melampirkan konfigurasi pemeliharaan yang ada ke pembaruan berulang terjadwal.

3. Pada tab Penjadwalan , pilih Lampirkan konfigurasi pemeliharaan.

4. Pilih konfigurasi pemeliharaan yang ingin Anda lampirkan, lalu pilih Lampirkan.

5. Pada panel Pembaruan , pilih Penjadwalan>Lampirkan konfigurasi pemeliharaan.

6. Pada halaman Lampirkan konfigurasi pemeliharaan yang ada, pilih konfigurasi pemeliharaan yang ingin Anda lampirkan, lalu pilih Lampirkan.

   

Menjadwalkan pembaruan berulang dari konfigurasi pemeliharaan

Anda dapat menelusuri dan mengelola semua konfigurasi pemeliharaan Anda dari satu tempat.

1. Konfigurasi Pemeliharaan Pencarian di portal Azure. Ini menunjukkan daftar semua konfigurasi pemeliharaan bersama dengan cakupan pemeliharaan, grup sumber daya, lokasi, dan langganan tempatnya berada.

2. Anda dapat memfilter konfigurasi pemeliharaan dengan menggunakan filter di bagian atas. Konfigurasi pemeliharaan yang terkait dengan pembaruan OS tamu adalah yang memiliki cakupan pemeliharaan sebagai InGuestPatch.

Anda dapat membuat konfigurasi pemeliharaan pembaruan OS tamu baru atau mengubah konfigurasi yang sudah ada.

Membuat konfigurasi pemeliharaan baru

1. Buka Mesin dan pilih komputer dari daftar.

2. Pada panel Pembaruan , pilih Pembaruan terjadwal.

3. Pada panel Buat konfigurasi pemeliharaan, ikuti langkah 3 dalam prosedur ini untuk membuat konfigurasi pemeliharaan.

4. Pada tab Dasar, pilih cakupan Pemeliharaan sebagai Tamu (Azure VM, VM/server berkemampuan Arc).

   

Menambahkan atau menghapus komputer dari konfigurasi pemeliharaan

1. Buka Mesin dan pilih komputer dari daftar.

2. Pada halaman Pembaruan , pilih Pembaruan satu kali.

3. Pada panel Instal pembaruan satu kali, pilih Mesin>Tambahkan komputer.

   

Mengubah kriteria pemilihan pembaruan

1. Pada panel Instal pembaruan satu kali, pilih sumber daya dan mesin untuk menginstal pembaruan.

2. Pada tab Komputer , pilih Tambahkan komputer untuk menambahkan komputer yang sebelumnya tidak dipilih, lalu pilih Tambahkan.

3. Pada tab Pembaruan , tentukan pembaruan yang akan disertakan dalam penyebaran.

4. Pilih Sertakan ID/paket KB dan Kecualikan ID/paket KB, masing-masing, untuk memilih pembaruan seperti Pembaruan kritis, Keamanan, dan Fitur.

   

Onboarding untuk menjadwalkan dengan menggunakan Azure Policy

Update Manager memungkinkan Anda menargetkan sekelompok VM Azure atau non-Azure untuk penyebaran pembaruan melalui Azure Policy. Pengelompokan menggunakan kebijakan mencegah Anda mengedit penyebaran untuk memperbarui komputer. Anda dapat menggunakan langganan, grup sumber daya, tag, atau wilayah untuk menentukan cakupan. Anda dapat menggunakan fitur ini untuk kebijakan bawaan, yang dapat Anda sesuaikan sesuai dengan kasus penggunaan Anda.

Catatan

Kebijakan ini juga memastikan bahwa properti orkestrasi patch untuk komputer Azure diatur ke Jadwal Terkelola Pelanggan karena merupakan prasyarat untuk patching terjadwal.

Menetapkan kebijakan

Azure Policy memungkinkan Anda menetapkan standar dan menilai kepatuhan dalam skala besar. Untuk mengetahui informasi selengkapnya, lihat Gambaran Umum Azure Policy. Untuk menetapkan kebijakan ke cakupan:

1. Masuk ke portal Azure dan pilih Kebijakan.

2. Di bawah Penugasan, pilih Tetapkan kebijakan.

3. Pada halaman Tetapkan kebijakan , pada tab Dasar :

   • Untuk Cakupan, pilih grup langganan dan sumber daya Anda dan pilih Pilih.

   • Pilih Definisi kebijakan untuk melihat daftar kebijakan.

   • Pada panel Definisi yang Tersedia, pilih Bawaan untuk Jenis. Di Pencarian, masukkan Jadwalkan pembaruan berulang menggunakan Azure Update Manager dan klik Pilih.

     

   • Pastikan bahwa Penegakan kebijakan diatur ke Diaktifkan, lalu pilih Berikutnya.

4. Pada tab Parameter , secara default, hanya KONFIGURASI Pemeliharaan ARM ID yang terlihat.

   Jika Anda tidak menentukan parameter lain, semua komputer dalam langganan dan grup sumber daya yang Anda pilih pada tab Dasar dicakup di bawah cakupan. Jika Anda ingin mencakup lebih lanjut berdasarkan grup sumber daya, lokasi, OS, tag, dan sebagainya, hapus Hanya tampilkan parameter yang perlu input atau tinjau untuk melihat semua parameter:

   • KONFIGURASI Pemeliharaan ARM ID: Parameter wajib yang akan disediakan. Ini menunjukkan ID Azure Resource Manager (ARM) dari jadwal yang ingin Anda tetapkan ke komputer.
   • Grup sumber daya: Anda dapat secara opsional menentukan grup sumber daya jika Anda ingin melingkupinya ke grup sumber daya. Secara default, semua grup sumber daya dalam langganan dipilih.
   • Jenis Sistem Operasi: Anda dapat memilih Windows atau Linux. Secara default, keduanya telah dipilih sebelumnya.
   • Lokasi komputer: Anda dapat secara opsional menentukan wilayah yang ingin Anda pilih. Secara default, semua dipilih.
   • Tag pada komputer: Anda dapat menggunakan tag untuk cakupan lebih jauh. Secara default, semua dipilih.
   • Operator tag: Jika Anda memilih beberapa tag, Anda dapat menentukan apakah Anda ingin cakupan menjadi mesin yang memiliki semua tag atau mesin yang memiliki salah satu tag tersebut.

   

5. Pada tab Remediasi, di Jenis Identitas>Terkelola Identitas Terkelola, pilih Identitas terkelola yang ditetapkan sistem. Izin sudah ditetapkan sebagai Kontributor sesuai dengan definisi kebijakan.

   Jika Anda memilih Remediasi, kebijakan berlaku pada semua mesin yang ada dalam cakupan atau ditugaskan ke komputer baru apa pun yang ditambahkan ke cakupan.

6. Pada tab Tinjau + buat , verifikasi pilihan Anda, lalu pilih Buat untuk mengidentifikasi sumber daya yang tidak patuh untuk memahami status kepatuhan lingkungan Anda.

Lihat kepatuhan

Untuk melihat status kepatuhan sumber daya Anda saat ini:

1. Di Penetapan Kebijakan, pilih Cakupan untuk memilih langganan dan grup sumber daya Anda.

2. Di Jenis definisi, pilih kebijakan. Dalam daftar, pilih nama penugasan.

3. Pilih Tampilkan kepatuhan. Kepatuhan sumber daya mencantumkan mesin dan alasan kegagalan.

   

Periksa eksekusi patching terjadwal Anda

Anda dapat memeriksa status penyebaran dan riwayat konfigurasi pemeliharaan anda berjalan dari portal Update Manager. Untuk informasi selengkapnya, lihat Memperbarui riwayat penyebaran dengan ID eksekusi pemeliharaan.

Garis Waktu Jendela Pemeliharaan

Jendela pemeliharaan mengontrol jumlah pembaruan yang dapat diinstal pada komputer virtual dan server berkemampuan Arc Anda. Kami menyarankan agar Anda melalui tabel berikut untuk memahami garis waktu untuk jendela pemeliharaan saat menginstal pembaruan:

Misalnya, jika jendela pemeliharaan adalah 3 jam dan dimulai pada pukul 15.00, berikut ini adalah detail tentang cara pembaruan diinstal:

Windows

Jenis Pembaruan	Rincian
Paket Layanan	Jika Anda menginstal Paket Layanan, Anda memerlukan 20 menit tersisa di jendela pemeliharaan agar pembaruan berhasil diinstal, jika tidak pembaruan dilewati. Dalam contoh ini, Anda harus selesai menginstal paket layanan pada pukul 17.40.
Pembaruan lainnya	Jika Anda menginstal pembaruan lain selain Paket Layanan, Anda harus memiliki 15 menit tersisa di jendela pemeliharaan, jika tidak, itu dilewati. Dalam contoh ini, Anda harus menyelesaikan penginstalan pembaruan lainnya pada pukul 17.45.
Reboot	Jika komputer memerlukan boot ulang, Anda harus memiliki 10 menit tersisa di jendela pemeliharaan, jika tidak, boot ulang dilewati. Dalam contoh ini, Anda harus memulai boot ulang pada pukul 17.50. Catatan: Untuk komputer virtual Azure dan server berkemampuan Arc, Azure Update Manager menunggu maksimum 15 menit untuk Azure VM dan 25 menit untuk server Arc setelah boot ulang untuk menyelesaikan operasi boot ulang sebelum menandainya sebagai gagal.

Linux

Jenis Pembaruan	Rincian
Reboot	Jika VM memerlukan boot ulang, Anda harus memiliki 15 menit tersisa di jendela pemeliharaan, jika tidak, boot ulang dilewati. Catatan: Ini hanya berlaku untuk Azure VM dan bukan untuk server yang diaktifkan Arc. Dalam contoh ini, Anda harus memulai boot ulang pada pukul 17.45.
Pembaruan terinstal dalam batch	Jika ukuran batch adalah X, maka waktu minimum yang diperlukan untuk memperbarui paket dihitung sebagai berikut - Jika X kurang dari atau sama dengan 3, waktu minimum yang diperlukan = 5 x X menit. - Jika X lebih besar dari 3, waktu minimum yang diperlukan = 15+2 x (X-3) menit. Catatan: Hanya layanan Azure Update Manager yang mengontrol ukuran batch (X) pembaruan.

Catatan

• Azure Update Manager tidak berhenti menginstal pembaruan baru jika mendekati akhir jendela pemeliharaan.
• Azure Update Manger tidak mengakhiri pembaruan yang sedang berlangsung jika jendela pemeliharaan terlampaui dan hanya pembaruan tersisa yang harus diinstal yang tidak dicoba. Kami menyarankan agar Anda mengevaluasi kembali durasi jendela pemeliharaan Anda untuk memastikan semua pembaruan diinstal .
• Jika jendela pemeliharaan terlampaui pada Windows, seringkali karena pembaruan paket layanan membutuhkan waktu lama untuk diinstal.

Langkah berikutnya

• Pelajari selengkapnya tentang Cakupan dinamis, kemampuan patching jadwal tingkat lanjut.
• Pelajari selengkapnya tentang cara Mengonfigurasi patching jadwal di Azure VM untuk kelangsungan bisnis.
• Ikuti instruksi tentang cara mengelola berbagai operasi cakupan Dinamis
• Pelajari tentang peristiwa pra dan posting untuk melakukan tugas secara otomatis sebelum dan sesudah konfigurasi pemeliharaan terjadwal.