Gestire aggiornamenti e patch per le macchine virtuali

Attenzione

Questo articolo fa riferimento a CentOS, una distribuzione Linux che ha raggiunto lo stato End Of Life (EOL). Valutare le proprie esigenze e pianificare di conseguenza. Per ulteriori informazioni, consultare la Guida alla fine del ciclo di vita di CentOS.

Importante

Gestione aggiornamenti di Automazione è stato ritirato il 31 agosto 2024 ed è consigliabile usare Gestore aggiornamenti di Azure. Seguire le linee guida per la migrazione da Gestione aggiornamenti di Automazione a Gestore aggiornamenti di Azure.

Gli aggiornamenti software in Gestione degli aggiornamenti di Automazione di Azure offrono un set di strumenti e risorse che consentono di gestire la complessa attività di monitoraggio e applicazione degli aggiornamenti software ai computer in Azure e nel cloud ibrido. Un processo di gestione efficiente degli aggiornamenti software è necessario per mantenere l'efficienza operativa, risolvere i problemi di sicurezza e ridurre i rischi di aumento delle minacce alla sicurezza informatica. Tuttavia, a causa della natura mutevole della tecnologia e della continua comparsa di nuove minacce per la sicurezza, una gestione efficiente degli aggiornamenti software richiede un'attenzione costante e ininterrotta.

Nota

Gestione degli aggiornamenti supporta la distribuzione degli aggiornamenti proprietari e il relativo download preventivo. Questo supporto richiede alcune modifiche nei sistemi da aggiornare. Per informazioni su come configurare queste impostazioni nei sistemi in uso, vedere Configurare le impostazioni di Windows Update per Gestione aggiornamenti di Automazione di Azure.

Prima di tentare di gestire gli aggiornamenti per le macchine virtuali, assicurarsi di aver abilitato Gestione degli aggiornamenti su di esse usando uno di questi metodi:

• Abilitare Gestione aggiornamenti da un account di Automazione
• Abilitare Gestione aggiornamenti dal portale di Azure
• Abilitare Gestione aggiornamenti da un runbook
• Abilitare Gestione aggiornamenti da una macchina virtuale di Azure

Limitare l'ambito della distribuzione

Gestione aggiornamenti usa una configurazione dell'ambito all'interno dell'area di lavoro per individuare i computer nei quali ricevere gli aggiornamenti. Per altre informazioni, vedere Limitare l'ambito di distribuzione di Gestione aggiornamenti.

Valutazione della conformità

Prima di distribuire gli aggiornamenti software nelle macchine virtuali, esaminare i risultati della valutazione della conformità degli aggiornamenti per le macchine virtuali abilitate. Per ogni aggiornamento software, lo stato di conformità viene registrato e quindi dopo il completamento della valutazione, viene raccolto e inoltrato in blocco ai log di Monitoraggio di Azure.

In un computer Windows, l'analisi di conformità viene eseguita ogni 12 ore per impostazione predefinita e viene avviata entro 15 minuti dal riavvio dell'agente di Log Analytics per Windows. I dati di valutazione vengono quindi inoltrati all'area di lavoro e viene aggiornata la tabella Aggiornamenti. Prima e dopo l'installazione dell'aggiornamento, viene eseguita un'analisi di conformità degli aggiornamenti per identificare gli aggiornamenti mancanti, ma i risultati non vengono usati per aggiornare i dati di valutazione nella tabella.

È importante consultare i nostri consigli su come configurare il client di Windows Update con Gestione degli aggiornamenti per evitare eventuali problemi che ne impediscono la gestione corretta.

Per un computer Linux, l'analisi della conformità viene eseguita ogni ora per impostazione predefinita. In caso di riavvio dell'agente di Log Analytics per Linux, viene avviata un'analisi della conformità entro 15 minuti.

I risultati della conformità vengono presentati in Gestione degli aggiornamenti per ogni computer valutato. La visualizzazione dei dati aggiornati da un nuovo computer abilitato per la gestione può richiedere fino a 30 minuti.

Vedere Monitorare gli aggiornamenti software per informazioni su come visualizzare i risultati di conformità.

Distribuire gli aggiornamenti

Dopo aver esaminato i risultati di conformità, la fase di distribuzione degli aggiornamenti software è il processo di distribuzione degli aggiornamenti software. Per installare gli aggiornamenti, pianificare una distribuzione che rispetti la pianificazione dei rilasci e l'intervallo di servizio. È possibile scegliere i tipi di aggiornamento da includere nella distribuzione. È possibile ad esempio includere gli aggiornamenti critici o della sicurezza ed escludere gli aggiornamenti cumulativi.

Vedere Distribuire gli aggiornamenti software per informazioni su come pianificare una distribuzione degli aggiornamenti.

Escludere gli aggiornamenti

In alcune varianti di Linux, ad esempio Red Hat Enterprise Linux, è possibile che gli aggiornamenti a livello di sistema operativo vengano eseguiti tramite pacchetti. Di conseguenza potrebbero verificarsi esecuzioni di Gestione aggiornamenti in cui il numero di versione del sistema operativo cambia. Poiché Gestione aggiornamenti usa gli stessi metodi per l'aggiornamento dei pacchetti usati localmente da un amministratore in un computer Linux, questo comportamento è intenzionale.

Per evitare l'aggiornamento della versione del sistema operativo tramite distribuzioni di Gestione aggiornamenti, usare la funzionalità Esclusione.

In Red Hat Enterprise Linux il nome del pacchetto da escludere è redhat-release-server.x86_64.

Classificazioni degli aggiornamenti Linux

Durante la distribuzione degli aggiornamenti in un computer Linux è possibile selezionare le classificazioni degli aggiornamenti. Questa opzione filtra gli aggiornamenti che soddisfano i criteri specificati. Questo filtro viene applicato in locale nel computer in cui viene distribuito l'aggiornamento.

Poiché Gestione aggiornamenti esegue l'arricchimento degli aggiornamenti nel cloud, è possibile contrassegnare alcuni aggiornamenti in Gestione aggiornamenti come elementi che influiscono sulla sicurezza, anche se questa informazione non è indicata nel computer locale. Se si applicano aggiornamenti critici a un computer Linux, è possibile che alcuni non vengano contrassegnati come elementi che influiscono sulla sicurezza del computer e che quindi non vengano applicati. Tuttavia, Gestione aggiornamenti potrebbe comunque segnalare tale computer come non conforme perché contiene informazioni aggiuntive sull'aggiornamento pertinente.

La distribuzione degli aggiornamenti in base alla relativa classificazione non funziona nelle versioni RTM di CentOS. Per distribuire correttamente gli aggiornamenti per CentOS, selezionare tutte le classificazioni per assicurarsi che gli aggiornamenti vengano applicati. Per SUSE, se si seleziona SOLO Altri aggiornamenti come classificazione, è possibile che vengano installati anche alcuni aggiornamenti della sicurezza aggiuntivi se per prima cosa sono richiesti quelli correlati a zypper (gestione pacchetti) o alle relative dipendenze. Si tratta di una limitazione di zypper. In alcuni casi può essere necessario eseguire di nuovo la distribuzione degli aggiornamenti e quindi verificarla tramite l'apposito log.

Esaminare le distribuzioni degli aggiornamenti

Al termine della distribuzione, esaminare il processo per determinare l'esito positivo della distribuzione degli aggiornamenti in base al computer o al gruppo di destinazione. Vedere Esaminare lo stato della distribuzione per informazioni su come monitorare lo stato della distribuzione.

Passaggi successivi

• Per informazioni su come creare avvisi per notificare i risultati della distribuzione degli aggiornamenti, vedere Creare avvisi per Gestione degli aggiornamenti.

• È possibile eseguire query nei log di Monitoraggio di Azure per analizzare le valutazioni degli aggiornamenti, le distribuzioni e altre attività di gestione correlate. Include query predefinite per iniziare più facilmente.