Configurare l'applicazione di patch di pianificazione nelle macchine virtuali di Azure per la continuità aziendale

Si applica a: ✔️ macchine virtuali Linux ✔️ per macchine ✔️ virtuali Windows.

Questo articolo offre una panoramica su come configurare l'applicazione di patch di patch e l'applicazione automatica di patch alle macchine virtuali guest (VM) guest nelle macchine virtuali di Azure usando il nuovo prerequisito per garantire la continuità aziendale. I passaggi per configurare entrambe le opzioni di applicazione di patch nelle macchine virtuali di Azure Arc rimangono invariati.

Attualmente, è possibile abilitare l'applicazione automatica di patch alle macchine virtuali guest (autopatch) impostando la modalità patch su Azure orchestrata nel portale di Azure o AutomaticByPlatform nell'API REST, in cui le patch vengono applicate automaticamente durante le ore di minore attività.

Per personalizzare il controllo sull'installazione delle patch, è possibile usare la pianificazione dell'applicazione di patch per definire la finestra di manutenzione. È possibile abilitare l'applicazione di patch impostando la modalità patch su Azure orchestrata nella portale di Azure o AutomaticByPlatform nell'API REST e collegando una pianificazione alla macchina virtuale di Azure. Di conseguenza, le proprietà della macchina virtuale non potevano essere differenziate tra l'applicazione di patch pianificate o l'applicazione automatica di patch alle macchine virtuali guest perché entrambe le impostazioni della modalità patch erano impostate su Azure orchestrate.

In alcuni casi, quando si rimuove la pianificazione da una macchina virtuale, è possibile che la macchina virtuale venga ridimensionata e riavviata automaticamente. Per superare le limitazioni, è stato introdotto un nuovo prerequisito, ByPassPlatformSafetyChecksOnUserSchedule, che ora può essere impostato per true identificare una macchina virtuale usando l'applicazione di patch di pianificazione. Ciò significa che le macchine virtuali con questa proprietà impostata su true non vengono più ridimensionate automaticamente quando le macchine virtuali non hanno una configurazione di manutenzione associata.

Importante

Per un'esperienza di applicazione di patch pianificata continua, è necessario assicurarsi che la nuova proprietà della macchina virtuale, BypassPlatformSafetyChecksOnUserSchedule, sia abilitata in tutte le macchine virtuali di Azure (esistenti o nuove) con pianificazioni associate entro il 30 giugno 2023. Questa impostazione garantisce che i computer vengano patchati usando le pianificazioni configurate e non la compatibilità automatica. Se non è possibile abilitare entro il 30 giugno 2023, viene generato un errore che indica che i prerequisiti non sono soddisfatti.

Pianificare l'applicazione di patch in un set di disponibilità

Tutte le macchine virtuali in un set di disponibilità comune non vengono aggiornate contemporaneamente.

Le macchine virtuali in un set di disponibilità comune vengono aggiornate entro i limiti del dominio di aggiornamento. Le macchine virtuali tra più domini di aggiornamento non vengono aggiornate contemporaneamente.

Negli scenari in cui i computer dello stesso set di disponibilità vengono sottoposti a patch contemporaneamente in pianificazioni diverse, è probabile che non vengano applicate patch o che potrebbero non riuscire se la finestra di manutenzione supera. Per evitare questo problema, è consigliabile aumentare la finestra di manutenzione o dividere i computer appartenenti allo stesso set di disponibilità in più pianificazioni in momenti diversi.

Trovare macchine virtuali con pianificazioni associate

Per identificare l'elenco di macchine virtuali con le pianificazioni associate per cui è necessario abilitare una nuova proprietà della macchina virtuale:

1. Passare alla home page di Azure Update Manager e selezionare la scheda Computer .

2. Nel filtro di orchestrazione Patch selezionare Azure Managed - Cassaforte Deployment (Gestito di Azure - distribuzione Cassaforte).

3. Usare l'opzione Seleziona tutto per selezionare i computer e quindi selezionare Esporta in CSV.

4. Aprire il file CSV e nella colonna Pianificazioni associate selezionare le righe con una voce.

   Nella colonna Nome corrispondente è possibile visualizzare l'elenco delle macchine virtuali a cui è necessario abilitare il ByPassPlatformSafetyChecksOnUserSchedule flag.

Abilitare Pianifica applicazione di patch nelle macchine virtuali di Azure

Per abilitare l'applicazione di patch di pianificazione nelle macchine virtuali di Azure, seguire questa procedura.

Azure portal

Prerequisiti

Orchestrazione delle patch = Pianificazioni gestite dal cliente

Selezionare l'opzione di orchestrazione patch come Pianificazioni gestite dal cliente. La nuova opzione di orchestrazione patch abilita le proprietà della macchina virtuale seguenti per conto dell'utente dopo aver ricevuto il consenso:

• Modalità patch = Azure-orchestrated
• BypassPlatformSafetyChecksOnUserSchedule = TRUE

Abilitare per le nuove macchine virtuali

È possibile selezionare l'opzione di orchestrazione patch per le nuove macchine virtuali associate alle pianificazioni.

Per aggiornare la modalità patch:

1. Accedere al portale di Azure.
2. Passare a Macchina virtuale e selezionare Crea per aprire la pagina Crea macchina virtuale.
3. Nella scheda Informazioni di base compilare tutti i campi obbligatori.
4. Nella scheda Gestione , in Aggiornamenti del sistema operativo guest, per Opzioni di orchestrazione patch selezionare Orchestrazione di Azure.
5. Compilare le voci nelle schede Monitoraggio, Avanzate e Tag .
6. Selezionare Rivedi e crea. Selezionare Crea per creare una nuova macchina virtuale con l'opzione di orchestrazione patch appropriata.

Per pianificare l'applicazione di patch alle macchine virtuali appena create, seguire la procedura descritta nel passaggio 2 nella sezione successiva " Abilitare per le macchine virtuali esistenti".

Abilitare per le macchine virtuali esistenti

È possibile aggiornare l'opzione di orchestrazione patch per le macchine virtuali esistenti che dispongono già di pianificazioni associate o che saranno appena associate a una pianificazione.

Se l'orchestrazione patch è impostata come gestita da Azure o gestita da Azure - distribuzione Cassaforte (AutomaticByPlatform),BypassPlatformSafetyChecksOnUserSchedule è impostata su falsee non è associata alcuna pianificazione, le macchine virtuali verranno ridimensionate automaticamente.

Per aggiornare la modalità patch:

1. Accedere al portale di Azure.
2. Passare a Gestione aggiornamenti di Azure e selezionare Aggiorna Impostazioni.
3. In Modificare le impostazioni di aggiornamento selezionare Aggiungi computer.
4. In Selezionare le risorse selezionare le macchine virtuali e quindi selezionare Aggiungi.
5. Nel riquadro Modifica impostazioni di aggiornamento, in Orchestrazione patch selezionare Pianificazioni gestite dal cliente e quindi selezionare Salva.

Allegare una pianificazione dopo aver completato i passaggi precedenti.

Per verificare se BypassPlatformSafetyChecksOnUserSchedule è abilitato, passare alla home page della macchina virtuale e selezionare Panoramica>visualizzazione JSON.

REST API

Prerequisiti

• Modalità patch = AutomaticByPlatform
• BypassPlatformSafetyChecksOnUserSchedule = TRUE

Abilitare nelle macchine virtuali Windows

PATCH on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2023-03-01` 

{ 
  "location":"<location>", 
  "properties": { 
    "osProfile": { 
      "windowsConfiguration": { 
        "provisionVMAgent": true, 
        "enableAutomaticUpdates": true, 
        "patchSettings": { 
          "patchMode": "AutomaticByPlatform", 
          "automaticByPlatformSettings":{ 
            "bypassPlatformSafetyChecksOnUserSchedule":true 
          } 
        } 
      } 
    } 
  } 
} 

Abilitare nelle macchine virtuali Linux

PATCH on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2023-03-01` 

{ 

  "location":"<location>", 
  "properties": { 
    "osProfile": { 
      "linuxConfiguration": { 
        "provisionVMAgent": true, 
         "patchSettings": { 
           "patchMode": "AutomaticByPlatform", 
           "automaticByPlatformSettings":{ 
             "bypassPlatformSafetyChecksOnUserSchedule":true 
            } 
         } 
      } 
    } 
  } 
} 

PowerShell

Prerequisiti

• Modalità patch = AutomaticByPlatform
• BypassPlatformSafetyChecksOnUserSchedule = TRUE

Abilitare nelle macchine virtuali Windows

$VirtualMachine = Get-AzVM -ResourceGroupName "<resourceGroup>" -Name "<vmName>"
Set-AzVMOperatingSystem -VM $VirtualMachine -Windows -PatchMode "AutomaticByPlatform"
$AutomaticByPlatformSettings = $VirtualMachine.OSProfile.WindowsConfiguration.PatchSettings.AutomaticByPlatformSettings
 
if ($null -eq $AutomaticByPlatformSettings) {
   $VirtualMachine.OSProfile.WindowsConfiguration.PatchSettings.AutomaticByPlatformSettings = New-Object -TypeName Microsoft.Azure.Management.Compute.Models.WindowsVMGuestPatchAutomaticByPlatformSettings -Property @{BypassPlatformSafetyChecksOnUserSchedule = $true}
} else {
   $AutomaticByPlatformSettings.BypassPlatformSafetyChecksOnUserSchedule = $true
}
 
Update-AzVM -VM $VirtualMachine -ResourceGroupName "<resourceGroup>"

Abilitare nelle macchine virtuali Linux

$VirtualMachine = Get-AzVM -ResourceGroupName "<resourceGroup>" -Name "<vmName>"
Set-AzVMOperatingSystem -VM $VirtualMachine -Linux -PatchMode "AutomaticByPlatform"
$AutomaticByPlatformSettings = $VirtualMachine.OSProfile.LinuxConfiguration.PatchSettings.AutomaticByPlatformSettings
 
if ($null -eq $AutomaticByPlatformSettings) {
   $VirtualMachine.OSProfile.LinuxConfiguration.PatchSettings.AutomaticByPlatformSettings = New-Object -TypeName Microsoft.Azure.Management.Compute.Models.LinuxVMGuestPatchAutomaticByPlatformSettings -Property @{BypassPlatformSafetyChecksOnUserSchedule = $true}
} else {
   $AutomaticByPlatformSettings.BypassPlatformSafetyChecksOnUserSchedule = $true
}
 
Update-AzVM -VM $VirtualMachine -ResourceGroupName "<resourceGroup>"

Nota

Attualmente, è possibile abilitare solo il nuovo prerequisito per la pianificazione dell'applicazione di patch tramite il portale di Azure, l'API REST e PowerShell. Non può essere abilitata tramite l'interfaccia della riga di comando di Azure.

Abilitare l'applicazione automatica di patch alle macchine virtuali guest nelle macchine virtuali di Azure

Per abilitare l'applicazione automatica di patch alle macchine virtuali guest nelle macchine virtuali di Azure, seguire questa procedura.

Azure portal

Prerequisito

Modalità patch = Azure-orchestrated

Abilitare per le nuove macchine virtuali

È possibile selezionare l'opzione di orchestrazione patch per le nuove macchine virtuali associate alle pianificazioni.

Per aggiornare la modalità patch:

1. Accedere al portale di Azure.
2. Passare a Macchina virtuale e selezionare Crea per aprire la pagina Crea macchina virtuale.
3. Nella scheda Informazioni di base compilare tutti i campi obbligatori.
4. Nella scheda Gestione , in Aggiornamenti del sistema operativo guest, per Opzioni di orchestrazione patch selezionare Orchestrazione di Azure.
5. Compilare le voci nelle schede Monitoraggio, Avanzate e Tag .
6. Selezionare Rivedi e crea. Selezionare Crea per creare una nuova macchina virtuale con l'opzione di orchestrazione patch appropriata.

Abilitare per le macchine virtuali esistenti

Per aggiornare la modalità patch:

1. Accedere al portale di Azure.
2. Passare a Gestione aggiornamenti e selezionare Aggiorna impostazioni.
3. Nel riquadro Modifica impostazioni aggiornamento selezionare Aggiungi computer.
4. Nel riquadro Seleziona risorse selezionare le macchine virtuali e quindi selezionare Aggiungi.
5. Nel riquadro Modifica impostazioni di aggiornamento, in Orchestrazione patch selezionare Azure Managed - Cassaforte Deployment (Gestione di Azure - distribuzione Cassaforte) e quindi selezionare Save (Salva).

REST API

Prerequisiti

• Modalità patch = AutomaticByPlatform
• BypassPlatformSafetyChecksOnUserSchedule= FAL edizione Standard

Abilitare nelle macchine virtuali Windows

PATCH on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2023-03-01` 

{ 

  "location":"<location>", 
  "properties": { 
    "osProfile": { 
      "windowsConfiguration": { 
        "provisionVMAgent": true, 
        "enableAutomaticUpdates": true, 
        "patchSettings": { 
          "patchMode": "AutomaticByPlatform", 
          "automaticByPlatformSettings":{ 
            "bypassPlatformSafetyChecksOnUserSchedule":false 
          } 
        } 
      } 
    } 
  } 
} 

Abilitare nelle macchine virtuali Linux

PATCH on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2023-03-01` 

{ 
  "location":"<location>", 
  "properties": { 
    "osProfile": { 
      "linuxConfiguration": { 
        "provisionVMAgent": true,  
        "patchSettings": { 
          "patchMode": "AutomaticByPlatform", 
          "automaticByPlatformSettings":{ 
            "bypassPlatformSafetyChecksOnUserSchedule":false 
          } 
        } 
      } 
    } 
  } 
} 

Scenari utente

Scenari	Orchestrata da Azure	BypassPlatform Cassaforte tyChecksOnUserSchedule	Pianificazione associata	Comportamento previsto in Azure
Scenario 1	Sì	Vero	Sì	La patch di pianificazione viene eseguita come definito dall'utente.
Scenario 2	Sì	Vero	No	L'esecuzione della patch di aggiornamento automatico e pianificazione non viene eseguita.
Scenario 3	Sì	Falso	Sì	L'esecuzione della patch di aggiornamento automatico e pianificazione non viene eseguita. Viene visualizzato un errore che indica che i prerequisiti per la patch di pianificazione non sono soddisfatti.
Scenario 4	Sì	Falso	No	La macchina virtuale viene ridimensionata automaticamente.
Scenario 5	No	Vero	Sì	L'esecuzione della patch di aggiornamento automatico e pianificazione non viene eseguita. Viene visualizzato un errore che indica che i prerequisiti per la patch di pianificazione non sono soddisfatti.
Scenario 6	No	Vero	No	L'esecuzione della patch di aggiornamento automatico e pianificazione non viene eseguita.
Scenario 7	No	Falso	Sì	L'esecuzione della patch di aggiornamento automatico e pianificazione non viene eseguita. Viene visualizzato un errore che indica che i prerequisiti per la patch di pianificazione non sono soddisfatti.
Scenario 8	No	Falso	No	L'esecuzione della patch di aggiornamento automatico e pianificazione non viene eseguita.

Passaggi successivi

• Altre informazioni sull'ambito dinamico, una funzionalità avanzata della pianificazione dell'applicazione di patch.
• Seguire le istruzioni su come gestire varie operazioni dell'ambito dinamico
• Informazioni su come installare automaticamente gli aggiornamenti in base alla pianificazione creata sia per una singola macchina virtuale che su larga scala.
• Informazioni sugli eventi pre e post per eseguire automaticamente le attività prima e dopo una configurazione di manutenzione pianificata.