Configurare l'applicazione di patch pianificata nelle macchine virtuali di Azure per la continuità aziendale

Si applica a: ✔️ Macchine virtuali Windows ✔️ Macchine virtuali Linux ✔️ Macchine virtuali di Azure.

Questo articolo offre una panoramica su come configurare l'applicazione di patch di patch e l'applicazione automatica di patch alle macchine virtuali guest (VM) guest nelle macchine virtuali di Azure usando il nuovo prerequisito per garantire la continuità aziendale. I passaggi per configurare entrambe le opzioni di applicazione di patch nelle macchine virtuali di Azure Arc rimangono invariati.

È attualmente possibile abilitare l'applicazione di patch automatica per VM guest impostando la modalità di patch su Orchestrata da Azure nel portale di Azure o AutomaticByPlatform nell'API REST, in cui le patch vengono applicate automaticamente durante orari non di punta.

Per personalizzare il controllo sull'installazione delle patch, è possibile usare l'applicazione di patch pianificata per definire la finestra di manutenzione. È possibile abilitare l'applicazione di patch pianificata impostando la modalità di patch su Orchestrata da Azure nel portale di Azure o AutomaticByPlatform nell'API REST e collegando una pianificazione alla macchina virtuale di Azure. Le proprietà della macchina virtuale non possono quindi essere differenziate tra applicazione di patch pianificata o applicazione di patch automatica per VM guest perché la modalità di patch è impostata su Orchestrata da Azure in entrambi i casi.

In alcuni casi, quando si rimuove la pianificazione da una macchina virtuale, è possibile che le patch vengano applicate automaticamente e che la macchina virtuale venga riavviata. Per superare le limitazioni, è stato introdotto un nuovo prerequisito, ByPassPlatformSafetyChecksOnUserSchedule, che ora può essere impostato su true per identificare una macchina virtuale usando l'applicazione di patch pianificata. Ciò significa che alle macchine virtuali con questa proprietà impostata su true non vengono più applicate automaticamente patch quando le macchine virtuali non hanno una configurazione di manutenzione associata.

Importante

Per un'esperienza di applicazione di patch pianificata continua, è necessario assicurarsi che la nuova proprietà della macchina virtuale, BypassPlatformSafetyChecksOnUserSchedule, sia abilitata in tutte le macchine virtuali di Azure (esistenti o nuove) che hanno pianificazioni collegate entro il 30 giugno 2023. Questa impostazione garantisce che le patch vengano applicate ai computer usando le pianificazioni configurate e non mediante l'applicazione di patch automatica. Se non si abilita questa proprietà entro il 30 giugno 2023, viene generato un errore che indica che i prerequisiti non sono soddisfatti.

Pianificare l'applicazione di patch in un set di disponibilità

Tutte le macchine virtuali in un set di disponibilità comune non vengono aggiornate contemporaneamente.

Le macchine virtuali in un set di disponibilità comune vengono aggiornate entro i limiti del dominio di aggiornamento. Le macchine virtuali in più domini di aggiornamento non vengono aggiornate contemporaneamente.

Negli scenari in cui ai computer dello stesso set di disponibilità vengono applicate contemporaneamente patch in pianificazioni diverse, è probabile che non vengano applicate patch o che si verifichino errori se la finestra di manutenzione non rispetta i limiti. Per evitare questo problema, è consigliabile aumentare la finestra di manutenzione o dividere i computer appartenenti allo stesso set di disponibilità in più pianificazioni in momenti diversi.

Trovare macchine virtuali con pianificazioni associate

Per identificare l'elenco di macchine virtuali con le pianificazioni associate per cui è necessario abilitare una nuova proprietà della macchina virtuale:

1. Passare alla home page del Gestore aggiornamenti di Azure e selezionare la scheda Computer.

2. Nel filtro Orchestrazione patch selezionare Gestita da Azure - Distribuzione sicura.

3. Usare l'opzione Seleziona tutto per selezionare i computer e quindi selezionare Esporta in CSV.

4. Aprire il file CSV e nella colonna Pianificazioni associate selezionare le righe in cui è presente una voce.

   Nella colonna Nome corrispondente è possibile visualizzare l'elenco delle macchine virtuali per cui è necessario abilitare il flag ByPassPlatformSafetyChecksOnUserSchedule.

Abilitare Pianifica applicazione di patch nelle macchine virtuali di Azure

Per abilitare l'applicazione di patch pianificata nelle macchine virtuali di Azure, seguire questa procedura.

Azure portal

Prerequisiti

Orchestrazione patch = Pianificazioni gestite dal cliente

Selezionare Pianificazioni gestite dal cliente come opzione di orchestrazione delle patch. La nuova opzione di orchestrazione delle patch abilita le proprietà della macchina virtuale seguenti per conto dell'utente dopo aver ricevuto il consenso:

• Modalità patch = Azure-orchestrated
• BypassPlatformSafetyChecksOnUserSchedule = TRUE

Abilitazione per le nuove macchine virtuali

È possibile selezionare l'opzione di orchestrazione delle patch per le nuove macchine virtuali che verranno associate alle pianificazioni.

Per aggiornare la modalità di patch:

1. Accedere al portale di Azure.
2. Passare a Macchina virtuale e selezionare Crea per aprire la pagina Crea macchina virtuale.
3. Nella scheda Informazioni di base compilare tutti i campi obbligatori.
4. In Aggiornamenti del sistema operativo guest nella scheda Gestione per Opzioni di orchestrazione patch selezionare Orchestrata da Azure.
5. Compilare le voci nelle schede Monitoraggio, Avanzate e Tag.
6. Selezionare Rivedi e crea. Selezionare Crea per creare una nuova macchina virtuale con l'opzione di orchestrazione patch appropriata.

Per pianificare l'applicazione di patch alle macchine virtuali appena create, seguire la procedura a partire dal passaggio 2 nella sezione successiva "Abilitazione per le macchine virtuali esistenti".

Abilitazione per le macchine virtuali esistenti

È possibile aggiornare l'opzione di orchestrazione patch per le macchine virtuali esistenti che hanno già pianificazioni associate o che saranno ora associate a una pianificazione.

Se l'Orchestrazione patch è impostata su Orchestrata da Azure o Gestita da Azure - Distribuzione sicura (AutomaticByPlatform), BypassPlatformSafetyChecksOnUserSchedule è impostata su falsee non è presente alcuna pianificazione associata, le patch verranno applicate automaticamente alle macchine virtuali.

Per aggiornare la modalità di patch:

1. Accedere al portale di Azure.
2. Passare al Gestore aggiornamenti di Azure e selezionare Impostazioni aggiornamento.
3. In Modifica impostazioni di aggiornamento selezionare Aggiungi computer.
4. In Seleziona risorse selezionare le macchine virtuali, quindi selezionare Aggiungi.
5. In Orchestrazione patch nel riquadro Modifica impostazioni di aggiornamento selezionare Pianificazioni gestite dal cliente, quindi selezionare Salva.

Collegare una pianificazione dopo aver completato i passaggi precedenti.

Per verificare se BypassPlatformSafetyChecksOnUserSchedule è abilitata, passare alla home page Macchina virtuale e selezionare Panoramica>Visualizzazione JSON.

REST API

Prerequisiti

• Modalità patch = AutomaticByPlatform
• BypassPlatformSafetyChecksOnUserSchedule = TRUE

Abilitazione nelle macchine virtuali Windows

PATCH on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2023-03-01` 

{ 
  "location":"<location>", 
  "properties": { 
    "osProfile": { 
      "windowsConfiguration": { 
        "provisionVMAgent": true, 
        "enableAutomaticUpdates": true, 
        "patchSettings": { 
          "patchMode": "AutomaticByPlatform", 
          "automaticByPlatformSettings":{ 
            "bypassPlatformSafetyChecksOnUserSchedule":true 
          } 
        } 
      } 
    } 
  } 
} 

Abilitazione nelle macchine virtuali Linux

PATCH on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2023-03-01` 

{ 

  "location":"<location>", 
  "properties": { 
    "osProfile": { 
      "linuxConfiguration": { 
        "provisionVMAgent": true, 
         "patchSettings": { 
           "patchMode": "AutomaticByPlatform", 
           "automaticByPlatformSettings":{ 
             "bypassPlatformSafetyChecksOnUserSchedule":true 
            } 
         } 
      } 
    } 
  } 
} 

PowerShell

Prerequisiti

• Modalità patch = AutomaticByPlatform
• BypassPlatformSafetyChecksOnUserSchedule = TRUE

Abilitazione nelle macchine virtuali Windows

$VirtualMachine = Get-AzVM -ResourceGroupName "<resourceGroup>" -Name "<vmName>"
Set-AzVMOperatingSystem -VM $VirtualMachine -Windows -PatchMode "AutomaticByPlatform"
$AutomaticByPlatformSettings = $VirtualMachine.OSProfile.WindowsConfiguration.PatchSettings.AutomaticByPlatformSettings
 
if ($null -eq $AutomaticByPlatformSettings) {
   $VirtualMachine.OSProfile.WindowsConfiguration.PatchSettings.AutomaticByPlatformSettings = New-Object -TypeName Microsoft.Azure.Management.Compute.Models.WindowsVMGuestPatchAutomaticByPlatformSettings -Property @{BypassPlatformSafetyChecksOnUserSchedule = $true}
} else {
   $AutomaticByPlatformSettings.BypassPlatformSafetyChecksOnUserSchedule = $true
}
 
Update-AzVM -VM $VirtualMachine -ResourceGroupName "<resourceGroup>"

Abilitazione nelle macchine virtuali Linux

$VirtualMachine = Get-AzVM -ResourceGroupName "<resourceGroup>" -Name "<vmName>"
Set-AzVMOperatingSystem -VM $VirtualMachine -Linux -PatchMode "AutomaticByPlatform"
$AutomaticByPlatformSettings = $VirtualMachine.OSProfile.LinuxConfiguration.PatchSettings.AutomaticByPlatformSettings
 
if ($null -eq $AutomaticByPlatformSettings) {
   $VirtualMachine.OSProfile.LinuxConfiguration.PatchSettings.AutomaticByPlatformSettings = New-Object -TypeName Microsoft.Azure.Management.Compute.Models.LinuxVMGuestPatchAutomaticByPlatformSettings -Property @{BypassPlatformSafetyChecksOnUserSchedule = $true}
} else {
   $AutomaticByPlatformSettings.BypassPlatformSafetyChecksOnUserSchedule = $true
}
 
Update-AzVM -VM $VirtualMachine -ResourceGroupName "<resourceGroup>"

Nota

È ora possibile abilitare il nuovo prerequisito per la pianificazione dell'applicazione di patch tramite il portale di Azure, l'API REST, PowerShell e l'interfaccia della riga di comando di Azure.

Abilitare l'applicazione automatica di patch alle macchine virtuali guest nelle macchine virtuali di Azure

Per abilitare l'applicazione automatica di patch alle macchine virtuali guest nelle macchine virtuali di Azure, seguire questa procedura.

Azure portal

Prerequisito

Modalità patch = Azure-orchestrated

Abilitazione per le nuove macchine virtuali

È possibile selezionare l'opzione di orchestrazione delle patch per le nuove macchine virtuali che verranno associate alle pianificazioni.

Per aggiornare la modalità di patch:

1. Accedere al portale di Azure.
2. Passare a Macchina virtuale e selezionare Crea per aprire la pagina Crea macchina virtuale.
3. Nella scheda Informazioni di base compilare tutti i campi obbligatori.
4. In Aggiornamenti del sistema operativo guest nella scheda Gestione per Opzioni di orchestrazione patch selezionare Orchestrata da Azure.
5. Compilare le voci nelle schede Monitoraggio, Avanzate e Tag.
6. Selezionare Rivedi e crea. Selezionare Crea per creare una nuova macchina virtuale con l'opzione di orchestrazione patch appropriata.

Abilitazione per le macchine virtuali esistenti

Per aggiornare la modalità di patch:

1. Accedere al portale di Azure.
2. Passare al Gestore aggiornamenti e selezionare Impostazioni aggiornamento.
3. Nel riquadro Modifica impostazioni di aggiornamento selezionare Aggiungi computer.
4. Nel riquadro Seleziona risorse selezionare le macchine virtuali, quindi selezionare Aggiungi.
5. In Orchestrazione patch nel riquadro Modifica impostazioni di aggiornamento selezionare Gestita da Azure - Distribuzione sicura, quindi selezionare Salva.

REST API

Prerequisiti

• Modalità patch = AutomaticByPlatform
• BypassPlatformSafetyChecksOnUserSchedule = FALSE

Abilitazione nelle macchine virtuali Windows

PATCH on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2023-03-01` 

{ 

  "location":"<location>", 
  "properties": { 
    "osProfile": { 
      "windowsConfiguration": { 
        "provisionVMAgent": true, 
        "enableAutomaticUpdates": true, 
        "patchSettings": { 
          "patchMode": "AutomaticByPlatform", 
          "automaticByPlatformSettings":{ 
            "bypassPlatformSafetyChecksOnUserSchedule":false 
          } 
        } 
      } 
    } 
  } 
} 

Abilitazione nelle macchine virtuali Linux

PATCH on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2023-03-01` 

{ 
  "location":"<location>", 
  "properties": { 
    "osProfile": { 
      "linuxConfiguration": { 
        "provisionVMAgent": true,  
        "patchSettings": { 
          "patchMode": "AutomaticByPlatform", 
          "automaticByPlatformSettings":{ 
            "bypassPlatformSafetyChecksOnUserSchedule":false 
          } 
        } 
      } 
    } 
  } 
} 

Scenari utente

Scenari	Orchestrata da Azure	BypassPlatformSafetyChecksOnUserSchedule	Pianificazione associata	Comportamento previsto in Azure
Scenario 1	Sì	Vero	Sì	L'applicazione di patch pianificata viene eseguita in base a quanto definito dall'utente.
Scenario 2	Sì	Vero	No	L'applicazione automatica di patch e l'applicazione di patch pianificata non vengono eseguite.
Scenario 3	Sì	Falso	Sì	L'applicazione automatica di patch e l'applicazione di patch pianificata non vengono eseguite. Viene visualizzato un errore che indica che i prerequisiti per l'applicazione di patch pianificata non sono soddisfatti.
Scenario 4	Sì	Falso	No	Le patch vengono applicate automaticamente alla macchina virtuale.
Scenario 5	No	Vero	Sì	L'applicazione automatica di patch e l'applicazione di patch pianificata non vengono eseguite. Viene visualizzato un errore che indica che i prerequisiti per l'applicazione di patch pianificata non sono soddisfatti.
Scenario 6	No	Vero	No	L'applicazione automatica di patch e l'applicazione di patch pianificata non vengono eseguite.
Scenario 7	No	Falso	Sì	L'applicazione automatica di patch e l'applicazione di patch pianificata non vengono eseguite. Viene visualizzato un errore che indica che i prerequisiti per l'applicazione di patch pianificata non sono soddisfatti.
Scenario 8	No	Falso	No	L'applicazione automatica di patch e l'applicazione di patch pianificata non vengono eseguite.

Passaggi successivi

• Altre informazioni su Ambito dinamico, una funzionalità avanzata dell'applicazione di patch pianificata.
• Seguire le istruzioni su come gestire varie operazioni dell'ambito dinamico
• Informazioni su come installare automaticamente gli aggiornamenti in base alla pianificazione creata per una singola macchina virtuale e su larga scala.
• Informazioni su eventi pre e post per eseguire automaticamente le attività prima e dopo una configurazione di manutenzione pianificata.