Applicazione automatica di patch guest alle VM di Azure
Attenzione
Questo articolo fa riferimento a CentOS, una distribuzione Linux prossima allo stato EOL (End of Life, fine del ciclo di vita). Prendere in considerazione l'uso e il piano di conseguenza. Per altre informazioni, vedere le linee guida per la fine della vita di CentOS.
Si applica a: ✔️ macchine virtuali Linux ✔️ macchine virtuali Windows ✔️ set di scalabilità flessibili
L'abilitazione dell'applicazione automatica di patch guest alle macchine virtuali di Azure consente di semplificare la gestione degli aggiornamenti applicando automaticamente patch alle macchine virtuali per mantenere la conformità alla sicurezza, limitando al tempo stesso il raggio di esecuzione delle macchine virtuali.
L'applicazione automatica di patch guest alle macchine virtuali presenta le caratteristiche seguenti:
- Le patch classificate come Critiche o Sicurezza vengono scaricate e applicate automaticamente alla macchina virtuale.
- Le patch vengono applicate durante le ore di minore attività per le macchine virtuali IaaS nel fuso orario della macchina virtuale.
- Le patch vengono applicate durante tutte le ore per VMSS Flex.
- L'orchestrazione delle patch viene gestita da Azure e le patch vengono applicate seguendo i principi di disponibilità.Patch orchestration is managed by Azure and patch are applied following availability-first principles.
- L'integrità della macchina virtuale, come determinato tramite i segnali di integrità della piattaforma, viene monitorata per rilevare gli errori di applicazione di patch.
- L'integrità dell'applicazione può essere monitorata tramite l'estensione Integrità applicazione.
- È adatto per le macchine virtuali di qualsiasi dimensione.
Come funziona l'applicazione automatica di patch guest alle macchine virtuali?
Se l'applicazione automatica delle patch guest alle macchine virtuali è abilitata in una macchina virtuale, le patch critiche e di sicurezza disponibili vengono scaricate e applicate automaticamente nella macchina virtuale. Questo processo inizia automaticamente ogni mese quando vengono rilasciate le nuove patch. La valutazione delle patch e l'installazione sono automatiche e il processo include il riavvio della macchina virtuale, ove necessario.
La macchina virtuale viene valutata periodicamente ogni pochi giorni e più volte entro qualsiasi periodo di 30 giorni per determinare le patch applicabili per tale macchina virtuale. Le patch possono essere installate ogni giorno nella macchina virtuale durante le ore di minore attività per la macchina virtuale. Questa valutazione automatica garantisce che eventuali patch mancanti vengano individuate al più presto possibile.
Le patch vengono installate entro 30 giorni dalle versioni mensili delle patch, seguendo l'orchestrazione di disponibilità-first descritta di seguito. Le patch vengono installate solo durante le ore di minore attività per la macchina virtuale, a seconda del fuso orario della macchina virtuale. La macchina virtuale deve essere in esecuzione durante le ore di minore attività per l'installazione automatica delle patch. Se una macchina virtuale viene spenta durante una valutazione periodica, la macchina virtuale verrà valutata automaticamente e le patch applicabili verranno installate automaticamente durante la valutazione periodica successiva (in genere entro pochi giorni) quando la macchina virtuale è accesa.
Gli aggiornamenti delle definizioni e altre patch non classificati come critici o la sicurezza non verranno installati tramite l'applicazione automatica di patch guest alle macchine virtuali. Per installare patch con altre classificazioni di patch o pianificare l'installazione delle patch all'interno della propria finestra di manutenzione personalizzata, è possibile usare Gestione aggiornamenti.
Per le macchine virtuali IaaS, i clienti possono scegliere di configurare le macchine virtuali per abilitare l'applicazione automatica di patch guest alle macchine virtuali. Questo limiterà il raggio di esplosione delle macchine virtuali che ottengono la patch aggiornata ed eseguono un aggiornamento orchestrato delle macchine virtuali. Il servizio fornisce anche il monitoraggio dell'integrità per rilevare eventuali problemi relativi all'aggiornamento.
Aggiornamenti di disponibilità
Il processo di installazione delle patch viene orchestrato a livello globale da Azure per tutte le macchine virtuali con l'applicazione automatica di patch guest alle macchine virtuali abilitate. Questa orchestrazione segue i principi di disponibilità per diversi livelli di disponibilità forniti da Azure.
Per un gruppo di macchine virtuali in fase di aggiornamento, la piattaforma Azure orchestra gli aggiornamenti:
Tra aree:
- Un aggiornamento mensile viene orchestrato in Azure a livello globale in modo graduale per evitare errori di distribuzione globali.
- Una fase può avere una o più aree e un aggiornamento passa alle fasi successive solo se le macchine virtuali idonee in un aggiornamento di fase sono state eseguite correttamente.
- Le aree geografiche abbinate non vengono aggiornate contemporaneamente e non possono trovarsi nella stessa fase a livello di area.
- L'esito positivo di un aggiornamento viene misurato monitorando l'aggiornamento post-aggiornamento dell'integrità della macchina virtuale. L'integrità della macchina virtuale viene monitorata tramite gli indicatori di integrità della piattaforma per la macchina virtuale.
All'interno di un'area:
- Le macchine virtuali in zone di disponibilità diverse non vengono aggiornate simultaneamente con lo stesso aggiornamento.
- Le macchine virtuali che non fanno parte di un set di disponibilità vengono raggruppate in batch per evitare aggiornamenti simultanei per tutte le macchine virtuali in una sottoscrizione.
All'interno di un set di disponibilità:
- Tutte le macchine virtuali in un set di disponibilità comune non vengono aggiornate contemporaneamente.
- Le macchine virtuali in un set di disponibilità comune vengono aggiornate entro i limiti del dominio di aggiornamento e le macchine virtuali in più domini di aggiornamento non vengono aggiornate contemporaneamente.
Restringendo l'ambito delle macchine virtuali con patch tra aree, all'interno di un'area o in un set di disponibilità, limitare il raggio di esplosione della patch. Con il monitoraggio dell'integrità, eventuali potenziali problemi vengono contrassegnati senza influire sull'intera flotta.
La data di installazione della patch per una determinata macchina virtuale può variare da mese a mese, perché una macchina virtuale specifica può essere prelevata in un batch diverso tra cicli di applicazione delle patch mensili.
Quali patch sono installate?
Le patch installate dipendono dalla fase di implementazione per la macchina virtuale. Ogni mese viene avviata una nuova implementazione globale in cui vengono installate tutte le patch di sicurezza e critiche per una singola macchina virtuale. L'implementazione viene orchestrata in tutte le aree di Azure in batch (descritta nella sezione relativa all'applicazione di patch per la prima disponibilità in precedenza).
Il set esatto di patch da installare varia in base alla configurazione della macchina virtuale, tra cui il tipo di sistema operativo e la tempistica di valutazione. È possibile che due macchine virtuali identiche in aree diverse vengano installate patch diverse se sono disponibili più o meno patch quando l'orchestrazione patch raggiunge aree diverse in momenti diversi. Analogamente, ma meno frequentemente, le macchine virtuali all'interno della stessa area ma valutate in momenti diversi (a causa di batch di zone di disponibilità o set di disponibilità diversi) potrebbero ottenere patch diverse.
Poiché l'applicazione automatica di patch guest alla macchina virtuale non configura l'origine patch, due macchine virtuali simili configurate in origini patch diverse, ad esempio repository pubblico e repository privato, possono anche vedere una differenza nel set esatto di patch installate.
Per i tipi di sistema operativo che rilasciano patch a cadenza fissa, le macchine virtuali configurate nel repository pubblico per il sistema operativo possono aspettarsi di ricevere lo stesso set di patch nelle diverse fasi di implementazione in un mese. Ad esempio, le macchine virtuali Windows configurate nel repository pubblico di Windows Update.
Quando viene attivata una nuova implementazione ogni mese, una macchina virtuale riceverà almeno un'implementazione di patch ogni mese se la macchina virtuale è accesa durante le ore di minore attività. Questo processo garantisce che la macchina virtuale venga applicata a patch con le patch di sicurezza e critiche più recenti disponibili su base mensile. Per garantire la coerenza nel set di patch installate, è possibile configurare le macchine virtuali per valutare e scaricare le patch dai propri repository privati.
Immagini del sistema operativo supportate
Importante
L'applicazione automatica di patch guest alle macchine virtuali, la valutazione delle patch su richiesta e l'installazione di patch su richiesta sono supportate solo nelle macchine virtuali create da immagini con la combinazione esatta di publisher, offerta e SKU dall'elenco di immagini del sistema operativo supportate di seguito. Le immagini personalizzate o qualsiasi altro editore, offerta, combinazione di SKU non sono supportate. Altre immagini vengono aggiunte periodicamente. Lo SKU non viene visualizzato nell'elenco? Richiedere supporto inviando una richiesta di supporto per immagini.
| Autore | Offerta sistema operativo | Sku |
|---|---|---|
| Canonical | UbuntuServer | 16.04-LTS |
| Canonical | UbuntuServer | 16.04.0-LTS |
| Canonical | UbuntuServer | 18.04-LTS |
| Canonical | UbuntuServer | 18.04-LTS-gen2 |
| Canonical | 0001-com-ubuntu-pro-bionic | pro-18_04-lts |
| Canonical | 0001-com-ubuntu-server-focal | 20_04-lts |
| Canonical | 0001-com-ubuntu-server-focal | 20_04-lts-gen2 |
| Canonical | 0001-com-ubuntu-pro-focal | pro-20_04-lts |
| Canonical | 0001-com-ubuntu-pro-focal | pro-20_04-lts-gen2 |
| Canonical | 0001-com-ubuntu-server-jammy | 22_04-lts |
| Canonical | 0001-com-ubuntu-server-jammy | 22_04-lts-gen2 |
| microsoftcblmariner | cbl-mariner | cbl-mariner-1 |
| microsoftcblmariner | cbl-mariner | 1-gen2 |
| microsoftcblmariner | cbl-mariner | cbl-mariner-2 |
| microsoftcblmariner | cbl-mariner | cbl-mariner-2-gen2 |
| Redhat | RHEL | 7.2, 7.3, 7.4, 7.5, 7.6, 7.7, 7.8, 7_9, 7-RAW, 7-LVM |
| Redhat | RHEL | 8, 8.1, 81gen2, 8.2, 82gen2, 8_3, 83-gen2, 8_4, 84-gen2, 8_5, 85-gen2, 8_6, 86-gen2, 8_7, 8-lvm, 8-lvm-gen2 |
| Redhat | RHEL | 9_0, 9_1, 9-lvm, 9-lvm-gen2 |
| Redhat | RHEL-RAW | 8 raw, 8-raw-gen2 |
| OpenLogic | CentOS | 7.2, 7.3, 7.4, 7.5, 7.6, 7.7, 7_8, 7_9, 7_9-gen2 |
| OpenLogic | centos-lvm | 7-lvm |
| OpenLogic | CentOS | 8.0, 8_1, 8_2, 8_3, 8_4, 8_5 |
| OpenLogic | centos-lvm | 8-lvm |
| SUSE | sles-12-sp5 | gen1, gen2 |
| SUSE | sles-15-sp2 | gen1, gen2 |
| MicrosoftWindowsServer | WindowsServer | 2008 R2-SP1 |
| MicrosoftWindowsServer | WindowsServer | 2012-R2-Datacenter |
| MicrosoftWindowsServer | WindowsServer | 2012-R2-Datacenter-gensecond |
| MicrosoftWindowsServer | WindowsServer | 2012-R2-Datacenter-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2012-R2-Datacenter-smalldisk-g2 |
| MicrosoftWindowsServer | WindowsServer | 2016-Datacenter |
| MicrosoftWindowsServer | WindowsServer | 2016-datacenter-gensecond |
| MicrosoftWindowsServer | WindowsServer | 2016-Datacenter-Server-Core |
| MicrosoftWindowsServer | WindowsServer | 2016-datacenter-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2016-datacenter-with-containers |
| MicrosoftWindowsServer | WindowsServer | 2019-Datacenter |
| MicrosoftWindowsServer | WindowsServer | 2019-Datacenter-Core |
| MicrosoftWindowsServer | WindowsServer | 2019-datacenter-gensecond |
| MicrosoftWindowsServer | WindowsServer | 2019-datacenter-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2019-datacenter-smalldisk-g2 |
| MicrosoftWindowsServer | WindowsServer | 2019-datacenter-with-containers |
| MicrosoftWindowsServer | WindowsServer | Data center 2022 |
| MicrosoftWindowsServer | WindowsServer | 2022-datacenter-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2022-datacenter-smalldisk-g2 |
| MicrosoftWindowsServer | WindowsServer | 2022-datacenter-g2 |
| MicrosoftWindowsServer | WindowsServer | Core del data center 2022 |
| MicrosoftWindowsServer | WindowsServer | 2022-datacenter-core-g2 |
| MicrosoftWindowsServer | WindowsServer | 2022-datacenter-azure-edition |
| MicrosoftWindowsServer | WindowsServer | 2022-datacenter-azure-edition-core |
| MicrosoftWindowsServer | WindowsServer | 2022-datacenter-azure-edition-core-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2022-datacenter-azure-edition-smalldisk |
Applicare patch alle modalità di orchestrazione
Le macchine virtuali in Azure supportano ora le modalità di orchestrazione patch seguenti:
AutomaticByPlatform (applicazione di patch orchestrata in Azure):
- Questa modalità è supportata sia per le VM Linux che per le VM Windows.
- Questa modalità abilita l'applicazione automatica di patch guest alle VM per la macchina virtuale e l'installazione di patch successiva viene orchestrata da Azure.
- Durante il processo di installazione, questa modalità valuterà la macchina virtuale per le patch disponibili e salverà i dettagli in Azure Resource Graph. (anteprima).
- Questa modalità è necessaria per l'applicazione di patch al primo livello di disponibilità.
- Questa modalità è supportata solo per le VM create usando le immagini della piattaforma del sistema operativo supportate in precedenza.
- Per le VM Windows, l'impostazione di questa modalità disabilita anche la Aggiornamenti automatica nativa nella macchina virtuale Windows per evitare la duplicazione.
- Per usare questa modalità nelle macchine virtuali Linux, impostare la proprietà
osProfile.linuxConfiguration.patchSettings.patchMode=AutomaticByPlatformnel modello di macchina virtuale. - Per usare questa modalità nelle macchine virtuali Windows, impostare la proprietà
osProfile.windowsConfiguration.patchSettings.patchMode=AutomaticByPlatformnel modello di macchina virtuale. - L'abilitazione di questa modalità imposta la chiave del Registro di sistema SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate su 1
AutomaticByOS:
- Questa modalità è supportata solo per le macchine virtuali Windows.
- Questa modalità abilita il Aggiornamenti automatico nella macchina virtuale Windows e le patch vengono installate nella macchina virtuale tramite Aggiornamenti automatico.
- Questa modalità non supporta l'applicazione di patch per la prima disponibilità.
- Questa modalità viene impostata per impostazione predefinita se non viene specificata alcuna altra modalità patch per una macchina virtuale Windows.
- Per usare questa modalità nelle macchine virtuali Windows, impostare la proprietà
osProfile.windowsConfiguration.enableAutomaticUpdates=truee impostare la proprietàosProfile.windowsConfiguration.patchSettings.patchMode=AutomaticByOSnel modello di macchina virtuale. - L'abilitazione di questa modalità imposta la chiave del Registro di sistema SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate su 0
Manuale:
- Questa modalità è supportata solo per le macchine virtuali Windows.
- Questa modalità disabilita le Aggiornamenti automatiche nella macchina virtuale Windows. Quando si distribuisce una macchina virtuale usando l'interfaccia della riga di comando o PowerShell, l'impostazione
--enable-auto-updatessufalseverrà impostata anche supatchModemanuale disabiliterà l'Aggiornamenti automatico. - Questa modalità non supporta l'applicazione di patch per la prima disponibilità.
- Questa modalità deve essere impostata quando si usano soluzioni di applicazione di patch personalizzate.
- Per usare questa modalità nelle macchine virtuali Windows, impostare la proprietà
osProfile.windowsConfiguration.enableAutomaticUpdates=falsee impostare la proprietàosProfile.windowsConfiguration.patchSettings.patchMode=Manualnel modello di macchina virtuale. - L'abilitazione di questa modalità imposta la chiave del Registro di sistema SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate su 1
ImageDefault:
- Questa modalità è supportata solo per le macchine virtuali Linux.
- Questa modalità non supporta l'applicazione di patch per la prima disponibilità.
- Questa modalità rispetta la configurazione di applicazione di patch predefinita nell'immagine usata per creare la macchina virtuale.
- Questa modalità viene impostata per impostazione predefinita se non viene specificata alcuna altra modalità di patch per una macchina virtuale Linux.
- Per usare questa modalità nelle macchine virtuali Linux, impostare la proprietà
osProfile.linuxConfiguration.patchSettings.patchMode=ImageDefaultnel modello di macchina virtuale.
Nota
Per le macchine virtuali Windows, la proprietà osProfile.windowsConfiguration.enableAutomaticUpdates può essere impostata solo quando la macchina virtuale viene creata per la prima volta. Ciò influisce su determinate transizioni in modalità patch. Il passaggio tra le modalità AutomaticByPlatform e Manual è supportato nelle VM con osProfile.windowsConfiguration.enableAutomaticUpdates=false. Analogamente, il passaggio tra le modalità AutomaticByPlatform e AutomaticByOS è supportato nelle macchine virtuali con osProfile.windowsConfiguration.enableAutomaticUpdates=true. Il passaggio tra le modalità AutomaticByOS e Manual non è supportato.
Azure consiglia di abilitare la modalità di valutazione in una macchina virtuale anche se Orchestrazione di Azure non è abilitata per l'applicazione di patch. Ciò consentirà alla piattaforma di valutare la macchina virtuale ogni 24 ore per eventuali aggiornamenti in sospeso e di salvare i dettagli in Azure Resource Graph. (anteprima). La piattaforma esegue una valutazione per segnalare i risultati consolidati quando lo stato di configurazione della patch desiderato del computer viene applicato o confermato. Questa operazione verrà segnalata come una valutazione "Piattaforma" initata.
Requisiti per l'abilitazione dell'applicazione automatica di patch guest alle macchine virtuali
- La macchina virtuale deve avere installato l'agente di macchine virtuali di Azure per Windows o Linux .
- Per le macchine virtuali Linux, l'agente Linux di Azure deve essere versione 2.2.53.1 o successiva. Aggiornare l'agente Linux se la versione corrente è inferiore alla versione richiesta.
- Per le macchine virtuali Windows, il servizio Windows Update deve essere in esecuzione nella macchina virtuale.
- La macchina virtuale deve essere in grado di accedere agli endpoint di aggiornamento configurati. Se la macchina virtuale è configurata per l'uso di repository privati per Linux o Windows Server Update Services (WSUS) per le macchine virtuali Windows, gli endpoint di aggiornamento pertinenti devono essere accessibili.
- Usare l'API di calcolo versione 2021-03-01 o successiva per accedere a tutte le funzionalità, tra cui la valutazione su richiesta e l'applicazione di patch su richiesta.
- Le immagini personalizzate non sono attualmente supportate.
- L'orchestrazione flessibile di VMSS richiede l'installazione dell'estensione integrità dell'applicazione. Questa opzione è facoltativa per le macchine virtuali IaaS.
Abilitare l'applicazione automatica di patch guest alle macchine virtuali
L'applicazione automatica delle patch guest alle macchine virtuali può essere abilitata in qualsiasi macchina virtuale Windows o Linux creata da un'immagine della piattaforma supportata.
API REST per macchine virtuali Linux
L'esempio seguente descrive come abilitare l'applicazione automatica di patch guest alle macchine virtuali:
PUT on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2020-12-01`
{
"location": "<location>",
"properties": {
"osProfile": {
"linuxConfiguration": {
"provisionVMAgent": true,
"patchSettings": {
"patchMode": "AutomaticByPlatform"
}
}
}
}
}
API REST per macchine virtuali Windows
L'esempio seguente descrive come abilitare l'applicazione automatica di patch guest alle macchine virtuali:
PUT on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2020-12-01`
{
"location": "<location>",
"properties": {
"osProfile": {
"windowsConfiguration": {
"provisionVMAgent": true,
"enableAutomaticUpdates": true,
"patchSettings": {
"patchMode": "AutomaticByPlatform"
}
}
}
}
}
Azure PowerShell durante la creazione di una macchina virtuale Windows
Usare il cmdlet Set-AzVMOperatingSystem per abilitare l'applicazione automatica di patch guest alle macchine virtuali durante la creazione di una macchina virtuale.
Set-AzVMOperatingSystem -VM $VirtualMachine -Windows -ComputerName $ComputerName -Credential $Credential -ProvisionVMAgent -EnableAutoUpdate -PatchMode "AutomaticByPlatform"
Azure PowerShell durante l'aggiornamento di una macchina virtuale Windows
Usare il cmdlet Set-AzVMOperatingSystem e Update-AzVM per abilitare l'applicazione automatica di patch guest alle macchine virtuali in una macchina virtuale esistente.
$VirtualMachine = Get-AzVM -ResourceGroupName "myResourceGroup" -Name "myVM"
Set-AzVMOperatingSystem -VM $VirtualMachine -PatchMode "AutomaticByPlatform"
Update-AzVM -VM $VirtualMachine
Interfaccia della riga di comando di Azure per macchine virtuali Windows
Usare az vm create per abilitare l'applicazione automatica di patch guest alle macchine virtuali durante la creazione di una nuova macchina virtuale. L'esempio seguente configura l'applicazione automatica di patch guest alle macchine virtuali per una macchina virtuale denominata myVM nel gruppo di risorse denominato myResourceGroup:
az vm create --resource-group myResourceGroup --name myVM --image Win2019Datacenter --enable-agent --enable-auto-update --patch-mode AutomaticByPlatform
Per modificare una macchina virtuale esistente, usare az vm update
az vm update --resource-group myResourceGroup --name myVM --set osProfile.windowsConfiguration.enableAutomaticUpdates=true osProfile.windowsConfiguration.patchSettings.patchMode=AutomaticByPlatform
Azure portal
Quando si crea una macchina virtuale usando il portale di Azure, è possibile impostare le modalità di orchestrazione delle patch nella scheda Gestione per Linux e Windows.
Abilitazione e valutazione
Nota
L'abilitazione degli aggiornamenti guest delle macchine virtuali automatiche in una macchina virtuale può richiedere più di tre ore, perché l'abilitazione viene completata durante le ore di minore attività della macchina virtuale. Poiché l'installazione di valutazione e patch avviene solo durante gli orari di minore attività, la macchina virtuale deve essere in esecuzione anche durante le ore di minore attività per applicare patch.
Quando l'applicazione automatica delle patch guest alle macchine virtuali è abilitata per una macchina virtuale, un'estensione vm di tipo Microsoft.CPlat.Core.LinuxPatchExtension viene installata in una macchina virtuale Linux o in una macchina virtuale Windows viene installata un'estensione di tipo Microsoft.CPlat.Core.WindowsPatchExtension vm. Questa estensione non deve essere installata o aggiornata manualmente, perché questa estensione viene gestita dalla piattaforma Azure come parte del processo di applicazione automatica delle patch guest della macchina virtuale.
L'abilitazione degli aggiornamenti guest delle macchine virtuali automatiche in una macchina virtuale può richiedere più di tre ore, perché l'abilitazione viene completata durante le ore di minore attività della macchina virtuale. L'estensione viene installata e aggiornata anche durante le ore di minore attività per la macchina virtuale. Se le ore non di punta della macchina virtuale terminano prima del completamento dell'abilitazione, il processo di abilitazione riprenderà durante il successivo periodo di minore attività disponibile.
Si noti che la piattaforma eseguirà chiamate di configurazione periodiche di applicazione di patch per garantire l'allineamento quando vengono rilevate modifiche al modello nelle macchine virtuali IaaS o nell'orchestrazione flessibile del set di scalabilità di macchine virtuali. Alcune modifiche del modello, ad esempio, ad esempio, l'aggiornamento della modalità di valutazione, la modalità patch e l'aggiornamento dell'estensione possono attivare una chiamata di configurazione di applicazione di patch.
Gli aggiornamenti automatici sono disabilitati nella maggior parte degli scenari e l'installazione delle patch viene eseguita tramite l'estensione in futuro. Si applicano le condizioni seguenti.
- Se in precedenza una macchina virtuale Windows aveva attivato l'aggiornamento automatico di Windows tramite la modalità patch AutomaticByOS, l'aggiornamento automatico di Windows viene disattivato per la macchina virtuale quando l'estensione è installata.
- Per le macchine virtuali Ubuntu, gli aggiornamenti automatici predefiniti vengono disabilitati automaticamente al termine dell'abilitazione dell'applicazione automatica di patch guest alle macchine virtuali.
- Per RHEL, gli aggiornamenti automatici devono essere disabilitati manualmente. Eseguire:
sudo systemctl stop packagekit
sudo systemctl mask packagekit
Per verificare se l'applicazione automatica di patch guest alle macchine virtuali è stata completata e l'estensione di applicazione di patch è installata nella macchina virtuale, è possibile esaminare la visualizzazione dell'istanza della macchina virtuale. Se il processo di abilitazione è stato completato, l'estensione verrà installata e i risultati della valutazione per la macchina virtuale saranno disponibili in patchStatus. È possibile accedere alla visualizzazione dell'istanza della macchina virtuale tramite diversi modi, come descritto di seguito.
REST API
GET on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine/instanceView?api-version=2020-12-01`
Azure PowerShell
Usare il cmdlet Get-AzVM con il -Status parametro per accedere alla visualizzazione dell'istanza per la macchina virtuale.
Get-AzVM -ResourceGroupName "myResourceGroup" -Name "myVM" -Status
PowerShell attualmente fornisce solo informazioni sull'estensione patch. Le informazioni su patchStatus saranno disponibili anche a breve tramite PowerShell.
Interfaccia della riga di comando di Azure
Usare az vm get-instance-view per accedere alla visualizzazione dell'istanza per la macchina virtuale.
az vm get-instance-view --resource-group myResourceGroup --name myVM
Informazioni sullo stato della patch per la macchina virtuale
La patchStatus sezione della risposta di visualizzazione dell'istanza fornisce informazioni dettagliate sulla valutazione più recente e sull'ultima installazione di patch per la macchina virtuale.
I risultati della valutazione per la macchina virtuale possono essere esaminati nella availablePatchSummary sezione . Una valutazione viene eseguita periodicamente per una macchina virtuale con l'applicazione automatica di patch guest alle macchine virtuali abilitata. Conteggio delle patch disponibili dopo che viene fornita una valutazione in criticalAndSecurityPatchCount e otherPatchCount i risultati. L'applicazione automatica di patch guest alle macchine virtuali installerà tutte le patch valutate nelle classificazioni delle patch critiche e di sicurezza . Qualsiasi altra patch valutata viene ignorata.
I risultati dell'installazione della patch per la macchina virtuale possono essere esaminati nella lastPatchInstallationSummary sezione . Questa sezione fornisce informazioni dettagliate sull'ultimo tentativo di installazione della patch nella macchina virtuale, incluso il numero di patch installate, in sospeso, non riuscite o ignorate. Le patch vengono installate solo durante la finestra di manutenzione delle ore non di punta per la macchina virtuale. Le patch in sospeso e non riuscite vengono ritentate automaticamente durante la finestra di manutenzione delle ore di minore attività successive.
Disabilitare l'applicazione automatica di patch guest alle macchine virtuali
L'applicazione automatica delle patch guest alle macchine virtuali può essere disabilitata modificando la modalità di orchestrazione delle patch per la macchina virtuale.
Per disabilitare l'applicazione automatica di patch guest alle macchine virtuali in una macchina virtuale Linux, impostare la modalità patch su ImageDefault.
Per abilitare l'applicazione automatica di patch guest alle macchine virtuali in una macchina virtuale Windows, la proprietà osProfile.windowsConfiguration.enableAutomaticUpdates determina le modalità patch che possono essere impostate nella macchina virtuale e questa proprietà può essere impostata solo quando viene creata per la prima volta la macchina virtuale. Ciò influisce su determinate transizioni in modalità patch:
- Per le macchine virtuali con
osProfile.windowsConfiguration.enableAutomaticUpdates=false, disabilitare l'applicazione automatica di patch guest alle macchine virtuali modificando la modalità patch suManual. - Per le macchine virtuali con
osProfile.windowsConfiguration.enableAutomaticUpdates=true, disabilitare l'applicazione automatica di patch guest alle macchine virtuali modificando la modalità patch suAutomaticByOS. - Il passaggio tra le modalità AutomaticByOS e Manual non è supportato.
Usare gli esempi della sezione relativa all'abilitazione precedente in questo articolo per esempi di utilizzo di API, PowerShell e dell'interfaccia della riga di comando per impostare la modalità patch necessaria.
Valutazione delle patch su richiesta
Se l'applicazione automatica delle patch guest della macchina virtuale è già abilitata per la macchina virtuale, viene eseguita una valutazione periodica delle patch nella macchina virtuale durante le ore di minore attività della macchina virtuale. Questo processo è automatico e i risultati della valutazione più recente possono essere esaminati tramite la visualizzazione dell'istanza della macchina virtuale, come descritto in precedenza in questo documento. È anche possibile attivare una valutazione delle patch su richiesta per la macchina virtuale in qualsiasi momento. Il completamento della valutazione delle patch può richiedere alcuni minuti e lo stato della valutazione più recente viene aggiornato nella visualizzazione dell'istanza della macchina virtuale.
Nota
La valutazione delle patch su richiesta non attiva automaticamente l'installazione delle patch. Se è stata abilitata l'applicazione automatica di patch guest alle macchine virtuali, le patch valutate e applicabili per la macchina virtuale verranno installate durante le ore di minore attività della macchina virtuale, seguendo il processo di applicazione delle patch di disponibilità descritto in precedenza in questo documento.
REST API
Usare l'API Valuta patch per valutare le patch disponibili per la macchina virtuale.
POST on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine/assessPatches?api-version=2020-12-01`
Azure PowerShell
Usare il cmdlet Invoke-AzVmPatchAssessment per valutare le patch disponibili per la macchina virtuale.
Invoke-AzVmPatchAssessment -ResourceGroupName "myResourceGroup" -VMName "myVM"
Interfaccia della riga di comando di Azure
Usare az vm assess-patches per valutare le patch disponibili per la macchina virtuale.
az vm assess-patches --resource-group myResourceGroup --name myVM
Installazione di patch su richiesta
Se l'applicazione automatica delle patch guest alle macchine virtuali è già abilitata per la macchina virtuale, viene eseguita un'installazione periodica delle patch di sicurezza e critiche nella macchina virtuale durante le ore di minore attività della macchina virtuale. Questo processo è automatico e i risultati dell'installazione più recente possono essere esaminati tramite la visualizzazione dell'istanza della macchina virtuale, come descritto in precedenza in questo documento.
È anche possibile attivare un'installazione di patch su richiesta per la macchina virtuale in qualsiasi momento. Il completamento dell'installazione delle patch può richiedere alcuni minuti e lo stato dell'installazione più recente viene aggiornato nella visualizzazione dell'istanza della macchina virtuale.
È possibile usare l'installazione di patch su richiesta per installare tutte le patch di una o più classificazioni di patch. È anche possibile scegliere di includere o escludere pacchetti specifici per Linux o ID KB specifici per Windows. Quando si attiva un'installazione di patch su richiesta, assicurarsi di specificare almeno una classificazione delle patch o almeno una patch (pacchetto per Linux, ID KB per Windows) nell'elenco di inclusione.
REST API
Usare l'API Installa patch per installare le patch nella macchina virtuale.
POST on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine/installPatches?api-version=2020-12-01`
Corpo della richiesta di esempio per Linux:
{
"maximumDuration": "PT1H",
"rebootSetting": "IfRequired",
"linuxParameters": {
"classificationsToInclude": [
"Critical",
"Security"
]
}
}
Corpo della richiesta di esempio per Windows:
{
"maximumDuration": "PT1H",
"rebootSetting": "IfRequired",
"windowsParameters": {
"classificationsToInclude": [
"Critical",
"Security"
]
}
}
Azure PowerShell
Usare il cmdlet Invoke-AzVMInstallPatch per installare le patch nella macchina virtuale.
Esempio per installare determinati pacchetti in una macchina virtuale Linux:
Invoke-AzVmInstallPatch -ResourceGroupName "myResourceGroup" -VMName "myVM" -MaximumDuration "PT90M" -RebootSetting "Always" -Linux -ClassificationToIncludeForLinux "Security" -PackageNameMaskToInclude ["package123"] -PackageNameMaskToExclude ["package567"]
Esempio per installare tutte le patch critiche in una macchina virtuale Windows:
Invoke-AzVmInstallPatch -ResourceGroupName "myResourceGroup" -VMName "myVM" -MaximumDuration "PT2H" -RebootSetting "Never" -Windows -ClassificationToIncludeForWindows Critical
Esempio per installare tutte le patch di sicurezza in una macchina virtuale Windows, includendo ed escludendo patch con ID KB specifici ed escludendo eventuali patch che richiedono un riavvio:
Invoke-AzVmInstallPatch -ResourceGroupName "myResourceGroup" -VMName "myVM" -MaximumDuration "PT90M" -RebootSetting "Always" -Windows -ClassificationToIncludeForWindows "Security" -KBNumberToInclude ["KB1234567", "KB123567"] -KBNumberToExclude ["KB1234702", "KB1234802"] -ExcludeKBsRequiringReboot
Interfaccia della riga di comando di Azure
Usare az vm install-patches per installare le patch nella macchina virtuale.
Esempio per installare tutte le patch critiche in una macchina virtuale Linux:
az vm install-patches --resource-group myResourceGroup --name myVM --maximum-duration PT2H --reboot-setting IfRequired --classifications-to-include-linux Critical
Esempio per installare tutte le patch critiche e di sicurezza in una macchina virtuale Windows, escludendo eventuali patch che richiedono un riavvio:
az vm install-patches --resource-group myResourceGroup --name myVM --maximum-duration PT2H --reboot-setting IfRequired --classifications-to-include-win Critical Security --exclude-kbs-requiring-reboot true
Distribuzione strict Cassaforte su immagini canoniche (anteprima)
Microsoft e Canonical hanno collaborato per rendere più semplice per i clienti rimanere aggiornati con gli aggiornamenti del sistema operativo Linux e aumentare la sicurezza e la resilienza dei carichi di lavoro Ubuntu in Azure. Sfruttando il servizio snapshot di Canonical, Azure applicherà ora lo stesso set di aggiornamenti Ubuntu in modo coerente alla flotta tra aree.
Azure archivierà gli aggiornamenti correlati al pacchetto all'interno del repository del cliente per un massimo di 90 giorni, a seconda dello spazio disponibile. In questo modo i clienti possono aggiornare la propria flotta sfruttando strict Cassaforte Deployment per le macchine virtuali con un massimo di 3 mesi di ritardo sugli aggiornamenti.
Non è necessaria alcuna azione per i clienti che hanno abilitato l'applicazione automatica di patch. Per impostazione predefinita, la piattaforma installerà un pacchetto che viene ritagliato in un punto nel tempo. Nel caso in cui non sia possibile installare un aggiornamento basato su snapshot, Azure applicherà il pacchetto più recente nella macchina virtuale per garantire che la macchina virtuale rimanga sicura. Gli aggiornamenti temporizzato saranno coerenti in tutte le macchine virtuali in tutte le aree per garantire l'omogeneità. I clienti possono visualizzare le informazioni sulla data pubblicata correlate all'aggiornamento applicato in Azure Resource Graph e alla visualizzazione istanza della macchina virtuale.
Fine vita dell'immagine (EOL)
I server di pubblicazione potrebbero non supportare più la generazione di nuovi aggiornamenti per le immagini dopo una determinata data. Questa operazione viene comunemente definita end-of-life (EOL) per l'immagine. Azure non consiglia l'uso di immagini dopo la data EOL, perché espone il servizio a vulnerabilità o problemi di prestazioni della sicurezza. Il servizio Azure Guest Patching (AzGPS) comunicherà i passaggi necessari per i clienti e i partner interessati. AzGPS rimuoverà l'immagine dall'elenco di supporto dopo la data EOL. Le macchine virtuali che usano un'immagine di fine vita in Azure potrebbero continuare a funzionare oltre la data. Tuttavia, eventuali problemi riscontrati da queste macchine virtuali non sono idonei per il supporto.