Applicazione automatica di patch guest alle macchine virtuali di Azure
Si applica a: ✔️ Macchine virtuali ✔️ Linux Macchine virtuali Windows ✔️ Set di scalabilità flessibili
L'abilitazione dell'applicazione automatica delle patch guest alle macchine virtuali di Azure consente di semplificare la gestione degli aggiornamenti applicando automaticamente patch alle macchine virtuali per mantenere la conformità alla sicurezza, limitando al tempo stesso il raggio di esplosione delle macchine virtuali.
L'applicazione automatica di patch guest alle macchine virtuali presenta le caratteristiche seguenti:
- Le patch classificate come Critiche o Sicurezza vengono scaricate e applicate automaticamente nella macchina virtuale.
- Le patch vengono applicate durante le ore di minore attività per le macchine virtuali IaaS nel fuso orario della macchina virtuale.
- Le patch vengono applicate durante tutte le ore per VMSS Flex.
- L'orchestrazione delle patch viene gestita da Azure e le patch vengono applicate seguendo i principi di disponibilità.Patch orchestration is managed by Azure and patches are applied following availability-first principles.
- L'integrità della macchina virtuale, come determinato tramite i segnali di integrità della piattaforma, viene monitorata per rilevare gli errori di applicazione di patch.
- L'integrità dell'applicazione può essere monitorata tramite l'estensione Integrità applicazione.
- È adatto per le macchine virtuali di qualsiasi dimensione.
Come funziona l'applicazione automatica delle patch guest alle macchine virtuali?
Se l'applicazione automatica delle patch guest alle macchine virtuali è abilitata in una macchina virtuale, le patch critiche e di sicurezza disponibili vengono scaricate e applicate automaticamente nella macchina virtuale. Questo processo inizia automaticamente ogni mese quando vengono rilasciate le nuove patch. La valutazione delle patch e l'installazione sono automatiche e il processo include il riavvio della macchina virtuale, ove necessario.
La macchina virtuale viene valutata periodicamente ogni pochi giorni e più volte entro un periodo di 30 giorni per determinare le patch applicabili per la macchina virtuale. Le patch possono essere installate ogni giorno nella macchina virtuale durante le ore di minore attività per la macchina virtuale. Questa valutazione automatica garantisce che eventuali patch mancanti vengano individuate al più presto possibile.
Le patch vengono installate entro 30 giorni dalle versioni mensili delle patch, dopo l'orchestrazione di disponibilità-first descritta di seguito. Le patch vengono installate solo durante le ore di minore attività per la macchina virtuale, a seconda del fuso orario della macchina virtuale. La macchina virtuale deve essere in esecuzione durante le ore di minore attività per l'installazione automatica delle patch. Se una macchina virtuale viene spenta durante una valutazione periodica, la macchina virtuale verrà valutata automaticamente e le patch applicabili verranno installate automaticamente durante la successiva valutazione periodica (in genere entro pochi giorni) quando la macchina virtuale è accesa.
Gli aggiornamenti delle definizioni e altre patch non classificati come critici o la sicurezza non verranno installati tramite l'applicazione automatica di patch guest alle macchine virtuali. Per installare patch con altre classificazioni di patch o pianificare l'installazione delle patch all'interno della propria finestra di manutenzione personalizzata, è possibile usare Gestione aggiornamenti.
Per le macchine virtuali IaaS, i clienti possono scegliere di configurare le macchine virtuali per abilitare l'applicazione automatica di patch guest alle macchine virtuali. Questo limiterà il raggio di esplosione delle macchine virtuali che ottengono la patch aggiornata ed eseguono un aggiornamento orchestrato delle macchine virtuali. Il servizio fornisce anche il monitoraggio dell'integrità per rilevare eventuali problemi relativi all'aggiornamento.
Aggiornamenti di disponibilità
Il processo di installazione delle patch viene orchestrato a livello globale da Azure per tutte le macchine virtuali con applicazione automatica di patch guest alle macchine virtuali abilitate. Questa orchestrazione segue i principi di disponibilità-first in diversi livelli di disponibilità forniti da Azure.
Per un gruppo di macchine virtuali in fase di aggiornamento, la piattaforma Azure orchestra gli aggiornamenti:
Tra aree:
- Un aggiornamento mensile viene orchestrato in Azure a livello globale in modo graduale per evitare errori di distribuzione globali.
- Una fase può avere una o più aree e un aggiornamento passa alle fasi successive solo se le macchine virtuali idonee in un aggiornamento in fase vengono aggiornate correttamente.
- Le aree geografiche associate non vengono aggiornate contemporaneamente e non possono trovarsi nella stessa fase regionale.
- L'esito positivo di un aggiornamento viene misurato monitorando l'integrità della macchina virtuale dopo l'aggiornamento. Integrità macchina virtuale viene monitorata tramite gli indicatori di integrità della piattaforma per la macchina virtuale.
All'interno di un'area:
- Le macchine virtuali in zone di disponibilità diverse non vengono aggiornate contemporaneamente allo stesso aggiornamento.
- Le macchine virtuali che non fanno parte di un set di disponibilità vengono raggruppate in batch per evitare aggiornamenti simultanei per tutte le macchine virtuali in una sottoscrizione.
All'interno di un set di disponibilità:
- Tutte le macchine virtuali in un set di disponibilità comune non vengono aggiornate contemporaneamente.
- Le macchine virtuali in un set di disponibilità comune vengono aggiornate entro i limiti del dominio di aggiornamento e le macchine virtuali tra più domini di aggiornamento non vengono aggiornate contemporaneamente.
Restringendo l'ambito delle macchine virtuali che vengono applicate patch tra aree, all'interno di un'area o in un set di disponibilità, limitare il raggio di esplosione della patch. Con il monitoraggio dell'integrità, eventuali potenziali problemi vengono contrassegnati senza influire sull'intera flotta.
La data di installazione della patch per una determinata macchina virtuale può variare da un mese al mese, perché una macchina virtuale specifica può essere prelevata in un batch diverso tra i cicli di applicazione delle patch mensili.
Quali patch sono installate?
Le patch installate dipendono dalla fase di implementazione per la macchina virtuale. Ogni mese viene avviata una nuova implementazione globale in cui vengono installate tutte le patch di sicurezza e critiche valutate per una singola macchina virtuale. L'implementazione viene orchestrata in tutte le aree di Azure in batch (descritta nella sezione relativa all'applicazione di patch per la prima disponibilità in precedenza).
Il set esatto di patch da installare varia in base alla configurazione della macchina virtuale, tra cui il tipo di sistema operativo e la tempistica di valutazione. È possibile che due macchine virtuali identiche in aree diverse vengano installate patch diverse se sono disponibili più o meno patch quando l'orchestrazione delle patch raggiunge aree diverse in momenti diversi. Analogamente, ma meno frequentemente, le macchine virtuali all'interno della stessa area, ma valutate in momenti diversi (a causa di batch di zone di disponibilità o set di disponibilità diversi) potrebbero ottenere patch diverse.
Poiché l'applicazione automatica delle patch guest della macchina virtuale non configura l'origine patch, due macchine virtuali simili configurate in origini patch diverse, ad esempio repository pubblico e repository privato, possono anche vedere una differenza nel set esatto di patch installate.
Per i tipi di sistema operativo che rilasciano patch a cadenza fissa, le macchine virtuali configurate nel repository pubblico per il sistema operativo possono prevedere di ricevere lo stesso set di patch nelle diverse fasi di implementazione in un mese. Ad esempio, le macchine virtuali Windows configurate per il repository Windows Update pubblico.
Quando viene attivata una nuova implementazione ogni mese, una macchina virtuale riceverà almeno un'implementazione di patch ogni mese se la macchina virtuale è accesa durante le ore di minore attività. Questo processo garantisce che la macchina virtuale venga applicata una patch con la sicurezza più recente disponibile e le patch critiche su base mensile. Per garantire la coerenza nel set di patch installate, è possibile configurare le macchine virtuali per valutare e scaricare le patch dai propri repository privati.
Immagini del sistema operativo supportate
Importante
L'applicazione automatica di patch guest alle macchine virtuali, la valutazione delle patch su richiesta e l'installazione di patch su richiesta sono supportate solo nelle macchine virtuali create da immagini con la combinazione esatta di server di pubblicazione, offerta e SKU dall'elenco di immagini del sistema operativo supportate di seguito. Le immagini personalizzate o qualsiasi altro editore, offerta, combinazioni sku non sono supportate. Vengono aggiunte periodicamente altre immagini. Lo SKU non viene visualizzato nell'elenco? Richiedere supporto inviando richiesta di supporto per immagini.
| Publisher | Offerta sistema operativo | Sku |
|---|---|---|
| Canonical | UbuntuServer | 16.04-LTS |
| Canonical | UbuntuServer | 16.04.0-LTS |
| Canonical | UbuntuServer | 18.04-LTS |
| Canonical | UbuntuServer | 18.04-LTS-gen2 |
| Canonical | 0001-com-ubuntu-pro-bionic | pro-18_04-lts |
| Canonical | 0001-com-ubuntu-server-focal | 20_04-lts |
| Canonical | 0001-com-ubuntu-server-focal | 20_04-lts-gen2 |
| Canonical | 0001-com-ubuntu-pro-focal | pro-20_04-lts |
| Canonical | 0001-com-ubuntu-pro-focal | pro-20_04-lts-gen2 |
| Canonical | 0001-com-ubuntu-server-jammy | 22_04-lts |
| Canonical | 0001-com-ubuntu-server-jammy | 22_04-lts-gen2 |
| microsoftcblmariner | cbl-mariner | cbl-mariner-1 |
| microsoftcblmariner | cbl-mariner | 1-gen2 |
| microsoftcblmariner | cbl-mariner | cbl-mariner-2 |
| microsoftcblmariner | cbl-mariner | cbl-mariner-2-gen2 |
| Redhat | RHEL | 7.2, 7.3, 7.4, 7.5, 7.6, 7.7, 7.8, 7_9, 7-RAW, 7-LVM |
| Redhat | RHEL | 8, 8.1, 81gen2, 8.2, 82gen2, 8_3, 83-gen2, 8_4, 84-gen2, 8_5, 85-gen2, 8_6, 86-gen2, 8_7, 8-lvm, 8-lvm-gen2 |
| Redhat | RHEL | 9_0, 9_1, 9-lvm, 9-lvm-gen2 |
| Redhat | RHEL-RAW | 8-raw, 8-raw-gen2 |
| OpenLogic | CentOS | 7.2, 7.3, 7.4, 7.5, 7.6, 7.7, 7_8, 7_9, 7_9-gen2 |
| OpenLogic | centos-lvm | 7-lvm |
| OpenLogic | CentOS | 8.0, 8_1, 8_2, 8_3, 8_4, 8_5 |
| OpenLogic | centos-lvm | 8-lvm |
| SUSE | sles-12-sp5 | gen1, gen2 |
| SUSE | sles-15-sp2 | gen1, gen2 |
| MicrosoftWindowsServer | WindowsServer | 2008 R2-SP1 |
| MicrosoftWindowsServer | WindowsServer | 2012-R2-Datacenter |
| MicrosoftWindowsServer | WindowsServer | 2012-R2-Datacenter-gensecond |
| MicrosoftWindowsServer | WindowsServer | 2012-R2-Datacenter-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2012-R2-Datacenter-smalldisk-g2 |
| MicrosoftWindowsServer | WindowsServer | 2016-Datacenter |
| MicrosoftWindowsServer | WindowsServer | 2016-datacenter-gensecond |
| MicrosoftWindowsServer | WindowsServer | 2016-Datacenter-Server-Core |
| MicrosoftWindowsServer | WindowsServer | 2016-datacenter-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2016-datacenter-with-containers |
| MicrosoftWindowsServer | WindowsServer | 2019-Datacenter |
| MicrosoftWindowsServer | WindowsServer | 2019-Datacenter-Core |
| MicrosoftWindowsServer | WindowsServer | 2019-datacenter-gensecond |
| MicrosoftWindowsServer | WindowsServer | 2019-datacenter-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2019-datacenter-smalldisk-g2 |
| MicrosoftWindowsServer | WindowsServer | 2019-datacenter-with-containers |
| MicrosoftWindowsServer | WindowsServer | Data center 2022 |
| MicrosoftWindowsServer | WindowsServer | 2022-datacenter-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2022-datacenter-smalldisk-g2 |
| MicrosoftWindowsServer | WindowsServer | 2022-datacenter-g2 |
| MicrosoftWindowsServer | WindowsServer | 2022-datacenter-core |
| MicrosoftWindowsServer | WindowsServer | 2022-datacenter-core-g2 |
| MicrosoftWindowsServer | WindowsServer | 2022-datacenter-azure-edition |
| MicrosoftWindowsServer | WindowsServer | 2022-datacenter-azure-edition-core |
| MicrosoftWindowsServer | WindowsServer | 2022-datacenter-azure-edition-core-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2022-datacenter-azure-edition-smalldisk |
Applicare patch alle modalità di orchestrazione
Le macchine virtuali in Azure ora supportano le modalità di orchestrazione patch seguenti:
AutomaticByPlatform (applicazione di patch orchestrata di Azure):
- Questa modalità è supportata sia per le macchine virtuali Linux che per le macchine virtuali Windows.
- Questa modalità abilita l'applicazione automatica di patch guest alle macchine virtuali per la macchina virtuale e l'installazione successiva delle patch viene orchestrata da Azure.
- Durante il processo di installazione, questa modalità valuterà la macchina virtuale per le patch disponibili e salverà i dettagli in Azure Resource Graph. (anteprima).
- Questa modalità è necessaria per l'applicazione di patch per la prima disponibilità.
- Questa modalità è supportata solo per le macchine virtuali create usando le immagini della piattaforma del sistema operativo supportate in precedenza.
- Per le macchine virtuali Windows, l'impostazione di questa modalità disabilita anche la Aggiornamenti automatica nativa nella macchina virtuale Windows per evitare la duplicazione.
- Per usare questa modalità nelle macchine virtuali Linux, impostare la proprietà
osProfile.linuxConfiguration.patchSettings.patchMode=AutomaticByPlatformnel modello di macchina virtuale. - Per usare questa modalità nelle macchine virtuali Windows, impostare la proprietà
osProfile.windowsConfiguration.patchSettings.patchMode=AutomaticByPlatformnel modello di macchina virtuale.
AutomaticByOS:
- Questa modalità è supportata solo per le macchine virtuali Windows.
- Questa modalità abilita i Aggiornamenti automatici nella macchina virtuale Windows e le patch vengono installate nella macchina virtuale tramite Aggiornamenti automatico.
- Questa modalità non supporta l'applicazione di patch per la prima disponibilità.
- Questa modalità viene impostata per impostazione predefinita se non viene specificata alcuna altra modalità patch per una macchina virtuale Windows.
- Per usare questa modalità nelle macchine virtuali Windows, impostare la proprietà
osProfile.windowsConfiguration.enableAutomaticUpdates=truee impostare la proprietàosProfile.windowsConfiguration.patchSettings.patchMode=AutomaticByOSnel modello di macchina virtuale.
Manuale:
- Questa modalità è supportata solo per le macchine virtuali Windows.
- Questa modalità disabilita i Aggiornamenti automatici nella macchina virtuale Windows. Quando si distribuisce una macchina virtuale usando l'interfaccia della riga di comando o PowerShell, l'impostazione su
falseverrà impostata--enable-auto-updatesanche supatchModemanuale disabiliterà la Aggiornamenti automatica. - Questa modalità non supporta l'applicazione di patch per la prima disponibilità.
- Questa modalità deve essere impostata quando si usano soluzioni di applicazione di patch personalizzate.
- Per usare questa modalità nelle macchine virtuali Windows, impostare la proprietà
osProfile.windowsConfiguration.enableAutomaticUpdates=falsee impostare la proprietàosProfile.windowsConfiguration.patchSettings.patchMode=Manualnel modello di macchina virtuale.
ImageDefault:
- Questa modalità è supportata solo per le macchine virtuali Linux.
- Questa modalità non supporta l'applicazione di patch per la prima disponibilità.
- Questa modalità rispetta la configurazione di applicazione di patch predefinita nell'immagine usata per creare la macchina virtuale.
- Questa modalità viene impostata per impostazione predefinita se non viene specificata alcuna altra modalità di patch per una macchina virtuale Linux.
- Per usare questa modalità nelle macchine virtuali Linux, impostare la proprietà
osProfile.linuxConfiguration.patchSettings.patchMode=ImageDefaultnel modello di macchina virtuale.
Nota
Per le macchine virtuali Windows, la proprietà osProfile.windowsConfiguration.enableAutomaticUpdates può essere impostata solo quando la macchina virtuale viene creata per la prima volta. Ciò influisce su determinate transizioni della modalità patch. Il passaggio tra le modalità AutomaticByPlatform e Manual è supportato nelle macchine virtuali con osProfile.windowsConfiguration.enableAutomaticUpdates=false. Analogamente, il passaggio tra le modalità AutomaticByPlatform e AutomaticByOS è supportato nelle macchine virtuali con osProfile.windowsConfiguration.enableAutomaticUpdates=true. Il passaggio tra le modalità AutomaticByOS e Manual non è supportato.
Azure consiglia di abilitare la modalità di valutazione in una macchina virtuale anche se l'orchestrazione di Azure non è abilitata per l'applicazione di patch. In questo modo la piattaforma potrà valutare la macchina virtuale ogni 24 ore per eventuali aggiornamenti in sospeso e salvare i dettagli in Azure Resource Graph. (anteprima). La piattaforma esegue la valutazione per segnalare i risultati consolidati quando lo stato di configurazione della patch desiderato del computer viene applicato o confermato. Questa operazione verrà segnalata come valutazione "Piattaforma" initata.
Requisiti per l'abilitazione dell'applicazione automatica delle patch guest alle macchine virtuali
- La macchina virtuale deve avere installato l'agente di macchine virtuali di Azure per Windows o Linux .
- Per le macchine virtuali Linux, l'agente Linux di Azure deve essere versione 2.2.53.1 o successiva. Aggiornare l'agente Linux se la versione corrente è inferiore alla versione richiesta.
- Per le macchine virtuali Windows, il servizio Windows Update deve essere in esecuzione nella macchina virtuale.
- La macchina virtuale deve essere in grado di accedere agli endpoint di aggiornamento configurati. Se la macchina virtuale è configurata per l'uso di repository privati per Linux o Windows Server Update Services (WSUS) per le macchine virtuali Windows, gli endpoint di aggiornamento pertinenti devono essere accessibili.
- Usare l'API di calcolo versione 2021-03-01 o successiva per accedere a tutte le funzionalità, tra cui la valutazione su richiesta e l'applicazione di patch su richiesta.
- Le immagini personalizzate non sono attualmente supportate.
Abilitare l'applicazione automatica di patch guest alle macchine virtuali
L'applicazione automatica di patch guest delle macchine virtuali può essere abilitata in qualsiasi macchina virtuale Windows o Linux creata da un'immagine della piattaforma supportata.
API REST per macchine virtuali Linux
L'esempio seguente descrive come abilitare l'applicazione automatica di patch guest alle macchine virtuali:
PUT on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2020-12-01`
{
"location": "<location>",
"properties": {
"osProfile": {
"linuxConfiguration": {
"provisionVMAgent": true,
"patchSettings": {
"patchMode": "AutomaticByPlatform"
}
}
}
}
}
API REST per macchine virtuali Windows
L'esempio seguente descrive come abilitare l'applicazione automatica di patch guest alle macchine virtuali:
PUT on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2020-12-01`
{
"location": "<location>",
"properties": {
"osProfile": {
"windowsConfiguration": {
"provisionVMAgent": true,
"enableAutomaticUpdates": true,
"patchSettings": {
"patchMode": "AutomaticByPlatform"
}
}
}
}
}
Azure PowerShell durante la creazione di una macchina virtuale Windows
Usare il cmdlet Set-AzVMOperatingSystem per abilitare l'applicazione automatica di patch guest alle macchine virtuali durante la creazione di una macchina virtuale.
Set-AzVMOperatingSystem -VM $VirtualMachine -Windows -ComputerName $ComputerName -Credential $Credential -ProvisionVMAgent -EnableAutoUpdate -PatchMode "AutomaticByPlatform"
Azure PowerShell durante l'aggiornamento di una macchina virtuale Windows
Usare il cmdlet Set-AzVMOperatingSystem e Update-AzVM per abilitare l'applicazione automatica di patch guest alle macchine virtuali in una macchina virtuale esistente.
$VirtualMachine = Get-AzVM -ResourceGroupName "myResourceGroup" -Name "myVM"
Set-AzVMOperatingSystem -VM $VirtualMachine -PatchMode "AutomaticByPlatform"
Update-AzVM -VM $VirtualMachine
Interfaccia della riga di comando di Azure per macchine virtuali Windows
Usare az vm create per abilitare l'applicazione automatica di patch guest alle macchine virtuali durante la creazione di una nuova macchina virtuale. L'esempio seguente configura l'applicazione automatica di patch guest alle macchine virtuali per una macchina virtuale denominata myVM nel gruppo di risorse denominato myResourceGroup:
az vm create --resource-group myResourceGroup --name myVM --image Win2019Datacenter --enable-agent --enable-auto-update --patch-mode AutomaticByPlatform
Per modificare una macchina virtuale esistente, usare az vm update
az vm update --resource-group myResourceGroup --name myVM --set osProfile.windowsConfiguration.enableAutomaticUpdates=true osProfile.windowsConfiguration.patchSettings.patchMode=AutomaticByPlatform
Portale di Azure
Quando si crea una macchina virtuale usando il portale di Azure, è possibile impostare le modalità di orchestrazione delle patch nella scheda Gestione per Linux e Windows.
Abilitazione e valutazione
Nota
L'abilitazione degli aggiornamenti guest della macchina virtuale automatica in una macchina virtuale può richiedere più di tre ore, perché l'abilitazione viene completata durante le ore di minore attività della macchina virtuale. Poiché l'installazione della valutazione e delle patch viene eseguita solo durante le ore di minore attività, è necessario che la macchina virtuale sia in esecuzione anche durante le ore di minore attività per applicare patch.
Quando l'applicazione automatica delle patch guest della macchina virtuale è abilitata per una macchina virtuale, in una macchina virtuale Linux viene installata un'estensione Microsoft.CPlat.Core.WindowsPatchExtension di tipo Microsoft.CPlat.Core.LinuxPatchExtension macchina virtuale o in una macchina virtuale Windows. Questa estensione non deve essere installata o aggiornata manualmente, perché questa estensione viene gestita dalla piattaforma Azure come parte del processo di applicazione automatica delle patch guest della macchina virtuale.
L'abilitazione degli aggiornamenti guest della macchina virtuale automatica in una macchina virtuale può richiedere più di tre ore, perché l'abilitazione viene completata durante le ore di minore attività della macchina virtuale. L'estensione viene installata e aggiornata anche durante le ore di minore attività per la macchina virtuale. Se le ore di minore attività della macchina virtuale terminano prima del completamento dell'abilitazione, il processo di abilitazione riprenderà durante il successivo orario di minore attività disponibile.
Gli aggiornamenti automatici vengono disabilitati nella maggior parte degli scenari e l'installazione delle patch viene eseguita tramite l'estensione in futuro. Si applicano le condizioni seguenti.
- Se in precedenza una macchina virtuale Windows aveva l'opzione Automatic Windows Update attivata tramite la modalità patch AutomaticByOS, la Windows Update automatica viene disattivata per la macchina virtuale quando viene installata l'estensione.
- Per le macchine virtuali Ubuntu, gli aggiornamenti automatici predefiniti vengono disabilitati automaticamente al termine dell'abilitazione dell'applicazione automatica delle patch guest alle macchine virtuali.
- Per RHEL, gli aggiornamenti automatici devono essere disabilitati manualmente. Eseguire:
sudo systemctl stop packagekit
sudo systemctl mask packagekit
Per verificare se l'applicazione automatica delle patch guest della macchina virtuale è stata completata e l'estensione di applicazione di patch è installata nella macchina virtuale, è possibile esaminare la visualizzazione dell'istanza della macchina virtuale. Se il processo di abilitazione è completo, l'estensione verrà installata e i risultati della valutazione per la macchina virtuale saranno disponibili in patchStatus. È possibile accedere alla visualizzazione dell'istanza della macchina virtuale tramite diversi modi, come descritto di seguito.
API REST
GET on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine/instanceView?api-version=2020-12-01`
Azure PowerShell
Usare il cmdlet Get-AzVM con il -Status parametro per accedere alla visualizzazione dell'istanza per la macchina virtuale.
Get-AzVM -ResourceGroupName "myResourceGroup" -Name "myVM" -Status
PowerShell attualmente fornisce solo informazioni sull'estensione patch. Le informazioni su patchStatus saranno presto disponibili anche tramite PowerShell.
Interfaccia della riga di comando di Azure
Usare az vm get-instance-view per accedere alla visualizzazione dell'istanza per la macchina virtuale.
az vm get-instance-view --resource-group myResourceGroup --name myVM
Informazioni sullo stato della patch per la macchina virtuale
La patchStatus sezione della risposta di visualizzazione dell'istanza fornisce informazioni dettagliate sulla valutazione più recente e sull'ultima installazione della patch per la macchina virtuale.
I risultati della valutazione per la macchina virtuale possono essere esaminati nella availablePatchSummary sezione . Una valutazione viene eseguita periodicamente per una macchina virtuale in cui è abilitata l'applicazione automatica di patch guest alle macchine virtuali. Numero di patch disponibili dopo che viene fornita una valutazione in criticalAndSecurityPatchCount e otherPatchCount i risultati. L'applicazione automatica delle patch guest delle macchine virtuali installerà tutte le patch valutate nelle classificazioni delle patch critiche e di sicurezza . Qualsiasi altra patch valutata viene ignorata.
I risultati dell'installazione delle patch per la macchina virtuale possono essere esaminati nella lastPatchInstallationSummary sezione . Questa sezione fornisce informazioni dettagliate sull'ultimo tentativo di installazione della patch nella macchina virtuale, incluso il numero di patch installate, in sospeso, non riuscite o ignorate. Le patch vengono installate solo durante la finestra di manutenzione delle ore di minore attività per la macchina virtuale. Le patch in sospeso e non riuscite vengono ritentate automaticamente durante la finestra di manutenzione delle ore di minore attività successive.
Disabilitare l'applicazione automatica di patch guest alle macchine virtuali
L'applicazione automatica delle patch guest delle macchine virtuali può essere disabilitata modificando la modalità di orchestrazione delle patch per la macchina virtuale.
Per disabilitare l'applicazione automatica di patch guest alle macchine virtuali in una macchina virtuale Linux, impostare la modalità patch su ImageDefault.
Per abilitare l'applicazione automatica di patch guest alle macchine virtuali in una macchina virtuale Windows, la proprietà osProfile.windowsConfiguration.enableAutomaticUpdates determina le modalità patch che possono essere impostate nella macchina virtuale e questa proprietà può essere impostata solo quando viene creata per la prima volta la macchina virtuale. Ciò influisce su alcune transizioni della modalità patch:
- Per le macchine virtuali con
osProfile.windowsConfiguration.enableAutomaticUpdates=false, disabilitare l'applicazione automatica di patch guest alle macchine virtuali modificando la modalità patch suManual. - Per le macchine virtuali con
osProfile.windowsConfiguration.enableAutomaticUpdates=true, disabilitare l'applicazione automatica di patch guest alle macchine virtuali modificando la modalità patch suAutomaticByOS. - Il passaggio tra le modalità AutomaticByOS e Manual non è supportato.
Usare gli esempi della sezione relativa all'abilitazione precedente in questo articolo per gli esempi di utilizzo di API, PowerShell e dell'interfaccia della riga di comando per impostare la modalità patch necessaria.
Valutazione delle patch su richiesta
Se l'applicazione automatica di patch guest alle macchine virtuali è già abilitata per la macchina virtuale, viene eseguita una valutazione periodica delle patch nella macchina virtuale durante le ore di minore attività della macchina virtuale. Questo processo è automatico e i risultati della valutazione più recente possono essere esaminati tramite la visualizzazione dell'istanza della macchina virtuale, come descritto in precedenza in questo documento. È anche possibile attivare una valutazione delle patch su richiesta per la macchina virtuale in qualsiasi momento. Il completamento della valutazione delle patch può richiedere alcuni minuti e lo stato della valutazione più recente viene aggiornato nella visualizzazione dell'istanza della macchina virtuale.
Nota
La valutazione delle patch su richiesta non attiva automaticamente l'installazione delle patch. Se è stata abilitata l'applicazione automatica di patch guest alle macchine virtuali, le patch valutate e applicabili per la macchina virtuale verranno installate durante le ore di minore attività della macchina virtuale, seguendo il processo di applicazione delle patch di disponibilità descritto in precedenza in questo documento.
API REST
Usare l'API Valuta patch per valutare le patch disponibili per la macchina virtuale.
POST on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine/assessPatches?api-version=2020-12-01`
Azure PowerShell
Usare il cmdlet Invoke-AzVmPatchAssessment per valutare le patch disponibili per la macchina virtuale.
Invoke-AzVmPatchAssessment -ResourceGroupName "myResourceGroup" -VMName "myVM"
Interfaccia della riga di comando di Azure
Usare az vm assess-patches per valutare le patch disponibili per la macchina virtuale.
az vm assess-patches --resource-group myResourceGroup --name myVM
Installazione di patch su richiesta
Se l'applicazione automatica delle patch guest alle macchine virtuali è già abilitata per la macchina virtuale, viene eseguita un'installazione periodica delle patch di sicurezza e critiche nella macchina virtuale durante le ore di minore attività della macchina virtuale. Questo processo è automatico e i risultati dell'installazione più recente possono essere esaminati tramite la visualizzazione dell'istanza della macchina virtuale, come descritto in precedenza in questo documento.
È anche possibile attivare un'installazione di patch su richiesta per la macchina virtuale in qualsiasi momento. Il completamento dell'installazione delle patch può richiedere alcuni minuti e lo stato dell'installazione più recente viene aggiornato nella visualizzazione dell'istanza della macchina virtuale.
È possibile usare l'installazione di patch su richiesta per installare tutte le patch di una o più classificazioni di patch. È anche possibile scegliere di includere o escludere pacchetti specifici per Linux o ID KB specifici per Windows. Quando si attiva un'installazione di patch su richiesta, assicurarsi di specificare almeno una classificazione delle patch o almeno una patch (pacchetto per Linux, ID KB per Windows) nell'elenco di inclusione.
API REST
Usare l'API Installa patch per installare le patch nella macchina virtuale.
POST on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine/installPatches?api-version=2020-12-01`
Corpo della richiesta di esempio per Linux:
{
"maximumDuration": "PT1H",
"rebootSetting": "IfRequired",
"linuxParameters": {
"classificationsToInclude": [
"Critical",
"Security"
]
}
}
Corpo della richiesta di esempio per Windows:
{
"maximumDuration": "PT1H",
"rebootSetting": "IfRequired",
"windowsParameters": {
"classificationsToInclude": [
"Critical",
"Security"
]
}
}
Azure PowerShell
Usare il cmdlet Invoke-AzVMInstallPatch per installare le patch nella macchina virtuale.
Esempio per installare determinati pacchetti in una macchina virtuale Linux:
Invoke-AzVmInstallPatch -ResourceGroupName "myResourceGroup" -VMName "myVM" -MaximumDuration "PT90M" -RebootSetting "Always" -Linux -ClassificationToIncludeForLinux "Security" -PackageNameMaskToInclude ["package123"] -PackageNameMaskToExclude ["package567"]
Esempio per installare tutte le patch critiche in una macchina virtuale Windows:
Invoke-AzVmInstallPatch -ResourceGroupName "myResourceGroup" -VMName "myVM" -MaximumDuration "PT2H" -RebootSetting "Never" -Windows -ClassificationToIncludeForWindows Critical
Esempio per installare tutte le patch di sicurezza in una macchina virtuale Windows, incluse ed escluse le patch con ID KB specifici ed escludendo eventuali patch che richiedono un riavvio:
Invoke-AzVmInstallPatch -ResourceGroupName "myResourceGroup" -VMName "myVM" -MaximumDuration "PT90M" -RebootSetting "Always" -Windows -ClassificationToIncludeForWindows "Security" -KBNumberToInclude ["KB1234567", "KB123567"] -KBNumberToExclude ["KB1234702", "KB1234802"] -ExcludeKBsRequiringReboot
Interfaccia della riga di comando di Azure
Usare az vm install-patches per installare le patch nella macchina virtuale.
Esempio per installare tutte le patch critiche in una macchina virtuale Linux:
az vm install-patches --resource-group myResourceGroup --name myVM --maximum-duration PT2H --reboot-setting IfRequired --classifications-to-include-linux Critical
Esempio per installare tutte le patch critiche e di sicurezza in una macchina virtuale Windows, escludendo qualsiasi patch che richiede un riavvio:
az vm install-patches --resource-group myResourceGroup --name myVM --maximum-duration PT2H --reboot-setting IfRequired --classifications-to-include-win Critical Security --exclude-kbs-requiring-reboot true
Fine vita dell'immagine (EOL)
I server di pubblicazione potrebbero non supportare più la generazione di nuovi aggiornamenti per le immagini dopo una determinata data. Questa operazione viene comunemente definita end-of-life (EOL) per l'immagine. Azure non consiglia l'uso di immagini dopo la data EOL, perché espone il servizio a vulnerabilità o problemi di prestazioni della sicurezza. Il servizio Azure Guest Patching (AzGPS) comunicherà i passaggi necessari per i clienti e i partner interessati. AzGPS rimuoverà l'immagine dall'elenco di supporto dopo la data EOL. Le macchine virtuali che usano un'immagine di fine vita in Azure potrebbero continuare a funzionare oltre la data. Tuttavia, eventuali problemi riscontrati da queste macchine virtuali non sono idonei per il supporto.