Questo browser non è più supportato.
Esegui l'aggiornamento a Microsoft Edge per sfruttare i vantaggi di funzionalità più recenti, aggiornamenti della sicurezza e supporto tecnico.
Si applica a: ✔️ macchine virtuali Linux ✔️ macchine virtuali Windows ✔️ set di scalabilità flessibili
L'abilitazione dell'applicazione automatica di patch guest per le macchine virtuali e i set di scalabilità di Azure consente di semplificare la gestione degli aggiornamenti applicando automaticamente e in modo sicuro patch alle macchine virtuali per mantenere la conformità alla sicurezza, limitando al tempo stesso il raggio di attacco delle macchine virtuali.
L'applicazione automatica di patch guest alle macchine virtuali presenta le caratteristiche seguenti:
Se in una macchina virtuale è abilitata l'applicazione automatica di patch guest alle macchine virtuali, le patch di tipo Critica e Sicurezza disponibili vengono scaricate e applicate automaticamente nella macchina virtuale. Questo processo inizia automaticamente ogni mese quando vengono rilasciate le nuove patch. La valutazione delle patch e l'installazione sono automatiche e il processo include il riavvio della macchina virtuale, in base alla configurazione. Il parametro rebootSetting nel modello di macchina virtuale ha la precedenza sulle impostazioni in un altro sistema, ad esempio Configurazione manutenzione.
La macchina virtuale viene valutata periodicamente ogni pochi giorni e più volte entro qualsiasi periodo di 30 giorni per determinare le patch applicabili per tale macchina virtuale. Le patch possono essere installate ogni giorno nella macchina virtuale durante le ore di minore attività. Questa valutazione automatica garantisce che eventuali patch mancanti vengano individuate il prima possibile.
Le patch vengono installate entro 30 giorni dal rilascio delle versioni mensili delle patch, in base a un'orchestrazione basata sulla disponibilità. Le patch vengono installate solo durante le ore di minore attività per la macchina virtuale, a seconda del fuso orario della macchina virtuale. La macchina virtuale deve essere in esecuzione durante le ore di minore attività per poter eseguire l'installazione automatica delle patch. Se una macchina virtuale è spenta durante una valutazione periodica, la piattaforma valuterà e applicherà automaticamente le patch (se necessario) durante la valutazione periodica successiva (in genere entro pochi giorni) quando la macchina virtuale è accesa.
Gli aggiornamenti delle definizioni e altre patch non classificate come Critica o Sicurezza non verranno installati tramite l'applicazione automatica di patch guest alle macchine virtuali. Per installare patch con altre classificazioni o pianificare l'installazione delle patch all'interno della finestra di manutenzione personalizzata, è possibile usare Gestione aggiornamenti.
L'abilitazione dell'applicazione automatica di patch guest in macchine virtuali a istanza singola o set di scalabilità di macchine virtuali in modalità di orchestrazione flessibile consente alla piattaforma Azure di aggiornare la flotta in fasi. La distribuzione in più fasi segue Procedure di distribuzione sicura di Azure e riduce il raggio di impatto se vengono identificati problemi relativi all'aggiornamento più recente. Il Monitoraggio dello stato è consigliato per le macchine virtuali a istanza singola ed è necessario per i set di scalabilità di macchine virtuali in modalità di orchestrazione flessibile per rilevare eventuali problemi relativi all'aggiornamento.
Azure orchestra il processo di installazione delle patch in tutti i cloud pubblici e privati per le macchine virtuali che hanno abilitato l'applicazione automatica di patch guest. L'orchestrazione è basata sui principi di disponibilità per diversi livelli di disponibilità forniti da Azure.
Per un gruppo di macchine virtuali da aggiornare, la piattaforma Azure orchestrerà gli aggiornamenti come segue:
Tra aree:
All'interno di un'area:
All'interno di un set di disponibilità:
La limitazione del numero di VM con patch simultanee tra aree, all'interno di un'area o all'interno di un set di disponibilità limita l'impatto di una patch difettosa in un determinato set di VM. Con il monitoraggio dello stato, eventuali problemi potenziali vengono contrassegnati prima che abbiano ripercussioni sull'intero carico di lavoro.
La data di installazione della patch per una determinata macchina virtuale può variare da mese a mese, perché una macchina virtuale specifica può essere selezionata per un batch diverso nei vari cicli di applicazione delle patch mensili.
Le patch installate dipendono dalla fase di implementazione per la macchina virtuale. Ogni mese viene avviata una nuova implementazione globale in cui vengono installate tutte le patch di sicurezza e critiche per una singola macchina virtuale. L'implementazione viene orchestrata in tutte le aree di Azure in batch.
Il set esatto di patch da installare varia in base alla configurazione della macchina virtuale, oltre al tipo di sistema operativo e alla tempistica di valutazione. È possibile che in due macchine virtuali identiche in aree diverse vengano installate patch diverse se sono disponibili più o meno patch quando l'orchestrazione delle patch raggiunge aree diverse in momenti diversi. Analogamente, ma è più raro, le macchine virtuali all'interno della stessa area ma valutate in momenti diversi (a causa di batch di zone di disponibilità o set di disponibilità diversi) potrebbero ottenere patch diverse.
Poiché l'applicazione automatica di patch guest alle macchine virtuali non configura l'origine delle patch, due macchine virtuali simili configurate per origini delle patch diverse, ad esempio repository pubblico e repository privato, potrebbero riscontrare differenze nel set esatto di patch installate.
Per i tipi di sistema operativo che rilasciano patch a cadenza fissa, le macchine virtuali configurate per il repository pubblico per il sistema operativo possono aspettarsi di ricevere lo stesso set di patch nelle diverse fasi di implementazione in un mese. Ad esempio, le macchine virtuali Windows configurate per il repository pubblico di Windows Update.
Quando viene attivata una nuova implementazione ogni mese, una macchina virtuale riceverà almeno un'implementazione di patch ogni mese se è accesa durante le ore di minore attività. Questo processo garantisce che alla macchina virtuale vengano applicate le patch di sicurezza e critiche più recenti disponibili su base mensile. Per garantire la coerenza nel set di patch installate, è possibile configurare le macchine virtuali per valutare e scaricare le patch dai propri repository privati.
Importante
L'applicazione automatica di patch guest alle macchine virtuali, la valutazione delle patch su richiesta e l'installazione di patch su richiesta sono supportate solo nelle macchine virtuali create da immagini con la combinazione esatta di editore, offerta e SKU dall'elenco di immagini del sistema operativo supportate di seguito. Le immagini personalizzate o qualsiasi altro editore, offerta e combinazione di SKU non sono supportati. Altre immagini vengono aggiunte periodicamente. Se lo SKU in uso non è presente nell'elenco, richiedere assistenza inviando una richiesta di supporto per l'immagine.
| Publisher | Offerta sistema operativo | Sku |
|---|---|---|
| MicrosoftWindowsServer | WindowsServer | 2022-datacenter-azure-edition-core |
| MicrosoftWindowsServer | WindowsServer | 2022-datacenter-azure-edition-core-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2022-datacenter-azure-edition-hotpatch |
| MicrosoftWindowsServer | WindowsServer | 2022-datacenter-azure-edition-hotpatch-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2025-datacenter-azure-edition |
| MicrosoftWindowsServer | WindowsServer | 2025-datacenter-azure-edition-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2025-datacenter-azure-edition-core |
| MicrosoftWindowsServer | WindowsServer | 2025-datacenter-azure-edition-core-smalldisk |
| Publisher | Offerta sistema operativo | Sku |
|---|---|---|
| MicrosoftWindowsServer | WindowsServer | 2008 R2-SP1 |
| MicrosoftWindowsServer | WindowsServer | 2012-R2-Datacenter |
| MicrosoftWindowsServer | WindowsServer | 2012-R2-Datacenter-gensecond |
| MicrosoftWindowsServer | WindowsServer | 2012-R2-Datacenter-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2012-R2-Datacenter-smalldisk-g2 |
| MicrosoftWindowsServer | WindowsServer | 2016-Datacenter |
| MicrosoftWindowsServer | WindowsServer | 2016-datacenter-gensecond |
| MicrosoftWindowsServer | WindowsServer | 2016-Datacenter-Server-Core |
| MicrosoftWindowsServer | WindowsServer | 2016-datacenter-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2016-datacenter-with-containers |
| MicrosoftWindowsServer | WindowsServer | 2019-Datacenter |
| MicrosoftWindowsServer | WindowsServer | 2019-Datacenter-Core |
| MicrosoftWindowsServer | WindowsServer | 2019-datacenter-gensecond |
| MicrosoftWindowsServer | WindowsServer | 2019-datacenter-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2019-datacenter-smalldisk-g2 |
| MicrosoftWindowsServer | WindowsServer | 2019-datacenter-with-containers |
| MicrosoftWindowsServer | WindowsServer | 2022-datacenter |
| MicrosoftWindowsServer | WindowsServer | 2022-datacenter-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2022-datacenter-smalldisk-g2 |
| MicrosoftWindowsServer | WindowsServer | 2022-datacenter-g2 |
| MicrosoftWindowsServer | WindowsServer | 2022-datacenter-core |
| MicrosoftWindowsServer | WindowsServer | 2022-datacenter-core-g2 |
| MicrosoftWindowsServer | WindowsServer | 2022-datacenter-azure-edition |
| Publisher | Offerta sistema operativo | Sku |
|---|---|---|
| Canonical | UbuntuServer | 16.04-LTS |
| Canonical | UbuntuServer | 16.04.0-LTS |
| Canonical | UbuntuServer | 18.04-LTS |
| Canonical | UbuntuServer | 18.04-LTS-gen2 |
| Canonical | 0001-com-ubuntu-pro-bionic | pro-18_04-lts |
| Canonical | 0001-com-ubuntu-server-focal | 20_04-lts |
| Canonical | 0001-com-ubuntu-server-focal | 20_04-lts-gen2 |
| Canonical | 0001-com-ubuntu-pro-focal | pro-20_04-lts |
| Canonical | 0001-com-ubuntu-pro-focal | pro-20_04-lts-gen2 |
| Canonical | 0001-com-ubuntu-server-jammy | 22_04-lts |
| Canonical | 0001-com-ubuntu-server-jammy | 22_04-lts-gen2 |
| microsoftcblmariner | cbl-mariner | cbl-mariner-1 |
| microsoftcblmariner | cbl-mariner | 1-gen2 |
| microsoftcblmariner | cbl-mariner | cbl-mariner-2 |
| microsoftcblmariner | cbl-mariner | cbl-mariner-2-gen2 |
| Redhat | RHEL | 7.2, 7.3, 7.4, 7.5, 7.6, 7.7, 7.8, 7_9, 7-RAW, 7-LVM |
| Redhat | RHEL | 8, 8.1, 81gen2, 8.2, 82gen2, 8_3, 83-gen2, 8_4, 84-gen2, 8_5, 85-gen2, 8_6, 86-gen2, 8_7, 8_8, 8-lvm, 8-lvm-gen2 |
| Redhat | RHEL | 9_0, 9_1, 9-lvm, 9-lvm-gen2 |
| Redhat | RHEL-RAW | 8-raw, 8-raw-gen2 |
| SUSE | sles-12-sp5 | gen1, gen2 |
| SUSE | sles-15-sp2 | gen1, gen2 |
Le macchine virtuali in Azure supportano ora le modalità di orchestrazione delle patch seguenti:
AutomaticByPlatform (applicazione di patch orchestrata da Azure):
osProfile.linuxConfiguration.patchSettings.patchMode=AutomaticByPlatform nel modello di macchina virtuale.osProfile.windowsConfiguration.patchSettings.patchMode=AutomaticByPlatform nel modello di macchina virtuale.AutomaticByOS:
osProfile.windowsConfiguration.enableAutomaticUpdates=true e impostare la proprietà osProfile.windowsConfiguration.patchSettings.patchMode=AutomaticByOS nel modello di macchina virtuale.Manuale:
--enable-auto-updates su false imposterà anche patchMode su manual e disabiliterà Aggiornamenti automatici.osProfile.windowsConfiguration.enableAutomaticUpdates=false e impostare la proprietà osProfile.windowsConfiguration.patchSettings.patchMode=Manual nel modello di macchina virtuale.ImageDefault:
osProfile.linuxConfiguration.patchSettings.patchMode=ImageDefault nel modello di macchina virtuale.Nota
Per le macchine virtuali Windows, la proprietà osProfile.windowsConfiguration.enableAutomaticUpdates può essere impostata solo al momento della creazione della macchina virtuale. Ciò influisce su determinate transizioni in modalità patch. Il passaggio tra le modalità AutomaticByPlatform e Manual è supportato nelle VM con osProfile.windowsConfiguration.enableAutomaticUpdates=false. Analogamente, il passaggio tra le modalità AutomaticByPlatform e AutomaticByOS è supportato nelle macchine virtuali con osProfile.windowsConfiguration.enableAutomaticUpdates=true. Il passaggio tra le modalità AutomaticByOS e Manual non è supportato.
Azure consiglia di abilitare la modalità di valutazione in una macchina virtuale anche se l'orchestrazione di Azure non è abilitata per l'applicazione di patch. Ciò consentirà alla piattaforma di valutare la macchina virtuale ogni 24 ore per eventuali aggiornamenti in sospeso e salvare i dettagli in Azure Resource Graph. La piattaforma esegue una valutazione per segnalare i risultati consolidati quando lo stato di configurazione della patch desiderato del computer viene applicato o confermato. Questa operazione verrà segnalata come valutazione avviata dalla 'piattaforma'.
L'applicazione automatica delle patch guest alle macchine virtuali può essere abilitata in qualsiasi macchina virtuale Windows o Linux creata da un'immagine della piattaforma supportata.
L'esempio seguente descrive come abilitare l'applicazione automatica di patch guest alle macchine virtuali:
PUT on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2020-12-01`
{
"location": "<location>",
"properties": {
"osProfile": {
"linuxConfiguration": {
"provisionVMAgent": true,
"patchSettings": {
"patchMode": "AutomaticByPlatform"
}
}
}
}
}
L'esempio seguente descrive come abilitare l'applicazione automatica di patch guest alle macchine virtuali:
PUT on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2020-12-01`
{
"location": "<location>",
"properties": {
"osProfile": {
"windowsConfiguration": {
"provisionVMAgent": true,
"enableAutomaticUpdates": true,
"patchSettings": {
"patchMode": "AutomaticByPlatform"
}
}
}
}
}
Usare il cmdlet Set-AzVMOperatingSystem per abilitare l'applicazione automatica di patch guest alle macchine virtuali durante la creazione di una macchina virtuale.
Set-AzVMOperatingSystem -VM $VirtualMachine -Windows -ComputerName $ComputerName -Credential $Credential -ProvisionVMAgent -EnableAutoUpdate -PatchMode "AutomaticByPlatform"
Usare il cmdlet Set-AzVMOperatingSystem e il cmdlet Update-AzVM per abilitare l'applicazione automatica di patch guest alle macchine virtuali in una macchina virtuale esistente.
$VirtualMachine = Get-AzVM -ResourceGroupName "myResourceGroup" -Name "myVM"
Set-AzVMOperatingSystem -VM $VirtualMachine -PatchMode "AutomaticByPlatform"
Update-AzVM -VM $VirtualMachine
Usare az vm create per abilitare l'applicazione automatica di patch guest alle macchine virtuali durante la creazione di una nuova macchina virtuale. L'esempio seguente configura l'applicazione automatica di patch guest alle macchine virtuali per una macchina virtuale denominata myVM nel gruppo di risorse denominato myResourceGroup:
az vm create --resource-group myResourceGroup --name myVM --image Win2019Datacenter --enable-agent --enable-auto-update --patch-mode AutomaticByPlatform
Per modificare una macchina virtuale esistente, usare az vm update
az vm update --resource-group myResourceGroup --name myVM --set osProfile.windowsConfiguration.enableAutomaticUpdates=true osProfile.windowsConfiguration.patchSettings.patchMode=AutomaticByPlatform
Quando si crea una macchina virtuale usando il portale di Azure, è possibile impostare le modalità di orchestrazione delle patch nella scheda Gestione sia per Linux che per Windows.
Nota
L'abilitazione degli aggiornamenti guest delle macchine virtuali automatici in una macchina virtuale può richiedere più di tre ore, perché l'abilitazione viene completata durante le ore di minore attività della macchina virtuale. Poiché la valutazione e l'installazione delle patch avvengono solo durante gli orari di minore attività, la macchina virtuale deve essere in esecuzione anche durante le ore di minore attività per applicare le patch.
Quando l'applicazione automatica delle patch guest alle macchine virtuali è abilitata per una macchina virtuale, un'estensione della macchina virtuale di tipo Microsoft.CPlat.Core.LinuxPatchExtension viene installata in una macchina virtuale Linux o un'estensione di macchina virtuale di tipo Microsoft.CPlat.Core.WindowsPatchExtension viene installata in una macchina virtuale Windows. Questa estensione non deve essere installata o aggiornata manualmente, perché viene gestita dalla piattaforma Azure come parte del processo di applicazione automatica delle patch guest delle macchine virtuali.
L'abilitazione degli aggiornamenti guest delle macchine virtuali automatici in una macchina virtuale può richiedere più di tre ore, perché l'abilitazione viene completata durante le ore di minore attività della macchina virtuale. L'estensione viene installata e aggiornata anche durante le ore di minore attività per la macchina virtuale. Se le ore di minore attività della macchina virtuale terminano prima del completamento dell'abilitazione, il processo di abilitazione riprenderà durante il successivo periodo di minore attività disponibile.
La piattaforma eseguirà chiamate di configurazione periodiche dell'applicazione di patch per garantire l'allineamento quando vengono rilevate modifiche a macchine virtuali IaaS o set di scalabilità di macchine virtuali in modalità di orchestrazione flessibile. Alcune modifiche del modello, ad esempio l'aggiornamento della modalità di valutazione, della modalità di applicazione delle patch e dell'estensione, possono attivare una chiamata di configurazione dell'applicazione di patch.
Gli aggiornamenti automatici sono disabilitati nella maggior parte degli scenari e l'installazione delle patch viene eseguita tramite l'estensione in futuro. Si applicano le condizioni seguenti.
sudo systemctl stop packagekit
sudo systemctl mask packagekit
Per verificare se l'applicazione automatica di patch guest alle macchine virtuali è stata completata e l'estensione di applicazione delle patch è installata nella macchina virtuale, è possibile esaminare la visualizzazione dell'istanza della macchina virtuale. Se il processo di abilitazione è stato completato, l'estensione verrà installata e i risultati della valutazione per la macchina virtuale saranno disponibili in patchStatus. È possibile accedere alla visualizzazione dell'istanza della macchina virtuale in vari modi, come descritto di seguito.
GET on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine/instanceView?api-version=2020-12-01`
Usare il cmdlet Get-AzVM con il parametro -Status per accedere alla visualizzazione dell'istanza per la macchina virtuale.
Get-AzVM -ResourceGroupName "myResourceGroup" -Name "myVM" -Status
PowerShell attualmente fornisce solo informazioni sull'estensione per le patch. Saranno disponibili a breve tramite PowerShell anche informazioni su patchStatus.
Usare az vm get-instance-view per accedere alla visualizzazione dell'istanza per la macchina virtuale.
az vm get-instance-view --resource-group myResourceGroup --name myVM
La sezione patchStatus della risposta di visualizzazione dell'istanza fornisce informazioni dettagliate sulla valutazione più recente e sull'ultima installazione di patch per la macchina virtuale.
I risultati della valutazione per la macchina virtuale possono essere esaminati nella sezione availablePatchSummary. Una valutazione viene eseguita periodicamente per una macchina virtuale con l'applicazione automatica di patch guest alle macchine virtuali abilitata. Il numero di patch disponibili dopo una valutazione viene indicato nei risultati criticalAndSecurityPatchCount e otherPatchCount. L'applicazione automatica di patch guest delle macchine virtuali installerà tutte le patch valutate con le classificazioni Critica e Sicurezza. Qualsiasi altra patch valutata viene ignorata.
I risultati dell'installazione delle patch per la macchina virtuale possono essere esaminati nella sezione lastPatchInstallationSummary. Questa sezione fornisce informazioni dettagliate sull'ultimo tentativo di installazione delle patch nella macchina virtuale, incluso il numero di patch installate, in sospeso, non riuscite o ignorate. Le patch vengono installate solo durante la finestra di manutenzione delle ore di minore attività per la macchina virtuale. Le patch in sospeso e non riuscite vengono ritentate automaticamente durante la successiva finestra di manutenzione delle ore di minore attività.
L'applicazione automatica delle patch guest alle macchine virtuali può essere disabilitata modificando la modalità di orchestrazione delle patch per la macchina virtuale.
Per disabilitare l'applicazione automatica di patch guest alle macchine virtuali in una macchina virtuale Linux, impostare la modalità di applicazione delle patch su ImageDefault.
Per abilitare l'applicazione automatica di patch guest alle macchine virtuali in una macchina virtuale Windows, la proprietà osProfile.windowsConfiguration.enableAutomaticUpdates determina quali modalità di applicazione delle patch possono essere impostate nella macchina virtuale e questa proprietà può essere impostata solo durante la creazione della macchina virtuale. Ciò influisce su determinate transizioni da una modalità di applicazione delle patch a un'altra:
osProfile.windowsConfiguration.enableAutomaticUpdates=false, disabilitare l'applicazione automatica di patch guest alle macchine virtuali modificando la modalità di applicazione delle patch in Manual.osProfile.windowsConfiguration.enableAutomaticUpdates=true, disabilitare l'applicazione automatica di patch guest alle macchine virtuali modificando la modalità di applicazione delle patch in AutomaticByOS.Usare gli esempi della sezione relativa all'abilitazione precedente in questo articolo per esempi di utilizzo di API, PowerShell e interfaccia della riga di comando per impostare la modalità di applicazione delle patch richiesta.
Se l'applicazione automatica delle patch guest delle macchine virtuali è già abilitata per la macchina virtuale, viene eseguita una valutazione periodica delle patch nella macchina virtuale durante le ore di minore attività della macchina virtuale. Questo processo è automatico e i risultati della valutazione più recente possono essere esaminati tramite la visualizzazione dell'istanza della macchina virtuale, come descritto in precedenza in questo documento. È anche possibile attivare una valutazione delle patch su richiesta per la macchina virtuale in qualsiasi momento. Il completamento della valutazione delle patch può richiedere alcuni minuti e lo stato della valutazione più recente viene aggiornato nella visualizzazione dell'istanza della macchina virtuale.
Nota
La valutazione delle patch su richiesta non attiva automaticamente l'installazione delle patch. Se è stata abilitata l'applicazione automatica di patch guest alle macchine virtuali, le patch valutate e applicabili per la macchina virtuale verranno installate durante le ore di minore attività della macchina virtuale, seguendo il processo di applicazione delle patch basata sulla disponibilità descritto in precedenza in questo documento.
Usare l'API assessPatches per valutare le patch disponibili per la macchina virtuale.
POST on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine/assessPatches?api-version=2020-12-01`
Usare il cmdlet Invoke-AzVmPatchAssessment per valutare le patch disponibili per la macchina virtuale.
Invoke-AzVmPatchAssessment -ResourceGroupName "myResourceGroup" -VMName "myVM"
Usare az vm assess-patches per valutare le patch disponibili per la macchina virtuale.
az vm assess-patches --resource-group myResourceGroup --name myVM
Se l'applicazione automatica delle patch guest delle macchine virtuali è già abilitata per la macchina virtuale, viene eseguita un'installazione periodica delle patch di tipo Critica e Sicurezza nella macchina virtuale durante le ore di minore attività della macchina virtuale. Questo processo è automatico e i risultati dell'installazione più recente possono essere esaminati tramite la visualizzazione dell'istanza della macchina virtuale, come descritto in precedenza in questo documento.
È anche possibile attivare un'installazione delle patch su richiesta per la macchina virtuale in qualsiasi momento. Il completamento dell'installazione delle patch può richiedere alcuni minuti e lo stato dell'installazione più recente viene aggiornato nella visualizzazione dell'istanza della macchina virtuale.
È possibile usare l'installazione di patch su richiesta per installare tutte le patch di una o più classificazioni di patch. È anche possibile scegliere di includere o escludere pacchetti specifici per Linux o ID KB specifici per Windows. Quando si attiva un'installazione di patch su richiesta, assicurarsi di specificare almeno una classificazione di patch o almeno una patch (pacchetto per Linux, ID KB per Windows) nell'elenco di inclusione.
Usare l'API installPatches per installare le patch nella macchina virtuale.
POST on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine/installPatches?api-version=2020-12-01`
Esempio di corpo della richiesta per Linux:
{
"maximumDuration": "PT1H",
"Setting": "IfRequired",
"linuxParameters": {
"classificationsToInclude": [
"Critical",
"Security"
]
}
}
Esempio di corpo della richiesta per Windows:
{
"maximumDuration": "PT1H",
"rebootSetting": "IfRequired",
"windowsParameters": {
"classificationsToInclude": [
"Critical",
"Security"
]
}
}
Usare il cmdlet Invoke-AzVMInstallPatch per installare le patch nella macchina virtuale.
Esempio per installare determinati pacchetti in una macchina virtuale Linux:
Invoke-AzVmInstallPatch -ResourceGroupName "myResourceGroup" -VMName "myVM" -MaximumDuration "PT90M" -RebootSetting "Always" -Linux -ClassificationToIncludeForLinux "Security" -PackageNameMaskToInclude ["package123"] -PackageNameMaskToExclude ["package567"]
Esempio per installare tutte le patch critiche in una macchina virtuale Windows:
Invoke-AzVmInstallPatch -ResourceGroupName "myResourceGroup" -VMName "myVM" -MaximumDuration "PT2H" -RebootSetting "Never" -Windows -ClassificationToIncludeForWindows Critical
Esempio per installare tutte le patch di sicurezza in una macchina virtuale Windows, includendo ed escludendo patch con ID KB specifici ed escludendo eventuali patch che richiedono un riavvio:
Invoke-AzVmInstallPatch -ResourceGroupName "myResourceGroup" -VMName "myVM" -MaximumDuration "PT90M" -RebootSetting "Always" -Windows -ClassificationToIncludeForWindows "Security" -KBNumberToInclude ["KB1234567", "KB123567"] -KBNumberToExclude ["KB1234702", "KB1234802"] -ExcludeKBsRequiringReboot
Usare az vm install-patches per installare le patch nella macchina virtuale.
Esempio per installare tutte le patch critiche in una macchina virtuale Linux:
az vm install-patches --resource-group myResourceGroup --name myVM --maximum-duration PT2H --reboot-setting IfRequired --classifications-to-include-linux Critical
Esempio per installare tutte le patch critiche e di sicurezza in una macchina virtuale Windows, escludendo eventuali patch che richiedono un riavvio:
az vm install-patches --resource-group myResourceGroup --name myVM --maximum-duration PT2H --reboot-setting IfRequired --classifications-to-include-win Critical Security --exclude-kbs-requiring-reboot true
Microsoft e Canonical hanno collaborato per rendere più semplice per i clienti rimanere aggiornati con gli aggiornamenti del sistema operativo Linux e aumentare la sicurezza e la resilienza dei carichi di lavoro Ubuntu in Azure. Sfruttando il servizio snapshot di Canonical, Azure ora applicherà lo stesso set di aggiornamenti Ubuntu in modo coerente alla flotta tra aree.
Azure archivierà gli aggiornamenti correlati al pacchetto all'interno del repository del cliente per un massimo di 90 giorni, a seconda dello spazio disponibile. In questo modo, i clienti possono aggiornare la propria flotta sfruttando la distribuzione Strict Safe per le macchine virtuali con un massimo di 3 mesi di ritardo sugli aggiornamenti.
Non è necessaria alcuna azione per i clienti che hanno abilitato l'applicazione automatica di patch. Per impostazione predefinita, la piattaforma installerà un pacchetto associato a un punto nel tempo specifico. Nel caso in cui non sia possibile installare un aggiornamento basato su snapshot, Azure applicherà il pacchetto più recente nella macchina virtuale per garantire che rimanga sicura. Gli aggiornamenti temporizzati saranno coerenti in tutte le macchine virtuali in tutte le aree per garantire l'omogeneità. I clienti possono visualizzare le informazioni sulla data di pubblicazione correlate all'aggiornamento applicato in Azure Resource Graph e nella visualizzazione dell'istanza della macchina virtuale.
I server di pubblicazione potrebbero non supportare più la generazione di nuovi aggiornamenti per le immagini dopo una determinata data. Questa condizione viene comunemente definita fine del servizio (EOL) per l'immagine. Azure sconsiglia l'uso di immagini dopo la data EOL, perché espone il servizio a vulnerabilità di sicurezza o problemi di prestazioni. Il servizio Azure Guest Patching (AzGPS) comunicherà i passaggi necessari per i clienti e i partner interessati. AzGPS rimuoverà l'immagine dall'elenco di supporto dopo la data EOL. Le macchine virtuali che usano un'immagine con fine del servizio in Azure potrebbero continuare a funzionare oltre la data. Tuttavia, eventuali problemi riscontrati da queste macchine virtuali non sono idonei per il supporto.
Formazione
Modulo
Gestire gli aggiornamenti di Azure - Training
Si sarà in grado di abilitare Gestione aggiornamenti di Azure, distribuire gli aggiornamenti, rivedere una valutazione degli aggiornamenti e gestire gli aggiornamenti per le macchine virtuali di Azure.
Certificazione
Microsoft Certified: Azure Virtual Desktop Specialty - Certifications
Pianificare, distribuire, gestire e monitorare le esperienze desktop virtuali e le app remote in Microsoft Azure per qualsiasi dispositivo.
Documentazione
Gestire gli aggiornamenti e le patch per le macchine virtuali in Automazione di Azure
Questo articolo illustra come usare Gestione degli aggiornamenti per gestire aggiornamenti e patch per le macchine virtuali di Azure e non di Azure.
Automazione di Azure - Panoramica di Gestione aggiornamenti
Questo articolo fornisce una panoramica della funzionalità Gestione aggiornamenti che implementa gli aggiornamenti per computer Windows e Linux.
Gestire le impostazioni di configurazione degli aggiornamenti in Gestione aggiornamenti di Azure
L'articolo descrive come gestire le impostazioni di aggiornamento per i computer Windows e Linux gestiti da Azure Update Manager.