Бөлісу құралы:


Планирование повторяющихся обновлений для машин с помощью портала Azure и Политики Azure

Область применения: ✔️ виртуальные машины ✔️ ✔️ Linux под управлением Windows на локальных серверах с ✔️ поддержкой Azure Arc.

Внимание

  • Для простого запланированного исправления рекомендуется обновить оркестрацию исправлений для всех виртуальных машин Azure до расписаний, управляемых клиентом, к 30 июня 2023 года. Если к 30 июня 2023 г. не удалось обновить оркестрацию исправлений, вы можете столкнуться с нарушением непрерывности бизнес-процессов, так как расписания не будут исправлять виртуальные машины. Подробнее.

Диспетчер обновлений Azure можно использовать для создания и сохранения расписаний повторяющегося развертывания. Вы можете создать расписание на ежедневной, еженедельной или почасовой периодичностью. Вы можете указать компьютеры, которые необходимо обновить в рамках расписания и установленные обновления.

Затем это расписание автоматически устанавливает обновления в соответствии с созданным расписанием для одной виртуальной машины и в масштабе.

Диспетчер обновлений использует расписание управления обслуживанием вместо создания собственных расписаний. Управление обслуживанием позволяет клиентам управлять обновлениями платформы. Дополнительные сведения см. в документации по управлению обслуживанием.

Предварительные условия для планового обновления

  1. См . предварительные требования для диспетчера обновлений.

  2. Оркестрация исправлений компьютеров Azure должна иметь значение "Управляемые клиентом расписания". Дополнительные сведения см. в разделе Включение исправлений по расписанию на существующих виртуальных машинах. Для компьютеров с поддержкой Azure Arc это не является обязательным требованием.

    Примечание.

    Если вы устанавливаете режим исправления в azure с оркестрированным (AutomaticByPlatform), но не включаете флаг BypassPlatformSafetyChecksOnUserSchedule и не присоединяете конфигурацию обслуживания к компьютеру Azure, она рассматривается как автоматический гостевой компьютер с исправлением. Платформа Azure автоматически устанавливает обновления в соответствии с собственным расписанием. Подробнее.

Планирование исправлений в группе доступности

Все виртуальные машины в общей группе доступности не обновляются одновременно.

Виртуальные машины в общей группе доступности обновляются в пределах границ домена обновления. Виртуальные машины в нескольких доменах обновления не обновляются одновременно.

В сценариях, когда машины из одной группы доступности исправляются одновременно в разных расписаниях, скорее всего, они не смогут получить исправление или для них возможен сбой в случае превышения периода обслуживания. Чтобы избежать этого, рекомендуется увеличить период обслуживания или разделить машины, принадлежащие к одной группе доступности по нескольким расписаниям в разное время.

Настройка параметров перезагрузки

Разделы реестра, перечисленные в разделе "Настройка автоматических обновлений", изменяя разделы реестра и реестра, используемые для управления перезапуском , могут привести к перезагрузке компьютеров. Перезагрузка может произойти, даже если в параметрах расписания указать никогда не перезагружается. Укажите для этих ключей реестра значения, которые лучше подходят в вашей среде.

Лимиты служб

Мы рекомендуем использовать следующие ограничения для индикаторов.

Индикатор Ограничение общедоступного облака Mooncake/Fairfax Limit
Количество расписаний на подписку в каждом регионе 250 250
Общее количество сопоставлений ресурсов с расписанием 3,000 3,000
Связи ресурсов для каждой динамической области 1000 1000
Число динамических областей для каждой группы ресурсов или подписки на регион 250 250
Количество динамических областей на расписание 200 30
Общее количество подписок, подключенных ко всем динамическим областям на расписание 200 30

Дополнительные сведения см. в ограничениях службы для динамической области.

Планирование повторяющихся обновлений на одной виртуальной машине

Вы можете запланировать обновления из области "Обзор" или "Компьютеры" на странице диспетчера обновлений или на выбранной виртуальной машине.

Чтобы запланировать повторяющиеся обновления на одной виртуальной машине, выполните следующие действия.

  1. Войдите на портал Azure.

  2. На странице обзора диспетчера | обновлений Azure выберите подписку и выберите пункт "Расписание обновлений".

  3. На странице "Создание конфигурации обслуживания" можно создать расписание для одной виртуальной машины.

    В настоящее время поддерживаются виртуальные машины и конфигурация обслуживания в одной подписке.

  4. На странице "Основы" выберите "Подписка", "Группа ресурсов" и все параметры в сведениях об экземпляре.

    • Выберите область обслуживания как гостевая (виртуальная машина Azure, виртуальные машины с поддержкой Azure Arc или серверы).

    • Выберите Добавить расписание. В пункте Добавление/изменение расписания укажите сведения о расписании, например:

      • Начинается
      • Период обслуживания (в часах). Верхний период обслуживания составляет 3 часа 55 минут.
      • Повторы (ежемесячно, ежедневно или еженедельно)
      • Добавить дату окончания
      • Сводка по расписанию

    Почасовой параметр не поддерживается на портале, но его можно использовать через API.

    Снимок экрана: страница

    Для повторов ежемесячно существует два варианта:

    • Повторите дату календаря (при необходимости выполните дату последнего месяца).
    • Повторите на nth (первый, второй, и т. д.) x день (например, понедельник, вторник) месяца. Вы также можете указать смещение из набора дней. Это может быть +6/-6. Например, если вы хотите исправить в первую субботу после исправления во вторник, установите повторение во второй вторник месяца со смещением +4 дня. При необходимости можно также указать дату окончания, когда требуется срок действия расписания.
  5. На вкладке "Компьютеры" выберите компьютер и нажмите кнопку "Далее".

    Диспетчер обновлений не поддерживает обновления драйверов.

  6. На вкладке Теги назначьте теги конфигурациям обслуживания.

  7. На вкладке Обзор и создание проверьте параметры развертывания обновлений и нажмите кнопку Создать.

  1. Войдите на портал Azure.

  2. На странице "Компьютеры Диспетчера обновлений Azure" | выберите подписку, выберите компьютер и выберите пункт "Расписание обновлений".

  3. В разделе "Создание конфигурации обслуживания" можно создать расписание для одной виртуальной машины и назначить компьютер и теги. Выполните процедуру из шага 3, указанного в области обзора расписания повторяющихся обновлений на одной виртуальной машине , чтобы создать конфигурацию обслуживания и назначить расписание.

Уведомление подтверждает, что развертывание создано.

Планирование повторяющихся обновлений в большом масштабе

Чтобы запланировать повторяющиеся обновления в большом масштабе, выполните следующие действия.

Вы можете запланировать обновления на панели "Обзор" или "Компьютеры".

  1. Войдите на портал Azure.

  2. На странице обзора диспетчера | обновлений Azure выберите подписку и выберите пункт "Расписание обновлений".

  3. На странице Создание конфигурации обслуживания можно создать расписание для нескольких компьютеров.

    В настоящее время поддерживаются виртуальные машины и конфигурация обслуживания в одной подписке.

  4. На вкладке Основные сведения выберите пункт Подписка, Группа ресурсов, а также все параметры в пункте Сведения об экземпляре.

    • Выберите Добавить расписание. В пункте Добавление/изменение расписания укажите сведения о расписании, например:

      • Начинается
      • Период обслуживания (в часах)
      • Повторы (ежемесячно, ежедневно или еженедельно)
      • Добавить дату окончания
      • Сводка по расписанию

    Почасовой параметр не поддерживается на портале, но его можно использовать через API.

  5. На вкладке Компьютеры проверьте, отображаются ли выбранные компьютеры. Можно добавить в список новые компьютеры либо удалить из него уже существующие. Выберите Далее.

  6. На вкладке Обновления укажите обновления, которые должны быть включены в развертывание, например классификации обновлений или идентификатор базы знаний/пакеты, которые должны быть установлены при активации расписания.

    Диспетчер обновлений не поддерживает обновления драйверов.

  7. На вкладке Теги назначьте теги конфигурациям обслуживания.

  8. На вкладке Обзор и создание проверьте параметры развертывания обновлений и нажмите кнопку Создать.

Уведомление подтверждает, что развертывание создано.

Подключение конфигурации обслуживания

Конфигурацию обслуживания можно подключить к нескольким компьютерам. Его можно подключить к компьютерам во время создания конфигурации обслуживания или даже после создания.

  1. На странице диспетчера обновлений Azure выберите компьютеры и выберите подписку.

  2. Выберите компьютер и на панели "Обновления " выберите запланированные обновления , чтобы создать конфигурацию обслуживания или подключить существующую конфигурацию обслуживания к запланированным повторяющимся обновлениям.

  3. На вкладке "Планирование " выберите "Подключить конфигурацию обслуживания".

  4. Выберите конфигурацию обслуживания, которую требуется подключить, и нажмите кнопку "Подключить".

  5. На панели "Обновления" выберите конфигурацию обслуживания "Планирование>подключения".

  6. На странице "Подключение существующей конфигурации обслуживания" выберите конфигурацию обслуживания, которую требуется подключить, и нажмите кнопку "Подключить".

    Снимок экрана, на котором показана конфигурация обслуживания запланированного подключения исправлений.

Планирование повторяющихся обновлений из конфигурации обслуживания

Вы можете просматривать все конфигурации обслуживания и управлять ими из одного места.

  1. Конфигурации обслуживания поиска в портал Azure. В нем отображается список всех конфигураций обслуживания, а также области обслуживания, группы ресурсов, расположения и подписки, к которой она принадлежит.

  2. Конфигурации обслуживания можно фильтровать с помощью фильтров в верхней части. Конфигурации обслуживания, связанные с обновлениями гостевой ОС, — это те, которые имеют область обслуживания в качестве InGuestPatch.

Можно создать новую конфигурацию обслуживания обновления гостевой ОС или изменить существующую конфигурацию.

Снимок экрана: конфигурация обслуживания.

Создание конфигурации обслуживания

  1. Перейдите на компьютеры и выберите компьютеры из списка.

  2. На панели "Обновления" выберите "Запланированные обновления".

  3. На панели "Создание конфигурации обслуживания" выполните шаг 3 в этой процедуре, чтобы создать конфигурацию обслуживания.

  4. На вкладке "Основные сведения" выберите область обслуживания как гостевая (виртуальная машина Azure, виртуальные машины с поддержкой Arc или серверы).

    Снимок экрана: создание конфигурации обслуживания.

Добавление или удаление компьютеров из Конфигурации обслуживания

  1. Перейдите на компьютеры и выберите компьютеры из списка.

  2. На странице "Обновления" выберите однократные обновления.

  3. На панели "Установка однократных обновлений" выберите "Компьютеры".>

    Снимок экрана: добавление или удаление компьютеров из конфигурации обслуживания.

Изменение условий выбора обновления

  1. На панели "Установка однократных обновлений" выберите ресурсы и компьютеры для установки обновлений.

  2. На вкладке "Компьютеры" выберите "Добавить компьютер ", чтобы добавить компьютеры, которые ранее не были выбраны, и нажмите кнопку "Добавить".

  3. На вкладке "Обновления" укажите обновления для включения в развертывание.

  4. Выберите включить идентификатор базы знаний и пакет и исключить идентификатор базы знаний, соответственно, чтобы выбрать такие обновления, как критически важные, безопасность и обновления компонентов.

    Снимок экрана: изменение условий выбора обновления конфигурации обслуживания.

Подключение к расписанию с помощью Политика Azure

Диспетчер обновлений позволяет нацеливать группу виртуальных машин Azure или виртуальных машин, отличных от Azure, для развертывания обновлений с помощью Политика Azure. Группирование с помощью политики позволяет изменять развертывание для обновления компьютеров. Вы можете использовать подписку, группу ресурсов, теги или регионы для определения области. Эту функцию можно использовать для встроенных политик, которые можно настроить в соответствии с вашим вариантом использования.

Примечание.

Эта политика также гарантирует, что свойство оркестрации исправлений для компьютеров Azure имеет значение "Управляемые клиентом расписания", так как это обязательное условие для запланированного исправления.

Назначение политики

Политика Azure позволяет назначать стандарты и оценивать соответствие в масштабе. Дополнительные сведения см. в статье Что такое служба "Политика Azure"?. Чтобы назначить политику области, выполните следующие действия.

  1. Войдите в портал Azure и выберите "Политика".

  2. В разделе "Назначения" выберите " Назначить политику".

  3. На странице "Назначение политики" на вкладке "Основные сведения":

    • В области выберите подписку и группу ресурсов и нажмите кнопку "Выбрать".

    • Выберите определение политики, чтобы просмотреть список политик.

    • На панели "Доступные определения" выберите "Встроенный" для типа. В поле "Поиск" введите расписание повторяющихся обновлений с помощью диспетчера обновлений Azure и нажмите кнопку "Выбрать".

      Снимок экрана: выбор определения.

    • Убедитесь, что для применения политики задано значение "Включено", а затем нажмите кнопку "Далее".

  4. На вкладке "Параметры" по умолчанию отображается только идентификатор ARM конфигурации обслуживания.

    Если вы не указываете другие параметры, все компьютеры в подписке и группе ресурсов, выбранной на вкладке "Основные сведения", рассматриваются в области. Если вы хотите дополнительно определить область на основе группы ресурсов, расположения, ОС, тегов и т. д., снимите флажок "Только показать параметры, необходимые для ввода или проверки " для просмотра всех параметров:

    • Идентификатор ARM конфигурации обслуживания: обязательный параметр для предоставления. Он обозначает идентификатор расписания Azure Resource Manager (ARM), который требуется назначить компьютерам.
    • Группы ресурсов. При необходимости можно указать группу ресурсов, если вы хотите ограничить ее до группы ресурсов. По умолчанию выбираются все группы ресурсов в подписке.
    • Типы операционной системы: вы можете выбрать Windows или Linux. По умолчанию оба варианта предварительно выбраны.
    • Расположения компьютеров. При необходимости можно указать регионы, которые нужно выбрать. По умолчанию выбраны все.
    • Теги на компьютерах: можно использовать теги для дальнейшего уменьшения области. По умолчанию выбраны все.
    • Оператор тегов: если выбрать несколько тегов, можно указать, должна ли область быть компьютерами, имеющими все теги или компьютеры с любым из этих тегов.

    Снимок экрана: назначение политики.

  5. На вкладке "Исправление" в типе управляемого удостоверения управляемого удостоверения> выберите назначаемое системой управляемое удостоверение. Разрешения уже заданы в качестве участника в соответствии с определением политики.

    Если выбрать исправление, политика действует на все существующие компьютеры в области или иначе она назначена любому новому компьютеру, добавленному в область.

  6. На вкладке "Просмотр и создание" проверьте выбранные элементы, а затем выберите "Создать ", чтобы определить несоответствующие ресурсы, чтобы понять состояние соответствия вашей среды.

Просмотреть статус соответствия

Чтобы просмотреть текущее состояние соответствия существующих ресурсов, выполните следующие действия.

  1. В разделе "Назначения политик" выберите область , чтобы выбрать подписку и группу ресурсов.

  2. В типе определения выберите политику. В списке выберите имя назначения.

  3. Выберите "Просмотр соответствия". Соответствие ресурсам содержит список компьютеров и причин сбоя.

    Снимок экрана: соответствие политике.

Проверка запланированного выполнения исправлений

Состояние развертывания и журнал конфигурации обслуживания можно проверить на портале Update Manager. Дополнительные сведения см. в разделе Обновление журнала развертывания по идентификатору запуска обслуживания.

Временная шкала периода обслуживания

В окне обслуживания определяется количество обновлений, которые можно установить на виртуальных машинах и серверах с поддержкой Arc. Мы рекомендуем ознакомиться со следующей таблицей, чтобы понять временную шкалу периода обслуживания при установке обновления:

Например, если период обслуживания составляет 3 часа и начинается с 3:00 вечера, ниже приведены сведения о том, как устанавливаются обновления:

Тип обновления Сведения
Пакет обновления Если вы устанавливаете пакет обновления, вам потребуется 20 минут, оставшихся в окне обслуживания, чтобы обновления были успешно установлены, в противном случае обновление пропускается.
В этом примере необходимо завершить установку пакета обновления до 5:40 вечера.
Другие обновления Если вы устанавливаете любое другое обновление, кроме пакета обновления, вам нужно оставить 15 минут в окне обслуживания, в противном случае он пропускается.
В этом примере необходимо завершить установку других обновлений до 5:45 вечера.
Перезагрузка Если компьютеру требуется перезагрузка, в течение 10 минут осталось в окне обслуживания, в противном случае перезагрузка пропускается.
В этом примере необходимо запустить перезагрузку до 5:50 вечера.
Примечание. Для виртуальных машин Azure и серверов с поддержкой Arc Диспетчер обновлений Azure ожидает не более 15 минут для виртуальных машин Azure и 25 минут после перезагрузки, чтобы завершить операцию перезагрузки, прежде чем пометить ее как неудачную.

Примечание.

  • Диспетчер обновлений Azure не останавливает установку новых обновлений, если он приближается к концу периода обслуживания.
  • Служба "Центр обновления Azure" не завершает обновления, выполняемые при превышении периода обслуживания, и только оставшиеся обновления, которые должны быть установлены, не выполняются. Рекомендуется повторно оценить продолжительность периода обслуживания, чтобы убедиться, что установлены все обновления.
  • Если период обслуживания в Windows превышен, это часто обусловлено тем, что установка пакета обновления занимает много времени.

Следующие шаги