업데이트 관리 배포 계획
1단계: Automation 계정
업데이트 관리는 Azure Automation 기능이므로 Automation 계정이 필요합니다. 구독에서 기존 Automation 계정을 사용하거나 다른 Automation 기능 없이 업데이트 관리 전용으로 새 계정을 만들 수 있습니다.
2단계: Azure Monitor 로그
업데이트 관리는 관리형 머신에서 수집된 평가 및 업데이트 상태 로그 데이터를 저장하기 위해 Azure Monitor의 Log Analytics 작업 영역에 따라 달라집니다. Log Analytics와 통합하면 Azure Monitor에서 자세한 분석 및 경고를 수행할 수도 있습니다. 구독에서 기존 작업 영역을 사용하거나 업데이트 관리 전용으로 새 작업 영역을 만들 수 있습니다.
Azure Monitor 로그 및 Log Analytics 작업 영역을 처음 사용하는 경우 Log Analytics 작업 영역 디자인 배포 가이드를 검토해야 합니다.
3단계: 지원되는 운영 체제
업데이트 관리는 특정 버전의 Windows Server 및 Linux 운영 체제를 지원합니다. 업데이트 관리를 사용하도록 설정하기 전에 대상 머신이 운영 체제 요구 사항을 충족하는지 확인합니다.
4단계: Log Analytics 에이전트
Windows 및 Linux용 Log Analytics 에이전트는 업데이트 관리를 지원해야 합니다. 에이전트는 데이터 수집 및 Automation 시스템 Hybrid Runbook Worker 역할 모두에 사용되어 머신에서 평가를 관리하고 배포를 업데이트하는 데 사용되는 업데이트 관리 Runbook을 지원합니다.
Azure VM에서 Log Analytics 에이전트가 아직 설치되지 않은 경우 VM에 업데이트 관리를 사용하도록 설정하면 Windows 또는 Linux에 대해 Log Analytics VM 확장을 사용하여 자동으로 설치됩니다. 에이전트는 Automation 계정 업데이트 관리에 연결된 Log Analytics 작업 영역에 대한 보고가 활성화되도록 구성됩니다.
비 Azure VM 또는 서버에는 Windows 또는 Linux용 Log Analytics 에이전트가 설치되어 있고, 연결된 작업 영역에 대한 보고가 있어야 합니다. 먼저 컴퓨터를 Azure Arc 지원 서버에 연결하여 Windows 또는 Linux용 Log Analytics 에이전트를 설치한 다음, Azure Policy를 사용하여 Linux 또는 Windows Azure Arc 컴퓨터에 Log Analytics 에이전트 배포 기본 제공 정책 정의를 할당하는 것이 좋습니다. 또는 VM 인사이트를 사용하여 머신을 모니터링하려는 경우 VM용 Azure Monitor 사용 이니셔티브를 대신 사용합니다.
현재 Operations Manager에서 관리하는 컴퓨터를 사용하도록 설정하는 경우 새 에이전트가 필요하지 않습니다. 관리 그룹을 Log Analytics 작업 영역에 연결하면 작업 영역 정보가 에이전트 구성에 추가됩니다.
컴퓨터 하나를 둘 이상의 Log Analytics 작업 영역에서 업데이트 관리에 등록(멀티 호밍)하는 것은 지원되지 않습니다.
5단계 - 네트워크 계획
업데이트 관리를 지원하도록 네트워크를 준비하려면 일부 인프라 구성 요소를 구성해야 할 수 있습니다. 예를 들어 방화벽 포트를 열어 업데이트 관리 및 Azure Monitor에 사용되는 통신을 전달합니다.
하이브리드 Runbook 작업자 역할을 포함하여 포트, URL 및 하이브리드 업데이트 관리에 필요한 기타 네트워킹 세부 정보에 대한 자세한 내용은 Azure Automation 네트워크 구성을 검토하세요. Azure VM에서 Automation 서비스에 안전하게 비공개로 연결하려면 Azure Private Link 사용을 검토하세요.
Windows 머신의 경우 Windows 업데이트 에이전트에 필요한 모든 엔드포인트로도 트래픽을 허용해야 합니다. HTTP/프록시와 관련된 문제에서 필요한 엔드포인트의 업데이트된 목록을 찾을 수 있습니다. 로컬 WSUS(Windows Server Update Services) 배포가 있는 경우 WSUS 키에 지정된 서버로도 트래픽을 허용해야 합니다.
Red Hat Linux 머신의 경우 RHUI 콘텐츠 배달 서버의 IP에서 필요한 엔드포인트를 확인하세요. 기타 Linux 배포판의 경우 공급자의 설명서를 확인하세요.
IT 보안 정책에서 네트워크에 있는 머신의 인터넷 연결을 허용하지 않는 경우 Log Analytics 게이트웨이를 설정한 다음 게이트웨이를 통해 Azure Automation 및 Azure Monitor에 연결하도록 머신을 구성할 수 있습니다.
6단계: 사용 권한
업데이트 배포를 만들고 관리하려면 특정 권한이 필요합니다. 이러한 권한에 대한 내용은 역할 기반 액세스 - 업데이트 관리를 참조하세요.
7단계: 에이전트 Windows 업데이트
Azure Automation 업데이트 관리는 Windows 업데이트 에이전트를 사용하여 Windows 업데이트를 다운로드하고 설치합니다. 머신의 WUA(Windows 업데이트 에이전트)에서 WSUS(Windows Server Update Services) 또는 Microsoft 업데이트에 연결하는 데 사용하는 특정 그룹 정책 설정이 있습니다. 이러한 그룹 정책 설정은 소프트웨어 업데이트 호환성을 성공적으로 검사하고 소프트웨어 업데이트를 자동으로 업데이트하는 데도 사용됩니다. 권장 사항을 검토하려면 업데이트 관리에 대한 Windows 업데이트 설정 구성을 참조하세요.
8단계: Linux 리포지토리
Azure Marketplace에서 제공되는 주문형 RHEL(Red Hat Enterprise Linux) 이미지에서 만든 VM은 Azure에 배포된 RHUI(Red Hat Update Infrastructure)에 액세스하도록 등록됩니다. 다른 모든 Linux 배포판은 해당 배포판에서 지원되는 방법을 사용하여 배포판의 온라인 파일 리포지토리에서 업데이트되어야 합니다.
Red Hat Enterprise 버전 6의 업데이트를 분류하려면 yum-보안 플러그인을 설치해야 합니다. Red Hat Enterprise Linux 7에서는 플러그인이 이미 yum 자체에 포함되어 있으므로 아무것도 설치할 필요가 없습니다. 자세한 내용은 다음 Red Hat 기술 항목을 참조하세요.
9단계: 배포 대상 계획
업데이트 관리를 사용하면 Azure 또는 비 Azure 머신을 나타내는 동적 그룹에 대한 업데이트를 대상으로 지정할 수 있으므로 특정 머신이 항상 가장 편리한 시간에 올바른 업데이트를 받을 수 있습니다. 동적 그룹은 배포 시 확인되며 다음 조건을 기반으로 합니다.
- 구독
- 리소스 그룹
- 위치
- 태그들
비 Azure 컴퓨터의 경우 동적 그룹은 저장된 검색(컴퓨터 그룹이라고도 함)을 사용합니다. 컴퓨터 그룹으로 범위가 지정된 업데이트 배포는 특정 Azure VM이 아닌 업데이트 관리 배포 일정 옵션의 Automation 계정에서만 볼 수 있습니다 .
또는 선택한 Azure VM에 대해서만 업데이트를 관리할 수 있습니다. 특정 컴퓨터로 범위가 지정된 업데이트 배포는 업데이트 관리 배포 일정 옵션의 컴퓨터와 Automation 계정 모두에서 볼 수 있습니다 .
다음 단계
업데이트 관리를 사용하도록 설정하고 다음 방법 중 하나를 사용하여 관리할 컴퓨터를 선택합니다.
Azure Resource Manager 템플릿 을 사용하여 구독의 새 또는 기존 Automation 계정 및 Azure Monitor Log Analytics 작업 영역에 업데이트 관리를 배포합니다. 관리해야 하는 컴퓨터의 범위를 구성하지 않으며 템플릿을 사용한 후 별도의 단계로 수행됩니다.
Azure Arc 지원 서버를 포함하여 하나 이상의 Azure 및 비 Azure 머신에 대한 Automation 계정
Enable-AutomationSolutionRunbook을 사용하여 Azure VM 온보딩을 자동화합니다.
Azure Portal의 가상 머신 페이지에서 선택한 Azure VM의 경우 이 시나리오는 Linux 및 Windows VM에서 사용할 수 있습니다.
여러 Azure VM의 경우 Azure Portal의 가상 머신 페이지에서 해당 VM을 선택합니다.