Azure Portal 및 Azure Policy를 사용하여 머신에 대한 정기 업데이트 예약
적용 대상: ✔️ Windows VM ✔️ Linux VM ✔️ 온-프레미스 환경 ✔️ Azure Arc 지원 서버.
Important
- 원활한 예약된 패치 환경을 위해 모든 Azure VM(가상 머신)에 대해 2023년 6월 30일까지 패치 오케스트레이션을 고객 관리형 일정으로 업데이트하는 것이 좋습니다. 2023년 6월 30일까지 패치 오케스트레이션을 업데이트하지 못하면 일정이 VM을 패치하지 못하기 때문에 비즈니스 연속성이 중단될 수 있습니다. 자세히 알아보기.
- Azure US Gov 및 21 Vianet에서 운영하는 Azure 중국에서는 Azure Policy를 통한 되풀이 업데이트 예약을 사용할 수 없습니다.
Azure 업데이트 관리자를 사용하여 정기 배포 일정을 만들고 저장할 수 있습니다. 매일, 매주 또는 매시간 주기로 일정을 만들 수 있습니다. 일정의 일부로 업데이트해야 하는 컴퓨터와 설치할 업데이트를 지정할 수 있습니다.
그런 다음 이 일정은 만들어진 일정에 따라 대규모 단일 VM에 대한 업데이트를 자동으로 설치합니다.
업데이트 관리자는 자체 일정을 만드는 대신 유지 관리 제어 일정을 사용합니다. 유지 관리 제어를 통해 고객은 플랫폼 업데이트를 관리할 수 있습니다. 자세한 내용은 유지 관리 제어 설명서를 참조하세요.
예약된 패치에 대한 필수 구성 요소
업데이트 관리를 위한 필수 조건을 확인하세요.
Azure 컴퓨터의 패치 오케스트레이션은 고객 관리형 일정으로 설정해야 합니다. 자세한 내용은 기존 VM에서 일정 패치 사용을 참조하세요. Azure Arc 지원 컴퓨터의 경우 이는 요구 사항이 아닙니다.
가용성 집합에서 패치 예약
공통 가용성 집합의 모든 VM은 동시에 업데이트되지 않습니다.
일반 가용성 집합의 VM은 업데이트 도메인 경계 내에서 업데이트됩니다. 여러 업데이트 도메인의 VM은 동시에 업데이트되지 않습니다.
동일한 가용성 집합의 컴퓨터가 다른 일정에 따라 동시에 패치되는 시나리오에서는 패치가 적용되지 않거나 유지 관리 기간이 초과될 경우 실패할 수 있습니다. 이를 방지하려면 유지 관리 기간을 늘리거나 동일한 가용성 집합에 속한 컴퓨터를 여러 시간의 여러 일정에 걸쳐 분할하는 것이 좋습니다.
재부팅 설정 구성
레지스트리 및 다시 시작을 관리하는 데 사용되는 레지스트리 키를 편집하면 자동 업데이트 구성에 나열된 레지스트리 키로 인해 컴퓨터가 다시 부팅될 수 있습니다. 일정 설정에서 다시 부팅 안 함을 지정한 경우에도 다시 부팅이 발생할 수 있습니다. 사용자 환경에 가장 적합하도록 이러한 레지스트리 키를 구성합니다.
서비스 제한
표시기에서 다음 제한을 사용하는 것이 좋습니다.
| 표시기 | 제한 |
|---|---|
| 지역별 구독당 일정 수 | 250 |
| 일정에 대한 총 리소스 연결 수 | 3,000 |
| 각 동적 범위의 리소스 연결 | 1,000 |
| 지역별 구독 또는 리소스 그룹당 동적 범위 수 | 250 |
| 일정당 동적 범위 수 | 30 |
| 일정당 모든 동적 범위에 연결된 총 구독 수 | 30 |
자세한 내용은 동적 범위에 대한 서비스 제한을 참조하세요.
단일 VM에서 정기 업데이트 예약
업데이트 관리자 페이지의 개요또는 컴퓨터 창이나 선택한 VM에서 업데이트를 예약할 수 있습니다.
단일 VM에서 정기 업데이트를 예약하려면
Azure Portal에 로그인합니다.
Azure 업데이트 관리자 | 개요 페이지에서 구독을 선택하여 업데이트 예약을 선택합니다.
새 유지 관리 구성 만들기 페이지에서 단일 VM에 대한 일정을 만들 수 있습니다.
현재 동일한 구독의 VM 및 유지 관리 구성이 지원됩니다.
기본 사항 페이지에서 구독, 리소스 그룹 및 인스턴스 세부 정보의 모든 옵션을 선택합니다.
유지 관리 범위를 게스트(Azure VM, Azure Arc 지원 VM/서버)로 선택합니다.
일정 추가를 선택합니다. 일정 추가/수정을 선택하고 다음과 같은 일정 세부 정보를 지정합니다.
- 시작 시간
- 유지 관리 기간(시간) 상위 유지 관리 기간은 3시간 55분입니다.
- 반복(매월, 매일 또는 매주)
- 종료 날짜 추가
- 일정 요약
시간별 옵션은 포털에서 지원되지 않지만 API를 통해 사용할 수 있습니다.
매월 반복의 경우 두 가지 옵션이 있습니다.
- 달력 날짜에 반복합니다(선택적으로 해당 월의 마지막 날짜에 실행).
- 월의 n번째(첫 번째, 두 번째 등) x요일(예: 월요일, 화요일)에 반복합니다. 요일 설정에서 오프셋을 지정할 수도 있습니다. +6/-6이 될 수 있습니다. 예를 들어 화요일 패치 후 첫 번째 토요일에 패치를 적용하려면 +4일 오프셋을 사용하여 매월 두 번째 화요일에 되풀이하도록 설정합니다. 필요에 따라 일정이 만료되도록 할 때 종료 날짜를 지정할 수도 있습니다.
컴퓨터 탭에서 컴퓨터를 선택하고 다음을 선택합니다.
업데이트 관리자는 드라이버 업데이트를 지원하지 않습니다.
태그 탭에서 유지 관리 구성에 태그를 할당합니다.
검토 + 만들기 탭에서 업데이트 배포 옵션을 확인한 다음 만들기를 선택합니다.
Azure Portal에 로그인합니다.
Azure 업데이트 관리자 | 컴퓨터 페이지에서 구독을 선택하고 컴퓨터를 선택한 다음 업데이트 예약을 선택합니다.
새 유지 관리 구성 만들기에서 단일 VM에 대한 일정을 만들고 컴퓨터 및 태그를 할당할 수 있습니다. 단일 VM에서 반복 업데이트 예약의 개요 창에서에 나열된 3단계의 절차에 따라 유지 관리 구성을 만들고 일정을 할당합니다.
알림은 배포가 생성되었음을 확인합니다.
대규모로 정기 업데이트 예약
대규모로 정기 업데이트를 예약하려면 다음 단계를 수행합니다.
개요 또는 컴퓨터 창에서 업데이트를 예약할 수 있습니다.
Azure Portal에 로그인합니다.
Azure 업데이트 관리자 | 개요 페이지에서 구독을 선택하여 업데이트 예약을 선택합니다.
새 유지 관리 구성 만들기 페이지에서 여러 컴퓨터에 대한 일정을 만들 수 있습니다.
현재 동일한 구독의 VM 및 유지 관리 구성이 지원됩니다.
기본 사항 탭에서 구독, 리소스 그룹 및 인스턴스 세부 정보의 모든 옵션을 선택합니다.
일정 추가를 선택합니다. 일정 추가/수정을 선택하고 다음과 같은 일정 세부 정보를 지정합니다.
- 시작 시간
- 유지 관리 기간(시간)
- 반복(매월, 매일 또는 매주)
- 종료 날짜 추가
- 일정 요약
시간별 옵션은 포털에서 지원되지 않지만 API를 통해 사용할 수 있습니다.
컴퓨터 탭에서 선택한 컴퓨터가 나열되는지 확인합니다. 목록에서 컴퓨터를 추가하거나 제거할 수 있습니다. 다음을 선택합니다.
업데이트 페이지에서 일정을 트리거할 때 설치해야 하는 업데이트 분류 또는 KB ID/패키지와 같이 배포에 포함할 업데이트를 지정합니다.
업데이트 관리자는 드라이버 업데이트를 지원하지 않습니다.
태그 탭에서 유지 관리 구성에 태그를 할당합니다.
검토 + 만들기 탭에서 업데이트 배포 옵션을 확인한 다음 만들기를 선택합니다.
알림은 배포가 생성되었음을 확인합니다.
유지 관리 구성 연결
유지 관리 구성을 여러 컴퓨터에 연결할 수 있습니다. 새 유지 관리 구성을 만들 때 또는 새로 만든 후에도 컴퓨터에 연결할 수 있습니다.
Azure 업데이트 관리자 페이지에서 컴퓨터를 선택한 다음, 구독을 선택합니다.
컴퓨터를 선택하고 업데이트 창에서 업데이트 예약을 선택하여 유지 관리 구성을 만들거나 기존 유지 관리 구성을 예약된 정기 업데이트에 연결합니다.
예약 탭에서 유지 관리 구성 연결을 선택합니다.
연결할 유지 관리 구성을 선택하고 연결을 선택합니다.
업데이트 창에서 예약>유지 관리 구성 연결을 선택합니다.
기존 유지 관리 구성 연결 페이지에서 연결할 유지 관리 구성을 선택하고 연결을 선택합니다.
유지 관리 구성에서 정기 업데이트 예약
단일 위치에서 모든 유지 관리 구성을 찾아보고 관리할 수 있습니다.
Azure Portal에서 유지 관리 구성을 검색합니다. 유지 관리 범위, 리소스 그룹, 위치 및 구독이 속한 구독과 함께 모든 유지 관리 구성 목록을 표시합니다.
위쪽의 필터를 사용하여 유지 관리 구성을 필터링할 수 있습니다. 게스트 OS 업데이트와 관련된 유지 관리 구성은 유지 관리 범위가 InGuestPatch인 구성입니다.
새 게스트 OS 업데이트 유지 관리 구성을 만들거나 기존 구성을 수정할 수 있습니다.
새 유지 관리 구성 만들기
컴퓨터로 이동하여 목록에서 컴퓨터를 선택합니다.
업데이트 창에서 예약된 업데이트를 선택합니다.
유지 관리 구성 만들기 창에서 이 절차의 3단계에 따라 유지 관리 구성을 만듭니다.
기본 사항 탭에서 유지 관리 범위를 게스트(Azure VM, Azure Arc 지원 VM/서버)로 선택합니다.
유지 관리 구성에서 컴퓨터 추가 또는 제거
컴퓨터로 이동하여 목록에서 컴퓨터를 선택합니다.
업데이트 페이지에서 일회성 업데이트를 선택합니다.
일회성 업데이트 설치 창에서 컴퓨터>컴퓨터 추가를 선택합니다.
업데이트 선택 조건 변경
일회성 업데이트 설치 창에서 리소스 및 컴퓨터를 선택하여 업데이트를 설치합니다.
컴퓨터 탭에서 컴퓨터 추가를 선택하여 이전에 선택하지 않은 컴퓨터를 추가하고 추가를 클릭합니다.
업데이트 탭에서 배포에 포함할 업데이트를 지정합니다.
KB ID/패키지 포함 및 KB ID/패키지 제외를 각각 선택하여 중요, 보안, 기능 업데이트 등과 같은 업데이트를 선택합니다.
Azure Policy를 사용하여 예약 온보딩
업데이트 관리자를 사용하면 Azure Policy를 통해서 업데이트 배포를 위해 Azure 또는 Azure가 아닌 VM 그룹을 대상으로 지정할 수 있습니다. 정책을 사용하여 그룹화를 진행하면 머신을 업데이트하기 위해 배포를 편집하지 않아도 됩니다. 구독, 리소스 그룹, 태그 또는 지역을 사용하여 범위를 정의할 수 있습니다. 사용 사례에 따라 사용자 지정할 수 있는 기본 제공 정책에 이 기능을 사용할 수 있습니다.
참고 항목
또한 이 정책은 예약된 패치의 필수 조건이므로 Azure 컴퓨터에 대한 패치 오케스트레이션 속성이 고객 관리형 일정으로 설정되도록 합니다.
정책 할당
Azure Policy를 사용하면 표준을 할당하고 규정 준수를 대규모로 평가할 수 있습니다. 자세한 내용은 Azure Policy 개요를 참조하세요. 범위에 정책을 할당하려면 다음을 수행합니다.
Azure Portal에 로그인하고 정책을 선택합니다.
할당에서 정책 할당을 선택합니다.
정책 할당 페이지의 기본 사항 탭에서 다음을 수행합니다.
범위에서 구독, 리소스 그룹을 선택하고 선택을 선택합니다.
정책 정의를 선택하여 정책 목록을 봅니다.
사용 가능한 정의 창에서 유형에 기본 제공을 선택합니다. 검색에서 Azure 업데이트 관리자를 사용하여 정기 업데이트 예약을 입력하고 선택을 클릭합니다.
정책 적용이 사용됨으로 설정되어 있는지 확인하고 다음을 선택합니다.
매개 변수 탭에서는 기본적으로 유지 관리 구성 ARM ID만 표시됩니다.
다른 매개 변수를 지정하지 않으면 기본 탭에서 선택한 구독 및 리소스 그룹의 모든 컴퓨터가 범위에 포함됩니다. 리소스 그룹, 위치, OS, 태그 등을 기반으로 더 범위를 지정하려면 입력 또는 검토가 필요한 매개 변수만 표시를 선택 취소하여 모든 매개 변수를 봅니다.
- 유지 관리 구성 ARM ID: 제공해야 하는 필수 매개 변수. 머신에 할당하려는 일정의 ARM(Azure Resource Manager) ID를 나타냅니다.
- 리소스 그룹: 리소스 그룹으로 범위를 좁히려는 경우 선택적으로 리소스 그룹을 지정할 수 있습니다. 기본적으로 구독 내의 모든 리소스 그룹이 선택됩니다.
- 운영 체제 유형: Windows 또는 Linux를 선택할 수 있습니다. 기본적으로 둘 다 미리 선택됩니다.
- 컴퓨터 위치: 선택하려는 지역을 선택적으로 지정할 수 있습니다. 기본적으로는 모든 제품이 선택되어 있습니다.
- 컴퓨터의 태그: 태그를 사용하여 범위를 더 좁힐 수 있습니다. 기본적으로는 모든 제품이 선택되어 있습니다.
- 태그 연산자: 여러 태그를 선택한 경우 범위를 모든 태그가 있는 컴퓨터로 지정하든지 해당 태그 중 하나라도 있는 컴퓨터로 지정할 수 있습니다.
수정 탭의 관리 ID>관리 ID 유형에서 시스템이 할당한 관리 ID를 선택합니다. 권한은 정책 정의에 따라 contributor로 이미 설정되어 있습니다.
수정을 선택하면 해당 정책이 범위의 모든 기존 컴퓨터에 적용되거나 범위에 추가된 새 컴퓨터에 할당됩니다.
검토 + 만들기 탭에서 선택 항목을 확인하고 만들기를 선택하여 비준수 리소스를 식별하여 환경의 준수 상태를 이해합니다.
준수 보기
기존 리소스의 현재 규정 준수 상태를 보려면 다음을 수행합니다.
정책 할당에서 범위를 선택하여 구독 및 리소스 그룹을 선택합니다.
정의 형식에서 정책을 선택합니다. 목록에서 할당 이름을 선택합니다.
규정 준수 보기를 선택합니다. 리소스 규정 준수에는 컴퓨터 및 실패 이유가 나열됩니다.
예약된 패치 실행 확인
업데이트 관리자 포털에서 유지 관리 구성 실행의 배포 상태 및 기록을 확인할 수 있습니다. 자세한 내용은 유지 관리 ID로 배포 기록 업데이트를 참조하세요.
유지 관리 기간의 타임라인
유지 관리 기간은 가상 머신 및 Arc 지원 서버에 설치할 수 있는 업데이트 수를 제어합니다. 업데이트를 설치하는 동안 다음 표를 살펴보고 유지 관리 기간의 타임라인을 이해하는 것이 좋습니다.
예를 들어 유지 관리 기간이 3시간이고 오후 3시에 시작하는 경우 업데이트 설치 방법에 관한 세부 정보는 다음과 같습니다.
| 업데이트 형식 | 세부 정보 |
|---|---|
| 서비스 팩 | 서비스 팩을 설치하는 경우 업데이트가 성공적으로 설치되려면 유지 관리 기간에 20분이 남아 있어야 합니다. 그렇지 않으면 업데이트가 건너뜁니다. 이 예제에서는 오후 5시 40분까지 서비스 팩 설치를 완료해야 합니다. |
| 기타 업데이트 | 서비스 팩 외에 다른 업데이트를 설치하는 경우 유지 관리 기간에 15분이 남아 있어야 합니다. 그렇지 않으면 건너뜁니다. 이 예제에서는 오후 5시 45분까지 다른 업데이트 설치를 완료해야 합니다. |
| Reboot | 컴퓨터를 다시 부팅해야 하는 경우 유지 관리 기간에 10분이 남아 있어야 합니다. 그렇지 않으면 다시 부팅이 건너뜁니다. 이 예제에서는 오후 5시 50분까지 다시 부팅을 시작해야 합니다. 참고: Azure 가상 머신 및 Arc 지원 서버의 경우 Azure 업데이트 관리자는 다시 부팅 후 Azure VM은 최대 15분, Arc 서버는 25분 기다려 다시 부팅을 완료한 후 실패로 표시합니다. |
참고 항목
- Azure 업데이트 관리자는 유지 관리 기간이 거의 끝나가는 경우 새 업데이트 설치를 중지하지 않습니다.
- Azure 업데이트 관리자는 유지 관리 기간이 초과되고 설치해야 하는 나머지 업데이트만 시도되지 않는 경우 진행 중인 업데이트를 종료하지 않습니다. 유지 관리 기간의 기간을 다시 평가하여 모든 업데이트가 설치되었는지 확인하는 것이 좋습니다.
- 서비스 팩 업데이트를 설치하는 데 오랜 시간이 소요되어 Windows에서 유지 관리 기간이 초과되는 경우가 많습니다.
다음 단계
- 패치 예약의 고급 기능인 동적 범위대해 자세히 알아봅니다.
- 비즈니스 연속성을 위해 Azure VM에 대한 패치 예약을 구성하는 방법에 대해 자세히 알아봅니다.
- 동적 범위의 다양한 작업을 관리하는 방법에 대한 지침을 따릅니다.
- 예약된 유지 관리 구성 전후에 자동으로 작업을 수행하는 사전 및 사후 이벤트에 대해 알아봅니다.