Terugkerende updates voor machines plannen met behulp van Azure Portal en Azure Policy

  • Artikel

Van toepassing op: ✔️ Virtuele Windows-machines linux-VM's ✔️ ✔️ on-premises azure ✔️ Arc-servers.

Belangrijk

  • Voor een naadloze, geplande patchervaring raden we u aan om voor alle virtuele Azure-machines (VM's) de patchindeling bij te werken naar door de klant beheerde planningen op 30 juni 2023. Als u de patchindeling op 30 juni 2023 niet bijwerkt, kunt u een onderbreking van de bedrijfscontinuïteit ervaren omdat de planningen de VM's niet kunnen patchen. Meer informatie.
  • Terugkerende updates plannen via Azure Policy is niet beschikbaar in Azure US Government en Azure China beheerd door 21 Vianet.

U kunt Azure Update Manager gebruiken om terugkerende implementatieschema's te maken en op te slaan. U kunt een planning maken volgens een dagelijks, wekelijks of uurritme. U kunt de computers opgeven die moeten worden bijgewerkt als onderdeel van de planning en de updates die moeten worden geïnstalleerd.

Met dit schema worden de updates vervolgens automatisch geïnstalleerd volgens het gemaakte schema voor één VIRTUELE machine en op schaal.

Update Manager maakt gebruik van een onderhoudsbeheerschema in plaats van een eigen planning te maken. Met onderhoudsbeheer kunnen klanten de platformupdates beheren. Zie documentatie voor onderhoudsbeheer voor meer informatie.

Vereisten voor geplande patches

  1. Zie Vereisten voor Update Manager.

  2. Patchindeling van de Azure-machines moet worden ingesteld op Door de klant beheerde planningen. Bekijk voor meer informatie Patching plannen inschakelen op bestaande VM's. Voor machines met Azure Arc is dit geen vereiste.

    Notitie

    Als u de patchmodus instelt op Azure orchestrated (AutomaticByPlatform), maar de vlag BypassPlatformSafetyChecksOnUserSchedule niet inschakelt en geen onderhoudsconfiguratie aan een Azure-computer koppelt, wordt deze beschouwd als een automatische machine met patches voor gasten. Het Azure-platform installeert automatisch updates volgens een eigen planning. Meer informatie.

Patching plannen in een beschikbaarheidsset

Alle VM's in een algemene beschikbaarheidsset worden niet gelijktijdig bijgewerkt.

VM's in een algemene beschikbaarheidsset worden bijgewerkt binnen de grenzen van het updatedomein. VM's in meerdere updatedomeinen worden niet gelijktijdig bijgewerkt.

In scenario's waarin machines uit dezelfde beschikbaarheidsset tegelijkertijd in verschillende planningen worden gepatcht, is het waarschijnlijk dat ze niet worden gepatcht of mogelijk mislukken als het onderhoudsvenster wordt overschreden. Om dit te voorkomen, raden we u aan het onderhoudsvenster te verhogen of de machines die behoren tot dezelfde beschikbaarheidsset te splitsen in meerdere planningen op verschillende tijdstippen.

Instellingen voor opnieuw opstarten configureren

De registersleutels die worden vermeld in Automatische updates configureren door het register en de registersleutels te bewerken die worden gebruikt om opnieuw opstarten te beheren, kunnen ertoe leiden dat uw computers opnieuw worden opgestart. Opnieuw opstarten kan ook optreden als u Nooit opnieuw opstarten opgeeft in de planningsinstellingen. Configureer deze registersleutels zodat deze het beste bij uw omgeving passen.

Servicelimieten

We raden de volgende limieten aan voor de indicatoren.

Indicator Grenswaarde
Aantal planningen per abonnement per regio 250
Totaal aantal resourcekoppelingen naar een planning 3.000
Resourcekoppelingen voor elk dynamisch bereik 1.000
Aantal dynamische bereiken per resourcegroep of abonnement per regio 250
Aantal dynamische bereiken per schema 30
Totaal aantal abonnementen dat is gekoppeld aan alle dynamische bereiken per planning 30

Zie de servicelimieten voor dynamisch bereik voor meer informatie.

Terugkerende updates plannen op één VM

U kunt updates plannen in het deelvenster Overzicht of Machines op de pagina Updatebeheer of op de geselecteerde VM.

Terugkerende updates plannen op één VM:

  1. Meld u aan bij het Azure-portaal.

  2. Selecteer uw abonnement op de overzichtspagina van Azure Update Manager | en selecteer vervolgens Updates plannen.

  3. Op de pagina Nieuwe onderhoudsconfiguratie maken kunt u een planning maken voor één VIRTUELE machine.

    Op dit moment worden VM's en onderhoudsconfiguratie in hetzelfde abonnement ondersteund.

  4. Selecteer op de pagina Basisbeginselen abonnement, resourcegroep en alle opties in instantiedetails.

    • Selecteer het onderhoudsbereik als gast (Azure VM, vm's/servers met Azure Arc).

    • Selecteer Een planning toevoegen. Geef in het schema Toevoegen/wijzigen de planningsgegevens op, zoals:

      • Beginnen op
      • Onderhoudsvenster (in uren). Het bovenste onderhoudsvenster is 3 uur 55 minuten.
      • Herhaalt (maandelijks, dagelijks of wekelijks)
      • Einddatum toevoegen
      • Planningsoverzicht

    De optie per uur wordt niet ondersteund in de portal, maar kan worden gebruikt via de API.

    Schermopname van de pagina Basisbeginselen van geplande patches.

    Voor Herhalingen maandelijks zijn er twee opties:

    • Herhaal dit op een kalenderdatum (optioneel uitgevoerd op de laatste datum van de maand).
    • Herhaal dit op nde (eerste, tweede, enzovoort) x dag (bijvoorbeeld maandag, dinsdag) van de maand. U kunt ook een offset opgeven van de dagset. Het kan +6/-6 zijn. Als u bijvoorbeeld op de eerste zaterdag na een patch op dinsdag wilt patchen, stelt u het terugkeerpatroon in als de tweede dinsdag van de maand met een offset van +4 dagen. U kunt desgewenst ook een einddatum opgeven wanneer u de planning wilt laten verlopen.

  5. Selecteer uw computer op het tabblad Machines en selecteer vervolgens Volgende.

    Update Manager biedt geen ondersteuning voor stuurprogramma-updates.

  6. Wijs op het tabblad Tags tags toe aan onderhoudsconfiguraties.

  7. Controleer uw update-implementatieopties op het tabblad Controleren en maken en selecteer vervolgens Maken.

  1. Meld u aan bij het Azure-portaal.

  2. Selecteer uw abonnement op de pagina Azure Update Manager-machines | , selecteer uw computer en selecteer vervolgens Updates plannen.

  3. In Nieuwe onderhoudsconfiguratie maken kunt u een planning maken voor één virtuele machine en een machine en tags toewijzen. Volg de procedure uit stap 3 in het deelvenster Overzicht van terugkerende updates plannen op één VIRTUELE machine om een onderhoudsconfiguratie te maken en een planning toe te wijzen.

Er wordt een melding bevestigd dat de implementatie is gemaakt.

Terugkerende updates op schaal plannen

Volg deze stappen om terugkerende updates op schaal te plannen.

U kunt updates plannen in het deelvenster Overzicht of Machines .

  1. Meld u aan bij het Azure-portaal.

  2. Selecteer uw abonnement op de overzichtspagina van Azure Update Manager | en selecteer vervolgens Updates plannen.

  3. Op de pagina Nieuwe onderhoudsconfiguratie maken kunt u een planning maken voor meerdere computers.

    Op dit moment worden VM's en onderhoudsconfiguratie in hetzelfde abonnement ondersteund.

  4. Selecteer op het tabblad Basisbeginselen abonnement, resourcegroep en alle opties in instantiedetails.

    • Selecteer Een planning toevoegen. Geef in het schema Toevoegen/wijzigen de planningsgegevens op, zoals:

      • Beginnen op
      • Onderhoudsvenster (in uren)
      • Herhaalt (maandelijks, dagelijks of wekelijks)
      • Einddatum toevoegen
      • Planningsoverzicht

    De optie per uur wordt niet ondersteund in de portal, maar kan worden gebruikt via de API.

  5. Controleer op het tabblad Machines of de geselecteerde machines worden weergegeven. U kunt machines toevoegen aan of verwijderen uit de lijst. Selecteer Volgende.

  6. Geef op het tabblad Updates de updates op die moeten worden opgenomen in de implementatie, zoals updateclassificaties of KB-id/pakketten die moeten worden geïnstalleerd wanneer u uw planning activeert.

    Update Manager biedt geen ondersteuning voor stuurprogramma-updates.

  7. Wijs op het tabblad Tags tags toe aan onderhoudsconfiguraties.

  8. Controleer uw update-implementatieopties op het tabblad Controleren en maken en selecteer vervolgens Maken.

Er wordt een melding bevestigd dat de implementatie is gemaakt.

Een onderhoudsconfiguratie koppelen

Een onderhoudsconfiguratie kan worden gekoppeld aan meerdere computers. Het kan worden gekoppeld aan machines op het moment van het maken van een nieuwe onderhoudsconfiguratie of zelfs nadat u er een hebt gemaakt.

  1. Selecteer Machines op de pagina Azure Update Manager en selecteer vervolgens uw abonnement.

  2. Selecteer uw computer en selecteer in het deelvenster Updates geplande updates om een onderhoudsconfiguratie te maken of voeg een bestaande onderhoudsconfiguratie toe aan de geplande terugkerende updates.

  3. Selecteer Op het tabblad Planning de optie Onderhoudsconfiguratie bijvoegen.

  4. Selecteer de onderhoudsconfiguratie die u wilt koppelen en selecteer vervolgens Bijvoegen.

  5. Selecteer in het deelvenster Updates de configuratie planningskoppelingsonderhoud>.

  6. Selecteer op de pagina Bestaande onderhoudsconfiguratie koppelen de onderhoudsconfiguratie die u wilt koppelen en selecteer vervolgens Bijvoegen.

    Schermopname van de configuratie voor het koppelen van geplande patches.

Terugkerende updates plannen vanuit de onderhoudsconfiguratie

U kunt vanaf één locatie door al uw onderhoudsconfiguraties bladeren en beheren.

  1. Zoekonderhoudsconfiguraties in Azure Portal. Er wordt een lijst weergegeven met alle onderhoudsconfiguraties, samen met het onderhoudsbereik, de resourcegroep, de locatie en het abonnement waartoe het behoort.

  2. U kunt onderhoudsconfiguraties filteren met behulp van filters bovenaan. Onderhoudsconfiguraties met betrekking tot updates van gastbesturingssystemen zijn de configuraties met een onderhoudsbereik als InGuestPatch.

U kunt een nieuwe configuratie voor het bijwerken van gastbesturingssystemen maken of een bestaande configuratie wijzigen.

Schermopname van de onderhoudsconfiguratie.

Een nieuwe onderhoudsconfiguratie maken

  1. Ga naar Machines en selecteer machines in de lijst.

  2. Selecteer Geplande updates in het deelvenster Updates.

  3. Volg stap 3 in deze procedure in het deelvenster Een onderhoudsconfiguratie maken om een onderhoudsconfiguratie te maken.

  4. Selecteer op het tabblad Basis het onderhoudsbereik als gast (Azure VM, vm's/servers met Arc).

    Schermopname van het maken van een onderhoudsconfiguratie.

Machines toevoegen aan of verwijderen uit de onderhoudsconfiguratie

  1. Ga naar Machines en selecteer de machines in de lijst.

  2. Selecteer eenmalige updates op de pagina Updates.

  3. Selecteer in het deelvenster Eenmalige updates installeren de optie Machine>toevoegen.

    Schermopname van het toevoegen of verwijderen van machines uit de onderhoudsconfiguratie.

Selectiecriteria bijwerken wijzigen

  1. Selecteer in het deelvenster Eenmalige updates installeren de resources en computers om de updates te installeren.

  2. Selecteer op het tabblad Machines machine toevoegen om machines toe te voegen die nog niet eerder waren geselecteerd en selecteer vervolgens Toevoegen.

  3. Geef op het tabblad Updates de updates op die moeten worden opgenomen in de implementatie.

  4. Selecteer RESPECTIEVELIJK KB-id/pakket opnemen en KB-id/pakket uitsluiten om updates te selecteren, zoals essentiële, beveiligings- en functie-updates.

    Schermopname van het wijzigen van de selectiecriteria voor het bijwerken van de onderhoudsconfiguratie.

Onboarden om te plannen met behulp van Azure Policy

Met Update Manager kunt u zich richten op een groep virtuele Azure-machines of niet-Azure-VM's voor update-implementatie via Azure Policy. De groepering met behulp van een beleid zorgt ervoor dat u uw implementatie niet hoeft te bewerken om computers bij te werken. U kunt een abonnement, resourcegroep, tags of regio's gebruiken om het bereik te definiëren. U kunt deze functie gebruiken voor de ingebouwde beleidsregels, die u kunt aanpassen op basis van uw use-case.

Notitie

Dit beleid zorgt er ook voor dat de eigenschap patchindeling voor Azure-machines is ingesteld op Door de klant beheerde planningen, omdat dit een vereiste is voor geplande patches .

Een beleid toewijzen

Met Azure Policy kunt u standaarden toewijzen en naleving op schaal beoordelen. Zie Overzicht van Azure Policy voor meer informatie. Ga als volgende te werk om een beleid toe te wijzen aan het bereik:

  1. Meld u aan bij Azure Portal en selecteer Beleid.

  2. Selecteer onder Toewijzingen beleid toewijzen.

  3. Ga op de pagina Beleid toewijzen naar het tabblad Basisbeginselen :

    • Kies voor Bereik uw abonnement en resourcegroep en kies Selecteren.

    • Selecteer Beleidsdefinitie om een lijst met beleidsregels weer te geven.

    • Selecteer Ingebouwd voor type in het deelvenster Beschikbare definities. Voer in Search terugkerende updates plannen in met Behulp van Azure Update Manager en klik op Selecteren.

      Schermopname die laat zien hoe u de definitie selecteert.

    • Zorg ervoor dat het afdwingen van beleid is ingesteld op Ingeschakeld en selecteer vervolgens Volgende.

  4. Op het tabblad Parameters is standaard alleen de ARM-id van de onderhoudsconfiguratie zichtbaar.

    Als u geen andere parameters opgeeft, vallen alle machines in het abonnement en de resourcegroep die u hebt geselecteerd op het tabblad Basisbeginselen onder het bereik. Als u het bereik verder wilt instellen op basis van resourcegroep, locatie, besturingssysteem, tags, enzovoort, schakelt u alleen parameters weer die invoer nodig hebben of controleren om alle parameters weer te geven:

    • ARM-id voor onderhoudsconfiguratie: een verplichte parameter die moet worden opgegeven. Het geeft de ARM-id (Azure Resource Manager) aan van de planning die u wilt toewijzen aan de machines.
    • Resourcegroepen: u kunt desgewenst een resourcegroep opgeven als u deze wilt instellen op een resourcegroep. Standaard zijn alle resourcegroepen binnen het abonnement geselecteerd.
    • Typen besturingssystemen: u kunt Windows of Linux selecteren. Beide zijn standaard vooraf geselecteerd.
    • Computerlocaties: u kunt desgewenst de regio's opgeven die u wilt selecteren. Standaard zijn alle geselecteerd.
    • Tags op computers: u kunt tags gebruiken om verder omlaag te gaan. Standaard zijn alle geselecteerd.
    • Tagsoperator: Als u meerdere tags selecteert, kunt u opgeven of u wilt dat het bereik computers is met alle tags of computers met een van deze tags.

    Schermopname van het toewijzen van een beleid.

  5. Selecteer op het tabblad Herstel in Managed Identity>Type beheerde identiteit de door het systeem toegewezen beheerde identiteit. Machtigingen zijn al ingesteld als Inzender volgens de beleidsdefinitie.

    Als u Herstel selecteert, is het beleid van kracht op alle bestaande machines in het bereik of anders wordt het toegewezen aan een nieuwe computer die aan het bereik wordt toegevoegd.

  6. Controleer uw selecties op het tabblad Controleren en maken en selecteer Vervolgens Maken om de niet-compatibele resources te identificeren om inzicht te krijgen in de nalevingsstatus van uw omgeving.

Naleving weergeven

De huidige nalevingsstatus van uw bestaande resources weergeven:

  1. Selecteer In Beleidstoewijzingen het bereik om uw abonnement en resourcegroep te selecteren.

  2. Selecteer het beleid in Definitietype. Selecteer de naam van de opdracht in de lijst.

  3. Selecteer Naleving weergeven. Resourcecompatibiliteit bevat de computers en redenen voor fouten.

    Schermopname van beleidsnaleving.

Controleer de geplande patchuitvoering

U kunt de implementatiestatus en de geschiedenis van de onderhoudsconfiguraties controleren vanuit de Update Manager-portal. Zie De update-implementatiegeschiedenis op basis van de onderhoudsuitvoerings-id voor meer informatie.

Tijdlijn van onderhoudsvenster

Het onderhoudsvenster bepaalt het aantal updates dat kan worden geïnstalleerd op uw virtuele machine en servers met Arc. U wordt aangeraden de volgende tabel te doorlopen om inzicht te hebben in de tijdlijn voor een onderhoudsvenster tijdens het installeren van een update:

Als een onderhoudsvenster bijvoorbeeld 3 uur is en begint om 18:00 uur, ziet u de details over de installatie van de updates:

Update Type DETAILS
ServicePack Als u een Service Pack installeert, hebt u nog 20 minuten in het onderhoudsvenster nodig om de updates te kunnen installeren, anders wordt de update overgeslagen.
In dit voorbeeld moet u de installatie van het servicepack voltooien om 17:40 uur.
Andere updates Als u een andere update naast Service Pack installeert, moet u nog 15 minuten overblijven in het onderhoudsvenster, anders wordt deze overgeslagen.
In dit voorbeeld moet u de installatie van de andere updates voltooien om 17:45 uur.
Opnieuw opstarten Als de machine(s) opnieuw moeten worden opgestart, moet u tien minuten overblijven in het onderhoudsvenster, anders wordt het opnieuw opstarten overgeslagen.
In dit voorbeeld moet u de herstart starten om 17:50 uur.
Opmerking: Voor virtuele Azure-machines en servers met Arc wacht Azure Update Manager maximaal 15 minuten voor azure-VM's en 25 minuten voordat Arc-servers opnieuw zijn opgestart om de herstartbewerking te voltooien voordat deze als mislukt wordt gemarkeerd.

Notitie

  • Azure Update Manager stopt niet met het installeren van de nieuwe updates als het einde van het onderhoudsvenster nadert.
  • Azure Update Manger beëindigt updates die worden uitgevoerd niet als het onderhoudsvenster wordt overschreden en alleen de resterende updates die moeten worden geïnstalleerd, worden niet geprobeerd. U wordt aangeraden de duur van het onderhoudsvenster opnieuw te evalueren om ervoor te zorgen dat alle updates zijn geïnstalleerd.
  • Als het onderhoudsvenster op Windows wordt overschreden, komt dat vaak doordat het installeren van een servicepack-update lang duurt.

Volgende stappen