Planningpatching configureren op Virtuele Azure-machines voor bedrijfscontinuïteit

Van toepassing op: ✔️ Virtuele Windows-machines ✔️ voor Virtuele Linux-machines ✔️ in Azure.

Dit artikel is een overzicht van het configureren van patches en het automatisch patchen van virtuele gastmachines op Azure-VM's met behulp van het nieuwe vereiste om bedrijfscontinuïteit te garanderen. De stappen voor het configureren van beide patchopties op Azure Arc-VM's blijven hetzelfde.

Op dit moment kunt u automatische patching voor gast-VM's (autopatch) inschakelen door de patchmodus in te stellen op Azure in Azure Portal of AutomaticByPlatform in de REST API, waarbij patches automatisch worden toegepast tijdens daluren.

Voor het aanpassen van de controle over de installatie van patches kunt u patching plannen om uw onderhoudsvenster te definiëren. U kunt het plannen van patches inschakelen door de patchmodus in te stellen op Azure-indeling in Azure Portal of AutomaticByPlatform in de REST API en een planning te koppelen aan de Virtuele Azure-machine. De VM-eigenschappen konden dus niet worden onderscheiden tussen planningspatches of automatische patching voor gast-VM's, omdat beide de patchmodus op Azure hadden ingesteld.

In sommige gevallen is het mogelijk dat de VM automatisch wordt gepatcht en opnieuw wordt opgestart wanneer u de planning van een VIRTUELE machine verwijdert. Om de beperkingen te verhelpen, hebben we een nieuwe vereiste geïntroduceerd, ByPassPlatformSafetyChecksOnUserScheduledie nu kan worden ingesteld om een virtuele machine te true identificeren met behulp van planningpatching. Dit betekent dat VM's waarop deze eigenschap is ingesteld true , niet meer automatisch worden gepatcht wanneer de VM's geen bijbehorende onderhoudsconfiguratie hebben.

Belangrijk

Voor een continue geplande patchervaring moet u ervoor zorgen dat de nieuwe VM-eigenschap, BypassPlatformSafetyChecksOnUserScheduleis ingeschakeld op al uw Azure-VM's (bestaande of nieuwe) waaraan planningen zijn gekoppeld op 30 juni 2023. Deze instelling zorgt ervoor dat machines worden gepatcht met behulp van uw geconfigureerde planningen en niet automatisch gepatcht. Als u het inschakelen tegen 30 juni 2023 niet kunt inschakelen, krijgt u een foutmelding dat niet aan de vereisten wordt voldaan.

Patching plannen in een beschikbaarheidsset

Alle VM's in een algemene beschikbaarheidsset worden niet gelijktijdig bijgewerkt.

VM's in een algemene beschikbaarheidsset worden bijgewerkt binnen de grenzen van het updatedomein. VM's in meerdere updatedomeinen worden niet gelijktijdig bijgewerkt.

In scenario's waarin machines uit dezelfde beschikbaarheidsset tegelijkertijd in verschillende planningen worden gepatcht, is het waarschijnlijk dat ze niet worden gepatcht of mogelijk mislukken als het onderhoudsvenster wordt overschreden. Om dit te voorkomen, raden we u aan het onderhoudsvenster te verhogen of de machines die behoren tot dezelfde beschikbaarheidsset te splitsen in meerdere planningen op verschillende tijdstippen.

VM's zoeken met gekoppelde planningen

Ga als volgt te werk om de lijst met VM's te identificeren met de bijbehorende planningen waarvoor u een nieuwe VM-eigenschap moet inschakelen:

1. Ga naar de startpagina van Azure Update Manager en selecteer het tabblad Machines .

2. Selecteer in het filter Patchindeling de optie Azure Managed - Safe Deployment.

3. Gebruik de optie Alles selecteren om de machines te selecteren en selecteer vervolgens Exporteren naar CSV.

4. Open het CSV-bestand en selecteer in de kolom Gekoppelde planningen de rijen met een vermelding.

   In de bijbehorende kolom Naam kunt u de lijst met VM's weergeven waarnaar u de ByPassPlatformSafetyChecksOnUserSchedule vlag moet inschakelen.

Patching plannen inschakelen op Azure-VM's

Volg deze stappen om patches voor azure-VM's in te schakelen.

Azure-portal

Vereisten

Patchindeling = Door klant beheerde planningen

Selecteer de optie patchindeling als door de klant beheerde planningen. Met de nieuwe optie voor patchindeling worden de volgende VM-eigenschappen namens u ingeschakeld nadat u uw toestemming hebt ontvangen:

• Patchmodus = Azure-orchestrated
• BypassPlatformSafetyChecksOnUserSchedule = WAAR

Inschakelen voor nieuwe VM's

U kunt de optie voor patchindeling selecteren voor nieuwe VM's die aan de planningen zouden worden gekoppeld.

De patchmodus bijwerken:

1. Meld u aan bij het Azure-portaal.
2. Ga naar Virtuele machine en selecteer Maken om de pagina Een virtuele machine maken te openen.
3. Vul op het tabblad Basisinformatie alle verplichte velden in.
4. Selecteer op het tabblad Beheer, onder Updates van gastbesturingssysteem, voor opties voor patchindeling de optie Azure-indeling.
5. Vul de vermeldingen in op de tabbladen Bewaking, Geavanceerd en Tags .
6. Selecteer Controleren + maken. Selecteer Maken om een nieuwe VIRTUELE machine te maken met de juiste patchindelingsoptie.

Volg de procedure uit stap 2 in de volgende sectie, 'Inschakelen voor bestaande VM's' als u een patch voor de zojuist gemaakte VM's wilt plannen.

Inschakelen voor bestaande VM's

U kunt de patchindelingsoptie bijwerken voor bestaande VM's waaraan al planningen zijn gekoppeld of die nieuw zijn gekoppeld aan een planning.

Als patchindeling is ingesteld als Azure-indeling of Azure Managed - Safe Deployment (AutomaticByPlatform)BypassPlatformSafetyChecksOnUserSchedule is ingesteld falseop en er geen planning is gekoppeld, worden de VM's automatisch gepatcht.

De patchmodus bijwerken:

1. Meld u aan bij het Azure-portaal.
2. Ga naar Azure Update Manager en selecteer Update-instellingen.
3. Selecteer Machine toevoegen in Update-instellingen wijzigen.
4. Selecteer in Resources selecteren uw VM's en selecteer vervolgens Toevoegen.
5. Selecteer in het deelvenster Update-instellingen wijzigen onder Patchindeling de optie Door klant beheerde planningen en selecteer vervolgens Opslaan.

Voeg een planning toe nadat u de voorgaande stappen hebt voltooid.

Als u wilt controleren of BypassPlatformSafetyChecksOnUserSchedule deze optie is ingeschakeld, gaat u naar de startpagina van de virtuele machine en selecteert u De JSON-weergave Overzicht>.

REST API

Vereisten

• Patchmodus = AutomaticByPlatform
• BypassPlatformSafetyChecksOnUserSchedule = WAAR

Inschakelen op Windows-VM's

PATCH on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2023-03-01` 

{ 
  "location":"<location>", 
  "properties": { 
    "osProfile": { 
      "windowsConfiguration": { 
        "provisionVMAgent": true, 
        "enableAutomaticUpdates": true, 
        "patchSettings": { 
          "patchMode": "AutomaticByPlatform", 
          "automaticByPlatformSettings":{ 
            "bypassPlatformSafetyChecksOnUserSchedule":true 
          } 
        } 
      } 
    } 
  } 
} 

Inschakelen op Linux-VM's

PATCH on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2023-03-01` 

{ 

  "location":"<location>", 
  "properties": { 
    "osProfile": { 
      "linuxConfiguration": { 
        "provisionVMAgent": true, 
         "patchSettings": { 
           "patchMode": "AutomaticByPlatform", 
           "automaticByPlatformSettings":{ 
             "bypassPlatformSafetyChecksOnUserSchedule":true 
            } 
         } 
      } 
    } 
  } 
} 

PowerShell

Vereisten

• Patchmodus = AutomaticByPlatform
• BypassPlatformSafetyChecksOnUserSchedule = WAAR

Inschakelen op Windows-VM's

$VirtualMachine = Get-AzVM -ResourceGroupName "<resourceGroup>" -Name "<vmName>"
Set-AzVMOperatingSystem -VM $VirtualMachine -Windows -PatchMode "AutomaticByPlatform"
$AutomaticByPlatformSettings = $VirtualMachine.OSProfile.WindowsConfiguration.PatchSettings.AutomaticByPlatformSettings
 
if ($null -eq $AutomaticByPlatformSettings) {
   $VirtualMachine.OSProfile.WindowsConfiguration.PatchSettings.AutomaticByPlatformSettings = New-Object -TypeName Microsoft.Azure.Management.Compute.Models.WindowsVMGuestPatchAutomaticByPlatformSettings -Property @{BypassPlatformSafetyChecksOnUserSchedule = $true}
} else {
   $AutomaticByPlatformSettings.BypassPlatformSafetyChecksOnUserSchedule = $true
}
 
Update-AzVM -VM $VirtualMachine -ResourceGroupName "<resourceGroup>"

Inschakelen op Linux-VM's

$VirtualMachine = Get-AzVM -ResourceGroupName "<resourceGroup>" -Name "<vmName>"
Set-AzVMOperatingSystem -VM $VirtualMachine -Linux -PatchMode "AutomaticByPlatform"
$AutomaticByPlatformSettings = $VirtualMachine.OSProfile.LinuxConfiguration.PatchSettings.AutomaticByPlatformSettings
 
if ($null -eq $AutomaticByPlatformSettings) {
   $VirtualMachine.OSProfile.LinuxConfiguration.PatchSettings.AutomaticByPlatformSettings = New-Object -TypeName Microsoft.Azure.Management.Compute.Models.LinuxVMGuestPatchAutomaticByPlatformSettings -Property @{BypassPlatformSafetyChecksOnUserSchedule = $true}
} else {
   $AutomaticByPlatformSettings.BypassPlatformSafetyChecksOnUserSchedule = $true
}
 
Update-AzVM -VM $VirtualMachine -ResourceGroupName "<resourceGroup>"

Notitie

U kunt nu de nieuwe vereiste voor het plannen van patches inschakelen via Azure Portal, REST API, PowerShell en Azure CLI.

Automatische patching van gast-VM's inschakelen op Virtuele Azure-machines

Volg deze stappen om automatische patches voor gast-VM's in te schakelen op uw Virtuele Azure-machines.

Azure-portal

Vereiste

Patchmodus = Azure-orchestrated

Inschakelen voor nieuwe VM's

U kunt de optie voor patchindeling selecteren voor nieuwe VM's die aan de planningen zouden worden gekoppeld.

De patchmodus bijwerken:

1. Meld u aan bij het Azure-portaal.
2. Ga naar Virtuele machine en selecteer Maken om de pagina Een virtuele machine maken te openen.
3. Vul op het tabblad Basisinformatie alle verplichte velden in.
4. Selecteer op het tabblad Beheer, onder Updates van gastbesturingssysteem, voor opties voor patchindeling de optie Azure-indeling.
5. Vul de vermeldingen in op de tabbladen Bewaking, Geavanceerd en Tags .
6. Selecteer Controleren + maken. Selecteer Maken om een nieuwe VIRTUELE machine te maken met de juiste patchindelingsoptie.

Inschakelen voor bestaande VM's

De patchmodus bijwerken:

1. Meld u aan bij het Azure-portaal.
2. Ga naar Updatebeheer en selecteer Update-instellingen.
3. Selecteer Machine toevoegen in het deelvenster Update-instellingen wijzigen.
4. Selecteer uw VM's in het deelvenster Resources selecteren en selecteer vervolgens Toevoegen.
5. Selecteer in het deelvenster Update-instellingen wijzigen onder Patchindeling de optie Azure Managed - Safe Deployment en selecteer Vervolgens Opslaan.

REST API

Vereisten

• Patchmodus = AutomaticByPlatform
• BypassPlatformSafetyChecksOnUserSchedule = ONWAAR

Inschakelen op Windows-VM's

PATCH on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2023-03-01` 

{ 

  "location":"<location>", 
  "properties": { 
    "osProfile": { 
      "windowsConfiguration": { 
        "provisionVMAgent": true, 
        "enableAutomaticUpdates": true, 
        "patchSettings": { 
          "patchMode": "AutomaticByPlatform", 
          "automaticByPlatformSettings":{ 
            "bypassPlatformSafetyChecksOnUserSchedule":false 
          } 
        } 
      } 
    } 
  } 
} 

Inschakelen op Linux-VM's

PATCH on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2023-03-01` 

{ 
  "location":"<location>", 
  "properties": { 
    "osProfile": { 
      "linuxConfiguration": { 
        "provisionVMAgent": true,  
        "patchSettings": { 
          "patchMode": "AutomaticByPlatform", 
          "automaticByPlatformSettings":{ 
            "bypassPlatformSafetyChecksOnUserSchedule":false 
          } 
        } 
      } 
    } 
  } 
} 

Gebruikersscenario's

Scenario's	Beheerd door Azure	BypassPlatformSafetyChecksOnUserSchedule	Gekoppelde planning	Verwacht gedrag in Azure
Scenario 1	Ja	Waar	Ja	De planningspatch wordt uitgevoerd zoals gedefinieerd door de gebruiker.
Scenario 2	Ja	Waar	Nee	Autopatch en planningpatch worden niet uitgevoerd.
Scenario 3	Ja	Onwaar	Ja	Autopatch en planningpatch worden niet uitgevoerd. Er wordt een foutbericht weergegeven dat niet aan de vereisten voor de planningspatch wordt voldaan.
Scenario 4	Ja	Onwaar	Nee	De VIRTUELE machine is automatisch gepatcht.
Scenario 5	Nee	Waar	Ja	Autopatch en planningpatch worden niet uitgevoerd. Er wordt een foutbericht weergegeven dat niet aan de vereisten voor de planningspatch wordt voldaan.
Scenario 6	Nee	Waar	Nee	Autopatch en planningpatch worden niet uitgevoerd.
Scenario 7	Nee	Onwaar	Ja	Autopatch en planningpatch worden niet uitgevoerd. Er wordt een foutbericht weergegeven dat niet aan de vereisten voor de planningspatch wordt voldaan.
Scenario 8	Nee	Onwaar	Nee	Autopatch en planningpatch worden niet uitgevoerd.

Volgende stappen

• Meer informatie over dynamisch bereik, een geavanceerde mogelijkheid om patches te plannen.
• Volg de instructies voor het beheren van verschillende bewerkingen van dynamisch bereik
• Meer informatie over het automatisch installeren van de updates volgens het gemaakte schema voor zowel één VIRTUELE machine als op schaal.
• Meer informatie over voor- en postgebeurtenissen voor en na het automatisch uitvoeren van taken vóór en na een geplande onderhoudsconfiguratie.