Zarządzanie aktualizacjami i poprawkami dla maszyn wirtualnych

Uwaga

W tym artykule odwołuje się do systemu CentOS — dystrybucji systemu Linux, która zbliża się do stanu zakończenia życia (EOL). Rozważ odpowiednie użycie i planowanie. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące zakończenia życia systemu CentOS.

Aktualizacje oprogramowania w usłudze Azure Automation Update Management udostępniają zestaw narzędzi i zasobów, które mogą ułatwić zarządzanie złożonym zadaniem śledzenia i stosowania aktualizacji oprogramowania na maszynach na platformie Azure i w chmurze hybrydowej. Skuteczny proces zarządzania aktualizacjami oprogramowania jest niezbędny do utrzymania wydajności operacyjnej, przezwyciężenia problemów z zabezpieczeniami i zmniejszenia ryzyka zwiększonego zagrożenia bezpieczeństwa cybernetycznego. Jednakże z powodu zmienności technologii i stałego pojawiania się nowych zagrożeń bezpieczeństwa efektywne zarządzanie aktualizacjami oprogramowania wymaga stałej uwagi.

Uwaga

Rozwiązanie Update Management obsługuje wdrażanie aktualizacji innych firm i ich wstępne pobieranie. Ta obsługa wymaga zmian w aktualizowanych systemach. Zobacz Konfigurowanie ustawień usługi Windows Update dla usługi Azure Automation Update Management , aby dowiedzieć się, jak skonfigurować te ustawienia w systemach.

Przed podjęciem próby zarządzania aktualizacjami maszyn wirtualnych upewnij się, że włączono na nich rozwiązanie Update Management przy użyciu jednej z następujących metod:

• Włączanie rozwiązania Update Management z poziomu konta usługi Automation
• Włączanie rozwiązania Update Management przez przeglądanie witryny Azure Portal
• Włączanie rozwiązania Update Management z poziomu elementu Runbook
• Włączanie rozwiązania Update Management z poziomu maszyny wirtualnej platformy Azure

Ogranicz zakres wdrożenia

Rozwiązanie Update Management używa konfiguracji zakresu w obszarze roboczym w celu kierowania komputerów do odbierania aktualizacji. Aby uzyskać więcej informacji, zobacz Ograniczanie zakresu wdrożenia rozwiązania Update Management.

Ocena zgodności

Przed wdrożeniem aktualizacji oprogramowania na maszynach przejrzyj wyniki oceny zgodności aktualizacji dla maszyn z włączoną obsługą. W przypadku każdej aktualizacji oprogramowania stan zgodności jest rejestrowany, a następnie po zakończeniu oceny jest on zbierany i przekazywany zbiorczo do dzienników usługi Azure Monitor.

Na komputerze z systemem Windows skanowanie zgodności jest domyślnie uruchamiane co 12 godzin i jest inicjowane w ciągu 15 minut od ponownego uruchomienia agenta usługi Log Analytics dla systemu Windows. Dane oceny są następnie przekazywane do obszaru roboczego i odświeża tabelę Aktualizacje. Przed instalacją aktualizacji jest przeprowadzane skanowanie zgodności aktualizacji w celu zidentyfikowania brakujących aktualizacji, ale wyniki nie są używane do aktualizowania danych oceny w tabeli.

Ważne jest, aby przejrzeć nasze zalecenia dotyczące sposobu konfigurowania klienta usługi Windows Update z rozwiązaniem Update Management, aby uniknąć wszelkich problemów, które uniemożliwiają prawidłowe zarządzanie nim.

W przypadku maszyny z systemem Linux skanowanie pod kątem zgodności jest domyślnie wykonywane co godzinę. Jeśli agent usługi Log Analytics dla systemu Linux zostanie uruchomiony ponownie, skanowanie zgodności zostanie zainicjowane w ciągu 15 minut.

Wyniki zgodności są prezentowane w rozwiązaniu Update Management dla każdej ocenianej maszyny. Wyświetlenie zaktualizowanych danych z nowej maszyny włączonej do zarządzania może potrwać do 30 minut.

Przejrzyj monitorowanie aktualizacji oprogramowania, aby dowiedzieć się, jak wyświetlać wyniki zgodności.

Wdrażanie aktualizacji

Po przejrzeniu wyników zgodności faza wdrażania aktualizacji oprogramowania to proces wdrażania aktualizacji oprogramowania. Aby zainstalować aktualizacje, zaplanuj wdrożenie zgodne z harmonogramem wydania i oknem usługi. Możesz wybrać typy aktualizacji, które mają zostać uwzględnione we wdrożeniu. Możesz na przykład uwzględnić aktualizacje krytyczne lub aktualizacje zabezpieczeń i wykluczyć pakiety zbiorcze aktualizacji.

Zapoznaj się z artykułem Wdrażanie aktualizacji oprogramowania, aby dowiedzieć się, jak zaplanować wdrożenie aktualizacji.

Wykluczanie aktualizacji

W niektórych wariantach systemu Linux, takich jak Red Hat Enterprise Linux, uaktualnienia na poziomie systemu operacyjnego mogą wystąpić za pośrednictwem pakietów. Może to prowadzić do uruchomienia rozwiązania Update Management, w którym zmienia się numer wersji systemu operacyjnego. Ponieważ rozwiązanie Update Management używa tych samych metod do aktualizowania pakietów używanych lokalnie przez administratora na maszynie z systemem Linux, to zachowanie jest zamierzone.

Aby uniknąć aktualizowania wersji systemu operacyjnego za pomocą wdrożeń rozwiązania Update Management, użyj funkcji Wykluczanie .

W systemie Red Hat Enterprise Linux nazwa pakietu do wykluczenia to redhat-release-server.x86_64.

Klasyfikacje aktualizacji systemu Linux

Podczas wdrażania aktualizacji na maszynie z systemem Linux można wybrać klasyfikacje aktualizacji. Ta opcja filtruje aktualizacje spełniające określone kryteria. Ten filtr jest stosowany lokalnie na maszynie po wdrożeniu aktualizacji.

Ponieważ rozwiązanie Update Management wykonuje wzbogacanie aktualizacji w chmurze, możesz oznaczyć niektóre aktualizacje w rozwiązaniu Update Management jako mające wpływ na zabezpieczenia, mimo że komputer lokalny nie ma tych informacji. W przypadku stosowania aktualizacji krytycznych na maszynie z systemem Linux mogą istnieć aktualizacje, które nie są oznaczone jako mające wpływ na zabezpieczenia tej maszyny i dlatego nie są stosowane. Jednak rozwiązanie Update Management może nadal zgłaszać tę maszynę jako niezgodną, ponieważ zawiera dodatkowe informacje o odpowiedniej aktualizacji.

Wdrażanie aktualizacji według klasyfikacji aktualizacji nie działa w wersjach RTM systemu CentOS. Aby prawidłowo wdrożyć aktualizacje dla systemu CentOS, wybierz wszystkie klasyfikacje, aby upewnić się, że aktualizacje są stosowane. W przypadku systemu SUSE wybranie opcji TYLKO inne aktualizacje, ponieważ klasyfikacja może zainstalować inne aktualizacje zabezpieczeń, jeśli są one powiązane z narzędziem zypper (menedżer pakietów) lub jego zależności są wymagane jako pierwsze. To zachowanie jest ograniczeniem narzędzia zypper. W niektórych przypadkach może być wymagane ponowne uruchomienie wdrożenia aktualizacji, a następnie zweryfikowanie wdrożenia za pomocą dziennika aktualizacji.

Przegląd wdrożeń aktualizacji

Po zakończeniu wdrażania przejrzyj proces, aby określić powodzenie wdrożenia aktualizacji według maszyny lub grupy docelowej. Zobacz przeglądanie stanu wdrożenia, aby dowiedzieć się, jak monitorować stan wdrożenia.

Następne kroki

• Aby dowiedzieć się, jak tworzyć alerty w celu powiadamiania o wynikach wdrożenia aktualizacji, zobacz Tworzenie alertów dla rozwiązania Update Management.

• Możesz wykonywać zapytania dotyczące dzienników usługi Azure Monitor w celu analizowania ocen aktualizacji, wdrożeń i innych powiązanych zadań zarządzania. Obejmuje ona wstępnie zdefiniowane zapytania ułatwiające rozpoczęcie pracy.