Edytuj

zarządzanie aktualizacjami Azure Automation

Azure Automation
Azure Log Analytics
Azure Monitor
Azure Resource Manager
Azure Virtual Machines

Ta architektura referencyjna ilustruje sposób projektowania hybrydowego rozwiązania do zarządzania aktualizacjami w celu zarządzania aktualizacjami zarówno na platformie Microsoft Azure, jak i na lokalnych komputerach z systemami Windows i Linux.

Architektura

Usługa Azure Update Management jest składnikiem konfiguracji Azure Automation. Komputery z systemami Windows i Linux, zarówno na platformie Azure, jak i lokalnie, wysyłają informacje o braku aktualizacji do obszaru roboczego usługi Log Analytics. Azure Automation następnie używa tych informacji do utworzenia harmonogramu automatycznego wdrażania brakujących aktualizacji.

Pobierz plik programu Visio z tą architekturą.

Przepływ pracy

Architektura składa się z następujących usług:

  • Obszar roboczy usługi Log Analytics:Obszar roboczy usługi Log Analytics to repozytorium danych dziennika, które jest zbierane z zasobów uruchamianych na platformie Azure, lokalnie lub u innego dostawcy usług w chmurze.
  • Rozwiązanie hybrydowego procesu roboczego automatyzacji: Tworzenie hybrydowych procesów roboczych elementów Runbook w celu uruchamiania Azure Automation elementów Runbook na komputerach platformy Azure i innych niż Azure.
  • Konto usługi Automation: Jest to usługa w chmurze, która automatyzuje konfigurację i zarządzanie w środowiskach platformy Azure i innych niż azure.
  • Hybrydowy proces roboczy elementu Runbook: Jest to komputer skonfigurowany z funkcją hybrydowego procesu roboczego elementu Runbook i może uruchamiać elementy Runbook bezpośrednio na komputerze i względem zasobów w środowisku lokalnym.
  • Hybrydowa grupa procesów roboczych elementu Runbook: Jest to grupa hybrydowych procesów roboczych elementów Runbook używanych do wysokiej dostępności.
  • Runbook: Jest to kolekcja co najmniej jednego połączonego działania, które razem automatyzują proces lub operację.
  • Komputery lokalne i maszyny wirtualne: Są to komputery lokalne i maszyny wirtualne z systemami operacyjnymi Windows lub Linux, które znajdują się lokalnie.
  • Maszyny wirtualne platformy Azure: Maszyny wirtualne platformy Azure obejmują maszyny wirtualne z systemem Windows lub Linux, które są hostowane na platformie Azure.

Składniki

Szczegóły scenariusza

Przykładowe typowe zastosowania tej architektury:

  • Zarządzanie aktualizacjami w środowisku lokalnym i na platformie Azure przy użyciu składnika Update Management konta usługi Automation.
  • Używanie zaplanowanych wdrożeń do organizowania instalacji aktualizacji w zdefiniowanym oknie obsługi.

Zalecenia

Poniższe zalecenia dotyczą większości scenariuszy. Postępuj zgodnie z nimi, chyba że masz określone wymaganie, które je zastępuje.

Zarządzanie aktualizacjami

Update Management to składnik konfiguracji usługi Automation. Komputery z systemami Windows i Linux, zarówno na platformie Azure, jak i lokalnie, wysyłają informacje o braku aktualizacji do obszaru roboczego usługi Log Analytics. Azure Automation następnie używa tych informacji do utworzenia harmonogramu automatycznego wdrażania brakujących aktualizacji.

Poniższe kroki podkreślają rzeczywistą implementację:

  1. Utworzenie obszaru roboczego usługi Log Analytics.
  2. Tworzenie konta usługi Automation.
  3. Połącz konto usługi Automation z obszarem roboczym usługi Log Analytics.
  4. Włącz rozwiązanie Update Management dla maszyn wirtualnych platformy Azure.
  5. Włącz rozwiązanie Update Management dla maszyn wirtualnych spoza platformy Azure.

Tworzenie obszaru roboczego usługi Log Analytics

Przed utworzeniem obszaru roboczego usługi Log Analytics upewnij się, że masz co najmniej uprawnienia roli Współautor usługi Log Analytics.

Możesz mieć więcej niż jeden obszar roboczy usługi Log Analytics na potrzeby izolacji danych lub lokalizacji geograficznej magazynu danych, ale agent usługi Log Analytics można skonfigurować do raportowania do jednego obszaru roboczego usługi Log Analytics. Aby uzyskać więcej informacji, zapoznaj się z artykułem Projektowanie wdrożenia dzienników usługi Azure Monitor przed utworzeniem obszaru roboczego.

Aby utworzyć obszar roboczy usługi Log Analytics, wykonaj następującą procedurę:

  1. Zaloguj się do witryny Azure Portal pod adresem https://portal.azure.com.
  2. W Azure Portal wybierz pozycję Utwórz zasób.
  3. W polu Wyszukaj w witrynie Marketplace wprowadź ciąg Log Analytics. Po rozpoczęciu wprowadzania tego tekstu lista filtruje na podstawie danych wejściowych. Wybierz pozycję Obszary robocze usługi Log Analytics.
  4. Wybierz pozycję Utwórz, a następnie skonfiguruj następujące elementy:
    1. Wybierz inną subskrypcję z listy rozwijanej, jeśli wybór domyślny nie jest odpowiedni.
    2. W przypadku grupy zasobów wybierz użycie istniejącej grupy zasobów, która jest już skonfigurowana lub utwórz nową.
    3. Podaj unikatową nazwę nowego obszaru roboczego usługi Log Analytics, na przykład HybridWorkspace-yourname
    4. Wybierz lokalizację wdrożenia.
    5. Wybierz warstwę cenową , aby przejść do dalszych dostosowań.
    6. Jeśli tworzysz obszar roboczy w subskrypcji utworzonej po 2 kwietnia 2018 r., automatycznie użyjesz planu cenowego Za GB , a opcja wybrania warstwy cenowej nie będzie dostępna. Jeśli tworzysz obszar roboczy dla istniejącej subskrypcji utworzonej przed tą datą lub dla subskrypcji powiązanej z istniejącą rejestracją Enterprise Agreement, wybierz preferowaną warstwę cenową. Aby uzyskać więcej informacji na temat określonych warstw, zobacz Szczegóły cennika usługi Log Analytics.
    7. Wybierz pozycję Tagi i opcjonalnie podaj nazwę i wartość kategoryzacji zasobów.
    8. Wybierz pozycję Przejrzyj i utwórz.
  5. Po podaniu wymaganych informacji w okienku obszaru roboczego usługi Log Analytics wybierz pozycję Utwórz.

Tworzenie konta usługi Automation

Po dodaniu rozwiązania Hybrydowego procesu roboczego usługi Automation do obszaru roboczego usługi Log Analytics przejdź do tworzenia konta usługi Automation. Zobacz Obsługiwane regiony połączonego obszaru roboczego usługi Log Analytics , aby wybrać regiony dla konta usługi Automation i obszaru roboczego usługi Log Analytics. Ważne jest, aby utworzyć konto usługi Automation na podstawie dokumentu mapowania regionów i najlepiej w tej samej grupie zasobów co obszar roboczy usługi Log Analytics.

Aby utworzyć konto usługi Automation, wykonaj następującą procedurę:

  1. W Azure Portal wybierz pozycję Utwórz zasób.
  2. W polu Wyszukaj w witrynie Marketplace wprowadź wartość Automation. Po rozpoczęciu wprowadzania tego tekstu lista filtruje na podstawie danych wejściowych. Wybierz pozycję Automatyzacja, a następnie wybierz pozycję Utwórz.
  3. Wybierz pozycję Utwórz, a następnie skonfiguruj następujące elementy:
    1. Podaj nazwę konta usługi Automation, taką jak auto hybrydowe.
    2. Wybierz inną subskrypcję z listy rozwijanej, jeśli wybór domyślny nie jest odpowiedni.
    3. W obszarze Grupa zasobów wybierz tę samą grupę zasobów, w której chcesz utworzyć konto usługi Automation.
    4. Wybierz pozycję Lokalizacja na podstawie dokumentu mapowania regionów.
    5. Tworzenie konta Uruchom jako platformy Azure jest opcjonalne, ponieważ zapewnia to tylko uwierzytelnianie na platformie Azure w celu zarządzania zasobami platformy Azure z poziomu elementów Runbook usługi Automation.
  4. Po podaniu wymaganych informacji w okienku Dodawanie konta usługi Automation wybierz pozycję Utwórz.

Konta usługi Automation używają hybrydowych składników procesu roboczego elementu Runbook, które są wdrażane w obszarze roboczym usługi Log Analytics. Te usługi należy zintegrować przed wdrożeniem agenta usługi Log Analytics na komputerze lokalnym. Obecnie mapowania między obszarami roboczymi usługi Log Analytics i kontami usługi Automation są obsługiwane w kilku regionach. Aby uzyskać więcej informacji, zobacz Obsługiwane regiony połączonego obszaru roboczego usługi Log Analytics.

Aby połączyć konto usługi Automation z obszarem roboczym usługi Log Analytics, wykonaj następującą procedurę:

  1. W Azure Portal wybierz pozycję Wszystkie usługi, a następnie wprowadź automatyzację. Po rozpoczęciu wprowadzania tego tekstu lista filtruje na podstawie danych wejściowych. Wybierz pozycję Konto usługi Automation, a następnie wybierz utworzone wcześniej konto usługi Automation.
  2. W okienku Konto usługi Automation wybierz pozycję Update Management w sekcji Update Management .
  3. W okienku Update Management skonfiguruj następujące elementy:
    1. Wybierz inną subskrypcję z listy rozwijanej, jeśli wybór domyślny nie jest odpowiedni.
    2. W obszarze roboczym usługi Log Analytics wybierz istniejący obszar roboczy usługi Log Analytics; na przykład HybridWorkspace-yourname.
  4. Po podaniu wymaganych informacji w okienku Update Management wybierz pozycję Włącz.

Włączanie rozwiązania Update Management dla maszyn wirtualnych platformy Azure

Włącz rozwiązanie Update Management dla maszyn wirtualnych platformy Azure przy użyciu następujących narzędzi:

Aby włączyć rozwiązanie Update Management dla maszyn wirtualnych platformy Azure, wykonaj następującą procedurę:

  1. W Azure Portal wybierz pozycję Wszystkie usługi, a następnie wprowadź automatyzację. Po rozpoczęciu wprowadzania tego tekstu listy filtruje się na podstawie danych wejściowych. Wybierz pozycję Konto usługi Automation, a następnie wybierz utworzone wcześniej konto usługi Automation.
  2. W okienku Konto usługi Automation wybierz pozycję Update Management w sekcji Update Management .
  3. W okienku Zarządzanie aktualizacjami wybierz pozycję Dodaj maszyny wirtualne platformy Azure, wybierz co najmniej jedną maszynę wirtualną gotową do zarządzania aktualizacjami, a następnie wybierz pozycję Włącz.

Wdrażanie agenta usługi Log Analytics i nawiązywanie połączenia z obszarem roboczym usługi Log Analytics

Wdrażanie składnika hybrydowego procesu roboczego elementu Runbook jest częścią wdrożenia agenta usługi Log Analytics.

Jeśli przetestujesz rozwiązanie przy użyciu maszyny wirtualnej platformy Azure, możesz zainstalować agenta usługi Log Analytics i zarejestrować maszynę wirtualną w istniejącym obszarze roboczym usługi Log Analytics przy użyciu rozszerzenia maszyny wirtualnej dla systemów Linux i Windows. Agenta można również wdrożyć przy użyciu Azure Automation Desired State Configuration, skryptu Windows PowerShell lub szablonu Resource Manager dla maszyn wirtualnych. Aby uzyskać więcej informacji, zobacz Łączenie komputerów z systemem Windows z usługą Azure Monitor.

W przypadku maszyn wirtualnych spoza platformy Azure wdróż agenta przy użyciu ręcznego lub zautomatyzowanego procesu zarówno na fizycznych komputerach z systemem Windows, jak i Linux lub maszynach wirtualnych, które znajdują się w danym środowisku.

W przypadku komputerów z systemem Windows należy skonfigurować agenta do komunikowania się z usługą Log Analytics przy użyciu protokołu Transport Layer Security (TLS) 1.2. Aby uzyskać szczegółowe objaśnienie procedury wdrażania, zapoznaj się z tematem Łączenie komputerów z systemem Windows z usługą Azure Monitor.

Agent usługi Log Analytics dla systemu Linux można wdrożyć:

  • Ręcznie przy użyciu pakietu skryptów powłoki zawierającego pakiety Debian i Red Hat Package Manager (RPM) dla każdego ze składników agenta. Jest to zalecane, gdy komputer z systemem Linux nie ma łączności z Internetem i komunikuje się z usługą Log Analytics za pośrednictwem bramy usługi Log Analytics.
  • Używając skryptu otoki hostowanego w usłudze GitHub, gdy komputer ma łączność z Internetem.

Agent usługi Log Analytics musi być skonfigurowany do komunikowania się z obszarem roboczym usługi Log Analytics przy użyciu identyfikatora obszaru roboczego i klucza obszaru roboczego usługi Log Analytics.

Użyj poniższej procedury, aby wdrożyć agenta usługi Log Analytics i nawiązać połączenie z obszarem roboczym usługi Log Analytics:

  1. W Azure Portal wyszukaj i wybierz pozycję Obszary robocze usługi Log Analytics.
  2. Na liście obszarów roboczych usługi Log Analytics wybierz obszar roboczy używany przez agenta do raportowania.
  3. Wybierz pozycję Zarządzanie agentami.
  4. Skopiuj i wklej identyfikator obszaru roboczego i klucz podstawowy do ulubionego edytora.
  5. W obszarze roboczym usługi Log Analytics na stronie Serwery z systemem Windows , do której przejść wcześniej, wybierz odpowiednią wersję Pobierz agenta systemu Windows do pobrania na podstawie architektury procesora systemu operacyjnego Windows.
  6. Uruchom Instalatora, aby zainstalować agenta na komputerze.
  7. Na stronie powitalnej wybierz pozycję Dalej.
  8. Na stronie Postanowienia licencyjne przeczytaj licencję, a następnie wybierz pozycję Zgadzam się.
  9. Na stronie Folder docelowy zmień lub zachowaj domyślny folder instalacyjny, a następnie wybierz przycisk Dalej.
  10. Na stronie Opcje instalacji agenta wybierz połączenie agenta z usługą Azure Log Analytics, a następnie wybierz przycisk Dalej.
  11. Na stronie Azure Log Analytics wykonaj następujące kroki:
    1. Wklej skopiowany wcześniej identyfikator obszaru roboczego i klucz obszaru roboczego (klucz podstawowy). Jeśli komputer raportuje do obszaru roboczego usługi Log Analytics w chmurze microsoft Azure Government, wybierz pozycję Azure US Government na liście rozwijanej Chmura platformy Azure.
    2. Jeśli komputer musi komunikować się za pośrednictwem serwera proxy z usługą Log Analytics, wybierz pozycję Zaawansowane, a następnie podaj adres URL i numer portu serwera proxy. Jeśli serwer proxy wymaga uwierzytelniania, wprowadź nazwę użytkownika i hasło do uwierzytelniania za pomocą serwera proxy, a następnie wybierz przycisk Dalej.
  12. Po zakończeniu podawania niezbędnych ustawień konfiguracji wybierz pozycję Dalej .

Włączanie rozwiązania Update Management dla komputerów spoza platformy Azure

Włączenie rozwiązania Update Management na komputerach spoza platformy Azure ma następujące wymagania wstępne:

  • Wdróż agenta usługi Log Analytics i połącz się z obszarem roboczym usługi Log Analytics.

Poprzednie procedury wyjaśniają sposób konfigurowania tych wymagań wstępnych.

Po zainstalowaniu agenta usługi Log Analytics na komputerze lokalnym włącz rozwiązanie Update Management w Azure Portal przy użyciu następującej procedury:

  1. W Azure Portal wybierz pozycję Wszystkie usługi, a następnie wprowadź automatyzację. Po rozpoczęciu wprowadzania tego tekstu listy filtruje się na podstawie danych wejściowych. Wybierz pozycję Konto usługi Automation, a następnie wybierz utworzone wcześniej konto usługi Automation.
  2. W okienku Konto usługi Automation wybierz pozycję Update Management w sekcji Update Management .
  3. W okienku Zarządzanie aktualizacjami wybierz pozycję Zarządzaj maszynami, a następnie wybierz komputery z listy i zostały skonfigurowane do wysyłania danych dziennika do obszaru roboczego usługi Log Analytics.
  4. Wybierz pozycję Włącz , aby zakończyć konfigurację rozwiązania Update Management na maszynach spoza platformy Azure.

Każdy komputer z systemem Windows zarządzany przez rozwiązanie Update Management jest wymieniony w okienku Grupy hybrydowych procesów roboczych jako grupa hybrydowych procesów roboczych systemu dla konta usługi Automation. Te grupy służą tylko do wdrażania aktualizacji, a nie grup docelowych z elementami Runbook w przypadku zadań automatycznych.

Zagadnienia do rozważenia

Te zagadnienia implementują filary platformy Azure Well-Architected Framework, która jest zestawem wytycznych, które mogą służyć do poprawy jakości obciążenia. Aby uzyskać więcej informacji, zobacz Microsoft Azure Well-Architected Framework.

Możliwości zarządzania

Zarządzanie aktualizacjami maszyn wirtualnych platformy Azure i maszyn spoza platformy Azure

Ocena aktualizacji dla wszystkich brakujących aktualizacji, które wymagają zarówno maszyn wirtualnych platformy Azure, jak i komputerów spoza platformy Azure, jest widoczna w sekcji Update Management konta usługi Automation.

Zaplanuj wdrożenie aktualizacji przy użyciu Azure Portal lub programu PowerShell, co powoduje utworzenie zaplanowanych zasobów połączonych z elementem Runbook Patch-MicrosoftOMSComputers.

Aby zaplanować nowe wdrożenie aktualizacji, wykonaj następującą procedurę:

  1. Na koncie usługi Automation przejdź do rozwiązania Update Management w obszarze Update Management, a następnie wybierz pozycję Zaplanuj wdrożenie aktualizacji.

  2. W obszarze Nowe wdrożenie aktualizacji użyj pola Nazwa , aby wprowadzić unikatową nazwę wdrożenia.

  3. Wybierz system operacyjny, który ma być przeznaczony dla wdrożenia aktualizacji.

  4. W okienku Grupy do aktualizacji zdefiniuj zapytanie, które łączy subskrypcję, grupy zasobów, lokalizacje i tagi, aby utworzyć dynamiczną grupę maszyn wirtualnych platformy Azure do uwzględnienia we wdrożeniu. Aby dowiedzieć się więcej, zobacz Używanie grup dynamicznych z rozwiązaniem Update Management.

  5. W okienku Maszyny do aktualizacji wybierz zapisane wyszukiwanie, zaimportowaną grupę lub wybierz pozycję Maszyny z menu rozwijanego, a następnie wybierz poszczególne maszyny.

  6. Użyj menu rozwijanego Klasyfikacje aktualizacji , aby określić klasyfikacje aktualizacji produktów.

  7. Użyj okienka Dołączanie/wykluczanie aktualizacji , aby wybrać określone aktualizacje do wdrożenia.

  8. Wybierz pozycję Ustawienia harmonogramu , aby zdefiniować czas uruchomienia wdrożenia aktualizacji na komputerach.

  9. Użyj pola Cykl , aby określić, czy wdrożenie ma miejsce raz, czy używa harmonogramu cyklicznego, a następnie wybierz przycisk OK.

  10. W regionie Pre-scripts + Post-scripts (Wersja zapoznawcza) wybierz skrypty do uruchomienia przed wdrożeniem i po nim. Aby dowiedzieć się więcej, zobacz Manage pre-scripts and post-scripts (Zarządzanie skryptami wstępnymi i post-scripts).

  11. Użyj okna obsługi (w minutach), aby określić czas, przez który aktualizacje mają być instalowane.

  12. Użyj pola Opcje ponownego uruchamiania , aby określić sposób obsługi ponownych uruchomień podczas wdrażania.

  13. Po zakończeniu konfigurowania harmonogramu wdrażania wybierz pozycję Utwórz.

Wyniki ukończonego wdrożenia aktualizacji są widoczne w okienku Zarządzanie aktualizacjami na karcie Historia .

Konfigurowanie ustawień Windows Update

Usługa Azure Update Management zależy od klienta Windows Update pobierania i instalowania aktualizacji z Windows Update (ustawienie domyślne) lub z serwera Windows Server Update Server. Skonfiguruj ustawienia klienta Windows Update do nawiązywania połączenia z usługą Windows Server Update Services (WSUS) przy użyciu:

  • Edytor lokalnych zasad grupy
  • Zasady grupy
  • PowerShell
  • Bezpośrednie edytowanie rejestru

Aby uzyskać więcej informacji, zobacz konfigurowanie ustawień Windows Update.

Integrowanie rozwiązania Update Management z programem Microsoft Endpoint Configuration Manager

Cykl zarządzania aktualizacjami oprogramowania można zintegrować z programem Microsoft Endpoint Configuration Manager dla klientów, którzy już używają tego produktu do zarządzania komputerami, serwerami i urządzeniami przenośnymi.

Aby zintegrować rozwiązanie Software Update Management z Configuration Manager punktu końcowego, najpierw zintegruj Configuration Manager punktu końcowego z dziennikami usługi Azure Monitor i zaimportuj kolekcje w obszarze roboczym usługi Log Analytics.

Aby uzyskać szczegółowe informacje, zobacz Łączenie Configuration Manager z usługą Azure Monitor.

Aby zarządzać aktualizacjami na komputerach lokalnych, skonfiguruj je za pomocą:

  • Klient Configuration Manager punktu końcowego.
  • Agent usługi Log Analytics skonfigurowany do raportowania do obszaru roboczego usługi Log Analytics, który jest włączony na potrzeby rozwiązania Update Management.
  • Agenci systemu Windows, którzy są skonfigurowani do komunikowania się z usługą WSUS lub mają dostęp do usługi Microsoft Update.

Aby zarządzać aktualizacjami na komputerach przy użyciu Configuration Manager punktu końcowego, wdróż następujące role na komputerze Configuration Manager punktu końcowego:

  • Punkt zarządzania. Ta rola systemu lokacji zarządza klientami przy użyciu zasad zawierających ustawienia konfiguracji i informacje o lokalizacji usługi.
  • Punkt dystrybucji. Zawiera pliki źródłowe dla klientów.
  • Punkt aktualizacji oprogramowania. Jest to rola na serwerze, który hostuje program WSUS.

Zarządzanie aktualizacjami oprogramowania przy użyciu:

  • Endpoint Configuration Manager
  • Azure Automation

Aktualizacje partnerów na maszynach z systemem Windows można wdrożyć z repozytorium niestandardowego, które zapewnia program System Center Aktualizacje Publisher (SCUP). SCUP może importować aktualizacje niestandardowe w autonomicznym programie WSUS lub zintegrowanym z Configuration Manager punktu końcowego.

Aby uzyskać więcej informacji, zobacz Integrowanie rozwiązania Update Management z Configuration Manager punktu końcowego systemu Windows.

Wdrażanie agenta usługi Log Analytics przy użyciu skryptu programu PowerShell

Aby przyspieszyć wdrażanie agenta usługi Log Analytics z rolą hybrydowego procesu roboczego uruchomioną na komputerze z systemem Windows, użyj skryptu New-OnPremiseHybridWorker.ps1 programu PowerShell. Skrypt:

  • Instaluje niezbędne moduły.
  • Zaloguj się przy użyciu konta platformy Azure.
  • Sprawdza istnienie określonej grupy zasobów i konta usługi Automation.
  • Tworzy odwołania do atrybutów konta usługi Automation.
  • Tworzy obszar roboczy usługi Log Analytics usługi Azure Monitor, jeśli nie zostanie określony.
  • Włącza rozwiązanie automatyzacji w obszarze roboczym.
  • Pobiera i instaluje agenta usługi Log Analytics dla systemu operacyjnego Windows.
  • Rejestruje maszynę jako hybrydowy proces roboczy elementu Runbook.

Wdrażanie wielu agentów w infrastrukturze lokalnej można organizować przy użyciu skryptów wiersza polecenia i przy użyciu zasady grupy lub Configuration Manager punktu końcowego.

Używanie grup dynamicznych dla maszyn platformy Azure i innych niż azure

Grupy dynamiczne dla maszyn wirtualnych platformy Azure filtrują maszyny wirtualne na podstawie kombinacji:

  • Subskrypcje
  • Grupy zasobów
  • Lokalizacje
  • Tagi

Grupy dynamiczne dla komputerów spoza platformy Azure używają zapisanych wyszukiwań w celu filtrowania komputerów w celu wdrożenia aktualizacji. Zapisane wyszukiwania, znane również jako grupy komputerów, można utworzyć przy użyciu:

  • Zapytanie dziennika. Użyj usługi Azure Data Explorer, aby zdefiniować wyrażenie logiczne do filtrowania komputerów.
  • Active Directory Domain Services. Grupa jest tworzona w obszarze roboczym usługi Log Analytics dla wszystkich członków domeny usługi Active Directory.
  • Configuration Manager punktu końcowego. Zaimportuj kolekcje komputerów z punktu końcowego Configuration Manager do obszaru roboczego usługi Log Analytics.
  • WSUS. Grupy utworzone na serwerach WSUS można zaimportować do obszaru roboczego usługi Log Analytics.

Aby uzyskać więcej informacji na temat tworzenia grup komputerów na potrzeby filtrowania maszyn do wdrażania aktualizacji, zobacz Grupy komputerów w zapytaniach dziennika usługi Azure Monitor.

Skalowalność

Azure Automation może przetwarzać maksymalnie 1000 komputerów na wdrożenie aktualizacji. Jeśli spodziewasz się zaktualizować więcej niż 1000 komputerów, możesz podzielić aktualizacje między wiele harmonogramów aktualizacji. Zapoznaj się z tematem Subskrypcja i limity usług platformy Azure, limity przydziału i ograniczenia.

Dostępność

  • Obecnie mapowania między obszarem roboczym usługi Log Analytics i kontem usługi Automation są obsługiwane w kilku regionach. Aby uzyskać więcej informacji, zobacz Obsługiwane regiony połączonego obszaru roboczego usługi Log Analytics.
  • Obsługiwane typy klientów: ocena aktualizacji i stosowanie poprawek są obsługiwane na komputerach z systemami Windows i Linux uruchomionych na platformie Azure lub w środowisku lokalnym. Obecnie klient systemu Windows nie jest oficjalnie obsługiwany. Listę obsługiwanych klientów można znaleźć w temacie Obsługiwane typy klientów.

Zabezpieczenia

Zabezpieczenia zapewniają ochronę przed celowymi atakami i nadużyciami cennych danych i systemów. Aby uzyskać więcej informacji, zobacz Omówienie filaru zabezpieczeń.

  • Uprawnienia do rozwiązania Update Management: składnik rozwiązania Update Management usługi Automation i składnik obszaru roboczego usługi Log Analytics monitora może używać kontroli dostępu opartej na rolach (RBAC) platformy Azure z wbudowanymi rolami z usługi Azure Resource Manager. W przypadku segregacji obowiązków te role można przypisać do różnych użytkowników, grup i podmiotów zabezpieczeń. Aby uzyskać listę ról na kontach usługi Automation, zobacz Zarządzanie uprawnieniami ról i zabezpieczeniami.
  • Szyfrowanie poufnych zasobów w usłudze Automation: konto usługi Automation może zawierać poufne zasoby, takie jak poświadczenia, certyfikaty i zaszyfrowane zmienne, których mogą używać elementy Runbook. Każdy bezpieczny zasób jest domyślnie szyfrowany przy użyciu klucza szyfrowania danych generowanego dla każdego konta usługi Automation. Te klucze są szyfrowane i przechowywane w usłudze Automation przy użyciu klucza szyfrowania konta, który można przechowywać w usłudze Azure Key Vault dla klientów, którzy chcą zarządzać szyfrowaniem przy użyciu własnych kluczy. Domyślnie klucz szyfrowania konta jest szyfrowany przy użyciu kluczy zarządzanych przez firmę Microsoft. Skorzystaj z poniższych wskazówek, aby zastosować szyfrowanie bezpiecznych zasobów w Azure Automation.
  • Uprawnienia elementu Runbook dla hybrydowego procesu roboczego elementu Runbook: domyślnie uprawnienia elementu Runbook dla hybrydowego procesu roboczego elementu Runbook są uruchamiane w kontekście systemowym na maszynie, na której są wdrażane. Element Runbook zapewnia własne uwierzytelnianie dla zasobów lokalnych. Uwierzytelnianie można skonfigurować przy użyciu tożsamości zarządzanych dla zasobów platformy Azure lub określając konto Uruchom jako w celu zapewnienia kontekstu użytkownika dla wszystkich elementów Runbook.
  • Planowanie sieci: Hybrydowy proces roboczy elementu Runbook wymaga wychodzącego dostępu do Internetu za pośrednictwem portu TCP 443 w celu komunikowania się z usługą Automation. W przypadku komputerów z ograniczonym dostępem do Internetu można użyć bramy usługi Log Analytics do skonfigurowania komunikacji z usługą Automation i obszarem roboczym usługi Azure Log Analytics.
  • Punkt odniesienia zabezpieczeń platformy Azure dla usługi Automation: punkt odniesienia zabezpieczeń platformy Azure dla usługi Automation zawiera zalecenia dotyczące zwiększania ogólnego bezpieczeństwa w celu ochrony zasobów zgodnie ze wskazówkami dotyczącymi najlepszych rozwiązań.

DevOps

  • Wdrożenie aktualizacji można zaplanować programowo za pomocą interfejsu API REST. Aby uzyskać więcej informacji, zobacz Konfiguracje aktualizacji oprogramowania — tworzenie.
  • Azure Automation umożliwia integrację z popularnymi systemami kontroli źródła, takimi jak Azure DevOps i GitHub. Dzięki kontroli źródła można zintegrować istniejące środowisko programistyczne zawierające skrypty i kod niestandardowy, który został wcześniej przetestowany w środowisku izolowanym.
  • Aby uzyskać więcej informacji na temat integrowania usługi Automation ze środowiskiem kontroli źródła, zobacz Korzystanie z integracji kontroli źródła.

Optymalizacja kosztów

Optymalizacja kosztów dotyczy sposobów zmniejszenia niepotrzebnych wydatków i poprawy wydajności operacyjnej. Aby uzyskać więcej informacji, zobacz Omówienie filaru optymalizacji kosztów.

  • Koszty możesz szacować za pomocą kalkulatora cen platformy Azure. Aby uzyskać więcej informacji na temat modeli cen usługi Automation, zobacz Cennik usługi Automation.
  • Azure Automation koszty są wyceniane na wykonanie zadania na minutę lub w przypadku zarządzania konfiguracją na węzeł. Co miesiąc pierwsze 500 minut automatyzacji procesów i zarządzania konfiguracją w pięciu węzłach jest bezpłatne.
  • Obszar roboczy usługi Azure Log Analytics może generować więcej kosztów związanych z ilością danych dziennika przechowywanych w usłudze Azure Log Analytics. Ceny są oparte na użyciu, a koszty są skojarzone z pozyskiwaniem danych i przechowywaniem danych. W przypadku pozyskiwania danych do usługi Azure Log Analytics użyj modelu rezerwacji pojemności lub modelu płatności zgodnie z rzeczywistym użyciem, który obejmuje 5 gigabajtów (GB) bezpłatnie miesięcznie dla każdego konta rozliczeniowego. Przechowywanie danych przez pierwsze 31 dni jest bezpłatne.
  • Koszty możesz szacować za pomocą kalkulatora cen platformy Azure. Aby uzyskać więcej informacji na temat modeli cen usługi Log Analytics, zobacz Cennik usługi Azure Monitor.

Współautorzy

Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.

Główny autor:

  • Mike Martin | Starszy architekt rozwiązań w chmurze

Aby wyświetlić niepubliowe profile usługi LinkedIn, zaloguj się do serwisu LinkedIn.

Następne kroki

Więcej informacji o Azure Automation: