Omówienie rozwiązania Update Management

Za pomocą rozwiązania Update Management w Azure Automation można zarządzać aktualizacjami systemu operacyjnego maszyn wirtualnych Windows i Linux na platformie Azure, maszynach fizycznych lub maszynach wirtualnych w środowiskach lokalnych oraz w innych środowiskach w chmurze. Możesz szybko ocenić stan dostępnych aktualizacji i zarządzać procesem instalowania wymaganych aktualizacji dla maszyn raportujących rozwiązanie Update Management.

Jako dostawca usług możesz dołączyć wiele dzierżaw klientów do usługi Azure Lighthouse. Rozwiązanie Update Management może służyć do oceniania i planowania wdrożeń aktualizacji na maszynach w wielu subskrypcjach w tej samej dzierżawie usługi Azure Active Directory (Azure AD) lub w różnych dzierżawach przy użyciu usługi Azure Lighthouse.

Firma Microsoft oferuje inne możliwości ułatwiające zarządzanie aktualizacjami maszyn wirtualnych platformy Azure lub zestawów skalowania maszyn wirtualnych platformy Azure, które należy wziąć pod uwagę w ramach ogólnej strategii zarządzania aktualizacjami.

  • Jeśli interesuje Cię automatyczne ocenianie i aktualizowanie maszyn wirtualnych platformy Azure w celu zachowania zgodności z zabezpieczeniami aktualizacji krytycznych i zabezpieczeń wydanych każdego miesiąca, zapoznaj się z tematem Automatyczne stosowanie poprawek gościa maszyny wirtualnej. Jest to alternatywne rozwiązanie do zarządzania aktualizacjami dla maszyn wirtualnych platformy Azure w celu ich automatycznej aktualizacji poza godzinami szczytu, w tym maszyn wirtualnych w zestawie dostępności, w porównaniu z zarządzaniem wdrożeniami aktualizacji do tych maszyn wirtualnych z rozwiązania Update Management w Azure Automation.

  • Jeśli zarządzasz zestawami skalowania maszyn wirtualnych platformy Azure, zapoznaj się ze sposobem przeprowadzania automatycznych uaktualnień obrazów systemu operacyjnego w celu bezpiecznego i automatycznego uaktualniania dysku systemu operacyjnego dla wszystkich wystąpień w zestawie skalowania.

Przed wdrożeniem rozwiązania Update Management i włączeniem maszyn do zarządzania upewnij się, że rozumiesz informacje przedstawione w poniższych sekcjach.

Informacje o usłudze Update Management

Na poniższym diagramie pokazano, jak rozwiązanie Update Management ocenia i stosuje aktualizacje zabezpieczeń do wszystkich połączonych serwerów Windows Server i Linux.

Update Management workflow

Rozwiązanie Update Management integruje się z dziennikami usługi Azure Monitor, aby przechowywać oceny aktualizacji i wyniki wdrożenia aktualizacji jako dane dziennika z przypisanych maszyn platformy Azure i innych niż platformy Azure. Aby zebrać te dane, konto usługi Automation i obszar roboczy usługi Log Analytics są połączone ze sobą, a agent usługi Log Analytics dla Windows i systemu Linux jest wymagany na maszynie i skonfigurowany do raportowania do tego obszaru roboczego.

Rozwiązanie Update Management obsługuje zbieranie informacji o aktualizacjach systemu od agentów w grupie zarządzania programu System Center Operations Manager połączonej z obszarem roboczym. Zarejestrowanie maszyny w usłudze Update Management w więcej niż jednym obszarze roboczym usługi Log Analytics (nazywanym również wielohomowaniem) nie jest obsługiwane.

Poniższa tabela zawiera podsumowanie obsługiwanych połączonych źródeł za pomocą rozwiązania Update Management.

Połączone źródło Obsługiwane Opis
Windows Tak Rozwiązanie Update Management zbiera informacje o aktualizacjach systemu z maszyn Windows za pomocą agenta usługi Log Analytics i instalacji wymaganych aktualizacji.
Maszyny muszą raportować do usługi Microsoft Update lub Windows Server Update Services (WSUS).
Linux Tak Rozwiązanie Update Management zbiera informacje o aktualizacjach systemu z maszyn z systemem Linux za pomocą agenta usługi Log Analytics i instalacji wymaganych aktualizacji w obsługiwanych dystrybucjach.
Maszyny muszą raportować do lokalnego lub zdalnego repozytorium.
Grupa zarządzania programu Operations Manager Tak Rozwiązanie Update Management zbiera informacje o aktualizacjach oprogramowania od agentów w połączonej grupie zarządzania.

Bezpośrednie połączenie z agenta programu Operations Manager do dzienników usługi Azure Monitor nie jest wymagane. Dane dziennika są przekazywane z grupy zarządzania do obszaru roboczego usługi Log Analytics.

Maszyny przypisane do rozwiązania Update Management raportują, jak aktualne są na podstawie źródła, z którym są skonfigurowane do synchronizacji. Windows maszyny muszą być skonfigurowane do raportowania do Windows Server Update Services lub Microsoft Update, a maszyny z systemem Linux muszą być skonfigurowane do raportowania do lokalnego lub publicznego repozytorium. Możesz również użyć rozwiązania Update Management z Microsoft Endpoint Configuration Manager i dowiedzieć się więcej, zobacz Integrowanie rozwiązania Update Management z Windows Endpoint Configuration Manager.

Jeśli agent Windows Update (WUA) na maszynie Windows jest skonfigurowany do raportowania do programu WSUS, w zależności od czasu ostatniej synchronizacji programu WSUS z usługą Microsoft Update wyniki mogą się różnić od wyświetlanych w usłudze Microsoft Update. To zachowanie jest takie samo w przypadku maszyn z systemem Linux skonfigurowanych do raportowania do repozytorium lokalnego zamiast publicznego repozytorium. Na maszynie Windows skanowanie zgodności jest domyślnie uruchamiane co 12 godzin. W przypadku maszyny z systemem Linux skanowanie pod kątem zgodności jest domyślnie wykonywane co godzinę. Jeśli agent usługi Log Analytics zostanie uruchomiony ponownie, skanowanie zgodności zostanie uruchomione w ciągu 15 minut. Po zakończeniu skanowania pod kątem zgodności aktualizacji agent przekazuje informacje zbiorczo do dzienników usługi Azure Monitor.

Aktualizacje oprogramowania można wdrażać i instalować na maszynach, które wymagają aktualizacji, tworząc zaplanowane wdrożenie. Aktualizacje sklasyfikowane jako Opcjonalne nie są uwzględnione w zakresie wdrażania dla maszyn Windows. Zakres wdrożenia obejmuje tylko wymagane aktualizacje.

Zaplanowane wdrożenie definiuje, które maszyny docelowe otrzymują odpowiednie aktualizacje. Robi to przez jawne określenie niektórych maszyn lub wybranie grupy komputerów opartej na przeszukiwaniu dzienników określonego zestawu maszyn (lub na podstawie zapytania platformy Azure , które dynamicznie wybiera maszyny wirtualne platformy Azure na podstawie określonych kryteriów). Te grupy różnią się od konfiguracji zakresu, która służy do kontrolowania określania wartości docelowej maszyn odbierających konfigurację w celu włączenia rozwiązania Update Management. Uniemożliwia to wykonywanie i raportowanie zgodności aktualizacji oraz instalowanie zatwierdzonych wymaganych aktualizacji.

Podczas definiowania wdrożenia należy również określić harmonogram zatwierdzania i ustawiania okresu, w którym można instalować aktualizacje. Ten okres jest nazywany oknem obsługi. Okres 10-minutowy okna obsługi jest zarezerwowany do ponownego uruchomienia, przy założeniu, że jest potrzebny i wybrano odpowiednią opcję ponownego rozruchu. Jeśli stosowanie poprawek trwa dłużej niż oczekiwano i w oknie obsługi trwa mniej niż 10 minut, nie nastąpi ponowny rozruch.

Po zaplanowaniu wdrożenia pakietu aktualizacji wyświetlenie aktualizacji dla maszyn z systemem Linux na potrzeby oceny trwa od 2 do 3 godzin. W przypadku Windows maszyn po wydaniu aktualizacji do oceny trwa od 12 do 15 godzin. Przed instalacją aktualizacji przeprowadza się skanowanie pod kątem zgodności aktualizacji, a wyniki danych dziennika są przekazywane do obszaru roboczego.

Aktualizacje są instalowane za pomocą elementów runbook w usłudze Azure Automation. Nie można wyświetlić tych elementów Runbook i nie wymagają żadnej konfiguracji. Po utworzeniu wdrożenia aktualizacji tworzony jest harmonogram, który uruchamia główny element Runbook aktualizacji w określonym czasie dla dołączonych maszyn. Główny element Runbook uruchamia podrzędny element Runbook na każdym agencie, który inicjuje instalację wymaganych aktualizacji za pomocą agenta Windows Update w Windows lub odpowiedniego polecenia w obsługiwanej dystrybucji systemu Linux.

W dniu i o godzinie określonej we wdrożeniu aktualizacji maszyny docelowe wykonują wdrożenie równolegle. Przed instalacją zostanie uruchomione skanowanie w celu sprawdzenia, czy aktualizacje są nadal wymagane. W przypadku maszyn klienckich programu WSUS, jeśli aktualizacje nie są zatwierdzone w programie WSUS, wdrażanie aktualizacji kończy się niepowodzeniem.

Limity

Aby uzyskać informacje o limitach dotyczących rozwiązania Update Management, zobacz Azure Automation limity usługi.

Uprawnienia

Do tworzenia wdrożeń aktualizacji i zarządzania nimi potrzebne są określone uprawnienia. Aby dowiedzieć się więcej o tych uprawnieniach, zobacz Dostęp oparty na rolach — Update Management.

Składniki rozwiązania Update Management

Rozwiązanie Update Management używa zasobów opisanych w tej sekcji. Te zasoby są automatycznie dodawane do konta usługi Automation po włączeniu rozwiązania Update Management.

Hybrydowe grupy procesów roboczych elementu Runbook

Po włączeniu rozwiązania Update Management wszystkie maszyny Windows połączone bezpośrednio z obszarem roboczym usługi Log Analytics są automatycznie konfigurowane jako hybrydowy proces roboczy elementu Runbook systemu do obsługi elementów Runbook obsługujących rozwiązanie Update Management.

Każda maszyna Windows zarządzana przez rozwiązanie Update Management jest wyświetlana w okienku Grupy hybrydowych procesów roboczych jako grupa hybrydowych procesów roboczych systemu dla konta usługi Automation. Grupy używają Hostname FQDN_GUID konwencji nazewnictwa. Nie można kierować tych grup do tych grup za pomocą elementów Runbook na swoim koncie. Jeśli spróbujesz, próba zakończy się niepowodzeniem. Te grupy mają obsługiwać tylko rozwiązanie Update Management. Aby dowiedzieć się więcej na temat wyświetlania listy maszyn Windows skonfigurowanych jako hybrydowy proces roboczy elementu Runbook, zobacz Wyświetlanie hybrydowych procesów roboczych elementu Runbook.

Możesz dodać maszynę Windows do grupy hybrydowych procesów roboczych elementu Runbook użytkownika na koncie usługi Automation, aby obsługiwać elementy Runbook usługi Automation, jeśli używasz tego samego konta na potrzeby rozwiązania Update Management i członkostwa w grupie hybrydowych procesów roboczych elementu Runbook. Ta funkcja została dodana w wersji 7.2.12024.0 hybrydowego procesu roboczego elementu Runbook.

Zależności zewnętrzne

Azure Automation Update Management zależy od następujących zależności zewnętrznych w celu dostarczania aktualizacji oprogramowania.

  • Windows Server Update Services (WSUS) lub Microsoft Update jest wymagany w przypadku pakietów aktualizacji oprogramowania oraz skanowania stosowania aktualizacji oprogramowania na maszynach opartych na Windows.
  • Klient agenta Windows Update (WUA) jest wymagany na maszynach opartych na Windows, aby mogli łączyć się z serwerem programu WSUS lub usługą Microsoft Update.
  • Lokalne lub zdalne repozytorium do pobierania i instalowania aktualizacji systemu operacyjnego na maszynach z systemem Linux.

Pakiety administracyjne

Następujące pakiety administracyjne są instalowane na maszynach zarządzanych przez rozwiązanie Update Management. Jeśli grupa zarządzania programu Operations Manager jest połączona z obszarem roboczym usługi Log Analytics, pakiety administracyjne są instalowane w grupie zarządzania programu Operations Manager. Pakietów administracyjnych nie trzeba konfigurować ani zarządzać nimi.

  • Microsoft System Center Advisor Update Assessment Intelligence Pack (Microsoft.IntelligencePacks.UpdateAssessment)
  • Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
  • Pakiet administracyjny wdrożenia aktualizacji

Uwaga

Jeśli masz grupę zarządzania programu Operations Manager 1807 lub 2019 połączoną z obszarem roboczym usługi Log Analytics z agentami skonfigurowanymi w grupie zarządzania w celu zbierania danych dziennika, musisz zastąpić parametr IsAutoRegistrationEnabled i ustawić go na True wartość w regule Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init .

Aby uzyskać więcej informacji na temat aktualizacji pakietów administracyjnych, zobacz Połączenie Operations Manager do dzienników usługi Azure Monitor.

Uwaga

Aby rozwiązanie Update Management w pełni zarządzało maszynami za pomocą agenta usługi Log Analytics, należy zaktualizować agenta usługi Log Analytics na potrzeby Windows lub agenta usługi Log Analytics dla systemu Linux. Aby dowiedzieć się, jak zaktualizować agenta, zobacz Jak uaktualnić agenta programu Operations Manager. W środowiskach korzystających z programu Operations Manager należy uruchomić System Center Operations Manager 2012 R2 UR 14 lub nowszym.

Częstotliwość zbierania danych

Rozwiązanie Update Management skanuje zarządzane maszyny pod kątem danych przy użyciu następujących reguł. Wyświetlenie zaktualizowanych danych z zarządzanych maszyn może potrwać od 30 minut do 6 godzin.

  • Każda maszyna Windows — usługa Update Management wykonuje skanowanie dwa razy dziennie dla każdej maszyny.

  • Każda maszyna z systemem Linux — rozwiązanie Update Management wykonuje skanowanie co godzinę.

Średnie użycie danych przez dzienniki usługi Azure Monitor dla maszyny przy użyciu rozwiązania Update Management wynosi około 25 MB miesięcznie. Ta wartość jest tylko przybliżeniem i może ulec zmianie w zależności od środowiska. Zalecamy monitorowanie środowiska w celu śledzenia dokładnego użycia. Aby uzyskać więcej informacji na temat analizowania użycia danych dzienników usługi Azure Monitor, zobacz Szczegóły cennika dzienników usługi Azure Monitor.

Klasyfikacje aktualizacji

Poniższa tabela definiuje klasyfikacje obsługiwane przez usługę Update Management dla aktualizacji Windows.

Klasyfikacja Opis
Aktualizacje krytyczne Aktualizacja konkretnego problemu, który rozwiązuje krytyczny, niezwiązany z zabezpieczeniami błąd.
Aktualizacje zabezpieczeń Aktualizacja problemu związanego z zabezpieczeniami specyficznym dla produktu.
Pakiety zbiorcze aktualizacji Zbiorczy zestaw poprawek spakowanych razem w celu łatwego wdrożenia.
Pakiety funkcji Nowe funkcje produktów dystrybuowane poza wydaniem produktu.
Dodatki Service Pack Skumulowany zestaw poprawek, które są stosowane do aplikacji.
Aktualizacje definicji Aktualizacja wirusów lub innych plików definicji.
narzędzia Narzędzie lub funkcja, która pomaga wykonać co najmniej jedno zadanie.
Aktualizacje Aktualizacja aktualnie zainstalowanej aplikacji lub pliku.

W następnej tabeli zdefiniowano obsługiwane klasyfikacje aktualizacji systemu Linux.

Klasyfikacja Opis
Aktualizacje krytyczne i zabezpieczeń Aktualizacje określonego problemu lub problemu związanego z zabezpieczeniami specyficznym dla produktu.
Inne aktualizacje Wszystkie inne aktualizacje, które nie mają krytycznego charakteru lub które nie są aktualizacjami zabezpieczeń.

Uwaga

Klasyfikacja aktualizacji dla maszyn z systemem Linux jest dostępna tylko w przypadku użycia w obsługiwanych regionach chmury publicznej platformy Azure. W następujących regionach chmury krajowej nie ma klasyfikacji aktualizacji systemu Linux:

  • Wersja platformy Azure dla administracji USA
  • 21Vianet w Chinach

Zamiast klasyfikować aktualizacje są zgłaszane w kategorii Inne aktualizacje .

Rozwiązanie Update Management używa danych publikowanych przez obsługiwane dystrybucje, w szczególności ich opublikowanych plików OVAL (Open Vulnerability and Assessment Language). Ponieważ dostęp do Internetu jest ograniczony do tych chmur krajowych, usługa Update Management nie może uzyskać dostępu do plików.

W przypadku systemu Linux rozwiązanie Update Management może rozróżniać aktualizacje krytyczne i aktualizacje zabezpieczeń w chmurze w obszarze Zabezpieczenia klasyfikacji i Inne, jednocześnie wyświetlając dane oceny z powodu wzbogacania danych w chmurze. W przypadku stosowania poprawek rozwiązanie Update Management opiera się na danych klasyfikacji dostępnych na maszynie. W przeciwieństwie do innych dystrybucji system CentOS nie ma tych informacji dostępnych w wersji RTM. Jeśli masz maszyny CentOS skonfigurowane do zwracania danych zabezpieczeń dla następującego polecenia, rozwiązanie Update Management może zastosować poprawki na podstawie klasyfikacji.

sudo yum -q --security check-update

Obecnie nie ma obsługiwanej metody włączania natywnej dostępności danych klasyfikacji w systemie CentOS. Obecnie ograniczona pomoc techniczna jest zapewniana klientom, którzy mogli włączyć tę funkcję samodzielnie.

Aby sklasyfikować aktualizacje w systemie Red Hat Enterprise w wersji 6, należy zainstalować wtyczkę yum-security. W systemie Red Hat Enterprise Linux 7 wtyczka jest już częścią samego yum i nie ma potrzeby instalowania niczego. Aby uzyskać więcej informacji, zobacz następujący artykuł wiedzy na temat oprogramowania Red Hat.

Podczas planowania aktualizacji do uruchomienia na maszynie z systemem Linux, na przykład jest skonfigurowany do instalowania tylko aktualizacji pasujących do klasyfikacji zabezpieczeń , zainstalowane aktualizacje mogą różnić się od lub są podzbiorem aktualizacji pasujących do tej klasyfikacji. W przypadku przeprowadzenia oceny oczekujących aktualizacji systemu operacyjnego dla maszyny z systemem Linux pliki Open Vulnerability and Assessment Language (OVAL) udostępniane przez dostawcę dystrybucji systemu Linux są używane przez rozwiązanie Update Management do klasyfikacji.

Kategoryzacja jest wykonywana w przypadku aktualizacji systemu Linux jako zabezpieczeń lub innych na podstawie plików OVAL, które obejmują aktualizacje rozwiązywania problemów z zabezpieczeniami lub luk w zabezpieczeniach. Jednak po uruchomieniu harmonogramu aktualizacji jest wykonywany na maszynie z systemem Linux przy użyciu odpowiedniego menedżera pakietów, takiego jak YUM, APT lub ZYPPER, aby je zainstalować. Menedżer pakietów dystrybucji systemu Linux może mieć inny mechanizm klasyfikowania aktualizacji, gdzie wyniki mogą różnić się od tych uzyskanych z plików OVAL przez rozwiązanie Update Management. Aby ręcznie sprawdzić maszynę i zrozumieć, które aktualizacje są istotne dla menedżera pakietów, zobacz Rozwiązywanie problemów z wdrażaniem aktualizacji systemu Linux.

Uwaga

Podczas oceny aktualizacji klasyfikacja brakujących aktualizacji, ponieważ zabezpieczenia i krytyczne mogą nie działać prawidłowo w przypadku dystrybucji systemu Linux obsługiwanych przez rozwiązanie Update Management. Jest to wynik problemu zidentyfikowanego ze schematem nazewnictwa plików OVAL, którego usługa Update Management używa do klasyfikowania aktualizacji podczas oceny. Zapobiega to prawidłowemu dopasowywaniu klasyfikacji w usłudze Update Management na podstawie reguł filtrowania podczas oceny brakujących aktualizacji.
Nie ma to wpływu na wdrażanie aktualizacji. Ponieważ inna logika jest używana w ocenach aktualizacji zabezpieczeń, wyniki mogą różnić się od aktualizacji zabezpieczeń stosowanych podczas wdrażania. Jeśli masz ustawioną klasyfikację jako Krytyczne i Zabezpieczenia, wdrożenie aktualizacji będzie działać zgodnie z oczekiwaniami. Dotyczy to tylko klasyfikacji aktualizacji podczas oceny.
Rozwiązanie Update Management dla maszyn Windows Server nie ma wpływu; klasyfikacja aktualizacji i wdrożenia są niezmienione.

Integrowanie rozwiązania Update Management z usługą Configuration Manager

Klienci, którzy zainwestowali w Microsoft Endpoint Configuration Manager do zarządzania komputerami, serwerami i urządzeniami przenośnymi, również polegają na sile i dojrzałości Configuration Manager, aby ułatwić zarządzanie aktualizacjami oprogramowania. Aby dowiedzieć się, jak zintegrować usługę Update Management z Configuration Manager, zobacz Integrowanie rozwiązania Update Management z Windows Endpoint Configuration Manager.

Aktualizacje innych firm dotyczące Windows

Rozwiązanie Update Management opiera się na lokalnie skonfigurowanym repozytorium aktualizacji w celu aktualizacji obsługiwanych systemów Windows, usług WSUS lub Windows Update. Narzędzia takie jak System Center Aktualizacje Publisher umożliwiają importowanie i publikowanie aktualizacji niestandardowych za pomocą programu WSUS. Ten scenariusz umożliwia usłudze Update Management aktualizowanie maszyn korzystających z Configuration Manager jako repozytorium aktualizacji za pomocą oprogramowania innej firmy. Aby dowiedzieć się, jak skonfigurować aktualizacje Publisher, zobacz Instalowanie aktualizacji Publisher.

Następne kroki