Planowanie wdrożenia rozwiązania Update Management

  • Artykuł

Krok 1. Konto usługi Automation

Update Management jest funkcją usługi Azure Automation i dlatego wymaga konta usługi Automation. Możesz użyć istniejącego konta usługi Automation w ramach subskrypcji lub utworzyć nowe konto dedykowane tylko dla usługi Update Management i żadnych innych funkcji usługi Automation.

Krok 2. Dzienniki usługi Azure Monitor

Usługa Update Management zależy od obszaru roboczego usługi Log Analytics w usłudze Azure Monitor do przechowywania danych dziennika oceny i aktualizacji stanu zebranych z zarządzanych maszyn. Integracja z usługą Log Analytics umożliwia również szczegółową analizę i wysyłanie alertów w usłudze Azure Monitor. Możesz użyć istniejącego obszaru roboczego w ramach subskrypcji lub utworzyć nowy dedykowany tylko dla usługi Update Management.

Jeśli jesteś nowym użytkownikiem dzienników usługi Azure Monitor i obszaru roboczego usługi Log Analytics, zapoznaj się z przewodnikiem wdrażania Projektu obszaru roboczego usługi Log Analytics.

Krok 3. Obsługiwane systemy operacyjne

Usługa Update Management obsługuje określone wersje systemów operacyjnych Windows Server i Linux. Przed włączeniem usługi Update Management upewnij się, że maszyny docelowe spełniają wymagania systemu operacyjnego.

Krok 4. Agent usługi Log Analytics

Agent usługi Log Analytics dla systemów Windows i Linux jest wymagany do obsługi usługi Update Management. Agent jest używany zarówno do zbierania danych, jak i do roli hybrydowego procesu roboczego elementu Runbook usługi Automation do obsługi elementów Runbook usługi Update Management używanych do zarządzania wdrożeniami oceny i aktualizacji na maszynie.

Na maszynach wirtualnych platformy Azure, jeśli agent usługi Log Analytics nie został jeszcze zainstalowany, po włączeniu usługi Update Management dla maszyny wirtualnej jest on automatycznie instalowany przy użyciu rozszerzenia maszyny wirtualnej usługi Log Analytics dla systemu Windows lub Linux. Agent jest skonfigurowany do raportowania do obszaru roboczego usługi Log Analytics połączonego z kontem usługi Automation, a usługa Update Management jest włączona.

Maszyny wirtualne lub serwery spoza platformy Azure muszą mieć zainstalowanego agenta usługi Log Analytics dla systemu Windows lub Linux, który raportuje do połączonego obszaru roboczego. Zalecamy zainstalowanie agenta usługi Log Analytics dla systemu Windows lub Linux, najpierw łącząc maszynę z serwerami z obsługą usługi Azure Arc, a następnie używając usługi Azure Policy w celu przypisania agenta usługi Deploy Log Analytics do wbudowanej definicji zasad usługi Azure Arc dla systemu Linux lub Windows. Alternatywnie, jeśli planujesz monitorować maszyny za pomocą szczegółowych informacji o maszynach wirtualnych, zamiast tego użyj inicjatywy Włącz usługę Azure Monitor dla maszyn wirtualnych.

Jeśli włączasz maszynę, która jest obecnie zarządzana przez program Operations Manager, nowy agent nie jest wymagany. Informacje o obszarze roboczym są dodawane do konfiguracji agentów podczas łączenia grupy zarządzania z obszarem roboczym usługi Log Analytics.

Zarejestrowanie maszyny w usłudze Update Management w więcej niż jednym obszarze roboczym usługi Log Analytics (nazywanym również obsługą wielu regionów) nie jest obsługiwane.

Krok 5. Planowanie sieci

Aby przygotować sieć do obsługi usługi Update Management, może być konieczne skonfigurowanie niektórych składników infrastruktury. Na przykład otwórz porty zapory, aby przekazać komunikację używaną przez rozwiązanie Update Management i usługę Azure Monitor.

Przejrzyj konfigurację sieci usługi Azure Automation, aby uzyskać szczegółowe informacje na temat portów, adresów URL i innych szczegółów sieci wymaganych przez usługę Update Management, a w tym roli hybrydowego procesu roboczego elementu Runbook. Aby bezpiecznie i prywatnie nawiązać połączenie z usługą Automation z maszyn wirtualnych platformy Azure, zapoznaj się z artykułem Używanie Azure Private Link.

W przypadku maszyn z systemem Windows należy również zezwolić na ruch do wszystkich punktów końcowych wymaganych przez agenta usługi Windows Update. Zaktualizowaną listę wymaganych punktów końcowych można znaleźć w temacie Problemy związane z protokołem HTTP/serwerem proxy. Jeśli masz lokalne wdrożenie usług Windows Server Update Services (WSUS), musisz również zezwolić na ruch do serwera określonego w kluczu programu WSUS.

W przypadku maszyn z systemem Red Hat Linux zobacz Adresy IP serwerów dostarczania zawartości RHUI dla wymaganych punktów końcowych. W przypadku innych dystrybucji systemu Linux zapoznaj się z dokumentacją dostawcy.

Jeśli zasady zabezpieczeń IT nie zezwalają maszynom w sieci na łączenie się z Internetem, możesz skonfigurować bramę usługi Log Analytics, a następnie skonfigurować maszynę do łączenia się za pośrednictwem bramy z usługami Azure Automation i Azure Monitor.

Krok 6. Uprawnienia

Do tworzenia wdrożeń aktualizacji i zarządzania nimi potrzebne są określone uprawnienia. Aby dowiedzieć się więcej o tych uprawnieniach, zobacz Dostęp oparty na rolach — Update Management.

Krok 7. Agent usługi Windows Update

Usługa Azure Automation Update Management korzysta z agenta usługi Windows Update do pobierania i instalowania aktualizacji systemu Windows. Istnieją określone ustawienia zasad grupy, które są używane przez agenta usługi Windows Update (WUA) na maszynach do nawiązywania połączenia z usługą Windows Server Update Services (WSUS) lub Microsoft Update. Te ustawienia zasady grupy są również używane do skanowania pod kątem zgodności aktualizacji oprogramowania oraz do automatycznego aktualizowania aktualizacji oprogramowania. Aby zapoznać się z naszymi zaleceniami, zobacz Konfigurowanie ustawień usługi Windows Update dla usługi Update Management.

Krok 8. Repozytorium systemu Linux

Maszyny wirtualne utworzone na podstawie z obrazów systemu Red Hat Enterprise Linux (RHEL) na żądanie dostępnych w witrynie Azure Marketplace są rejestrowane w celu uzyskiwania dostępu do infrastruktury aktualizacji systemu Red Hat (RHUI) wdrożonej na platformie Azure. Każda inna dystrybucja systemu Linux musi zostać zaktualizowana z repozytorium plików online dystrybucji przy użyciu metod obsługiwanych przez tę dystrybucję.

Aby sklasyfikować aktualizacje w systemie Red Hat Enterprise w wersji 6, należy zainstalować wtyczkę yum-security. W systemie Red Hat Enterprise Linux 7 wtyczka jest już częścią samego yum i nie ma potrzeby instalowania niczego. Aby uzyskać więcej informacji, zobacz następujący artykuł wiedzy na temat systemu Red Hat.

Krok 9. Planowanie celów wdrożenia

Rozwiązanie Update Management umożliwia kierowanie aktualizacji do grupy dynamicznej reprezentującej maszyny platformy Azure lub spoza platformy Azure, dzięki czemu można zagwarantować, że określone maszyny będą zawsze otrzymywać właściwe aktualizacje w najbardziej dogodnym czasie. Grupa dynamiczna jest rozpoznawana w czasie wdrażania i jest oparta na następujących kryteriach:

  • Subskrypcja
  • Grupy zasobów
  • Lokalizacje
  • Tagi

W przypadku maszyn spoza platformy Azure grupa dynamiczna używa zapisanych wyszukiwań, nazywanych również grupami komputerów. Wdrożenia aktualizacji ograniczone do grupy maszyn są widoczne tylko z konta usługi Automation w opcji Harmonogramy wdrażania rozwiązania Update Management , a nie z określonej maszyny wirtualnej platformy Azure.

Alternatywnie można zarządzać aktualizacjami tylko dla wybranej maszyny wirtualnej platformy Azure. Wdrożenia aktualizacji w zakresie określonego komputera są widoczne zarówno z maszyny, jak i z konta usługi Automation w opcji Harmonogramy wdrażania rozwiązania Update Management.

Następne kroki

Włącz rozwiązanie Update Management i wybierz maszyny, które mają być zarządzane przy użyciu jednej z następujących metod:

  • Za pomocą szablonu usługi Azure Resource Manager w celu wdrożenia rozwiązania Update Management na nowym lub istniejącym koncie usługi Automation i obszarze roboczym usługi Azure Monitor Log Analytics w ramach subskrypcji. Nie konfiguruje ona zakresu maszyn, które mają być zarządzane, jest to wykonywane jako oddzielny krok po użyciu szablonu.

  • Na koncie usługi Automation dla co najmniej jednej maszyny platformy Azure i maszyn spoza platformy Azure, w tym serwerów z obsługą usługi Azure Arc.

  • Za pomocą elementu Runbook Enable-AutomationSolutionmożna zautomatyzować dołączanie maszyn wirtualnych platformy Azure.

  • Dla wybranej maszyny wirtualnej platformy Azure na stronie Maszyny wirtualne w witrynie Azure Portal. Ten scenariusz jest dostępny dla maszyn wirtualnych z systemami Linux i Windows.

  • W przypadku wielu maszyn wirtualnych platformy Azure wybierz je na stronie Maszyny wirtualne w witrynie Azure Portal.