Automatyczne stosowanie poprawek gościa maszyn wirtualnych platformy Azure

Dotyczy: ✔️ Maszyny wirtualne z systemem Linux Maszyny wirtualne z systemem Windows — elastyczne zestawy ✔️ skalowania ✔️

Włączenie automatycznego stosowania poprawek gościa maszyn wirtualnych na maszynach wirtualnych platformy Azure ułatwia bezpieczne i automatyczne stosowanie poprawek maszyn wirtualnych w celu zachowania zgodności z zabezpieczeniami.

Automatyczne stosowanie poprawek gościa maszyny wirtualnej ma następujące cechy:

  • Poprawki sklasyfikowane jako krytyczne lub zabezpieczenia są automatycznie pobierane i stosowane na maszynie wirtualnej.
  • Poprawki są stosowane poza godzinami szczytu w strefie czasowej maszyny wirtualnej.
  • Orkiestracja poprawek jest zarządzana przez platformę Azure, a poprawki są stosowane zgodnie z zasadami dotyczącymi dostępności.
  • Kondycja maszyny wirtualnej, określona za pośrednictwem sygnałów kondycji platformy, jest monitorowana w celu wykrywania błędów poprawek.
  • Działa dla wszystkich rozmiarów maszyn wirtualnych.

Jak działa automatyczne stosowanie poprawek gościa maszyny wirtualnej?

Jeśli automatyczne stosowanie poprawek gościa maszyny wirtualnej jest włączone na maszynie wirtualnej, dostępne poprawki krytyczne i zabezpieczenia są pobierane i stosowane automatycznie na maszynie wirtualnej. Ten proces jest uruchamiany automatycznie co miesiąc po wydaniu nowych poprawek. Ocena poprawek i instalacja są automatyczne, a proces obejmuje ponowne uruchomienie maszyny wirtualnej zgodnie z wymaganiami.

Maszyna wirtualna jest okresowo oceniana co kilka dni i wiele razy w dowolnym 30-dniowym okresie w celu określenia odpowiednich poprawek dla tej maszyny wirtualnej. Poprawki można zainstalować w dowolnym dniu na maszynie wirtualnej poza godzinami szczytu maszyny wirtualnej. Ta automatyczna ocena gwarantuje, że wszystkie brakujące poprawki zostaną wykryte najwcześniejszą możliwą szansę.

Poprawki są instalowane w ciągu 30 dni od comiesięcznych wydań poprawek, po orkiestracji pierwszej dostępności opisanej poniżej. Poprawki są instalowane tylko poza godzinami szczytu maszyny wirtualnej, w zależności od strefy czasowej maszyny wirtualnej. Maszyna wirtualna musi być uruchomiona w godzinach poza szczytem, aby poprawki zostały automatycznie zainstalowane. Jeśli maszyna wirtualna zostanie wyłączona podczas okresowej oceny, maszyna wirtualna zostanie automatycznie oceniona i odpowiednie poprawki zostaną zainstalowane automatycznie podczas następnej oceny okresowej (zwykle w ciągu kilku dni), gdy maszyna wirtualna jest włączona.

Aktualizacje definicji i inne poprawki nie sklasyfikowane jako krytyczne lub zabezpieczenia nie zostaną zainstalowane za pośrednictwem automatycznego stosowania poprawek gościa maszyny wirtualnej. Aby zainstalować poprawki z innymi klasyfikacjami poprawek lub zaplanować instalację poprawek we własnym niestandardowym oknie obsługi, możesz użyć rozwiązania Update Management.

Aktualizacje Aktualizacje dostępności

Proces instalacji poprawek jest organizowany globalnie przez platformę Azure dla wszystkich maszyn wirtualnych z włączonym automatycznym stosowaniem poprawek gościa maszyny wirtualnej. Ta aranżacja jest zgodna z zasadami dotyczącymi dostępności na różnych poziomach dostępności udostępnianych przez platformę Azure.

W przypadku grupy maszyn wirtualnych poddawanych aktualizacji platforma Azure będzie organizować aktualizacje:

Między regionami:

  • Comiesięczna aktualizacja jest organizowana na platformie Azure globalnie w sposób etapowy, aby zapobiec awariom wdrażania globalnego.
  • Faza może mieć co najmniej jeden region, a aktualizacja zostanie przeniesiona do następnych faz tylko wtedy, gdy kwalifikujące się maszyny wirtualne w fazie zostaną pomyślnie zaktualizowane.
  • Regiony sparowane geograficznie nie są aktualizowane współbieżnie i nie mogą być w tej samej fazie regionalnej.
  • Powodzenie aktualizacji jest mierzone przez śledzenie aktualizacji kondycji maszyny wirtualnej. Kondycja maszyny wirtualnej jest śledzona za pomocą wskaźników kondycji platformy dla maszyny wirtualnej.

W obrębie regionu:

  • Maszyny wirtualne w różnych Strefy dostępności nie są aktualizowane współbieżnie przy użyciu tej samej aktualizacji.
  • Maszyny wirtualne, które nie są częścią zestawu dostępności, są wsadowe wsadowe w celu uniknięcia współbieżnych aktualizacji dla wszystkich maszyn wirtualnych w subskrypcji.

W zestawie dostępności:

  • Wszystkie maszyny wirtualne w typowym zestawie dostępności nie są aktualizowane współbieżnie.
  • Maszyny wirtualne w typowym zestawie dostępności są aktualizowane w ramach granic domeny aktualizacji, a maszyny wirtualne w wielu domenach aktualizacji nie są aktualizowane współbieżnie.

Data instalacji poprawek dla danej maszyny wirtualnej może się różnić od miesiąca do miesiąca, ponieważ określona maszyna wirtualna może zostać odebrana w innej partii między miesięcznymi cyklami poprawek.

Które poprawki są zainstalowane?

Zainstalowane poprawki zależą od etapu wdrażania maszyny wirtualnej. Co miesiąc rozpoczyna się nowe globalne wdrożenie, w którym są instalowane wszystkie poprawki zabezpieczeń i krytyczne dla poszczególnych maszyn wirtualnych. Wdrożenie jest orkiestrowane we wszystkich regionach platformy Azure w partiach (opisane w powyższej sekcji dotyczącej poprawek dotyczących dostępności).

Dokładny zestaw poprawek do zainstalowania zależy od konfiguracji maszyny wirtualnej, w tym typu systemu operacyjnego i chronometrażu oceny. W przypadku dwóch identycznych maszyn wirtualnych w różnych regionach można zainstalować różne poprawki, jeśli orkiestracja poprawek dociera do różnych regionów w różnym czasie. Podobnie, ale rzadziej maszyny wirtualne w tym samym regionie, ale oceniane w różnych godzinach (ze względu na różne partie strefy dostępności lub zestaw dostępności) mogą uzyskać różne poprawki.

Ponieważ automatyczne stosowanie poprawek gościa maszyny wirtualnej nie konfiguruje źródła poprawek, dwie podobne maszyny wirtualne skonfigurowane do różnych źródeł poprawek, takie jak repozytorium publiczne i repozytorium prywatne, mogą również zobaczyć różnicę w dokładnym zestawie zainstalowanych poprawek.

W przypadku typów systemu operacyjnego, które zwalniają poprawki w stałym okresie, maszyny wirtualne skonfigurowane do publicznego repozytorium systemu operacyjnego mogą oczekiwać otrzymania tego samego zestawu poprawek w różnych fazach wdrażania w ciągu miesiąca. Na przykład maszyny wirtualne z systemem Windows skonfigurowane do publicznego repozytorium Windows Update.

W miarę wyzwalania nowego wdrożenia co miesiąc maszyna wirtualna będzie otrzymywać co najmniej jedno wdrożenie poprawek co miesiąc, jeśli maszyna wirtualna jest włączona poza godzinami szczytu. Ten proces zapewnia, że maszyna wirtualna jest stosowania poprawek z najnowszymi dostępnymi poprawkami zabezpieczeń i krytycznymi co miesiąc. Aby zapewnić spójność w zestawie zainstalowanych poprawek, możesz skonfigurować maszyny wirtualne do oceny i pobierania poprawek z własnych repozytoriów prywatnych.

Obsługiwane obrazy systemu operacyjnego

Ważne

Automatyczne stosowanie poprawek gościa maszyny wirtualnej, ocena poprawek na żądanie i instalacja poprawek na żądanie są obsługiwane tylko na maszynach wirtualnych utworzonych na podstawie obrazów z dokładną kombinacją wydawcy, oferty i jednostki SKU z poniższej listy obsługiwanych obrazów systemu operacyjnego. Niestandardowe obrazy lub inny wydawca, oferta, kombinacje jednostek SKU nie są obsługiwane. Więcej obrazów jest dodawanych okresowo.

Publisher Oferta systemu operacyjnego SKU
Canonical UbuntuServer 16.04-LTS
Canonical UbuntuServer 18.04-LTS
Canonical UbuntuServer 18.04-LTS-Gen2
Canonical 0001-com-ubuntu-pro-bionic pro-18_04-lts
Canonical 0001-com-ubuntu-server-focal 20_04-lts
Canonical 0001-com-ubuntu-server-focal 20_04-lts-gen2
Canonical 0001-com-ubuntu-pro-ogniskowy pro-20_04-lts
microsoftcblmariner cbl-mariner cbl-mariner-1
microsoftcblmariner cbl-mariner 1-gen2
microsoftcblmariner cbl-mariner cbl-mariner-2
microsoftcblmariner cbl-mariner cbl-mariner-2-gen2
microsoft-aks Aks aks-engine-ubuntu-1804-202112
Redhat RHEL 7.2, 7.3, 7.4, 7.5, 7.6, 7.7, 7.8, 7_9, 7-RAW, 7-LVM
Redhat RHEL 8, 8.1, 8.2, 8_3, 8_4, 8_5, 8-LVM
Redhat RHEL-RAW 8-raw
OpenLogic CentOS 7.2, 7.3, 7.4, 7.5, 7.6, 7.7, 7_8, 7_9, 7_9-gen2
OpenLogic centos-lvm 7-lvm
OpenLogic CentOS 8.0, 8_1, 8_2, 8_3, 8_4, 8_5
OpenLogic centos-lvm 8 lvm
SUSE sles-12-sp5 gen1, gen2
SUSE sles-15-sp2 gen1, gen2
MicrosoftWindowsServer WindowsServer 2008-R2-SP1
MicrosoftWindowsServer WindowsServer 2012-R2-Datacenter
MicrosoftWindowsServer WindowsServer 2016-Datacenter
MicrosoftWindowsServer WindowsServer 2016-datacenter-gensecond
MicrosoftWindowsServer WindowsServer 2016-Datacenter-Server-Core
MicrosoftWindowsServer WindowsServer 2016-datacenter-smalldisk
MicrosoftWindowsServer WindowsServer 2016-datacenter-with-containers
MicrosoftWindowsServer WindowsServer 2019-Datacenter
MicrosoftWindowsServer WindowsServer 2019-Datacenter-Core
MicrosoftWindowsServer WindowsServer 2019-datacenter-gensecond
MicrosoftWindowsServer WindowsServer 2019-datacenter-smalldisk
MicrosoftWindowsServer WindowsServer 2019-datacenter-smalldisk-g2
MicrosoftWindowsServer WindowsServer 2019-datacenter-with-containers
MicrosoftWindowsServer WindowsServer Centrum danych 2022
MicrosoftWindowsServer WindowsServer 2022-datacenter-g2
MicrosoftWindowsServer WindowsServer 2022-datacenter-core
MicrosoftWindowsServer WindowsServer 2022-datacenter-core-g2
MicrosoftWindowsServer WindowsServer 2022-datacenter-azure-edition
MicrosoftWindowsServer WindowsServer 2022-datacenter-azure-edition-core
MicrosoftWindowsServer WindowsServer 2022-datacenter-azure-edition-core-smalldisk
MicrosoftWindowsServer WindowsServer 2022-datacenter-azure-edition-smalldisk
MicrosoftWindowsServer WindowsServer 2022-datacenter-smalldisk-g2

Tryby orkiestracji poprawek

Maszyny wirtualne na platformie Azure obsługują teraz następujące tryby orkiestracji poprawek:

AutomaticByPlatform (poprawki orkiestrowane na platformie Azure):

  • Ten tryb jest obsługiwany zarówno dla maszyn wirtualnych z systemem Linux, jak i Windows.
  • Ten tryb umożliwia automatyczne stosowanie poprawek gościa maszyny wirtualnej dla maszyny wirtualnej, a kolejna instalacja poprawek jest organizowana przez platformę Azure.
  • Ten tryb jest wymagany do stosowania poprawek w pierwszej kolejności dostępności.
  • Ten tryb jest obsługiwany tylko dla maszyn wirtualnych utworzonych przy użyciu obsługiwanych obrazów platformy systemu operacyjnego powyżej.
  • W przypadku maszyn wirtualnych z systemem Windows ustawienie tego trybu powoduje również wyłączenie natywnego automatycznego Aktualizacje na maszynie wirtualnej z systemem Windows w celu uniknięcia duplikowania.
  • Aby użyć tego trybu na maszynach wirtualnych z systemem Linux, ustaw właściwość osProfile.linuxConfiguration.patchSettings.patchMode=AutomaticByPlatform w szablonie maszyny wirtualnej.
  • Aby użyć tego trybu na maszynach wirtualnych z systemem Windows, ustaw właściwość osProfile.windowsConfiguration.patchSettings.patchMode=AutomaticByPlatform w szablonie maszyny wirtualnej.

AutomaticByOS:

  • Ten tryb jest obsługiwany tylko w przypadku maszyn wirtualnych z systemem Windows.
  • Ten tryb włącza automatyczne Aktualizacje na maszynie wirtualnej z systemem Windows, a poprawki są instalowane na maszynie wirtualnej za pośrednictwem automatycznego Aktualizacje.
  • Ten tryb nie obsługuje stosowania poprawek w pierwszej kolejności dostępności.
  • Ten tryb jest domyślnie ustawiany, jeśli dla maszyny wirtualnej z systemem Windows nie określono żadnego innego trybu poprawek.
  • Aby użyć tego trybu na maszynach wirtualnych z systemem Windows, ustaw właściwość osProfile.windowsConfiguration.enableAutomaticUpdates=truei ustaw właściwość osProfile.windowsConfiguration.patchSettings.patchMode=AutomaticByOS w szablonie maszyny wirtualnej.

Ręcznie:

  • Ten tryb jest obsługiwany tylko w przypadku maszyn wirtualnych z systemem Windows.
  • Ten tryb wyłącza automatyczne Aktualizacje na maszynie wirtualnej z systemem Windows. Podczas wdrażania maszyny wirtualnej przy użyciu interfejsu wiersza polecenia lub programu PowerShell dla ustawienia zostanie również ustawiona patchModemanual wartość --enable-auto-updatesfalse i wyłączy automatyczne Aktualizacje.
  • Ten tryb nie obsługuje stosowania poprawek w pierwszej kolejności dostępności.
  • Ten tryb należy ustawić podczas korzystania z niestandardowych rozwiązań do stosowania poprawek.
  • Aby użyć tego trybu na maszynach wirtualnych z systemem Windows, ustaw właściwość osProfile.windowsConfiguration.enableAutomaticUpdates=falsei ustaw właściwość osProfile.windowsConfiguration.patchSettings.patchMode=Manual w szablonie maszyny wirtualnej.

ImageDefault:

  • Ten tryb jest obsługiwany tylko w przypadku maszyn wirtualnych z systemem Linux.
  • Ten tryb nie obsługuje stosowania poprawek w pierwszej kolejności dostępności.
  • Ten tryb honoruje domyślną konfigurację stosowania poprawek na obrazie użytym do utworzenia maszyny wirtualnej.
  • Ten tryb jest domyślnie ustawiany, jeśli dla maszyny wirtualnej z systemem Linux nie określono żadnego innego trybu poprawek.
  • Aby użyć tego trybu na maszynach wirtualnych z systemem Linux, ustaw właściwość osProfile.linuxConfiguration.patchSettings.patchMode=ImageDefault w szablonie maszyny wirtualnej.

Uwaga

W przypadku maszyn wirtualnych z systemem Windows właściwość osProfile.windowsConfiguration.enableAutomaticUpdates można ustawić tylko wtedy, gdy maszyna wirtualna zostanie utworzona po raz pierwszy. Ma to wpływ na pewne przejścia w trybie poprawek. Przełączanie między trybami AutomaticByPlatform i Manual jest obsługiwane na maszynach wirtualnych z systemem osProfile.windowsConfiguration.enableAutomaticUpdates=false. Podobnie przełączanie między trybami AutomaticByPlatform i AutomaticByOS jest obsługiwane na maszynach wirtualnych z systemem osProfile.windowsConfiguration.enableAutomaticUpdates=true. Przełączanie między trybami AutomaticByOS i Manual nie jest obsługiwane.

Wymagania dotyczące włączania automatycznego stosowania poprawek gościa maszyny wirtualnej

  • Maszyna wirtualna musi mieć zainstalowanego agenta maszyny wirtualnej platformy Azure dla systemu Windows lub Linux .
  • W przypadku maszyn wirtualnych z systemem Linux agent platformy Azure dla systemu Linux musi mieć wersję 2.2.53.1 lub nowszą. Zaktualizuj agenta systemu Linux , jeśli bieżąca wersja jest niższa niż wymagana wersja.
  • W przypadku maszyn wirtualnych z systemem Windows usługa Windows Update musi być uruchomiona na maszynie wirtualnej.
  • Maszyna wirtualna musi mieć dostęp do skonfigurowanych punktów końcowych aktualizacji. Jeśli maszyna wirtualna jest skonfigurowana do używania repozytoriów prywatnych dla maszyn wirtualnych z systemem Linux lub Windows Server Update Services (WSUS) dla maszyn wirtualnych z systemem Windows, odpowiednie punkty końcowe aktualizacji muszą być dostępne.
  • Użyj interfejsu API obliczeń w wersji 2021-03-01 lub nowszej, aby uzyskać dostęp do wszystkich funkcji, w tym oceny na żądanie i poprawek na żądanie.
  • Obrazy niestandardowe nie są obecnie obsługiwane.

Włączanie automatycznego stosowania poprawek gościa maszyny wirtualnej

Automatyczne stosowanie poprawek gościa maszyny wirtualnej można włączyć na dowolnej maszynie wirtualnej z systemem Windows lub Linux utworzonej na podstawie obsługiwanego obrazu platformy. Aby włączyć automatyczne stosowanie poprawek gościa maszyny wirtualnej na maszynie wirtualnej z systemem Windows, upewnij się, że właściwość osProfile.windowsConfiguration.enableAutomaticUpdates ma wartość true w definicji szablonu maszyny wirtualnej. Tę właściwość można ustawić tylko podczas tworzenia maszyny wirtualnej. Ta dodatkowa właściwość nie ma zastosowania dla maszyn wirtualnych z systemem Linux.

Interfejs API REST dla maszyn wirtualnych z systemem Linux

W poniższym przykładzie opisano sposób włączania automatycznego stosowania poprawek gościa maszyny wirtualnej:

PUT on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2020-12-01`
{
  "location": "<location>",
  "properties": {
    "osProfile": {
      "linuxConfiguration": {
        "provisionVMAgent": true,
        "patchSettings": {
          "patchMode": "AutomaticByPlatform"
        }
      }
    }
  }
}

Interfejs API REST dla maszyn wirtualnych z systemem Windows

W poniższym przykładzie opisano sposób włączania automatycznego stosowania poprawek gościa maszyny wirtualnej:

PUT on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2020-12-01`
{
  "location": "<location>",
  "properties": {
    "osProfile": {
      "windowsConfiguration": {
        "provisionVMAgent": true,
        "enableAutomaticUpdates": true,
        "patchSettings": {
          "patchMode": "AutomaticByPlatform"
        }
      }
    }
  }
}

Azure PowerShell dla maszyn wirtualnych z systemem Windows

Użyj polecenia cmdlet Set-AzVMOperatingSystem , aby włączyć automatyczne stosowanie poprawek gościa maszyny wirtualnej podczas tworzenia lub aktualizowania maszyny wirtualnej.

Set-AzVMOperatingSystem -VM $VirtualMachine -Windows -ComputerName $ComputerName -Credential $Credential -ProvisionVMAgent -EnableAutoUpdate -PatchMode "AutomaticByPlatform"

Interfejs wiersza polecenia platformy Azure dla maszyn wirtualnych z systemem Windows

Użyj polecenia az vm create , aby włączyć automatyczne stosowanie poprawek gościa maszyny wirtualnej podczas tworzenia nowej maszyny wirtualnej. Poniższy przykład umożliwia skonfigurowanie automatycznego stosowania poprawek gościa maszyny wirtualnej dla maszyny wirtualnej o nazwie myVM w grupie zasobów o nazwie myResourceGroup:

az vm create --resource-group myResourceGroup --name myVM --image Win2019Datacenter --enable-agent --enable-auto-update --patch-mode AutomaticByPlatform

Aby zmodyfikować istniejącą maszynę wirtualną, użyj polecenia az vm update

az vm update --resource-group myResourceGroup --name myVM --set osProfile.windowsConfiguration.enableAutomaticUpdates=true osProfile.windowsConfiguration.patchSettings.patchMode=AutomaticByPlatform

Azure Portal

Podczas tworzenia maszyny wirtualnej przy użyciu Azure Portal tryby orkiestracji poprawek można ustawić na karcie Zarządzanie dla systemów Linux i Windows.

Pokazuje kartę zarządzania w Azure Portal używanych do włączania trybów aranżacji poprawek.

Włączanie i ocena

Uwaga

Włączenie automatycznych aktualizacji gościa maszyny wirtualnej na maszynie wirtualnej może potrwać ponad trzy godziny, ponieważ włączenie jest wykonywane poza godzinami szczytu maszyny wirtualnej. W miarę przeprowadzania oceny i instalacji poprawek tylko poza godzinami szczytu maszyna wirtualna musi być uruchomiona poza godzinami szczytu, aby zastosować poprawki.

Po włączeniu automatycznego stosowania poprawek gościa maszyny wirtualnej dla maszyny wirtualnej rozszerzenie typu Microsoft.CPlat.Core.LinuxPatchExtension maszyny wirtualnej jest instalowane na maszynie wirtualnej z systemem Linux lub na maszynie wirtualnej z systemem Windows jest zainstalowane rozszerzenie typu Microsoft.CPlat.Core.WindowsPatchExtension maszyny wirtualnej. To rozszerzenie nie musi być instalowane ręcznie ani aktualizowane, ponieważ to rozszerzenie jest zarządzane przez platformę Azure w ramach procesu automatycznego stosowania poprawek gościa maszyny wirtualnej.

Włączenie automatycznych aktualizacji gościa maszyny wirtualnej na maszynie wirtualnej może potrwać ponad trzy godziny, ponieważ włączenie jest wykonywane poza godzinami szczytu maszyny wirtualnej. Rozszerzenie jest również instalowane i aktualizowane poza godzinami szczytu maszyny wirtualnej. Jeśli przed zakończeniem włączania maszyny wirtualnej zakończy się poza godzinami szczytu, proces włączania zostanie wznowiona w następnym dostępnym czasie poza szczytem.

Aktualizacje automatyczne są wyłączone w większości scenariuszy, a instalacja poprawek odbywa się w przyszłości przez rozszerzenie. Obowiązują następujące warunki.

  • Jeśli wcześniej maszyna wirtualna z systemem Windows była włączona automatycznie Windows Update włączona za pomocą trybu poprawek automatycznego systemuByOS, funkcja automatycznego Windows Update jest wyłączona dla maszyny wirtualnej po zainstalowaniu rozszerzenia.
  • W przypadku maszyn wirtualnych z systemem Ubuntu domyślne aktualizacje automatyczne są automatycznie wyłączane po zakończeniu automatycznego stosowania poprawek gościa maszyny wirtualnej.
  • W przypadku systemu RHEL aktualizacje automatyczne muszą być ręcznie wyłączone. Wykonać:
systemctl stop packagekit
systemctl mask packagekit

Aby sprawdzić, czy automatyczne stosowanie poprawek gościa maszyny wirtualnej zostało ukończone, a rozszerzenie stosowania poprawek jest zainstalowane na maszynie wirtualnej, możesz przejrzeć widok wystąpienia maszyny wirtualnej. Jeśli proces włączania zostanie ukończony, rozszerzenie zostanie zainstalowane, a wyniki oceny maszyny wirtualnej będą dostępne w obszarze patchStatus. Dostęp do widoku wystąpienia maszyny wirtualnej można uzyskać na wiele sposobów, zgodnie z poniższym opisem.

Interfejs API REST

GET on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine/instanceView?api-version=2020-12-01`

Azure PowerShell

Użyj polecenia cmdlet Get-AzVM z parametrem , -Status aby uzyskać dostęp do widoku wystąpienia maszyny wirtualnej.

Get-AzVM -ResourceGroupName "myResourceGroup" -Name "myVM" -Status

Program PowerShell obecnie udostępnia tylko informacje dotyczące rozszerzenia poprawek. Informacje o patchStatus tym będą również dostępne wkrótce za pośrednictwem programu PowerShell.

Interfejs wiersza polecenia platformy Azure

Użyj polecenia az vm get-instance-view , aby uzyskać dostęp do widoku wystąpienia maszyny wirtualnej.

az vm get-instance-view --resource-group myResourceGroup --name myVM

Opis stanu poprawki dla maszyny wirtualnej

Sekcja patchStatus odpowiedzi widoku wystąpienia zawiera szczegółowe informacje na temat najnowszej oceny i ostatniej instalacji poprawki dla maszyny wirtualnej.

Wyniki oceny maszyny wirtualnej można przejrzeć w availablePatchSummary sekcji . Ocena jest okresowo przeprowadzana dla maszyny wirtualnej z włączonym automatycznym stosowaniem poprawek gościa maszyny wirtualnej. Liczba dostępnych poprawek po dokonaniu oceny w obszarze criticalAndSecurityPatchCount i otherPatchCount wynikach. Automatyczne stosowanie poprawek gościa maszyny wirtualnej spowoduje zainstalowanie wszystkich poprawek ocenianych w ramach klasyfikacji poprawek krytycznych i zabezpieczeń . Wszelkie inne ocenione poprawki są pomijane.

Wyniki instalacji poprawek dla maszyny wirtualnej można przejrzeć w lastPatchInstallationSummary sekcji . Ta sekcja zawiera szczegółowe informacje na temat ostatniej próby instalacji poprawki na maszynie wirtualnej, w tym liczby zainstalowanych poprawek, oczekujących, zakończonych niepowodzeniem lub pominiętych. Poprawki są instalowane tylko w okresie poza godzinami szczytu dla maszyny wirtualnej. Poprawki oczekujące i nieudane są automatycznie ponawiane w ciągu następnych godzin poza godzinami szczytu.

Wyłączanie automatycznego stosowania poprawek gościa maszyny wirtualnej

Automatyczne stosowanie poprawek gościa maszyny wirtualnej można wyłączyć, zmieniając tryb orkiestracji poprawek dla maszyny wirtualnej.

Aby wyłączyć automatyczne stosowanie poprawek gościa maszyny wirtualnej na maszynie wirtualnej z systemem Linux, zmień tryb poprawek na ImageDefault.

Aby włączyć automatyczne stosowanie poprawek gościa maszyny wirtualnej na maszynie wirtualnej z systemem Windows, właściwość osProfile.windowsConfiguration.enableAutomaticUpdates określa, które tryby poprawek można ustawić na maszynie wirtualnej, a tę właściwość można ustawić tylko po utworzeniu maszyny wirtualnej. Ma to wpływ na pewne przejścia w trybie poprawek:

  • W przypadku maszyn wirtualnych z osProfile.windowsConfiguration.enableAutomaticUpdates=falsesystemem wyłącz automatyczne stosowanie poprawek gościa maszyny wirtualnej, zmieniając tryb poprawek na Manual.
  • W przypadku maszyn wirtualnych z osProfile.windowsConfiguration.enableAutomaticUpdates=truesystemem wyłącz automatyczne stosowanie poprawek gościa maszyny wirtualnej, zmieniając tryb poprawek na AutomaticByOS.
  • Przełączanie między trybami AutomaticByOS i Manual nie jest obsługiwane.

Skorzystaj z przykładów z powyższej sekcji dotyczącej włączania dla przykładów użycia interfejsu API, programu PowerShell i interfejsu wiersza polecenia, aby ustawić wymagany tryb stosowania poprawek.

Ocena poprawek na żądanie

Jeśli automatyczne stosowanie poprawek gościa maszyny wirtualnej jest już włączone dla maszyny wirtualnej, okresowa ocena poprawek jest wykonywana na maszynie wirtualnej poza godzinami szczytu. Ten proces jest automatyczny, a wyniki najnowszej oceny można przejrzeć za pomocą widoku wystąpienia maszyny wirtualnej zgodnie z opisem we wcześniejszej części tego dokumentu. Możesz również w dowolnym momencie wyzwolić ocenę poprawek na żądanie dla maszyny wirtualnej. Ocena poprawek może potrwać kilka minut, a stan najnowszej oceny jest aktualizowany w widoku wystąpienia maszyny wirtualnej.

Uwaga

Ocena poprawek na żądanie nie powoduje automatycznego wyzwalania instalacji poprawek. Jeśli włączono automatyczne stosowanie poprawek gościa maszyny wirtualnej, oceniane i odpowiednie poprawki dla maszyny wirtualnej zostaną zainstalowane w godzinach poza szczytem maszyny wirtualnej, po procesie stosowania poprawek dotyczących dostępności opisanym wcześniej w tym dokumencie.

Interfejs API REST

Użyj interfejsu API oceniania poprawek , aby ocenić dostępne poprawki dla maszyny wirtualnej.

POST on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine/assessPatches?api-version=2020-12-01`

Azure PowerShell

Użyj polecenia cmdlet Invoke-AzVmPatchAssessment , aby ocenić dostępne poprawki dla maszyny wirtualnej.

Invoke-AzVmPatchAssessment -ResourceGroupName "myResourceGroup" -VMName "myVM"

Interfejs wiersza polecenia platformy Azure

Użyj polecenia az vm assess-patches , aby ocenić dostępne poprawki dla maszyny wirtualnej.

az vm assess-patches --resource-group myResourceGroup --name myVM

Instalacja poprawek na żądanie

Jeśli automatyczne stosowanie poprawek gościa maszyny wirtualnej jest już włączone dla maszyny wirtualnej, okresowa instalacja poprawek zabezpieczeń i krytycznych poprawek jest wykonywana na maszynie wirtualnej w godzinach poza szczytem maszyny wirtualnej. Ten proces jest automatyczny, a wyniki najnowszej instalacji można przejrzeć za pośrednictwem widoku wystąpienia maszyny wirtualnej, jak opisano wcześniej w tym dokumencie.

W dowolnym momencie możesz również wyzwolić instalację poprawek na żądanie dla maszyny wirtualnej. Instalacja poprawek może potrwać kilka minut, a stan najnowszej instalacji zostanie zaktualizowany w widoku wystąpienia maszyny wirtualnej.

Aby zainstalować wszystkie poprawki co najmniej jednej klasyfikacji poprawek, można użyć instalacji poprawek na żądanie. Możesz również uwzględnić lub wykluczyć określone pakiety dla systemu Linux lub określone identyfikatory KB dla systemu Windows. Podczas wyzwalania instalacji poprawek na żądanie upewnij się, że na liście dołączania określono co najmniej jedną klasyfikację poprawek lub co najmniej jedną poprawkę (pakiet dla systemu Linux, identyfikator KB dla systemu Windows).

Interfejs API REST

Użyj interfejsu API instalowania poprawek , aby zainstalować poprawki na maszynie wirtualnej.

POST on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine/installPatches?api-version=2020-12-01`

Przykładowa treść żądania dla systemu Linux:

{
  "maximumDuration": "PT1H",
  "rebootSetting": "IfRequired",
  "linuxParameters": {
    "classificationsToInclude": [
      "Critical",
      "Security"
    ]
  }
}

Przykładowa treść żądania dla systemu Windows:

{
  "maximumDuration": "PT1H",
  "rebootSetting": "IfRequired",
  "windowsParameters": {
    "classificationsToInclude": [
      "Critical",
      "Security"
    ]
  }
}

Azure PowerShell

Użyj polecenia cmdlet Invoke-AzVMInstallPatch , aby zainstalować poprawki na maszynie wirtualnej.

Przykład instalacji niektórych pakietów na maszynie wirtualnej z systemem Linux:

Invoke-AzVmInstallPatch -ResourceGroupName "myResourceGroup" -VMName "myVM" -MaximumDuration "PT90M" -RebootSetting "Always" -Linux -ClassificationToIncludeForLinux "Security" -PackageNameMaskToInclude ["package123"] -PackageNameMaskToExclude ["package567"]

Przykład instalacji wszystkich poprawek krytycznych na maszynie wirtualnej z systemem Windows:

Invoke-AzVmInstallPatch -ResourceGroupName "myResourceGroup" -VMName "myVM" -MaximumDuration "PT2H" -RebootSetting "Never" -Windows   -ClassificationToIncludeForWindows Critical

Przykład instalacji wszystkich poprawek zabezpieczeń na maszynie wirtualnej z systemem Windows, a jednocześnie wykluczania poprawek z określonymi identyfikatorami KB i wykluczania wszystkich poprawek wymagających ponownego uruchomienia:

Invoke-AzVmInstallPatch -ResourceGroupName "myResourceGroup" -VMName "myVM" -MaximumDuration "PT90M" -RebootSetting "Always" -Windows -ClassificationToIncludeForWindows "Security" -KBNumberToInclude ["KB1234567", "KB123567"] -KBNumberToExclude ["KB1234702", "KB1234802"] -ExcludeKBsRequiringReboot

Interfejs wiersza polecenia platformy Azure

Użyj polecenia az vm install-patches , aby zainstalować poprawki na maszynie wirtualnej.

Przykład instalacji wszystkich poprawek krytycznych na maszynie wirtualnej z systemem Linux:

az vm install-patches --resource-group myResourceGroup --name myVM --maximum-duration PT2H --reboot-setting IfRequired --classifications-to-include-linux Critical

Przykład instalacji wszystkich poprawek krytycznych i zabezpieczeń na maszynie wirtualnej z systemem Windows z wyłączeniem wszelkich poprawek wymagających ponownego uruchomienia:

az vm install-patches --resource-group myResourceGroup --name myVM --maximum-duration PT2H --reboot-setting IfRequired --classifications-to-include-win Critical Security --exclude-kbs-requiring-reboot true

Następne kroki