Como implantar atualizações e revisar resultados

Cuidado

Este artigo faz referência ao CentOS, uma distribuição do Linux que está se aproximando do status de EOL (fim da vida útil). Considere seu uso e planejamento adequadamente. Para obter mais informações, veja as Orientações sobre fim da vida útil do CentOS.

Este artigo descreve como agendar uma implantação de atualização e revisar o processo após a conclusão da implantação. Você pode configurar uma implantação de atualização de uma máquina virtual do Azure selecionada, do servidor habilitado para Azure Arc selecionado ou da conta de automação em todos os computadores e servidores configurados.

Em cada cenário, a implantação que você cria tem como destino o computador ou servidor selecionado, ou no caso de criação de uma implantação a partir da sua conta de automação, você pode direcionar um ou mais computadores. Quando você agenda uma implantação de atualização de uma VM do Azure ou de um servidor habilitado para Azure Arc, as etapas são as mesmas da implantação realizada pela sua conta de automação, com as seguintes exceções:

• O sistema operacional é pré-selecionado automaticamente com base no sistema operacional do computador.
• O computador de destino a ser atualizado se define como o destino automaticamente.

Importante

Ao criar uma implantação de atualização, você aceita os termos dos termos de licença de software (EULA) fornecidos pelas atualizações de oferta da empresa para o sistema operacional.

Entre no Portal do Azure

Entre no Portal do Azure

Agendar uma implantação de atualização

O agendamento de uma implantação de atualização cria um recurso de agenda vinculado ao runbook Patch-MicrosoftOMSComputers que manipula a implantação de atualização nos computadores de destino ou computadores. Você precisa agendar uma implantação que siga o agendamento de versão e o período de serviço para instalar as atualizações. Você pode escolher os tipos de atualização que deseja incluir na implantação. Por exemplo, você pode incluir atualizações críticas ou de segurança e excluir rollups de atualizações.

Observação

Se você excluir o recurso de agenda no portal do Azure ou usando o PowerShell depois de criar a implantação, a exclusão interromperá a implantação de atualização agendada e apresentará um erro quando você tentar reconfigurar o recurso de agenda no portal. Você só pode excluir o recurso de agendamento excluindo o agendamento de implantação correspondente.

Para agendar uma nova implantação de atualização, execute as etapas a seguir. Dependendo do recurso selecionado (ou seja, conta de automação, servidor habilitado para Azure Arc, VM do Azure), as etapas a seguir se aplicam a todos, com pequenas diferenças, ao configurar a agenda de implantação.

1. No portal, para agendar uma implantação para:

   • Um ou mais computadores, navegue até Contas de automação e selecione sua conta de automação com gerenciamento de atualizações habilitado na lista.
   • Para uma máquina virtual do Azure, navegue até Máquinas Virtuais e selecione sua máquina virtual na lista.
   • Para um servidor habilitado para Azure Arc, navegue até Servidores – Azure Arc e selecione o servidor na lista.

2. Dependendo do recurso selecionado, navegue até Gerenciamento de Atualizações:

   • Se você selecionou sua conta de Automação, vá para Gerenciamento de atualizações em Gerenciamento de atualizações e, em seguida, selecione Agendar implantação de atualização.
   • Se você selecionou uma máquina virtual do Azure, vá para Convidado + atualizações do hoste, em seguida, selecione Ir para gerenciamento de atualizações.
   • Se você selecionou um servidor habilitado para Azure Arc, vá para Gerenciamento de Atualizações e selecione Agendar implantação de atualização.

3. Em Nova implantação de atualização, use o campo Nome para inserir um nome exclusivo para sua implantação.

4. Selecione o sistema operacional de destino para a implantação de atualização.

   Observação

   Essa opção não estará disponível se você tiver selecionado uma VM do Azure ou um servidor habilitado para Azure Arc. O sistema operacional é identificado automaticamente.

5. Na região Grupos para atualizar, defina uma consulta que combine assinatura, grupos de recursos, locais e marcas para compilar um grupo dinâmico de máquinas virtuais do Azure a ser incluído na implantação. Para saber mais, confira Usar grupos dinâmicos com o Gerenciamento de Atualizações.

   Observação

   Essa opção não estará disponível se você tiver selecionado uma VM do Azure ou um servidor habilitado para Azure Arc. O computador é direcionado automaticamente para a implantação agendada.

   Importante

   Ao criar um grupo dinâmico de VMs do Azure, o Gerenciamento de Atualizações dá suporte apenas a um máximo de 500 consultas que combinam assinaturas ou grupos de recursos no escopo do grupo.

6. Na região Computadores para atualizar, selecione uma pesquisa salva, um grupo importado ou selecione Computadores no menu suspenso e selecione computadores individuais. Com essa opção, você pode ver a prontidão do agente do Log Analytics para cada computador. Para saber mais sobre os diferentes métodos de criação de grupos de computadores nos logs do Azure Monitor, confira Grupos de computadores nos logs do Azure Monitor. Você pode incluir até um máximo de 1000 computadores em uma implantação de atualização agendada.

   Observação

   Essa opção não estará disponível se você tiver selecionado uma VM do Azure ou um servidor habilitado para Azure Arc. O computador é direcionado automaticamente para a implantação agendada.

7. Use a região Classificações de atualização para especificar classificações de atualização para os produtos. para cada produto, desmarque todas as classificações de atualização com suporte, exceto as que serão incluídas na implantação da atualização.

   

   Se sua implantação for destinada a aplicar apenas um conjunto selecionado de atualizações, será necessário desmarcar todas as classificações de atualização pré-selecionadas ao configurar a opção incluir/excluir atualizações, conforme descrito na próxima etapa. Isso garante que somente as atualizações que você especificou para incluir nessa implantação sejam instaladas nos computadores de destino.

   Observação

   Implantar atualizações por classificação de atualização não funciona em versões RTM do CentOS. Para implantar corretamente atualizações para CentOS, selecione todas as classificações para garantir que as atualizações sejam aplicadas. Atualmente, não há nenhum método compatível para habilitar a disponibilidade de dados nativos de classificação em CentOS. Consulte o seguinte para obter mais informações sobre as classificações de atualização.

   Observação

   A implantação de atualizações por classificação de atualização pode não funcionar corretamente para distros Linux com suporte do Gerenciamento de Atualizações. Isso é resultado de um problema identificado com o esquema de nomenclatura do arquivo OVAL e impede que o Gerenciamento de Atualizações corresponda adequadamente às classificações com base nas regras de filtragem. Devido à lógica diferente usada nas avaliações de atualização de segurança, os resultados podem ser diferentes das atualizações de segurança aplicadas durante a implantação. Se você definiu a classificação como Crítica e Segurança, a implantação da atualização funcionará conforme o esperado. Apenas a classificação de atualizações durante uma avaliação é afetada.

   O Gerenciamento de Atualizações para computadores com Windows Server não é afetado; a classificação de atualização e as implantações permanecem inalteradas.

8. Use a região incluir/excluir atualizações para adicionar ou excluir as atualizações selecionadas da implantação. Na página Incluir/excluir, insira os números de ID do artigo da base de dados de conhecimento a serem incluídos ou excluídos para atualizações do Windows. Para distribuições do Linux com suporte, você especifica o nome do pacote.

   

   Importante

   Lembre-se de que as exclusões substituem as inclusões. Por exemplo, se você definir uma regra de exclusão de *, o Gerenciamento de Atualizações excluirá todos os patches ou pacotes da instalação. Correções excluídas ainda são mostradas como ausentes dos computadores. Para computadores Linux, se você incluir um pacote que tem um pacote dependente que foi excluído, o Gerenciamento de Atualizações não instalará o pacote principal.

   Observação

   Não é possível especificar atualizações que foram substituídas para inclusão na implantação de atualização.

   Aqui estão alguns cenários de exemplo para ajudar a entender como usar a inclusão/exclusão e classificação de atualização simultaneamente em implantações de atualização:

   • Se você deseja instalar apenas uma lista específica de atualizações, não deve selecionar classificações de atualização e fornecer uma lista de atualizações a serem aplicadas usando a opção Incluir.

   • Se você deseja instalar apenas atualizações críticas e de segurança, junto a uma ou mais atualizações de opcionais, deve selecionar Segurança e Crítico em Classificações de atualização. Para a opção Incluir, especifique as KBIDs para as atualizações opcionais.

   • Se você deseja instalar apenas atualizações críticas e de segurança, mas ignorar uma ou mais atualizações do Python a fim de evitar a interrupção do seu aplicativo herdado, você deve selecionar Segurança e Crítico em Classificações de atualização. Em seguida, para a opção Excluir, adicione os pacotes do Python para ignorar.

9. Selecione Configurações da agenda. A hora de início padrão é 30 minutos após a hora atual. Você pode definir a hora de início para qualquer momento a partir de 10 minutos.

10. Use o campo Recorrência para especificar se a implantação ocorre uma vez ou se usa um agendamento recorrente e clique em OK.

11. Na região Pré-scripts + pós-scripts, selecione os scripts a serem executados antes e depois da implantação. Para saber mais, confira Gerenciar pré-scripts e pós-scripts.

12. Use o campo Janelas de manutenção (minutos) para especificar o tempo permitido para a instalação das atualizações. Considere os seguintes detalhes ao especificar uma janela de manutenção:

    • As janelas de manutenção controlam o número de atualizações que são instaladas.
    • Se a próxima etapa no processo de atualização for instalar um Service Pack, deverá haver 20 minutos restantes na janela de manutenção ou essa atualização será ignorada.
    • Se a próxima etapa no processo de atualização for instalar qualquer tipo de atualização que não seja o Service Pack, deverá haver 15 minutos restantes na janela de manutenção ou essa atualização será ignorada.
    • Se a próxima etapa no processo de atualização for uma reinicialização, deverá haver 10 minutos restantes na janela de manutenção ou a reinicialização será ignorada.
    • O Gerenciamento de Atualizações não interromperá a instalação de novas atualizações se o fim de uma janela de manutenção estiver se aproximando.
    • O Gerenciamento de Atualizações não encerrará as atualizações em andamento se a janela de manutenção for excedida. As atualizações restantes a serem instaladas não serão tentadas. Se isso estiver ocorrendo de forma consistente, reavalie a duração da janela de manutenção.
    • Se a janela de manutenção é excedida no Windows, isso geralmente ocorre devido a uma longa instalação de atualização do service pack.

    Observação

    Para evitar atualizações aplicadas fora da janela de manutenção no Ubuntu, reconfigure o pacote Unattended-Upgrade para desabilitar as atualizações automáticas. Para saber mais sobre como configurar o pacote, veja o tópico Atualizações automáticas no Guia do servidor Ubuntu.

13. Use o campo Opções de reinicialização para especificar como lidar com reinicializações durante a implantação. As opções a seguir estão disponíveis:

    • Reinicializar se necessário (padrão)
    • Sempre reinicializar
    • Nunca reinicializar
    • Somente reinicialização; esta opção não instala atualizações

    Observação

    As chaves do Registro listadas em Chaves do Registro usadas para gerenciar a reinicialização poderão causar um evento de reinicialização se a opção Opções de reinicialização estiver definida como Nunca reinicializar.

14. Quando terminar de configurar a agenda de implantação, selecione Criar.

    

    Observação

    Quando você terminar de configurar a agenda de implantação para um servidor habilitado para Azure Arc selecionado, selecione Examinar + criar.

15. Você é retornado ao painel de status. Selecione Agendas de implantação para mostrar a agenda de implantação que você criou. São listados no máximo 500 agendamentos. Se você tiver mais de 500 agendamentos e desejar revisar a lista completa, consulte o método de API REST de Configurações de atualização de software – Lista. Especifique a versão de API 2019-06-01 ou superior.

Agendar uma implantação de atualização programaticamente

Para saber como criar uma implantação de atualizações com a API REST, confira Configurações de atualização de software – Criar.

Você pode usar um runbook de exemplo para criar uma implantação de atualizações semanal. Para saber mais sobre este runbook, consulte Criar uma implantação de atualização semanal para uma ou mais VMs em um grupo de recursos.

Verifique o status da implantação

Após o início da implantação agendada, você pode ver o status dela na guia Histórico em Gerenciamento de atualizações. O status é Em andamento se a implantação está em execução no momento. Quando a implantação for concluída com êxito, o status será alterado para Êxito. Se houver falha em uma ou mais atualizações na implantação, o status será Falhou.

Exibir resultados de uma implantação de atualização concluída

Quando a implantação for concluída, você poderá selecioná-la para ver os resultados.

Em Resultados da atualização há um resumo do número total de atualizações e resultados de implantação nas VMs de destino. A tabela à direita mostra uma análise detalhada de cada atualização e os resultados da instalação de cada uma delas.

Os valores disponíveis são:

• Não foi tentada: a atualização não foi instalada devido a tempo suficiente disponível com base na duração da janela de manutenção definida.
• Não selecionado: a atualização não foi selecionada para implantação.
• Êxito: a atualização foi bem-sucedida.
• Falha: falha na atualização.

Selecione Todos os logs para ver todas as entradas de log que a implantação criou.

Selecione Saída para ver o fluxo de trabalho do runbook responsável por gerenciar a implantação de atualização nas VMs de destino.

Selecione Erros para ver informações detalhadas sobre quaisquer erros da implantação.

Implantar atualizações em locatários do Azure

Se você tiver computadores que precisam de correções em outro locatário do Azure relatando ao Gerenciamento de Atualizações, use a seguinte solução alternativa para agendá-las. Você pode usar o cmdlet New-AzAutomationSchedule com o parâmetro ForUpdateConfiguration especificado para criar uma agenda. Use o cmdlet New-AzAutomationSoftwareUpdateConfiguration e passe os computadores no outro locatário para o parâmetro NonAzureComputer. O exemplo a seguir mostra como fazer isso.

$nonAzurecomputers = @("server-01", "server-02")

$startTime = ([DateTime]::Now).AddMinutes(10)

$sched = New-AzAutomationSchedule `
    -ResourceGroupName mygroup `
    -AutomationAccountName myaccount `
    -Name myupdateconfig `
    -Description test-OneTime `
    -OneTime `
    -StartTime $startTime `
    -ForUpdateConfiguration

New-AzAutomationSoftwareUpdateConfiguration  `
    -ResourceGroupName $rg `
    -AutomationAccountName <automationAccountName> `
    -Schedule $sched `
    -Windows `
    -NonAzureComputer $nonAzurecomputers `
    -Duration (New-TimeSpan -Hours 2) `
    -IncludedUpdateClassification Security,UpdateRollup `
    -ExcludedKbNumber KB01,KB02 `
    -IncludedKbNumber KB100

Próximas etapas

• Para saber como criar alertas para notificá-lo sobre os resultados da implantação de atualização, consulte Criar alertas para gerenciamento de atualizações.
• Para solucionar problemas gerais do Gerenciamento de Atualizações, confira Solucionar problemas do Gerenciamento de Atualizações.