Como implementar atualizações e rever resultados

Atenção

Este artigo faz referência ao CentOS, uma distribuição Linux que está se aproximando do status de Fim da Vida Útil (EOL). Por favor, considere o seu uso e planejamento de acordo. Para obter mais informações, consulte as diretrizes de Fim da Vida Útil do CentOS.

Este artigo descreve como agendar uma implantação de atualização e revisar o processo após a conclusão da implantação. Você pode configurar uma implantação de atualização de uma máquina virtual do Azure selecionada, do servidor habilitado para Azure Arc selecionado ou da conta de Automação em todas as máquinas e servidores configurados.

Em cada cenário, a implantação que você cria destina-se que selecionou a máquina ou o servidor, ou, no caso de criar uma implantação a partir de sua conta de automação, você pode direcionar uma ou mais máquinas. Quando você agenda uma implantação de atualização de uma VM do Azure ou servidor habilitado para Azure Arc, as etapas são as mesmas que a implantação a partir de sua conta de automação, com as seguintes exceções:

• O sistema operacional é automaticamente pré-selecionado com base no sistema operacional da máquina.
• A máquina de destino a ser atualizada é definida para se direcionar automaticamente.

Importante

Ao criar uma implantação de atualização, você aceita os termos dos Termos de Licença de Software (EULA) fornecidos pela empresa que oferece atualizações para seu sistema operacional.

Inicie sessão no portal do Azure

Inicie sessão no portal do Azure

Agendar uma implementação de atualizações

Agendar uma implantação de atualização cria um recurso de agendamento vinculado ao runbook Patch-MicrosoftOMSComputers que lida com a implantação da atualização na máquina ou máquinas de destino. Você deve agendar uma implantação que siga sua agenda de lançamento e janela de serviço para instalar atualizações. Você pode escolher os tipos de atualização a serem incluídos na implantação. Por exemplo, você pode incluir atualizações críticas ou de segurança e excluir pacotes cumulativos de atualizações.

Nota

Se você excluir o recurso de agendamento do portal do Azure ou usando o PowerShell depois de criar a implantação, a exclusão interromperá a implantação de atualização agendada e apresentará um erro quando você tentar reconfigurar o recurso de agendamento do portal. Você só pode excluir o recurso de agendamento excluindo o agendamento de implantação correspondente.

Para agendar uma nova implantação de atualização, execute as etapas a seguir. Dependendo do recurso selecionado (ou seja, conta de automação, servidor habilitado para Arco do Azure, VM do Azure), as etapas abaixo se aplicam a todos com pequenas diferenças durante a configuração da agenda de implantação.

1. No portal, para agendar uma implantação para:

   • Uma ou mais máquinas, navegue até Contas de automação e selecione sua conta de automação com o Gerenciamento de atualizações ativado na lista.
   • Para uma VM do Azure, navegue até Máquinas virtuais e selecione sua VM na lista.
   • Para um servidor habilitado para Azure Arc, navegue até Servidores - Azure Arc e selecione seu servidor na lista.

2. Dependendo do recurso selecionado, para navegar até Gerenciamento de Atualizações:

   • Se você selecionou sua conta de automação, vá para Gerenciamento de atualizações em Gerenciamento de atualizações e selecione Agendar implantação de atualizações.
   • Se você selecionou uma VM do Azure, vá para Convidado + atualizações de host e selecione Ir para Gerenciamento de Atualizações.
   • Se você selecionou um servidor habilitado para Azure Arc, vá para Gerenciamento de Atualizações e selecione Agendar implantação de atualização.

3. Em Nova implantação de atualização, no campo Nome , insira um nome exclusivo para sua implantação.

4. Selecione o sistema operacional de destino para a implantação da atualização.

   Nota

   Essa opção não estará disponível se você tiver selecionado uma VM do Azure ou um servidor habilitado para Azure Arc. O sistema operacional é identificado automaticamente.

5. Na região Grupos a serem atualizados, defina uma consulta que combine assinatura, grupos de recursos, locais e marcas para criar um grupo dinâmico de VMs do Azure para incluir em sua implantação. Para saber mais, consulte Usar grupos dinâmicos com o Gerenciamento de Atualizações.

   Nota

   Essa opção não estará disponível se você tiver selecionado uma VM do Azure ou um servidor habilitado para Azure Arc. A máquina é automaticamente direcionada para a implantação agendada.

   Importante

   Ao criar um grupo dinâmico de VMs do Azure, o Gerenciamento de Atualizações dá suporte apenas a um máximo de 500 consultas que combinam assinaturas ou grupos de recursos no escopo do grupo.

6. Na região Máquinas a serem atualizadas, selecione uma pesquisa salva, um grupo importado ou selecione Máquinas no menu suspenso e selecione máquinas individuais. Com essa opção, você pode ver a prontidão do agente do Log Analytics para cada máquina. Para saber mais sobre os diferentes métodos de criação de grupos de computadores nos logs do Azure Monitor, consulte Grupos de computadores nos logs do Azure Monitor. Você pode incluir até um máximo de 1000 máquinas em uma implantação de atualização agendada.

   Nota

   Essa opção não estará disponível se você tiver selecionado uma VM do Azure ou um servidor habilitado para Azure Arc. A máquina é automaticamente direcionada para a implantação agendada.

7. Use a região Atualizar classificações para especificar classificações de atualização para produtos. Para cada produto, desmarque todas as classificações de atualização suportadas, exceto aquelas a serem incluídas na implantação da atualização.

   

   Se sua implantação se destinar a aplicar apenas um conjunto selecionado de atualizações, será necessário desmarcar todas as classificações de atualização pré-selecionadas ao configurar a opção Incluir/excluir atualizações , conforme descrito na próxima etapa. Isso garante que apenas as atualizações especificadas para incluir nesta implantação sejam instaladas nas máquinas de destino.

   Nota

   A implantação de atualizações por classificação de atualização não funciona em versões RTM do CentOS. Para implantar corretamente as atualizações para o CentOS, selecione todas as classificações para garantir que as atualizações sejam aplicadas. Atualmente, não há nenhum método suportado para habilitar a disponibilidade de dados de classificação nativos no CentOS. Consulte o seguinte para obter mais informações sobre classificações de atualização.

   Nota

   A implantação de atualizações por classificação de atualização pode não funcionar corretamente para distribuições Linux suportadas pelo Gerenciamento de Atualizações. Isso é resultado de um problema identificado com o esquema de nomenclatura do arquivo OVAL e isso impede que o Update Management corresponda corretamente às classificações com base em regras de filtragem. Devido à lógica diferente usada nas avaliações de atualizações de segurança, os resultados podem diferir das atualizações de segurança aplicadas durante a implantação. Se você tiver a classificação definida como Crítica e de Segurança, a implantação da atualização funcionará conforme o esperado. Apenas a classificação das atualizações durante uma avaliação é afetada.

   O Gerenciamento de Atualizações para máquinas Windows Server não é afetado; A classificação de atualização e as implantações permanecem inalteradas.

8. Use a região Incluir/excluir atualizações para adicionar ou excluir atualizações selecionadas da implantação. Na página Incluir/Excluir, insira números de ID de artigo da Base de Dados de Conhecimento a serem incluídos ou excluídos para atualizações do Windows. Para distribuições Linux suportadas, especifique o nome do pacote.

   

   Importante

   Lembre-se de que as exclusões substituem as inclusões. Por exemplo, se você definir uma regra de exclusão do , o Gerenciamento de *Atualizações excluirá todos os patches ou pacotes da instalação. Os patches excluídos ainda aparecem como ausentes das máquinas. Para máquinas Linux, se você incluir um pacote que tenha um pacote dependente que tenha sido excluído, o Gerenciamento de Atualizações não instalará o pacote principal.

   Nota

   Não é possível especificar atualizações que foram substituídas para incluir na implantação da atualização.

   Aqui estão alguns cenários de exemplo para ajudá-lo a entender como usar a inclusão/exclusão e a classificação de atualização simultaneamente em implantações de atualização:

   • Se você quiser instalar apenas uma lista específica de atualizações, não deve selecionar nenhuma classificação de atualização e fornecer uma lista de atualizações a serem aplicadas usando a opção Incluir .

   • Se pretender instalar apenas atualizações de segurança e críticas, juntamente com uma ou mais atualizações opcionais, deve selecionar Segurança e Crítica em Classificações de atualização. Em seguida, para a opção Incluir , especifique os KBIDs para as atualizações opcionais.

   • Se você quiser instalar apenas atualizações críticas e de segurança, mas ignorar uma ou mais atualizações para Python para evitar quebrar seu aplicativo herdado, selecione Segurança e Crítica em Classificações de atualização. Em seguida, para a opção Exclude, adicione os pacotes Python para ignorar.

9. Selecione Configurações de agendamento. A hora de início predefinida é 30 minutos depois da hora atual. Pode definir a hora de início para qualquer hora a partir de 10 minutos no futuro.

10. Use a Recorrência para especificar se a implantação ocorre uma vez ou usa uma agenda recorrente e selecione OK.

11. Na região Pré-scripts + Post-scripts, selecione os scripts a serem executados antes e depois da implantação. Para saber mais, consulte Gerenciar pré-scripts e pós-scripts.

12. Utilize o campo Janela de manutenção (minutos) para especificar a quantidade de tempo permitida para a instalação das atualizações. Considere os seguintes detalhes ao especificar uma janela de manutenção:

    • As janelas de manutenção controlam quantas atualizações estão instaladas.
    • Se o próximo passo no processo de atualização for instalar um Service Pack, a janela de manutenção terá de ter 20 minutos ou essa atualização será ignorada.
    • Se o próximo passo no processo de atualização for instalar qualquer outro tipo de atualização além de um Service Pack, a janela de manutenção terá de ter 15 minutos ou essa atualização será ignorada.
    • Se o próximo passo no processo de atualização for um reinício, a janela de manutenção terá de ter 10 minutos ou o reinício será ignorado.
    • A Gestão de Atualizações não para de instalar novas atualizações se o fim de uma janela de manutenção se estiver a aproximar.
    • A Gestão de Atualizações não termina as atualizações em curso se a janela de manutenção for excedida. Não são tentadas quaisquer atualizações restantes a instalar. Se este erro ocorrer de forma consistente, deverá reavaliar a duração da janela de manutenção.
    • Se a janela de manutenção for excedida no Windows, tal deve-se, muitas vezes, ao facto de uma atualização do service pack estar a demorar muito tempo a instalar.

    Nota

    Para evitar que as atualizações sejam aplicadas fora de uma janela de manutenção no Ubuntu, reconfigure o pacote para desativar as Unattended-Upgrade atualizações automáticas. Para obter informações sobre como configurar o pacote, consulte o tópico Atualizações automáticas no Guia do Ubuntu Server.

13. Use o campo Opções de reinicialização para especificar a maneira de lidar com reinicializações durante a implantação. Também estão disponíveis as seguintes opções:

    • Reinicializar, se necessário (padrão)
    • Reiniciar sempre
    • Nunca reiniciar
    • Apenas reiniciar; Esta opção não instala atualizações

    Nota

    As chaves do Registro listadas em Chaves do Registro usadas para gerenciar a reinicialização podem causar um evento de reinicialização se as opções de reinicialização estiverem definidas como Nunca reinicializar.

14. Quando terminar de configurar a agenda de implantação, selecione Criar.

    

    Nota

    Quando terminar de configurar a agenda de implantação para um servidor habilitado para Azure Arc selecionado, selecione Revisar + criar.

15. Volta ao dashboard de estado. Selecione Agendas de implantação para mostrar a agenda de implantação que você criou. Um máximo de 500 horários são listados. Se você tiver mais de 500 agendamentos e quiser revisar a lista completa, consulte o método Software Update Configurations - List REST API. Especifique a versão da API 2019-06-01 ou superior.

Agendar uma implantação de atualização programaticamente

Para saber como criar uma implantação de atualização com a API REST, consulte Configurações de atualização de software - Criar.

Você pode usar um runbook de exemplo para criar uma implantação de atualização semanal. Para saber mais sobre esse runbook, consulte Criar uma implantação de atualização semanal para uma ou mais VMs em um grupo de recursos.

Verificar o status da implantação

Depois que a implantação agendada for iniciada, você poderá ver seu status na guia Histórico em Gerenciamento de atualizações. O estado será Em curso, se a implementação estiver em execução. Quando a implantação termina com êxito, o status muda para Succeeded. Se houver falhas com uma ou mais atualizações na implantação, o status será Falha.

Exibir resultados de uma implantação de atualização concluída

Quando a implantação estiver concluída, você poderá selecioná-la para ver seus resultados.

Em Resultados da atualização, um resumo indica o número total de atualizações e os resultados de implementação das VMs de destino. A tabela à direita mostra um detalhamento detalhado das atualizações e os resultados da instalação para cada uma.

Os valores disponíveis são:

• Não tentado - A atualização não foi instalada porque não havia tempo disponível suficiente, com base na duração da janela de manutenção definida.
• Não selecionado - A atualização não foi selecionada para implantação.
• Êxito - A atualização foi bem-sucedida .
• Falha - A atualização falhou.

Selecione Todos os logs para ver todas as entradas de log que a implantação criou.

Selecione Saída para ver o fluxo de trabalho do runbook responsável por gerenciar a implantação da atualização nas VMs de destino.

Selecione Erros para ver informações detalhadas sobre os erros da implementação.

Implantar atualizações entre locatários do Azure

Se você tiver máquinas que precisam de aplicação de patches em outro locatário do Azure relatando ao Gerenciamento de Atualizações, deverá usar uma solução alternativa a seguir para programá-las. Você pode usar o cmdlet New-AzAutomationSchedule com o ForUpdateConfiguration parâmetro especificado para criar uma agenda. Você pode usar o cmdlet New-AzAutomationSoftwareUpdateConfiguration e passar as máquinas do outro locatário para o NonAzureComputer parâmetro. O exemplo a seguir mostra como fazer isso.

$nonAzurecomputers = @("server-01", "server-02")

$startTime = ([DateTime]::Now).AddMinutes(10)

$sched = New-AzAutomationSchedule `
    -ResourceGroupName mygroup `
    -AutomationAccountName myaccount `
    -Name myupdateconfig `
    -Description test-OneTime `
    -OneTime `
    -StartTime $startTime `
    -ForUpdateConfiguration

New-AzAutomationSoftwareUpdateConfiguration  `
    -ResourceGroupName $rg `
    -AutomationAccountName <automationAccountName> `
    -Schedule $sched `
    -Windows `
    -NonAzureComputer $nonAzurecomputers `
    -Duration (New-TimeSpan -Hours 2) `
    -IncludedUpdateClassification Security,UpdateRollup `
    -ExcludedKbNumber KB01,KB02 `
    -IncludedKbNumber KB100

Próximos passos

• Para saber como criar alertas para notificá-lo sobre os resultados da implantação da atualização, consulte Criar alertas para o Gerenciamento de Atualizações.
• Para solucionar erros gerais do Gerenciamento de Atualizações, consulte Solucionar problemas do Gerenciamento de Atualizações.