Gerir atualizações e patches para as suas VMs
Atenção
Este artigo faz referência ao CentOS, uma distribuição Linux que está se aproximando do status de Fim da Vida Útil (EOL). Por favor, considere o seu uso e planejamento de acordo. Para obter mais informações, consulte as diretrizes de Fim da Vida Útil do CentOS.
As atualizações de software no Azure Automation Update Management fornecem um conjunto de ferramentas e recursos que podem ajudar a gerenciar a tarefa complexa de rastrear e aplicar atualizações de software a máquinas no Azure e na nuvem híbrida. Um processo eficaz de gerenciamento de atualizações de software é necessário para manter a eficiência operacional, superar problemas de segurança e reduzir os riscos de aumento das ameaças à segurança cibernética. No entanto, devido à natureza evolutiva da tecnologia e ao aparecimento contínuo de novas ameaças de segurança, a gestão eficiente das atualizações de software exige uma atenção consistente e contínua.
Nota
O Gerenciamento de Atualizações suporta a implantação de atualizações primárias e o pré-download delas. Este suporte requer alterações nos sistemas que estão a ser atualizados. Consulte Definir definições do Windows Update para a Gestão de Atualizações de Automação do Azure para saber como definir estas definições nos seus sistemas.
Antes de tentar gerenciar atualizações para suas VMs, verifique se você habilitou o Gerenciamento de Atualizações nelas usando um destes métodos:
- Ativar a Gestão de Atualizações a partir de uma Conta de automatização
- Habilite o Gerenciamento de Atualizações navegando no portal do Azure
- Habilitar o gerenciamento de atualizações a partir de um runbook
- Ativar a Gestão de Atualizações a partir de uma VM do Azure
Limitar o escopo da implantação
O Gerenciamento de Atualizações usa uma configuração de escopo dentro do espaço de trabalho para direcionar os computadores a receber atualizações. Para obter mais informações, consulte Limitar o escopo de implantação do Gerenciamento de Atualizações.
Avaliação da conformidade
Antes de implantar atualizações de software em suas máquinas, revise os resultados da avaliação de conformidade de atualizações para máquinas habilitadas. Para cada atualização de software, seu estado de conformidade é registrado e, após a conclusão da avaliação, ele é coletado e encaminhado em massa para os logs do Azure Monitor.
Em uma máquina Windows, a verificação de conformidade é executada a cada 12 horas por padrão e é iniciada dentro de 15 minutos após o agente do Log Analytics para Windows ser reiniciado. Os dados de avaliação são encaminhados para o espaço de trabalho e atualizam a tabela Atualizações . Antes e depois da instalação da atualização, uma verificação de conformidade de atualização é executada para identificar atualizações ausentes, mas os resultados não são usados para atualizar os dados de avaliação na tabela.
É importante rever as nossas recomendações sobre como configurar o cliente do Windows Update com a Gestão de Atualizações para evitar quaisquer problemas que impeçam a sua gestão correta.
Nos computadores Linux, a análise de conformidade é realizada todas as horas, por predefinição. Se o agente do Log Analytics para Linux for reiniciado, uma verificação de conformidade será iniciada em 15 minutos.
Os resultados de conformidade são apresentados no Gerenciamento de atualizações para cada máquina avaliada. Pode levar até 30 minutos para que o painel exiba dados atualizados de uma nova máquina habilitada para gerenciamento.
Analise as atualizações de software do monitor para saber como visualizar os resultados da conformidade.
Implantar atualizações
Depois de analisar os resultados de conformidade, a fase de implantação da atualização de software é o processo de implantação de atualizações de software. Para instalar atualizações, agende uma implantação que esteja alinhada com o cronograma de lançamento e a janela de serviço. Pode escolher quais os tipos de atualização a incluir na implementação. Por exemplo, pode incluir atualizações de segurança ou críticas e excluir update rollups.
Analise a implantação de atualizações de software para saber como agendar uma implantação de atualização.
Excluir atualizações
Em algumas variantes do Linux, como o Red Hat Enterprise Linux, atualizações no nível do sistema operacional podem ocorrer por meio de pacotes. Isso pode levar a execuções do Gerenciamento de Atualização nas quais o número da versão do sistema operacional é alterado. Como o Gerenciamento de Atualizações usa os mesmos métodos para atualizar pacotes que um administrador usa localmente em uma máquina Linux, esse comportamento é intencional.
Para evitar a atualização da versão do sistema operacional por meio de implantações do Gerenciamento de Atualizações, use o recurso Exclusão .
No Red Hat Enterprise Linux, o nome do pacote a ser excluído é redhat-release-server.x86_64.
Classificações de atualização do Linux
Ao implantar atualizações em uma máquina Linux, você pode selecionar classificações de atualização. Esta opção filtra as atualizações que atendem aos critérios especificados. Esse filtro é aplicado localmente na máquina quando a atualização é implantada.
Como o Gerenciamento de Atualizações executa o enriquecimento de atualizações na nuvem, você pode sinalizar algumas atualizações no Gerenciamento de Atualizações como tendo um impacto na segurança, mesmo que a máquina local não tenha essas informações. Se você aplicar atualizações críticas a uma máquina Linux, pode haver atualizações que não estão marcadas como tendo um impacto na segurança dessa máquina e, portanto, não são aplicadas. No entanto, o Gerenciamento de Atualizações ainda pode relatar essa máquina como não compatível porque tem informações adicionais sobre a atualização relevante.
A implantação de atualizações por classificação de atualização não funciona em versões RTM do CentOS. Para implantar corretamente as atualizações para o CentOS, selecione todas as classificações para garantir que as atualizações sejam aplicadas. Para SUSE, selecionar SOMENTE Outras atualizações como a classificação pode instalar algumas outras atualizações de segurança se elas estiverem relacionadas ao zypper (gerenciador de pacotes) ou se suas dependências forem necessárias primeiro. Este comportamento é uma limitação do zypper. Em alguns casos, pode ser necessário executar novamente a implantação da atualização e, em seguida, verificar a implantação por meio do log de atualização.
Revisar implantações de atualização
Após a conclusão da implantação, revise o processo para determinar o sucesso da implantação da atualização por máquina ou grupo de destino. Consulte Revisar o status da implantação para saber como você pode monitorar o status da implantação.
Próximos passos
Para saber como criar alertas para notificá-lo sobre os resultados da implantação da atualização, consulte Criar alertas para o Gerenciamento de Atualizações.
Você pode consultar os logs do Azure Monitor para analisar avaliações de atualização, implantações e outras tarefas de gerenciamento relacionadas. Inclui consultas predefinidas para o ajudar a começar.