Поделиться через

Планирование развертывания Управления обновлениями

  • Статья

Шаг 1. Учетная запись службы автоматизации

Управление обновлениями — это компонент службы автоматизации Azure, поэтому для него требуется учетная запись службы автоматизации. Можно использовать учетную запись службы автоматизации, уже имеющуюся в подписке, или создать новую учетную запись, предназначенную только для Управления обновлениями, но не для других компонентов службы автоматизации.

Шаг 2. Журналы Azure Monitor

Управление обновлениями использует рабочую область Log Analytics в Azure Monitor для хранения данных журнала оценки и состояния обновления, собранных с управляемых компьютеров. Интеграция с Log Analytics также обеспечивает подробный анализ и оповещения в Azure Monitor. Вы можете использовать имеющуюся в подписке рабочую область или создать новую, предназначенную только для Управления обновлениями.

Если у вас нет опыта работы с журналами Azure Monitor и рабочей областью Log Analytics, см. статью Проектирование рабочей области Log Analytics.

Шаг 3. Поддерживаемые операционные системы

Управление обновлениями поддерживает определенные версии операционных систем Windows Server и Linux. Перед включением Управления обновлениями убедитесь в том, что целевые компьютеры соответствуют требованиям к операционной системе.

Шаг 4. Агент Log Analytics

Для поддержки Управления обновлениями требуется агент Log Analytics для Windows и Linux. Агент используется как для сбора данных, так и для гибридной рабочей роли runbook системы автоматизации, которая нужна для поддержки модулей runbook Управления обновлениями, используемых для управления оценкой и обновления развертываний на компьютере.

Если на виртуальных машинах Azure еще не установлен агент Log Analytics, при включении Управления обновлениями для виртуальной машины он автоматически устанавливается с помощью расширения Log Analytics виртуальной машины для Windows или Linux. Агент настроен для передачи отчетов в рабочую область Log Analytics, связанную с учетной записью службы автоматизации, в которой включено Управление обновлениями.

На виртуальных машинах или серверах, не относящихся к Azure, должен быть установлен агент Log Analytics для Windows или Linux, передающий данные в связанную рабочую область. Рекомендуется установить агент Log Analytics для Windows или Linux, сначала подключив компьютер к серверам с поддержкой Azure Arc, а затем с помощью службы "Политика Azure" назначить встроенное определение политики Развертывание агента Log Analytics на компьютерах Linux или Windows с Azure Arc. Кроме того, если вы планируете отслеживать компьютеры с помощью аналитики виртуальных машин, используйте инициативу Включение Azure Monitor для виртуальных машин.

Для включения компьютера, управляемого с помощью Operations Manager, новый агент не требуется. Сведения о рабочей области добавляются в конфигурацию агентов при подключении группы управления к рабочей области Log Analytics.

Регистрация компьютера для Управления обновлениями в нескольких рабочих областях Log Analytics (которая также называется множественной адресацией) не поддерживается.

Шаг 5. Планирование сети

Чтобы подготовить сеть для поддержки Управления обновлениями, может потребоваться настроить некоторые компоненты инфраструктуры. Например, откройте порты брандмауэра для передачи данных, используемых Управлением обновлениями и Azure Monitor.

Подробные сведения о портах, URL-адресах и других данных о сети, необходимых для Управления обновлениями, включая гибридную рабочую роль runbook, см. в статье Сведения о конфигурации сети службы автоматизации Azure. Дополнительные сведения см. в статье Безопасное подключение сетей к службе автоматизации Azure с помощью Приватного канала Azure.

Для компьютеров с Windows необходимо также разрешить передачу трафика на любые конечные точки, необходимые агенту Центра обновления Windows. Обновленный список обязательных конечных точек приведен в разделе Проблемы с HTTP- и прокси-сервером. При наличии локального развертывания Windows Server Update Services (WSUS) необходимо также разрешить трафик на сервер, указанный в ключе WSUS.

Сведения о требуемых конечных точках для компьютеров с Red Hat Linux см. в статье IP-адреса для серверов доставки содержимого RHUI. Сведения о других дистрибутивах Linux см. в документации поставщика.

Если политики IT-безопасности запрещают подключение машин в сети к Интернету, вы можете настроить шлюз Log Analytics, а затем настроить машину для подключения к Azure Monitor и службу автоматизации Azure через шлюз.

Шаг 6. Разрешения

Для создания развертываний обновлений и управления ими требуются определенные разрешения. Дополнительные сведения об этих разрешениях см. в разделе, посвященном управлению обновлениями с доступом на основе ролей.

Шаг 7. Агент Обновл. Windows

Управление обновлениями службы автоматизации Azure использует агент Центра обновления Windows для скачивания и установки обновлений Windows. Существуют определенные параметры групповой политики, используемые агентом Центра обновления Windows (WUA) на компьютерах для подключения к Windows Server Update Services (WSUS) или Центру обновления Майкрософт. Эти параметры групповой политики применяются также для проверки соответствия обновлений программного обеспечения нормативным требованиям, а также автоматического обновления обновлений программного обеспечения. Ознакомиться с нашими рекомендациями можно в статье Настройка параметров Центра обновления Windows для Управления обновлениями.

Шаг 8. Репозиторий Linux

Виртуальным машинам, которые созданы на основе доступных в Azure Marketplace, предоставляемых по запросу образов Red Hat Enterprise Linux (RHEL), обеспечивается доступ к развернутому в Azure решению Red Hat Update Infrastructure (RHUI). Любой другой дистрибутив Linux должен быть обновлен с помощью интернет-репозитория дистрибутивов посредством поддерживаемых им методов.

Для классификации обновлений в Red Hat Enterprise версии 6 необходимо установить подключаемый модуль yum-security. В Red Hat Enterprise Linux 7 подключаемый модуль уже входит в состав yum, поэтому ничего устанавливать не требуется. Дополнительные сведения см. в следующей статье базы знаний о Red Hat.

Шаг 9. Планирование целевых объектов развертывания

Управление обновлениями позволяет нацелить обновления на динамическую группу, представляющую компьютеры, относящиеся или не относящиеся к Azure, чтобы определенные компьютеры всегда получали нужные обновления в наиболее удобное время. Динамическая группа разрешается во время развертывания и основана на следующих критериях:

  • Отток подписок
  • Группы ресурсов
  • Ячейки
  • Теги

Для компьютеров, не связанных с Azure, динамическая группа использует сохраненные поисковые запросы, также называемые группами компьютеров. Развертывания обновлений, область действия которых ограничена группой компьютеров, доступны для просмотра только в учетной записи службы автоматизации в параметре Расписания развертывания, но не на определенной виртуальной машине Azure.

Кроме того, можно управлять обновлениями только для выбранной виртуальной машины Azure. Развертывания обновлений, областью действия которых является конкретный компьютер, доступны для просмотра как на этом компьютере, так и в учетной записи службы автоматизации в параметре Управления обновлениями Расписания развертывания.

Следующие шаги

Включите Управление обновлениями и выберите компьютеры для управления с помощью одного из следующих методов:

  • Для развертывания функции "Управление обновлениями" в новой или имеющейся учетной записи службы автоматизации и рабочей области Log Analytics Azure Monitor в подписке доступен шаблон Azure Resource Manager. Он не настраивает область действия компьютеров, которыми следует управлять. Эта процедура выполняется отдельно после применения шаблона.

  • Из учетной записи службы автоматизации для одного или нескольких компьютеров Azure и не Azure, включая серверы с поддержкой Azure Arc.

  • Использование модуля Runbook Enable-AutomationSolutionдля автоматизации подключения виртуальных машин Azure.

  • Для выбранной виртуальной машины Azure со страницы Виртуальная машина на портале Azure. Этот сценарий доступен для виртуальных машин Linux и Windows.

  • Для нескольких виртуальных машин Azure, выбрав их на странице Виртуальные машины на портале Azure.