Информация о Диспетчере обновлений Azure

Внимание

Агент Azure Log Analytics, также известный как Microsoft Monitoring Agent (MMA), будет прекращен в августе 2024 года. служба автоматизации Azure решение управления обновлениями использует этот агент и может столкнуться с проблемами после выхода агента на пенсию, так как он не работает с агентом мониторинга Azure (AMA). Поэтому, если вы используете решение управления обновлениями служба автоматизации Azure, рекомендуется перейти в Диспетчер обновлений Azure для ваших потребностей в обновлении программного обеспечения. Все возможности решения управления обновлениями служба автоматизации Azure будут доступны в Диспетчере обновлений Azure до даты выхода на пенсию. Следуйте инструкциям по перемещению компьютеров и расписаний из службы "Управление обновлениями службы автоматизации" в Диспетчер обновлений Azure.

Диспетчер обновлений — это служба, которая помогает управлять обновлениями для всех компьютеров. Вы можете отслеживать соответствие обновлений Windows и Linux во всех развертываниях в Azure, в локальных средах и на других облачных платформах на единой панели мониторинга. Вы также можете использовать Диспетчер обновлений, чтобы устанавливать обновления в реальном времени или планировать их в течение определенного периода обслуживания.

Диспетчер обновлений в Azure можно использовать для:

• Следите за соответствием обновлений для всего парка компьютеров в Azure, локальной среде и в других облачных средах.
• мгновенного развертывания критически важных обновлений для защиты компьютеров;
• Используйте гибкие параметры исправления, такие как автоматическое исправление гостевой машины в Azure, горячее исправление и расписание обслуживания, определяемое клиентом.

Мы также предлагаем другие возможности для управления обновлениями виртуальных машин Azure, которые следует учитывать в рамках общей стратегии управления обновлениями. Дополнительные сведения о доступных параметрах см. в параметрах обновления виртуальной машины Azure.

Прежде чем включить компьютеры для Диспетчера обновлений, убедитесь, что вы понимаете сведения в следующих разделах.

Ключевые преимущества

Диспетчер обновлений был изменен и не зависит от служба автоматизации Azure или журналов Azure Monitor в соответствии с требованиями функции управления обновлениями служба автоматизации Azure. Диспетчер обновлений предлагает множество новых функций и предоставляет расширенные функции по сравнению с исходной версией, доступной в служба автоматизации Azure. Ниже перечислены некоторые из этих преимуществ:

• Предоставляет собственный интерфейс с нулевым подключением.
  • Создан в качестве собственных функциональных возможностей для вычислений Azure и платформы Azure Arc для серверов для простоты использования.
  • Нет зависимости от Log Analytics и служба автоматизации Azure.
  • поддержка Политика Azure.
  • Глобальная доступность во всех вычислительных ресурсах Azure и регионах Azure Arc.
• Работает с ролями и удостоверениями Azure.
  • Детальный контроль доступа на уровне ресурсов вместо контроля доступа на уровне учетной записи служба автоматизации Azure и рабочей области Log Analytics.
  • Диспетчер обновлений теперь имеет операции на основе Azure Resource Manager. Он позволяет управлять доступом на основе ролей и ролей на основе Azure Resource Manager в Azure.
• Обеспечивает повышенную гибкость.
  • Возможность немедленно выполнять действия путем немедленной установки обновлений или планирования их на более позднюю дату.
  • Проверка обновлений автоматически или по запросу.
  • Помогает защитить компьютеры с новыми способами исправления, такими как автоматическое исправление гостевой виртуальной машины в Azure, горячее исправление или настраиваемые расписания обслуживания.
  • Синхронизация циклов исправлений по отношению к "исправлению во вторник", неофициальный термин для запланированного исправления безопасности Майкрософт каждый второй вторник каждого месяца.

На следующей схеме показано, как Диспетчер обновлений оценивает и применяет обновления ко всем компьютерам Azure и серверам с поддержкой Azure Arc для Windows и Linux.

Для поддержки управления виртуальной машиной Azure или компьютера, отличного от Azure, Диспетчер обновлений использует новое расширение Azure, предназначенное для предоставления всех функциональных возможностей, необходимых для взаимодействия с операционной системой для управления оценкой и применением обновлений. Это расширение устанавливается автоматически при запуске любых операций Диспетчера обновлений, таких как проверка обновлений, установка однократного обновления и периодической оценки на компьютере. Расширение поддерживает развертывание на виртуальных машинах Azure или серверах с поддержкой Azure Arc с помощью платформы расширений. Расширение Update Manager устанавливается и управляется с помощью:

• Агент Windows виртуальной машины Azure или агент Linux виртуальной машины Azure для виртуальных машин Azure.
• Агент серверов с поддержкой Azure Arc для компьютеров, отличных от Azure Linux и Windows, или физических серверов.

Update Manager управляет установкой и настройкой агента расширения. Вмешательство вручную не требуется, пока агент виртуальной машины Azure или агент сервера с поддержкой Azure Arc работает. Расширение Update Manager выполняет код локально на компьютере для взаимодействия с операционной системой и включает:

• Получение сведений об оценке состояния обновлений системы, указанных клиентом Обновл. Windows или диспетчером пакетов Linux.
• Инициируя загрузку и установку утвержденных обновлений с помощью клиента Обновл. Windows или диспетчера пакетов Linux.

Все сведения об оценке и результаты установки обновлений передаются в Update Manager из расширения и доступны для анализа с помощью Azure Resource Graph. Вы можете просмотреть до последних семи дней данных оценки и до последних 30 дней результатов установки обновлений.

Компьютеры, назначенные диспетчеру обновлений, сообщают, как они актуальны на основе того, с каким источником они настроены для синхронизации. Агент Обновл. Windows (WUA) можно настроить на компьютерах Windows, чтобы сообщить службам Центра обновления Windows Server или Центру обновления Майкрософт, который по умолчанию. Вы можете настроить компьютеры Linux для отчета в локальный или общедоступный репозиторий пакетов YUM или APT. Если агент Обновл. Windows настроен для отправки отчетов в WSUS, в зависимости от того, когда служба WSUS последняя синхронизация с Центром обновления Майкрософт, результаты в Диспетчере обновлений могут отличаться от того, что отображается в Центре обновления Майкрософт. Это же поведение для компьютеров Linux, настроенных для отправки отчетов в локальный репозиторий вместо общедоступного репозитория пакетов.

Примечание.

СЛУЖБЫ WSUS недоступны в Azure China, управляемых 21 Vianet.

Вы можете управлять виртуальными машинами Azure или серверами с поддержкой Azure Arc напрямую или масштабировать с помощью Диспетчера обновлений.

Необходимые компоненты

Наряду со следующими предварительными условиями, см . матрицу поддержки для Диспетчера обновлений.

Роль

Ресурс	Роль
Azure	Участник виртуальной машины Azure или владелец Azure
Сервер с поддержкой Azure Arc	Администратор ресурсов Azure Connected Machine

Разрешения

Для создания развертываний обновлений и управления ими необходимы следующие разрешения. В таблице показаны разрешения, необходимые при использовании Диспетчера обновлений.

Действия	Разрешение	Область
Чтение свойств виртуальной машины Azure	Microsoft.Compute/virtualMachines/read
Обновление оценки на виртуальных машинах Azure	Microsoft.Compute/virtualMachines/assessPatches/action
Чтение данных оценки для виртуальных машин Azure	Microsoft.Compute/virtualMachineses/patchAssessmentResults/latest Microsoft.Compute/virtualMachinessmentResults/latest/softwarePatches
Установка обновления на виртуальных машинах Azure	Microsoft.Compute/virtualMachines/installPatches/action
Чтение данных установки исправлений для виртуальных машин Azure	Microsoft.Compute/virtualMachines/patchInstallationResults Microsoft.Compute/virtualMachines/patchInstallationResults/softwarePatches
Чтение свойств сервера с поддержкой Azure Arc	Microsoft.HybridCompute/machines/read
Оценка обновления на сервере с поддержкой Azure Arc	Microsoft.HybridCompute/machines/assessPatches/action
Чтение данных оценки для сервера с поддержкой Azure Arc	Microsoft.HybridCompute/machines/patchAssessmentResults Microsoft.HybridCompute/machines/patchAssessmentResults/softwarePatches
Установка обновления на сервере с поддержкой Arc	Microsoft.HybridCompute/machines/installPatches/action
Чтение данных установки исправлений для сервера с поддержкой Azure Arc	Microsoft.HybridCompute/machines/patchInstallationResults Microsoft.HybridCompute/machines/patchInstallationResults/softwarePatches
Регистрирует подписку на поставщика ресурсов Microsoft.Maintenance	Microsoft.Maintenance/register/action	Отток подписок
Создание/изменение конфигурации обслуживания	Microsoft.Maintenance/maintenanceConfigurations/write	Подписка / группа ресурсов
Создание/изменение назначений конфигурации	Microsoft.Maintenance/configurationAssignments/write	Отток подписок
Разрешение на чтение для ресурса обновлений обслуживания	Microsoft.Maintenance/updates/read	Компьютер
Разрешение на чтение для ресурса обновлений применения обслуживания	Microsoft.Maintenance/applyUpdates/read	Компьютер

Образы ВМ

Дополнительные сведения см. в списке поддерживаемых операционных систем и образов виртуальных машин.

Azure Update Manager поддерживает специализированные образы , включая виртуальные машины, созданные службой "Миграция Azure", Azure Backup и Azure Site Recovery.

Расширения виртуальной машины

Доступны расширения виртуальной машины Azure и расширения виртуальной машины с поддержкой Azure Arc.

Расширения виртуальной машины Azure

Операционная система	Расширение
Windows	Microsoft.CPlat.Core.WindowsPatchExtension
Linux	Microsoft.CPlat.Core.LinuxPatchExtension

Расширения виртуальных машин с поддержкой Azure Arc

Операционная система	Расширение
Windows	Microsoft.CPlat.Core.WindowsPatchExtension (периодическая оценка) Microsoft.SoftwareUpdateManagement.WindowsOsUpdateExtension (операции по запросу и планирование исправлений)
Linux	Microsoft.SoftwareUpdateManagement.LinuxOsUpdateExtension (операции по запросу и планирование исправлений) Microsoft.CPlat.Core.LinuxPatchExtension (периодическое вычисление)

Чтобы просмотреть доступные расширения для виртуальной машины в портал Azure:

1. Перейдите к портал Azure и выберите виртуальную машину.
2. На домашней странице виртуальной машины в разделе Параметры выберите "Расширения и приложения".
3. На вкладке "Расширения" можно просмотреть доступные расширения.

Планирование сети

Чтобы подготовить сеть для поддержки Диспетчера обновлений, может потребоваться настроить некоторые компоненты инфраструктуры.

Для компьютеров с Windows необходимо разрешить передачу трафика на любые конечные точки, необходимые агенту Центра обновления Windows. Обновленный список обязательных конечных точек приведен в разделе Проблемы с HTTP- и прокси-сервером. Если у вас есть локальное развертывание WSUS , необходимо также разрешить трафик на сервер, указанный в ключе WSUS.

Сведения о требуемых конечных точках для компьютеров с Red Hat Linux см. в статье IP-адреса для серверов доставки содержимого RHUI. Сведения о других дистрибутивах Linux см. в документации поставщика.

Следующие шаги

• Просмотр обновлений для одного компьютера
• Развертывание обновлений (по запросу) для одного компьютера
• Планирование повторяющихся обновлений
• Управление параметрами обновления с помощью портала
• Управление несколькими компьютерами с помощью Update Manager