Planera distributionen av Uppdateringshantering

  • Artikel

Steg 1: Automation-konto

Uppdateringshantering är en Azure Automation-funktion och kräver därför ett Automation-konto. Du kan använda ett befintligt Automation-konto i din prenumeration eller skapa ett nytt konto som endast är dedikerat för Uppdateringshantering och inga andra Automation-funktioner.

Steg 2: Azure Monitor-loggar

Uppdateringshantering är beroende av en Log Analytics-arbetsyta i Azure Monitor för att lagra loggdata för utvärderings- och uppdateringsstatus som samlas in från hanterade datorer. Integreringen med Log Analytics möjliggör även detaljerad analys och avisering i Azure Monitor. Du kan använda en befintlig arbetsyta i din prenumeration eller skapa en ny som endast är dedikerad för Uppdateringshantering.

Om du inte har använt Azure Monitor-loggar och Log Analytics-arbetsytan tidigare bör du läsa distributionsguiden för hur du utformar en Log Analytics-arbetsyta.

Steg 3: Operativsystem som stöds

Uppdateringshantering stöder specifika versioner av operativsystemen Windows Server och Linux. Innan du aktiverar Uppdateringshantering kontrollerar du att måldatorerna uppfyller operativsystemkraven.

Steg 4: Log Analytics-agent

Log Analytics-agenten för Windows och Linux krävs för att stödja Uppdateringshantering. Agenten används för både datainsamling och Hybrid Runbook Worker-rollen i Automation-systemet för att stödja de runbooks för Uppdateringshantering som används för att hantera utvärderings- och uppdateringsdistributionerna på datorn.

Om Log Analytics-agenten inte redan är installerad på virtuella Azure-datorer installeras den automatiskt med Log Analytics-tillägget för virtuella datorer för Windows eller Linux när du aktiverar Uppdateringshantering för den virtuella datorn. Agenten är konfigurerad för att rapportera till den Log Analytics-arbetsyta som är länkad till det Automation-konto där Uppdateringshantering har aktiverats.

Virtuella datorer eller servrar som inte kommer från Azure måste ha Log Analytics-agenten för Windows eller Linux installerad och rapportera till den länkade arbetsytan. Vi rekommenderar att du installerar Log Analytics-agenten för Windows eller Linux genom att först ansluta datorn till Azure Arc-aktiverade servrar och sedan använda Azure Policy för att tilldela den inbyggda principdefinitionen Distribuera Log Analytics-agenten till Linux Azure Arc- eller Windows Azure Arc-datorer. Om du planerar att övervaka datorerna med VM-insikter kan du i stället använda initiativet Aktivera Azure Monitor for VMs.

Om du aktiverar en dator som för närvarande hanteras av Operations Manager krävs ingen ny agent. Informationen om arbetsytan läggs till i agentkonfigurationen när du ansluter hanteringsgruppen till Log Analytics-arbetsytan.

En dator kan inte vara registrerad för Uppdateringshantering på mer än en Log Analytics-arbetsyta (kallas även multihoming).

Steg 5 – Nätverksplanering

För att förbereda nätverket för Uppdateringshantering kan du behöva konfigurera vissa infrastrukturkomponenter. Du behöver till exempel öppna brandväggsportar så att det går att skicka kommunikation som används av Uppdateringshantering och Azure Monitor.

Läs avsnittet om nätverkskonfiguration för Azure Automation om du vill ha detaljerad information om portar, URL:er och annan nätverksinformation som krävs för Uppdateringshantering, inklusive Hybrid Runbook Worker-rollen. Om du vill ansluta till Automation-tjänsten från dina virtuella Azure-datorer säkert och privat läser du Använda Azure Private Link.

För Windows-datorer måste du även tillåta trafik till alla slutpunkter som krävs av Windows Update-agenten. Du hittar en uppdaterad lista över nödvändiga slutpunkter i Problem som rör HTTP/Proxy. Om du har en lokal distribution av Windows Server Update Services (WSUS) måste du även tillåta trafik till den server som anges i WSUS-nyckeln.

Information om nödvändiga slutpunkter för Red Hat Linux-datorer finns i IP-adresser för RHUI-innehållsleveransservrar. Information om andra Linux-distributioner finns i leverantörens dokumentation.

Om dina IT-säkerhetsprinciper inte tillåter att datorer i nätverket ansluter till Internet kan du konfigurera en Log Analytics-gateway och sedan konfigurera datorn så att den ansluter via gatewayen till Azure Automation och Azure Monitor.

Steg 6: Behörigheter

Om du vill skapa och hantera distributioner av uppdateringar behöver du specifika behörigheter. Mer information om dessa behörigheter finns i Rollbaserad åtkomst – Uppdateringshantering.

Steg 7: Windows Update Agent

Uppdateringshantering i Azure Automation förlitar sig på Windows Update-agenten för att ladda ned och installera Windows-uppdateringar. Det finns specifika grupprincipinställningar som används av Windows Update-agenten (WUA) på datorer för att ansluta till Windows Server Update Services (WSUS) eller Microsoft Update. Dessa grupprincipinställningar används också för att söka efter kompatibilitet för programuppdateringar och för att uppdatera programuppdateringarna automatiskt. Mer information om våra rekommendationer finns i Konfigurera Windows Update-inställningar för Uppdateringshantering.

Steg 8: Linux-lagringsplats

Virtuella datorer som skapats från RHEL-avbildningarna (Red Hat Enterprise Linux) på begäran som finns i Azure Marketplace är registrerade för att få åtkomst till Red Hat Update Infrastructure (RHUI) som är distribuerat i Azure. Alla andra Linux-distributioner måste uppdateras från distributionens fildatabas på nätet med hjälp av metoder som stöds av den distributionen.

Om du vill klassificera uppdateringar på Red Hat Enterprise version 6 måste du installera plugin-programmet yum-security. I Red Hat Enterprise Linux 7 är plugin-programmet redan en del av själva yum och det finns inget behov av att installera något. Mer information finns i följande Red Hat-kunskapsartikel.

Steg 9: Planera distributionsmål

Med Uppdateringshantering kan du rikta uppdateringar till en dynamisk grupp som representerar Azure- eller icke-Azure-datorer, så att du kan se till att specifika datorer alltid får rätt uppdateringar vid lämpliga tidpunkter. En dynamisk grupp matchas vid distributionstidpunkten och baseras på följande kriterier:

  • Prenumeration
  • Resursgrupper
  • Platser
  • Taggar

För datorer som inte är Azure använder en dynamisk grupp sparade sökningar, även kallade datorgrupper. Uppdateringsdistributioner som är begränsade till en grupp datorer visas endast från Automation-kontot i alternativet Uppdateringshanteringsdistributionsscheman, inte från en specifik virtuell Azure-dator.

Alternativt kan uppdateringar endast hanteras för en vald virtuell Azure-dator. Uppdateringsdistributioner som är begränsade till den specifika datorn visas både från datorn och från automationskontot i alternativet Distributionsscheman för uppdateringshantering.

Nästa steg

Aktivera Uppdateringshantering och välj datorer som ska hanteras med någon av följande metoder:

  • Använda en Azure Resource Manager-mall för att distribuera Uppdateringshantering till ett nytt eller befintligt Automation-konto och Azure Monitor Log Analytics-arbetsytan i din prenumeration. Den konfigurerar inte omfånget för datorer som ska hanteras. Detta utförs som ett separat steg när du har använt mallen.

  • Från ditt Automation-konto för en eller flera Azure- och icke-Azure-datorer, inklusive Azure Arc-aktiverade servrar.

  • Använda Runbooken Enable-AutomationSolutionför att automatisera registrering av virtuella Azure-datorer.

  • För en vald virtuell Azure-dator från sidan Virtuella datorer i Azure-portalen. Det här scenariot är tillgängligt för virtuella Linux- och Windows-datorer.

  • För flera virtuella Azure-datorer genom att välja dem från sidan Virtuella datorer i Azure-portalen.