你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

使用 Azure 门户和 Azure Policy 为计算机计划定期更新

适用于：✔️ Windows VM ✔️ Linux VM ✔️ 本地环境 ✔️ 已启用 Azure Arc 的服务器。

重要

• 为了获得无缝的计划修补体验，我们建议在 2023 年 6 月 30 日之前对所有 Azure 虚拟机 (VM) 将修补业务流程更新为客户托管计划。 如果无法在 2023 年 6 月 30 日之前更新修补业务流程，则可能会遇到业务连续性中断，因为计划将无法修补 VM。 了解详细信息。
• 通过 Azure Policy 计划定期更新在 Azure 美国政府版和由 21 Vianet 运营的 Azure 中国中不可用。

可以使用 Azure 更新管理器来创建和保存定期部署计划。 可以创建频率为每日、每周或每小时的计划。 可以指定必须按计划更新的计算机，以及要安装的更新。

然后，此计划根据创建的计划为单个 VM 大规模自动安装更新。

更新管理器使用维护控制计划，而不是创建自身的计划。 维护控制使客户能够管理平台更新。 有关详细信息，请参阅维护控制文档。

计划性修补的先决条件

1. 请参阅更新管理器的先决条件。

2. 应将 Azure 计算机的修补业务流程设置为“客户托管计划”。 有关详细信息，请参阅在现有 VM 上启用计划修补。 对于已启用 Azure Arc 的计算机不要求如此设置。

   注意

   如果将修补模式设置为“Azure 编排”(AutomaticByPlatform)，但未启用“BypassPlatformSafetyChecksOnUserSchedule”标记，也未将维护配置附加到 Azure 计算机，则会将此计算机视为已启用自动来宾修补的计算机。 Azure 平台按照自身的计划自动安装更新。 了解详细信息。

在可用性集中计划修补

公用可用性集中的所有 VM 都不会并发更新。

通用可用性集中的 VM 会在更新域边界内更新。 跨多个更新域的 VM 不会并发更新。

如果同一可用性集中的计算机在不同计划中设置了在同一时间进行修补，则可能不会修补这些计算机，或者如果超出维护时段，修补可能会失败。 为了避免出现这种情况，我们建议你增加维护时段，或者将同一可用性集中的计算机拆分到不同时段的多个计划中。

配置重新启动设置

通过编辑注册表配置自动更新和用于管理重启的注册表项中列出的注册表项可能会导致计算机重启。 即使你在“计划”设置中指定“从不重启”，也可能发生重启。 配置这些最适合你环境的注册表项。

服务限制

建议对指示器进行以下限制。

指示器	限制
每个区域每个订阅的计划数	250
与计划的资源关联总数	3,000
每个动态范围上的资源关联	1,000
每个资源组或每个区域的订阅的动态范围数	250
每个计划的动态范围数	30
每个计划的附加到所有动态范围的订阅总数	30

有关详细信息，请参阅动态范围的服务限制。

在单个 VM 上计划定期更新

可通过“更新管理器”页中的“概述”或“计算机”窗格或者从选定的 VM 计划更新。

在单个 VM 上计划定期更新：

1. 登录 Azure 门户。

2. 在“Azure 更新管理器” | “概述”页中，选择你的订阅，然后选择“计划更新”。

3. 在“创建新的维护配置”页上，可为单个 VM 创建计划。

   目前支持同一订阅中的 VM 和维护配置。

4. 在“基本信息”页中，选择“订阅”、“资源组”，以及“实例详细信息”中的所有选项。

   • 对于“来宾(Azure VM、已启用 Azure Arc 的 VM/服务器)”，选择“维护范围”。

   • 选择“添加计划”。 在“添加/修改计划”中，指定计划详细信息，例如：

     • Start on
     • 维护时段（以小时为单位）。 上部维护时段为 3 小时 55 分钟。
     • 重复（每月、每日或每周）
     • 添加结束日期
     • 计划摘要

   门户中不支持每小时选项，但可以通过 API 使用该选项。

   

   对于“每月重复”，有两个选项：

   • 按日历日期重复（可以选择在当月的最后一天运行）。
   • 在月份的第 n 日（第一日、第二日等）星期 x（例如星期一、星期二）重复。 还可以指定与设置的日期的偏移量。 可以是 +6/-6。 例如，如果希望在星期二安装修补程序后的第一个星期六安装修补程序，则可将重复周期设置为当月的第二个星期二，并指定 +4 天的偏移量。 或者，也可以指定希望计划过期的结束日期。

5. 在“计算机”选项卡上选择你的计算机，然后选择“下一步”。

   更新管理器不支持驱动程序更新。

6. 在“标记”选项卡上，将标记分配到维护配置。

7. 在“查看 + 创建”选项卡上验证更新部署选项，然后选择“创建”。

从“计算机”窗格

1. 登录 Azure 门户。

2. 在“Azure 更新管理器” | “计算机”页上，选择你的订阅和计算机，然后选择“计划更新”。

3. 在“创建新的维护配置”中，可为单个 VM 创建计划并分配计算机和标记。 按照在单个 VM 上计划定期更新的“从‘概述’窗格”中列出的步骤 3 所述的过程创建维护配置并分配计划。

从选定的 VM

1. 选择你的虚拟机，以打开“虚拟机”|“更新”页。
2. 在“操作”下选择“更新”。
3. 在“更新”选项卡上，选择“使用更新中心转到更新”。
4. 在“更新预览”中，选择“计划更新”。 在“创建新的维护配置”中，可为单个 VM 创建计划。 按照在单个 VM 上计划定期更新的“从‘概述’窗格”中列出的步骤 3 所述的过程创建维护配置并分配计划。

此时会显示一条通知，确认已创建部署。

计划大规模定期更新

若要计划大规模定期更新，请执行以下步骤。

可以从“概述”或“计算机”窗格计划更新。

从“概述”窗格

1. 登录 Azure 门户。

2. 在“Azure 更新管理器” | “概述”页中，选择你的订阅，然后选择“计划更新”。

3. 在“创建新的维护配置”页上，可为多个计算机创建计划。

   目前支持同一订阅中的 VM 和维护配置。

4. 在“基本信息”选项卡上，选择“订阅”、“资源组”，以及“实例详细信息”中的所有选项。

   • 选择“添加计划”。 在“添加/修改计划”中，指定计划详细信息，例如：

     • Start on
     • 维护时段（以小时为单位）
     • 重复（每月、每日或每周）
     • 添加结束日期
     • 计划摘要

   门户中不支持每小时选项，但可以通过 API 使用该选项。

5. 在“计算机”选项卡上，验证是否列出了选定的计算机。 可以在列表中添加或删除计算机。 选择下一步。

6. 在“更新”选项卡上，指定要包括在部署中的更新，例如更新分类或触发计划时必须安装的 KB ID/包。

   更新管理器不支持驱动程序更新。

7. 在“标记”选项卡上，将标记分配到维护配置。

8. 在“查看 + 创建”选项卡上验证更新部署选项，然后选择“创建”。

从“计算机”窗格

1. 登录 Azure 门户。

2. 在“Azure 更新管理器” | “计算机”页上，选择你的订阅和计算机，然后选择“计划更新”。

在“创建新的维护配置”页上，可为单个 VM 创建计划。 按照在单个 VM 上计划定期更新的“从‘概述’窗格”中列出的步骤 3 所述的过程创建维护配置并分配计划。

此时会显示一条通知，确认已创建部署。

附加维护配置

可将一个维护配置附加到多个计算机。 可以在创建新的维护配置时将它附加到计算机，甚至可以在创建后附加。

1. 在“Azure 更新管理器”页上选择“计算机”，然后选择你的订阅。

2. 选择你的计算机，然后在“更新”窗格中选择“计划的更新”，以创建维护配置或将现有维护配置附加到计划的定期更新。

3. 在“计划”选项卡上，选择“附加维护配置”。

4. 选择要附加的维护配置，然后选择“附加”。

5. 在“更新”窗格上，选择“计划”>“附加维护配置”。

6. 在“附加现有维护配置”页上，选择要附加的维护配置，然后选择“附加”。

   

从维护配置计划定期更新

可以从单个位置浏览和管理所有维护配置。

1. 在 Azure 门户中搜索“维护配置”。 此时会显示所有维护配置的列表，以及维护范围、资源组、位置及其所属的订阅。

2. 可以使用顶部的筛选器来筛选维护配置。 与来宾 OS 更新相关的维护配置是维护范围为“InGuestPatch”的配置。

可以创建新的来宾 OS 更新维护配置或修改现有的配置。

创建新的维护配置

1. 转到“计算机”并从列表中选择计算机。

2. 在“更新”窗格上，选择“计划的更新”。

3. 在“创建维护配置”窗格上，按照此过程中的步骤 3 创建维护配置。

4. 在“基本信息”选项卡上，为“来宾(Azure VM、已启用 Azure Arc 的 VM/服务器)”选择“维护范围”。

   

在维护配置中添加或移除计算机

1. 转到“计算机”并从列表中选择计算机。

2. 在“更新”页上，选择“一次性更新”。

3. 在“安装一次性更新”窗格上，选择“计算机”>“添加计算机”。

   

更改更新选择条件

1. 在“安装一次性更新”窗格上，选择要安装更新的资源和计算机。

2. 在“计算机”选项卡上，选择“添加计算机”以添加先前未选择的计算机，然后选择“添加”。

3. 在“更新”选项卡上，指定要包含在部署中的更新。

4. 相应地选择“包括 KB ID/包”和“排除 KB ID/包”，以选择更新，例如“关键”、“安全”、“功能更新”等。

   

使用 Azure Policy 加入计划

使用更新管理器可将一组 Azure VM 或非 Azure VM 作为目标，通过 Azure Policy 进行更新部署。 如果使用策略进行分组，则无需编辑部署以更新计算机。 可以使用订阅、资源组、标记或区域来定义范围。 可以将此功能用于可按用例自定义的内置策略。

注意

此策略还可确保 Azure 计算机的修补业务流程属性设置为“客户托管计划”，因为这是计划性修补的先决条件。

分配策略

使用 Azure Policy 可以大规模分配标准和评估合规性。 有关详细信息，请参阅 Azure Policy 概述。 将策略分配到范围：

1. 登录到 Azure 门户并选择“策略”。

2. 在“分配”下，选择“分配策略”。

3. 在“分配策略”页的“基本信息”选项卡上：

   • 对于“范围”，选择你的订阅和资源组，然后选择“选择”。

   • 选择“策略定义”以查看策略列表。

   • 在“可用定义”窗格中，为“类型”选择“内置”。 在“搜索”中，输入“使用 Azure 更新管理器计划定期更新”，然后单击“选择”。

     

   • 确保“策略实施”设置为“已启用”，然后选择“下一步”。

4. 在“参数”选项卡上，默认只会显示“维护配置 ARM ID”。

   如果未指定任何其他参数，则在“基本信息”选项卡上选择的订阅和资源组中的所有计算机都将涵盖在范围内。 如果想要根据资源组、位置、OS、标记等进一步限定范围，请取消选中“仅显示需要输入或检查的参数”以查看所有参数：

   • 维护配置 ARM ID：必须提供的参数。 此 ID 表示要分配到计算机的计划的 Azure 资源管理器 (ARM) ID。
   • 资源组：如果你想要将范围缩小到某个资源组，可以指定该资源组（可选）。 默认会选择订阅中的所有资源组。
   • 操作系统类型：可以选择“Windows”或“Linux”。 默认已预先选择这两个选项。
   • 计算机位置：可以指定要选择的区域（可选）。 默认情况下，所有项都处于选中状态。
   • 计算机上的标记：可以使用标记来进一步缩小范围。 默认情况下，所有项都处于选中状态。
   • 标记运算符：如果选择多个标记，可以指定是要将范围限定为具有所有标记的计算机，还是具有其中任何标记的计算机。

   

5. 在“修正”选项卡上的“托管标识”>“托管标识类型”中，选择“系统分配的托管标识”。 系统已根据策略定义将“权限”设置为“参与者”。

   如果选择“修正”，则策略在范围内的所有现有计算机上生效，否则，策略会分配给已添加到该范围的任何新计算机。

6. 在“查看 + 创建”选项卡上验证所做的选择，然后选择“创建”来识别不合规的资源，以了解环境的合规性状态。

查看合规性

若要查看现有资源的当前合规状态，请执行以下操作：

1. 在“策略分配”中，选择“范围”以选择你的订阅和资源组。

2. 在“定义类型”中选择策略。 在列表中选择分配名称。

3. 选择“查看合规性”。 “资源合规性”列出了计算机和失败原因。

   

检查计划性修补运行

可以在更新管理器门户中检查维护配置运行的部署状态和历史记录。 有关详细信息，请参阅按维护运行 ID 更新部署历史记录。

维护时段的时间线

维护时段控制可在虚拟机和已启用 Arc 的服务器上安装的更新数。 建议在安装更新时查看下表以了解维护时段的时间线：

例如，如果维护时段为 3 小时并从下午 3:00 开始，以下是有关如何安装更新的详细信息：

Windows

更新类型	详细信息
Service Pack	如果要安装 Service Pack，则维护时段需要剩余 20 分钟才能成功安装更新，否则将跳过更新。 在此示例中，必须在下午 5:40 之前完成 Service Pack 的安装。
其他更新	如果要安装 Service Pack 以外的任何其他更新，则维护时段需要剩余 15 分钟，否则会跳过该更新。 在此示例中，必须在下午 5:45 之前完成其他更新的安装。
重新启动	如果计算机需要重启，则维护时段需要剩余 10 分钟，否则会跳过重启。 在此示例中，必须在下午 5:50 前开始重启。 注意：对于 Azure 虚拟机和已启用 Arc 的服务器，Azure 更新管理器会在重启后等待最多 15 分钟（对于 Azure VM）和 25 分钟（对于 Arc 服务器）以完成重启操作，然后才会将其标记为失败。

Linux

更新类型	详细信息
重新启动	如果 VM 需要重启，则维护时段需要剩余 15 分钟，否则会跳过重启。 注意：这仅适用于 Azure VM，不适用于已启用 Arc 的服务器。 在此示例中，必须在下午 5:45 前开始重启。
批量安装的更新	如果批大小为 X，则更新包所需的最短时间的计算方式如下 - 如果 X 小于或等于 3，则所需的最短时间 = 5 x X 分钟。 - 如果 X 大于 3，则所需的最短时间 = 15+2 x (X-3) 分钟。 注意：只有 Azure 更新管理器服务控制更新的批大小 (X)。

注意

• 如果维护时段即将结束，Azure 更新管理器不会停止安装新更新。
• 如果超出维护时段，并且只是还未尝试必须安装的剩余更新，则 Azure 更新管理器不会终止正在进行的更新。 建议重新评估维护时段的持续时间，以确保安装所有更新。
• 如果超出了 Windows 上的维护时段，通常是因为服务包更新需要很长时间才能安装。

后续步骤

• 详细了解“动态范围”，这是计划修补的高级功能。
• 详细了解如何在 Azure VM 上配置计划修补以确保业务连续性。
• 按照有关如何管理动态范围的各种操作的说明进行操作
• 了解事件前后以自动执行计划维护配置前后的任务。