你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Azure 更新管理器中的更新选项和业务流程

适用于：✔️ Windows VM ✔️ Linux VM ✔️ 本地环境 ✔️ 已启用 Azure Arc 的服务器。

重要

• 为了获得无缝的计划修补体验，建议将所有 Azure 虚拟机 (VM) 的补丁业务流程更新为“客户管理的计划”。 如果无法更新补丁业务流程，可能会遇到业务连续性中断问题，因为计划将无法修补 VM。 如需更多信息，请参阅在 Azure VM 上配置计划修补以确保业务连续性。

本文概述了 Azure 更新管理器中的各种更新选项和业务流程。

更新选项

自动 OS 映像升级

在 Azure 虚拟机规模集上启用自动 OS 映像升级时，它有助于简化更新管理的过程，以安全、自动的方式升级规模集内所有实例的 OS 磁盘。

自动 OS 升级具有以下特征：

• 配置后，映像发布者发布的最新 OS 映像将自动应用于规模集，无需任何用户干预。
• 每次发布者发布新映像时，它都以滚动方式分批升级实例。
• 与应用程序运行状况探测和应用程序运行状况扩展集成。
• 适用于所有大小的 VM，同时适用于 Windows 和 Linux 映像，其中包括通过 Azure Compute Gallery 获取的自定义映像。
• 可以灵活地随时选择停用自动升级。 （也可以手动启动 OS 升级）。
• VM 的 OS 磁盘被替换为使用最新映像版本创建的新 OS 磁盘。 已配置的扩展和自定义数据脚本会运行，同时保留持久性数据磁盘。
• 支持扩展排序。
• 可在任意大小的规模集上启用。

注意

建议查看以下内容：

• 在启用自动 OS 映像升级之前需要符合的要求
• 支持的 OS 映像
• 支持自定义映像需要符合的要求。 了解详细信息

自动 VM 来宾修补

在 Azure VM 上启用自动 VM 来宾修补后，有助于 Azure 更新管理器自动、安全地修补虚拟机，使虚拟机保持安全合规。

自动 VM 来宾修补具有以下特征：

• 在 VM 上自动下载并应用已分类为“关键”或“安全”的补丁。
• 在 VM 所在时区的非高峰期为 IaaS VM 应用补丁。
• Azure 虚拟机规模集 VMSS 灵活业务流程可在所有时段应用修补程序。
• 由 Azure 管理补丁业务流程，遵循可用性优先原则应用补丁。
• 监视虚拟机运行状况（通过平台运行状况信号来确定），以检测修补失败的情况。
• 可以通过应用程序运行状况扩展监视应用程序运行状况。
• 适用于所有大小的 VM。

启用 VM 属性

若要启用 VM 属性，请执行以下步骤：

1. 在 Azure 更新管理器主页上，转到“更新设置”。
2. 选择“补丁业务流程”作为“Azure 托管安全部署”。

注意

我们建议采取以下做法：

• 了解自动 VM 来宾修补的工作原理。
• 在启用自动 VM 来宾修补之前确认需要符合的要求。
• 查看支持的 OS 映像。 了解详细信息

热修补

通过热修补，可以在受支持的 Windows Server Datacenter: Azure Edition 虚拟机上安装 OS 安全更新，安装后无需重新启动。 热补丁的工作方式是修补正在运行的进程的内存中代码，而无需重启进程。

以下是热修补的功能：

• 二进制文件减少会使更新安装速度更快，使用的磁盘空间和 CPU 资源更少。
• 随着重启次数的减少，工作负载影响降低。
• 提供更好的保护，因为热补丁更新包的范围限定为 Windows 安全更新，无需重启即可更快地安装更新。
• 可减少暴露于安全风险和更改窗口的时间，并使用 Azure 更新管理器简化补丁业务流程

“热修补”属性可用作 Azure 更新管理器中的设置，可以使用更新设置流程启用该设置。 有关详细信息，请参阅虚拟机和受支持平台的热补丁。

自动扩展升级

自动扩展升级适用于 Azure VM 和 Azure 虚拟机规模集。 在 VM 或规模集中启用自动扩展升级后，每当扩展发行商发布了扩展的新版本，该扩展就会自动升级。

自动扩展升级具有以下特性：

• 它支持 Azure VM 和 Azure 虚拟机规模集。
• 根据可用性优先部署模型应用升级。
• 对于虚拟机规模集，在一个批次中升级的规模集虚拟机数不超过总数的 20%。 最小批次大小为一个虚拟机。
• 适用于所有 VM 大小，并且适用于 Windows 和 Linux 扩展。
• 在任何大小的虚拟机规模集上启用。
• 每个受支持的扩展将单独注册，可以选择要自动升级的扩展。
• 在所有公有云区域中均受支持。 有关详细信息，请参阅支持的扩展和自动扩展升级

Windows 自动更新

使用此修补模式，操作系统可以在 Windows VM 可用后立即自动在其上安装更新。 它使用通过将补丁业务流程设置为“OS 编排/由 OS 自动执行”启用的 VM 属性。

注意

• Windows 自动更新不是 Azure 更新管理器的一项设置，而是 Windows 级别的设置。
• Azure 更新管理器不支持 Azure 中运行 Windows Server 的 VM 的就地升级。

更新或修补业务流程

Azure 更新管理器具有灵活性，可以立即安装更新，也可以在定义的维护时段内计划更新。 通过这些设置，你可以协调虚拟机的修补。

立即更新/一次性更新

使用 Azure 更新管理器，可以通过按需安装更新来即时保护计算机。 若要执行按需更新，请参阅检查并安装一次性更新

计划内修补

可以创建频率为每日、每周或每小时的计划（具体取决于你的要求），指定必须按计划更新的计算机，以及必须安装的更新。 然后，此计划会根据这些规定自动安装更新。

Azure 更新管理器使用维护控制计划，而不是创建自身的计划。 维护控制使客户能够管理平台更新。 有关详细信息，请参阅维护控制。

使用计划内修补来创建和保存定期部署计划。

注意

应将 Azure 计算机的修补业务流程属性设置为客户管理的计划，因为它是计划修补的先决条件。 有关详细信息，请参阅先决条件列表。

重要

• 为了获得无缝的计划修补体验，必须将所有 Azure VM 的补丁业务流程更新为客户管理的计划。 如果无法更新修补业务流程，则可能会遇到业务连续性中断，因为计划将无法修补 VM。 了解详细信息。
• 对于已启用 Arc 的服务器，不支持诸如 Azure 中的自动 VM 来宾修补、Windows 自动更新和热修补等更新和维护选项。

后续步骤

• 若要查看更新管理器生成的更新评估和部署日志，请参阅查询日志。
• 若要排查 Azure 更新管理器的问题，请参阅排查问题。