管理 VM 的更新和修補程式 (機器翻譯)
警告
本文參考 CentOS,這是已達到生命周期結束 (EOL) 狀態的 Linux 發行版。 請據此考慮您的使用方式和規劃。 如需詳細資訊,請參閱 CentOS 生命週期結束指導。
重要
自動化更新管理已在 2024 年 8 月 31 日淘汰,建議您使用 Azure 更新管理員。 請依照從自動化更新管理移轉至 Azure 更新管理員的指導方針操作。
Azure 自動化更新管理中的軟體更新功能提供一系列工具和資源,幫助您管理追蹤和套用軟體更新至 Azure 和混合式雲端中機器的複雜工作。 有效的軟體更新管理流程是維持營運效率、克服安全性問題,以及降低日益增加的網路安全性威脅風險的關鍵。 不過,由於科技不斷變動的本質與新型的安全性威脅不斷出現,因此有效的軟體更新管理需要一致且持續的關注。
注意
更新管理支援部署第一方更新及預先下載, 這項支援需要在正在更新的系統上進行變更。 如需了解如何在系統上設定這些設定,請參閱設定 Windows Update 設定以進行 Azure 自動化更新管理。
嘗試為您的 VM 管理更新以前,請確定您已透過下列任意方法,為其啟用更新管理:
限制部署的範圍
更新管理會使用工作區中的範圍設定,來鎖定要接收更新的電腦。 如需詳細資訊,請參閱限制更新管理部署範圍。
合規性評定
將軟體更新部署至機器以前,請檢閱已啟用機器的更新合規性評定結果。 系統會先記錄每項軟體更新的合規性狀態,接著在評估完成後收集並批次轉送至 Azure 監視器記錄。
在 Windows 機器上,合規性掃描預設會每 12 小時執行一次,而如果重新啟動適用於 Windows 的 Log Analytics 代理程式,則會在 15 分鐘內啟動。 之後評定資料會轉送至工作區,並重新整理 [更新] 資料表。 系統會於安裝更新前後執行更新合規性掃描來識別遺漏的更新,但其結果不會用來更新資料表的評定資料。
請務必檢閱我們針對如何使用更新管理設定 Windows Update 用戶端的建議事項,避免出現任何導致系統無法正確管理的問題。
針對 Linux 機器,合規性掃描預設每小時執行一次。 如果重新啟動適用於 Linux 的 Log Analytics 代理程式,則會在 15 分鐘內啟動合規性掃描。
每個經過評估的機器,其合規性結果會顯示於更新管理。 儀表板最多可能需要 30 分鐘,才會顯示來自啟用以供管理新機器的更新資料。
請檢閱監視軟體更新,了解如何檢視合規性結果。
部署更新
檢閱過合規性結果後,軟體更新部署階段會進入軟體更新部署流程。 若要安裝更新,請將部署排定在發行排程和服務時段之後。 您可以選擇要在部署中包含的更新類型。 例如,您可以包含重大更新或安全性更新,並排除更新彙總套件。
請檢閱部署軟體更新,了解如何為更新部署進行排程。
排除更新
在某些 Linux 版本上 (例如 Red Hat Enterprise Linux),安裝特定套件可能會造成 OS 層級升級。 這可能會導致「更新管理」在 OS 版本號碼變更時執行。 因為「更新管理」使用與系統管理員在本機 Linux 電腦上使用的相同方式來更新套件,所以這是刻意的行為。
若要避免透過「更新管理」實作來更新 OS 版本,請使用 [排除] 功能。
在 Red Hat Enterprise Linux 中,要排除的套件名稱為 redhat-release-server.x86_64
。
Linux 更新分類
當您將更新部署至 Linux 機器時,可以選取更新分類。 此選項會篩選出符合指定準則的更新。 此篩選會在更新部署時套用至本機電腦上。
由於「更新管理」會在雲端中執行更新擴充,因您可在「更新管理」將有些更新標示為有安全性影響,即使本機電腦並沒有該資訊。 如果您將重大更新套用至 Linux 電腦,某些未標示為在該電腦上有安全性影響的更新,因此不會套用。 不過,「更新管理」仍可能將該電腦回報為不符合規範的電腦,因為其對於該相關更新還有其他資訊。
RTM 版本的 CentOS 不支援依更新分類部署更新。 為了適當部署 CentOS 更新,請選取所有分類以確保套用所有更新。 針對 SUSE,只選取 [其他更新] 作為分類時,如果首先需要與 zypper (套件管理員) 相關或需要其相依性,則可能安裝其他一些安全性更新。 此行為是 zypper 的限制。 在某些情況下,您可能需要重新執行更新部署,然後透過更新記錄驗證佈署。
檢閱更新部署
請於部署完成後檢閱流程,判斷機器或目標群組的更新部署是否成功。 請參閱檢閱部署狀態,了解監視部署狀態的方法。
下一步
若要了解如何建立警示來通知更新部署的結果,請參閱為更新管理建立警示。
您可以查詢 Azure 監視器記錄來分析更新評定、部署和其他相關的管理工作, 包括預先定義的查詢,以協助您開始進行。