共用方式為

如何部署更新和檢閱結果

  • 發行項

警告

本文參考 CentOS,這是處於終止服務 (EOL) 狀態的 Linux 發行版。 請據此考慮您的使用方式和規劃。 如需詳細資訊,請參閱 CentOS 生命週期結束指導

重要

使用 Log Analytics 代理程式的變更追蹤和清查已在 2024 年 8 月 31 日淘汰,建議您使用 Azure 監視代理程式作為新的支援代理程式。 遵循從使用記錄分析的變更追蹤和清查至使用 Azure 監視代理程式版本的變更追蹤和清查的移轉指導方針

本文說明如何排定更新部署,並在部署完成後檢閱程序。 您可以從選取的 Azure 虛擬機、選取的啟用了 Azure Arc 的伺服器或從所有已設定機器和伺服器當中的自動化帳戶中設定更新部署。

在每一種情況下,您所建立的部署都會以選定的機器或伺服器為目標,或者在從您的自動化帳戶建立部署的情況下,您能以一台或多台機器為目標。 當您從 Azure VM 或啟用了 Azure Arc 的伺服器中排定更新部署時,這些步驟與從您的自動化帳戶中部署相同,但有下列的例外情況:

  • 作業系統會根據機器的作業系統自動預先選取。
  • 要更新的目的機器會自動設定為目標本身。

重要

建立了更新部署,表示您接受為其作業系統提供更新的公司所提供的「軟體授權條款」(EULA) 中的條款。

登入 Azure 入口網站

登入 Azure 入口網站

排定更新部署

排定更新部署會建立一個連結到 Patch-MicrosoftOMSComputers Runbook (處理目標機器上的更新部署) 的排程資源。 您必須將部署安排在發行排程和服務時間範圍之後,以便安裝更新。 您可以選擇要在部署中包含的更新類型。 例如,您可以包含重大更新或安全性更新,以及排除更新彙總套件。

注意

如果您在建立部署後從 Azure 入口網站或使用 PowerShell 刪除了排程資源,將會中斷已排程的更新部署,並在您嘗試從入口網站重新設定排程資源時顯示錯誤。 您只能藉由刪除對應的部署排程來刪除排程資源。

若要排定新的更新部署,請執行下列步驟。 根據所選的資源 (也就是自動化帳戶、啟用了 Azure Arc 的伺服器、Azure VM),以下步驟適用於所有在設定部署排程時略有不同的步驟。

  1. 在入口網站中,為下列各種案例排定部署:

    • 針對一或多部機器,瀏覽至 [自動化帳戶],然後從清單中選取啟用了更新管理的自動化帳戶。
    • 針對 Azure VM,瀏覽至 [虛擬機器],然後從清單中選取您的 VM。
    • 針對啟用了 Azure Arc 的伺服器,瀏覽至[伺服器 - Azure Arc],然後從清單中選取您的伺服器。

  2. 視您所選取的資源而定,瀏覽至 [更新管理]:

    • 如果您選取了您的自動化帳戶,請移至 [更新管理] 底下的 [更新管理],然後選取 [排定更新部署]。
    • 如果您選取了 Azure VM,請移至 [客體 + 主機更新],然後選取 [移至更新管理]。
    • 如果您選取啟用了 Azure Arc 的伺服器,請移至 [更新管理],然後選取 [排定更新部署]。

  3. 在 [新增更新部署] 下,於 [名稱] 欄位中輸入部署的唯一名稱。

  4. 選取要進行更新部署的目標作業系統。

    注意

    如果您選取了 Azure VM 或啟用了 Azure Arc 的伺服器,則無法使用此選項。 會自動識別作業系統。

  5. 在 [要更新的群組] 區域中,結合訂用帳戶、資源群組、位置及標記來定義查詢,以建立要包含在您部署中的動態 Azure VM 群組。 若要進一步了解,請參閱搭配更新管理使用動態群組

    注意

    如果您選取了 Azure VM 或啟用了 Azure Arc 的伺服器,則無法使用此選項。 該機器會自動成為排定部署的目標。

    重要

    建置動態的 Azure VM 群組時,「更新管理」最多只支援 500 個查詢 (其結合了群組範圍內的訂用帳戶或資源群組)。

  6. 在 [要更新的電腦] 中,選取已儲存的搜尋、已匯入的群組,或從下拉式功能表中選擇 [機器],然後選取個別的機器。 利用此選項,您可以查看每一部機器的 Log Analytics 代理程式的整備狀態。 若要深入了解在 Azure 監視器記錄中建立電腦群組的不同方法,請參閱 Azure 監視器記錄中的電腦群組。 您可以在排定的更新部署中包含最多 1000 部機器。

    注意

    如果您選取了 Azure VM 或啟用了 Azure Arc 的伺服器,則無法使用此選項。 該機器會自動成為排定部署的目標。

  7. 使用 [更新分類] 區域來指定產品的[更新分類]。 針對每個產品,取消選取所有支援的更新分類,但不要取消選取要納入您更新部署中的項目。

    顯示選取特定更新分類的範例。

    如果您的部署想要只套用一組選定的更新,則有必要在設定 [包含/排除更新] 選項時取消選取所有預先選取的更新分類,如下一步所述。 這可確保只有您指定要包含 在此部署中的更新才會安裝在目標機器上。

    注意

    RTM 版本的 CentOS 不支援依更新分類部署更新。 為了適當部署 CentOS 更新,請選取所有分類以確保套用所有更新。 目前沒有支援的方法可以在 CentOS 上啟用原生分類資料可用性。 有關更新分類的詳細資訊,請參閱下列內容。

    注意

    對於「更新管理」所支援的 Linux 發行版,按更新分類部署更新可能無法正常運作。 這是以 OVAL 檔案的命名結構描述所識別的問題導致的,這會阻止「更新管理」根據篩選規則來正確地比對分類。 由於安全性更新評量中所使用的不同邏輯,結果可能與部署期間所套用的安全性更新不同。 如果您將分類設為 [重大] 和 [安全性],則更新部署將會如預期般地運作。 只會影響評量期間的更新分類

    Windows Server 機器的「更新管理」不受影響;更新分類和部署不會變更。

  8. 使用 [包含/排除更新] 區域,從部署中新增或排除選取的更新。 在 [包含/排除] 頁面上,您可以針對 Windows 更新輸入要包含或排除的 KB 文章 ID 數字。 針對受支援的 Linux 發行版,您可以指定套件名稱。

    顯示如何包含特定更新的範例。

    重要

    請記得,排除項目會覆寫包含項目。 例如,如果您定義排除規則 *,更新管理即會將所有修補程式或套件從安裝中排除。 排除的修補程式仍然會顯示為從機器中遺漏。 若使用 Linux 電腦,如果您納入已排除之相依套件的套件,更新管理不會安裝主要套件。

    注意

    您無法指定將已取代的更新納入更新部署中。

    以下是一些範例情況,可協助您瞭解如何在更新部署中同時使用包含/排除和更新分類:

    • 如果您只想要安裝特定的更新清單,則不應該選取任何 [更新分類],以及使用 [包含] 選項來提供要套用的更新清單。

    • 如果您只想要安裝安全性和重大更新,以及一或多個選擇性更新,您應該在 [更新分類] 底下選取 [安全性] 和 [重大]。 然後針對 [包含] 選項,指定選擇性更新的 KBID。

    • 如果您想要只安裝安全性和重大更新,但略過適用於 Python 的一或多個更新以避免破壞您的舊版應用程式,則您應該在 [更新分類] 底下選取 [安全性] 和 [重大]。 然後,針對 [排除] 選項,新增 Python 套件以略過。

  9. 選取 [排程設定]。 預設開始時間為目前時間之後的 30 分鐘。 您可以將開始時間設為 10 分鐘以後的任何時間。

  10. 使用 [週期性] 來指定部署是進行一次,還是使用週期性排程,然後按一下 [確定]

  11. 在 [前置指令碼 + 後置指令碼] 區域,選取在部署前和部署後要執行的指令碼。 若要深入了解,請參閱管理前指令碼和後指令碼

  12. 使用維護時段 (分鐘) 欄位,指定允許安裝更新的時間長度。 在指定維護時間範圍時,請考慮下列詳細資料:

    • 維護時間範圍可控制要安裝的更新數目。
    • 如果更新程序中的下一個步驟是安裝 Service Pack,則在維護時段中必須還剩 20 分鐘,否則將略過該更新。
    • 如果更新程序中的下一個步驟是安裝除 Service Pack 之外的任何其他類型的更新,則在維護時段中必須還剩 15 分鐘,否則將略過該更新。
    • 如果更新程序中的下一個步驟是重新開機,則在維護時段中必須還剩 10 分鐘,否則將略過該重新開機。
    • 如果維護時間範圍即將結束,更新管理並不會停止安裝新的更新。
    • 如果超出維護時間範圍,更新管理並不會終止進行中的更新。 不會嘗試安裝任何剩餘的更新。 如果持續發生此情況,您應該重新評估維護時段的持續時間。
    • 如果在 Windows 上超出維護時間範圍,通常是因為 Service Pack 更新需要很長的時間才能安裝完成。

    注意

    若要避免在 Ubuntu 維護時間範圍以外套用更新,請重新設定 Unattended-Upgrade 套件以停用自動更新。 如需有關如何設定套件的資訊,請參閱 Ubuntu Server 指南中的自動更新主題

  13. 使用 [重新開機選項] 欄位,指定在部署期間處理重新開機的方式。 下列是可用的選項:

    • 必要時重新開機 (預設值)
    • 一律重新開機
    • 永不重新開機
    • 僅重新開機;此選項不會安裝更新

    注意

    如果 [重新開機選項] 已設定為 [永不重新開機],在用來管理重新啟動的登錄機碼底下所列的登錄機碼可能會造成重新開機事件。

  14. 部署排程設定完成後,請選取 [建立]

    更新排程設定窗格

    注意

    當您完成為選定啟用了 Azure Arc 的伺服器設定部署排程時,請選取 [檢閱 + 建立]

  15. 您會回到狀態儀表板。 選取 [部署排程] 以顯示您所建立的部署排程。 最多列出 500 個排程。 如果您有超過 500 個排程,而且想要檢閱完整清單,請參閱軟體更新組態 - 列出 REST API 方法。 指定 API 2019-06-01 版或更新版本。

以程式設計方式排程更新部署

若要了解如何使用 REST API 來建立更新部署,請參閱軟體更新設定 - 建立

您也可以使用 Runbook 範例來建立每週更新部署。 若要深入了解此 Runbook,請參閱為資源群組中的一或多個 VM 建立每週更新部署 \(英文\)。

檢查部署狀態

排定的部署開始之後,您可以在 [更新管理] 底下的 [歷程記錄] 索引標籤上查看其狀態。 目前正在執行部署時,其狀態會是 [進行中]。 部署順利完成後,狀態會變更為已成功。 若部署中發生一或多個更新失敗時,狀態就會是失敗

檢視已完成更新部署的結果

當部署完成時,您可以選取它來查看其結果。

特定部署的更新部署狀態儀表板

更新結果之下,會有摘要提供目標虛擬機器上的更新總數和部署結果。 右邊的表格會顯示每個更新的詳細明細及安裝結果。

可用的值為:

  • 未嘗試 - 未安裝更新,因為根據所定義的維護時間範圍持續時間,可用的時間不足。
  • 未選取 - 未選取該更新來進行部署。
  • 成功 - 更新已順利完成。
  • 失敗 - 更新失敗。

若要查看部署已建立的所有記錄項目,請選取 [所有記錄]

選取 [輸出],以查看負責在目標 VM 上管理更新部署的 Runbook 作業串流。

若要查看部署所傳回的任何錯誤詳細資訊,請選取 [錯誤]

跨 Azure 租用戶部署更新

如果您在另一個向「更新管理」回報的 Azure 租用戶中有需要修補的電腦,則必須使用下列因應措施進行排程。 您可以使用 New-AzAutomationSchedule Cmdlet 搭配指定的 ForUpdateConfiguration 參數來建立排程。 您可以使用 New-AzAutomationSoftwareUpdateConfiguration Cmdlet,並將其他租用戶中的電腦傳遞至 NonAzureComputer 參數。 下列範例顯示如何執行這項工作。

$nonAzurecomputers = @("server-01", "server-02")

$startTime = ([DateTime]::Now).AddMinutes(10)

$sched = New-AzAutomationSchedule `
    -ResourceGroupName mygroup `
    -AutomationAccountName myaccount `
    -Name myupdateconfig `
    -Description test-OneTime `
    -OneTime `
    -StartTime $startTime `
    -ForUpdateConfiguration

New-AzAutomationSoftwareUpdateConfiguration  `
    -ResourceGroupName $rg `
    -AutomationAccountName <automationAccountName> `
    -Schedule $sched `
    -Windows `
    -NonAzureComputer $nonAzurecomputers `
    -Duration (New-TimeSpan -Hours 2) `
    -IncludedUpdateClassification Security,UpdateRollup `
    -ExcludedKbNumber KB01,KB02 `
    -IncludedKbNumber KB100

下一步