Azure Update Manager 評估並套用更新至所有 Windows 與 Linux 的 Azure 虛擬機(VM)及啟用 Azure Arc 的伺服器。
更新管理員 VM 延伸模組
當您的 Azure VM 或啟用 Azure Arc 伺服器啟用或觸發 Update Manager 操作時,Update Manager 會在您的機器上安裝 Azure 擴充功能 或 啟用 Azure Arc 的伺服器擴充 功能來管理更新。
當你第一次在電腦上啟動任何更新管理員操作時,擴充功能會自動安裝。 這些操作包括 更新檢查、 一次性更新安裝,以及 定期評估。 當排程更新部署首次在您的機器上執行時,這些擴充功能也會自動安裝。
你不必明確安裝擴充功能及其生命週期。 Update Manager 透過以下代理程式來管理安裝與設定。 這些代理程式是更新管理員在你的機器上運作的必要條件。
- For Azure VMS: Azure Windows VM Agent 或 Azure Linux VM Agent
- 針對 Azure Arc 支援的伺服器:Azure Connected Machine agent
附註
Azure Arc 連線是更新管理員及非 Azure 機器的前提,包括啟用 Azure Arc 的 VMware vSphere 及啟用 Azure Arc 的 System Center 虛擬機器管理員。
對於 Azure 機器,Update Manager 會安裝一個擴充功能。 對於啟用 Azure Arc 的機器,Update Manager 會安裝兩個擴充功能。 以下分頁提供擴充功能的詳細資訊:
| 作業系統 | 延伸模組 |
|---|---|
| 窗戶 | Microsoft.CPlat.Core.WindowsPatchExtension |
| Linux | Microsoft.CPlat.Core.LinuxPatchExtension |
若要在 Azure 入口網站中檢視 VM 的可用延伸模組:
- 前往Azure 入口網站並選取 VM。
- 在虛擬機首頁的 設定中,選擇 擴充功能+應用程式。
- 在延伸模組索引標籤上,您可以檢視可用的延伸模組。
更新來源
Update Manager 會尊重機器上的更新來源設定,並相應地取得更新。 更新管理員不會發布或提供更新。
如果 Windows Update Agent(WUA) 設定為從 Windows Update 儲存庫、Microsoft Update 儲存庫或 Windows Server Update Services (WSUS) 擷取更新,Update Manager 會尊重這些設定。 欲了解更多資訊,請參閱 「配置 Azure Update Manager 的 Windows Update 設定」。 預設情況下, WUA 設定為從 Windows Update 儲存庫擷取更新。
更新處理序
更新管理器執行以下步驟:
- 取得由 Windows Update 用戶端或 Linux 套件管理器指定的系統更新狀態評估資訊。
- 透過 Windows Update 用戶端或 Linux 套件管理器啟動更新的下載與安裝。
機器會根據設定同步的來源來回報更新狀態。 如果已將 Windows Update 服務設定為向 WSUS 回報,則視 WSUS 上一次與 Microsoft Update 同步的時間而定,Update Manager 的結果可能與 Microsoft Update 所顯示的結果不同。 對於設定為向本機存放庫 (而不是公用套件存放庫) 報告的 Linux 機器,此行為是相同的。
更新管理員只會找到 Windows Update 服務在你選擇本地 Windows 系統「 檢查更新」 按鈕時找到的更新。 在 Linux 系統中,Update Manager 只會發現本地儲存庫中的更新。
Update Manager 使用 WUA API 來安裝更新。 透過 WUA API 安裝的更新不會出現在機器設定應用程式的 Windows 更新頁面。 因此,透過更新管理員安裝的更新在設定應用程式的 Windows 更新頁面中看不到。 設定應用程式中的 Windows Update 頁面會顯示 Windows Update 協調器工作流程所管理的更新進度與歷史。 深入瞭解。
Azure Resource Graph 中儲存的更新相關資料
Update Manager 擴充功能會將所有待處理的更新資訊和更新安裝結果推送到 Azure Resource Graph。 資源圖保留以下時間段的資料:
| 資料 | 資源圖中的保留期 |
|---|---|
待更新(資源圖資料表名稱: patchassessmentresources) |
7 天 |
更新安裝結果(資源圖表名稱: patchinstallationresources) |
30 天 |
欲了解更多資訊,請參閱 Azure 資源圖的日誌結構 及 範例查詢。
在更新管理員中安裝修補程式
更新管理員安裝修補程式的方式如下:
Update Manager 會對虛擬機上的可用更新進行全新評估。
對於 Windows 來說,符合客戶條件的選定更新會逐一安裝。 Linux 則是以批次方式安裝。
在更新安裝過程中,更新管理員會在多個步驟檢查維護視窗的使用情況。
對於 Windows 和 Linux,維護時間的 10 分鐘和 15 分鐘分別隨時可用於重啟。 在更新管理員繼續安裝剩餘更新前,會檢查預期重啟時間加上平均更新安裝時間(下一次更新或下一組更新)是否未超過維護視窗。
以 Windows 為例,除了服務包更新外,所有類型的更新平均安裝時間為 10 分鐘。 服務包更新則是 15 分鐘。
持續更新安裝(根據前述計算開始後)不會被強制停止,即使超過維護時段,以避免機器陷入可能未確定的狀態。 然而,Update Manager 在維護視窗結束後不會安裝剩餘的更新,且會顯示「維護視窗超過」錯誤。
更新管理員只有在所有選擇的更新都已安裝且所有相關操作(包括重啟與評估)都成功時,才會將安裝標記為成功。 否則,安裝會被標記為 失敗 或 已完成並附有警告。 例如:
案例 更新安裝狀態 安裝其中一個選中的更新失敗。 失敗 不會因為任何原因而重新啟動,並且重新啟動的等待時間逾時。 失敗 機器在重啟時無法啟動。 失敗 初次或最終評估均未通過。 失敗 更新需要重新啟動,但會選擇 「永不重啟 」選項。 附有警告 如果沒有 Ubuntu Pro 授權,ESM 套件會在 Ubuntu 18 或更早版本中跳過修補程式。 附有警告 評定會在結束時進行。 有時候,重啟和評估根本沒發生;例如,如果維護視窗結束或更新安裝失敗。