共用方式為

設定 Azure VM 上的排程修補,以獲得商務持續性

  • 發行項

適用於: ✔️ Windows VMs ✔️ Linux VMs ✔️ Azure VMs.

本文概述如何使用新的必要條件在 Azure VM 上設定排程修補和自動來賓虛擬機器 (VM) 修補,以確保商務持續性。 在 Azure Arc VM 上設定這兩個修補選項的步驟維持不變。

目前,您可以將修補模式設定為 Azure 入口網站中的 [由 Azure 協調] 或 REST API 中的 [AutomaticByPlatform],以啟用自動客體 VM 修補 (自動修補),其中修補程式會在離峰時段自動套用。

若要自訂修補程式安裝的控制,您可以使用排程修補來定義維護時段。 您可以將修補模式設定為 Azure 入口網站中的 [由 Azure 協調] 或 REST API 中的 [AutomaticByPlatform],然後將排程附加至 Azure VM,以啟用排程修補。 因此,VM 屬性無法區分排程修補自動客體 VM 修補,因為兩者都已將修補模式設定為 [由 Azure 協調]

在某些情況下,當您從 VM 移除排程時,可能會自動修補並重新啟動 VM。 為了克服這些限制,我們引進了新的必要條件 ByPassPlatformSafetyChecksOnUserSchedule,而現在可以使用排程修補來設定為 true 以識別 VM。 這表示當 VM 沒有相關聯的維護設定時,此屬性設定為 true 的 VM 將不再自動修補。

重要

如需持續的排程修補體驗,您必須確定所有已於 2023 年 6 月 30 日之前附加排程的 Azure VM (現有或新 VM) 上都已啟用新的 VM 屬性 BypassPlatformSafetyChecksOnUserSchedule。 此設定可確保電腦會使用您設定的排程進行修補,而不會自動修補。 無法在 2023 年 6 月 30 日之前啟用時,會發生不符合必要條件的錯誤。

在可用性設定組中排程修補

在一般可用性設定組中的所有 VM 不會同時更新。

一般可用性設定組中的 VM 會在升級網域界限內更新。 跨多個升級網域的 VM 不會同時更新。

當相同可用性設定組的電腦在相同時間於不同的排程中進行修補時,可能會無法修補,或者如果超過維護時段,則可能會失敗。 若要避免這種情況,建議您增加維護期間,或在不同時間將屬於相同可用性設定組的電腦分割成多個排程。

尋找具有相關聯排程的 VM

若要使用您必須啟用新 VM 屬性的相關聯排程來識別 VM 清單:

  1. 移至 Azure 更新管理員首頁,然後選取 [電腦] 索引標籤。

  2. 在 [修補程序協調流程] 篩選條件中,選取 [Azure 受控 - 安全部署]

  3. 使用 [全部選取] 選項來選取電腦,然後選取 [匯出至 CSV]

  4. 開啟 CSV 檔案,然後在資料行 [相關聯的排程] 中,選取具有項目的資料列。

    在對應的 [名稱] 資料行中,您可以檢視需要啟用 ByPassPlatformSafetyChecksOnUserSchedule 旗標的 VM 清單。

在 Azure VM 上啟用排程修補

若要在 Azure VM 上啟用排程修補,請遵循下列步驟。

必要條件

修補程式協調流程 = 客戶自控排程

選取修補程式協調流程選項作為客戶自控排程。 新的修補程式協調流程選項會在收到您的同意之後,代表您啟用下列 VM 屬性:

  • 修補模式 = Azure-orchestrated
  • BypassPlatformSafetyChecksOnUserSchedule = TRUE

啟用新的 VM

您可以針對與排程相關聯的新 VM 選取修補程式協調流程選項。

若要更新修補模式:

  1. 登入 Azure 入口網站
  2. 移至 [虛擬機器],然後選取 [建立] 以開啟 [建立虛擬機器] 頁面。
  3. 在 [基本] 索引標籤上,填入所有必要欄位。
  4. 在 [管理] 索引標籤的 [客體 OS 更新] 底下,針對 [修補程式協調流程選項],選取 [由 Azure 協調]
  5. 填入 [監視]、[進階] 和 [標籤] 索引標籤上的項目。
  6. 選取 [檢閱 + 建立] 。 選取 [建立] 以使用適當的修補程式協調流程選項建立新的 VM。

若要排程修補新建立的 VM,請遵循下一節「針對現有的 VM 啟用」中步驟 2 中程序。

針對現有的 VM 啟用

您可以更新現有 VM 的修補程式協調流程選項,這些 VM 已與排程相關聯,或與排程新建立關聯。

如果修補程式協調流程設定為 [由 Azure 協調] 或 [Azure 受控 - 安全部署 (AutomaticByPlatform)],而 BypassPlatformSafetyChecksOnUserSchedule 設定為 false,且沒有相關聯的排程時,VM 將會自動修補。

若要更新修補模式:

  1. 登入 Azure 入口網站
  2. 移至 [Azure 更新管理員],然後選取 [更新設定]
  3. 在 [變更更新設定] 中,選取 [新增機器]
  4. 在 [選取資源] 中,選取您的 VM,然後選取 [新增]
  5. 在 [變更更新設定] 的 [修補程式協調流程] 下方,選取 [客戶自控排程],然後選取 [儲存]

完成上述步驟之後,請附加排程。

若要檢查是否 BypassPlatformSafetyChecksOnUserSchedule 已啟用,請移至 [虛擬機器] 首頁,然後選取 [概觀]>[JSON 檢視]

注意

您現在可以透過 Azure 入口網站、REST API、PowerShell 和 Azure CLI 啟用排程修補的新必要條件。

在 Azure VM 上啟用自動客體 VM 修補

若要立即在您的 Azure VM 上啟用自動客體 VM 修補,請遵循下列步驟。

必要條件

修補模式 = Azure-orchestrated

啟用新的 VM

您可以針對與排程相關聯的新 VM 選取修補程式協調流程選項。

若要更新修補模式:

  1. 登入 Azure 入口網站
  2. 移至 [虛擬機器],然後選取 [建立] 以開啟 [建立虛擬機器] 頁面。
  3. 在 [基本] 索引標籤上,填入所有必要欄位。
  4. 在 [管理] 索引標籤的 [客體 OS 更新] 底下,針對 [修補程式協調流程選項],選取 [由 Azure 協調]
  5. 填入 [監視]、[進階] 和 [標籤] 索引標籤上的項目。
  6. 選取 [檢閱 + 建立] 。 選取 [建立] 以使用適當的修補程式協調流程選項建立新的 VM。

針對現有的 VM 啟用

若要更新修補模式:

  1. 登入 Azure 入口網站
  2. 移至 [更新管理員],然後選取 [更新設定]
  3. 在 [變更更新設定] 窗格中,選取 [新增電腦]
  4. 在 [選取資源] 窗格中,選取您的 VM,然後選取 [新增]
  5. 在 [變更更新設定] 窗格的 [修補程式協調流程] 底下,選取 [Azure 受控 - 安全部署],然後選取 [儲存]

使用者案例

案例 由 Azure 協調 BypassPlatformSafetyChecksOnUserSchedule 相關聯的排程 Azure 中預期的行為
實例 1 Yes True Yes 排程修補程式會依使用者定義執行。
案例 2 Yes True No 自動修補和排程修補不會執行。
案例 3 Yes False Yes 自動修補和排程修補不會執行。 您收到不符合排程修補必要條件的錯誤。
案例 4 Yes False No VM 已自動修補。
案例 5 No True Yes 自動修補和排程修補不會執行。 您收到不符合排程修補必要條件的錯誤。
案例 6 No True No 自動修補和排程修補不會執行。
案例 7 No False Yes 自動修補和排程修補不會執行。 您收到不符合排程修補必要條件的錯誤。
案例 8 No False No 自動修補和排程修補不會執行。

下一步