設定 Azure VM 上的排程修補,以保持商務持續性
適用於: ✔️ Windows VM ✔️ Linux ✔️ VM Azure VM。
本文概述如何使用新的必要條件在 Azure VM 上設定排程修補和自動來賓虛擬機器 (VM) 修補,以確保商務持續性。 在 Azure Arc VM 上設定這兩個修補選項的步驟維持不變。
目前,您可以將修補模式設定為 REST API 中的 Azure 入口網站 或 AutomaticByPlatform 中協調的 Azure,以啟用自動客體 VM 修補(autopatch),其中修補程式會在離峰時段自動套用。
若要自定義修補程式安裝的控制權,您可以使用 排程修補 來定義維護期間。 您可以將修補程式模式設定為 REST API 中的 Azure 入口網站 或 AutomaticByPlatform 中的 Azure 協調,並將排程附加至 Azure VM,以啟用排程修補。 因此,VM 屬性無法區分 排程修補 或 自動客體 VM 修補 ,因為兩者都已將修補程式模式設定為 Azure 協調。
在某些情況下,當您從 VM 移除排程時,可能會自動修補並重新啟動 VM。 為了克服這些限制,我們引進了新的必要條件, ByPassPlatformSafetyChecksOnUserSchedule現在可以使用排程修補來設定來 true 識別 VM。 這表示當 VM 沒有相關聯的維護設定時,此屬性設定為 true 的 VM 將不再自動修補。
重要
如需持續排程修補體驗,您必須確定所有已於 2023 年 6 月 30 日之前附加排程的 Azure VM(現有或新 VM)上都已啟用新的 VM 屬性BypassPlatformSafetyChecksOnUserSchedule。 此設定可確保計算機會使用您設定的排程進行修補,而不會自動修補。 無法在 2023 年 6 月 30 日之前啟用,會提供不符合必要條件的錯誤。
在可用性設定組中排程修補
通用 可用性設定組中 的所有 VM 不會同時更新。
通用可用性設定組中的 VM 會在更新網域界限內更新。 跨多個更新網域的 VM 不會同時更新。
在相同可用性設定組的計算機在同一時間在不同的排程中修補時,可能會無法修補,或者如果維護期間超過,可能會失敗。 若要避免這種情況,建議您增加維護期間,或在不同時間將屬於相同可用性設定組的機器分割成多個排程。
尋找具有相關聯排程的 VM
若要使用您必須啟用新 VM 屬性的相關聯排程來識別 VM 清單:
移至 Azure Update Manager 首頁,然後選取 [ 機器] 索引標籤 。
在 [修補程序協調流程篩選] 中,選取 [Azure 受控 - 保管庫 部署]。
使用 [ 全部選取] 選項來選取機器,然後選取 [ 匯出至 CSV]。
開啟 CSV 檔案,然後在 [相關聯的排程] 數據行中,選取具有專案的數據列。
在對應的 [名稱] 資料行中,您可以檢視您需要啟用
ByPassPlatformSafetyChecksOnUserSchedule旗標的 VM 清單。
在 Azure VM 上啟用排程修補
若要在 Azure VM 上啟用排程修補,請遵循下列步驟。
必要條件
修補程式協調流程 = 客戶管理的排程
選取修補程式協調流程選項作為 客戶管理的排程。 新的修補程式協調流程選項會在收到您的同意之後,代表您啟用下列 VM 屬性:
- 修補程式模式 =
Azure-orchestrated BypassPlatformSafetyChecksOnUserSchedule= TRUE
啟用新的 VM
您可以針對與排程相關聯的新 VM 選取修補程式協調流程選項。
若要更新修補程式模式:
- 登入 Azure 入口網站。
- 移至 [虛擬機 ],然後選取 [建立 ] 以開啟 [ 建立虛擬機 ] 頁面。
- 在 [ 基本] 索引 標籤上,填入所有必要欄位。
- 在 [管理] 索引標籤的 [客體 OS 更新] 底下,針對 [修補程序協調流程選項],選取 [Azure 協調]。
- 填入 [監視]、[進階] 和 [卷標] 索引卷標上的專案。
- 選取 [檢閱 + 建立] 。 選取 [建立 ] 以使用適當的修補程序協調流程選項建立新的 VM。
若要排程修補新建立的 VM,請遵循下一節「為現有 VM 啟用」步驟 2 中的程式。
針對現有的 VM 啟用
您可以更新現有 VM 的修補程式協調流程選項,這些 VM 已與排程相關聯,或與排程新建立關聯。
如果修補程式協調流程設定為 Azure 協調或 Azure 受控 - 保管庫 部署 (AutomaticByPlatform),BypassPlatformSafetyChecksOnUserSchedule則會設定為 false,而且沒有相關聯的排程,VM 將會自動修補。
若要更新修補程式模式:
- 登入 Azure 入口網站。
- 移至 [Azure 更新管理員],然後選取 [更新 設定]。
- 在 [變更更新設定] 中,選取 [新增計算機]。
- 在 [ 選取資源] 中,選取您的 VM,然後選取 [ 新增]。
- 在 [變更更新設定] 窗格的 [修補程序協調流程] 底下,選取 [客戶管理排程],然後選取 [儲存]。
完成上述步驟之後,請附加排程。
若要檢查是否BypassPlatformSafetyChecksOnUserSchedule已啟用,請移至虛擬機首頁,然後選取 >[概觀 JSON 檢視]。
注意
目前,您只能啟用透過 Azure 入口網站、REST API 和 PowerShell 排程修補的新必要條件。 無法透過 Azure CLI 加以啟用。
在 Azure VM 上啟用自動客體 VM 修補
若要立即在您的 Azure VM 上啟用自動客體 VM 修補,請遵循下列步驟。
必要條件
修補程式模式 = Azure-orchestrated
啟用新的 VM
您可以針對與排程相關聯的新 VM 選取修補程式協調流程選項。
若要更新修補程式模式:
- 登入 Azure 入口網站。
- 移至 [虛擬機 ],然後選取 [建立 ] 以開啟 [ 建立虛擬機 ] 頁面。
- 在 [ 基本] 索引 標籤上,填入所有必要欄位。
- 在 [管理] 索引標籤的 [客體 OS 更新] 底下,針對 [修補程序協調流程選項],選取 [Azure 協調]。
- 填入 [監視]、[進階] 和 [卷標] 索引卷標上的專案。
- 選取 [檢閱 + 建立] 。 選取 [建立 ] 以使用適當的修補程序協調流程選項建立新的 VM。
針對現有的 VM 啟用
若要更新修補程式模式:
- 登入 Azure 入口網站。
- 移至 [更新管理員],然後選取 [更新設定]。
- 在 [ 變更更新設定 ] 窗格中,選取 [ 新增計算機]。
- 在 [ 選取資源] 窗格中,選取您的 VM,然後選取 [ 新增]。
- 在 [變更更新設定] 窗格的 [修補程序協調流程] 底下,選取 [Azure 受控 - 保管庫 部署],然後選取 [儲存]。
使用者案例
| 案例 | Azure 協調 | BypassPlatform 保管庫 tyChecksOnUserSchedule | 相關聯的排程 | Azure 中預期的行為 |
|---|---|---|---|---|
| 實例 1 | Yes | True | Yes | 排程修補程式會依使用者定義執行。 |
| 案例 2 | Yes | True | No | 自動修補和排程修補程式不會執行。 |
| 案例 3 | Yes | False | Yes | 自動修補和排程修補程式不會執行。 您收到不符合排程修補程式必要條件的錯誤。 |
| 案例 4 | Yes | False | No | VM 已自動修補。 |
| 案例 5 | No | True | Yes | 自動修補和排程修補程式不會執行。 您收到不符合排程修補程式必要條件的錯誤。 |
| 案例 6 | No | True | No | 自動修補和排程修補程式不會執行。 |
| 案例 7 | No | False | Yes | 自動修補和排程修補程式不會執行。 您收到不符合排程修補程式必要條件的錯誤。 |
| 案例8 | No | False | No | 自動修補和排程修補程式不會執行。 |
下一步
- 深入瞭解 動態範圍,這是排程修補的進階功能。
- 遵循如何 管理動態範圍各種作業的指示
- 瞭解如何 根據針對單一 VM 和大規模建立的排程自動安裝更新。
- 了解 預先和張貼事件 ,以在排程的維護設定前後自動執行工作。