使用 Azure 入口網站 和 Azure 原則 排程機器的週期性更新
適用於: ✔️ Windows VM ✔️ Linux VM ✔️ 內部部署環境✔️已啟用 Azure Arc 的伺服器。
重要
- 如需順暢的排程修補體驗,建議您針對所有 Azure 虛擬機 (VM),在 2023 年 6 月 30 日前將修補程式協調流程更新為客戶管理的排程。 如果您在 2023 年 6 月 30 日前無法更新修補程式協調流程,則可能會因為排程無法修補 VM 而發生商務持續性中斷。 深入了解。
- 透過 Azure 原則 排程週期性更新不適用於由 21 Vianet 運作的 Azure 美國政府和 Azure 中國。
您可以使用 Azure Update Manager 來建立及儲存週期性部署排程。 您可以每天、每周或每小時建立排程。 您可以指定要在排程中更新的電腦,以及要安裝的更新。
此排程接著會根據單一 VM 和大規模建立的排程自動安裝更新。
更新管理員會使用維護控制排程,而不是建立自己的排程。 維護控制可讓客戶管理平台更新。 如需詳細資訊,請參閱維護控制文件。
排程修補的必要條件
請參閱 更新管理員的必要條件。
Azure 機器的修補程式協調流程應設定為 客戶管理的排程。 如需詳細資訊,請參閱在現有 VM 上啟用排程修補。 對於啟用 Azure Arc 的機器,這不是必需的。
在可用性設定組中排程修補
通用 可用性設定組中 的所有 VM 不會同時更新。
通用可用性設定組中的 VM 會在更新網域界限內更新。 跨多個更新網域的 VM 不會同時更新。
在相同可用性設定組的計算機在同一時間在不同的排程中修補時,可能會無法修補,或者如果維護期間超過,可能會失敗。 若要避免這種情況,建議您增加維護期間,或在不同時間將屬於相同可用性設定組的機器分割成多個排程。
設定重新開機設定
藉由編輯用來管理重新啟動的登錄和登錄機碼,設定自動 更新 中列出的登錄機碼可能會導致您的電腦重新啟動。 即使您在 [排程] 設定中指定 [永不重新啟動] ,也可能發生重新啟動。 請依據您的環境需求設定這些登錄機碼。
服務限制
我們建議針對指標使用下列限制。
| 指標 | 限制 |
|---|---|
| 每個區域的每個訂用帳戶排程數目 | 250 |
| 排程的資源關聯總數 | 3,000 |
| 每個動態範圍上的資源關聯 | 1,000 |
| 每個資源群組或每個區域的訂用帳戶動態範圍數目 | 250 |
| 每個排程的動態範圍數目 | 30 |
| 連結至每個排程中所有動態範圍的訂用帳戶總數 | 30 |
如需詳細資訊,請參閱 動態範圍的服務限制。
在單一 VM 上排程週期性更新
您可以從 [更新管理員] 頁面上的 [概觀] 或 [機器] 窗格,或從選取的 VM 排程更新。
若要在單一 VM 上排程週期性更新:
登入 Azure 入口網站。
在 [Azure 更新管理員 | 概觀] 頁面上,選取您的訂用帳戶,然後選取 [排程更新]。
在 [ 建立新的維護組態 ] 頁面上,您可以建立單一 VM 的排程。
目前支援相同訂用帳戶中的 VM 和維護設定。
在 [基本] 頁面上,選取 [訂用帳戶]、[資源群組] 和 [實例詳細數據] 中的所有選項。
選取 [維護範圍] 作為 [來賓](Azure VM、已啟用 Azure Arc 的 VM/伺服器)。
然後選取 [新增排程]。 在 [ 新增/修改排程] 中,指定排程詳細數據,例如:
- 開始時間
- 維護時間範圍 (以小時為單位)。 上層維護期間為3小時55分鐘。
- 重複數(每月、每日或每周)
- 新增結束日期
- 排程摘要
入口網站中不支援每小時選項,但可透過 API 使用。
![顯示 [排程修補基本概念] 頁面的螢幕快照。](media/scheduled-updates/scheduled-patching-basics-page.png)
針對 每月重複,有兩個選項:
- 在行事曆日期上重複 (選擇性地在月份的最後一個日期執行)。
- 在月份的 nth (first、 second 等) x day (例如星期一、 星期二) 重複。 您也可以指定日期集的位移。 可能是 +6/-6。 例如,如果您想要在週二修補后的第一個星期六進行修補,請將週期設定為月份的第二個星期二,並加上 +4 天的位移。 或者,您也可以指定排程到期時的結束日期。
在 [ 機器] 索引標籤上,選取您的電腦,然後選取 [ 下一步]。
更新管理員不支持驅動程式更新。
在 [ 卷標] 索引標籤上,將標籤指派給維護組態。
在 [ 檢閱 + 建立] 索引標籤上,確認您的更新部署選項,然後選取 [ 建立]。
登入 Azure 入口網站。
在 [Azure 更新管理員 | 機器] 頁面上,選取您的訂用帳戶、選取您的計算機,然後選取 [排程更新]。
在 [建立新的維護設定] 中,您可以建立單一 VM 的排程,並指派機器和標籤。 遵循從單一 VM 上排程週期性更新的 [概觀] 窗格中所列的步驟 3 執行程式,以建立維護組態並指派排程。
通知會確認已建立部署。
大規模排程週期性更新
若要大規模排程週期性更新,請遵循下列步驟。
您可以從 [ 概觀 ] 或 [機器 ] 窗格排程更新。
登入 Azure 入口網站。
在 [Azure 更新管理員 | 概觀] 頁面上,選取您的訂用帳戶,然後選取 [排程更新]。
在 [ 建立新的維護組態 ] 頁面上,您可以建立多部計算機的排程。
目前支援相同訂用帳戶中的 VM 和維護設定。
在 [基本] 索引標籤上,選取 [訂用帳戶]、[資源群組] 和 [實例詳細數據] 中的所有選項。
然後選取 [新增排程]。 在 [ 新增/修改排程] 中,指定排程詳細數據,例如:
- 開始時間
- 維護時間範圍 (以小時為單位)
- 重複數(每月、每日或每周)
- 新增結束日期
- 排程摘要
入口網站中不支援每小時選項,但可透過 API 使用。
在 [ 機器] 索引標籤上,確認選取的機器是否已列出。 您可以從清單中新增或移除機器。 選取 [下一步]。
在 [更新] 索引標籤上,指定要包含在部署中的更新,例如當您觸發排程時必須安裝的更新分類或 KB 識別元/套件。
更新管理員不支持驅動程式更新。
在 [ 卷標] 索引標籤上,將標籤指派給維護組態。
在 [ 檢閱 + 建立] 索引標籤上,確認您的更新部署選項,然後選取 [ 建立]。
通知會確認已建立部署。
附加維護組態
維護設定可以連結至多部機器。 它可以在建立新的維護組態時,或即使在您建立維護組態之後,也可以附加至機器。
在 [ Azure 更新管理員] 頁面上,選取 [ 機器],然後選取您的訂用帳戶。
選取您的計算機,然後在 [更新] 窗格中,選取 [排程的更新] 以建立維護設定,或將現有的維護設定附加至排程的週期性更新。
在 [ 排程] 索引標籤上,選取 [ 附加維護組態]。
選取您要附加的維護組態,然後選取 [ 附加]。
在 [更新] 窗格中,選取 [排程>附加維護組態]。
在 [ 附加現有的維護組態] 頁面上,選取您要附加的維護組態 ,然後選取 [ 附加]。
從維護設定排定週期性更新時程
您可以從單一位置瀏覽和管理所有維護設定。
搜尋 Azure 入口網站 中的維護設定。 它會顯示所有維護組態的清單,以及其所屬的維護範圍、資源群組、位置和訂用帳戶。
您可以使用頂端的篩選條件來篩選維護組態。 與客體OS更新相關的維護組態是維護範圍為 InGuestPatch的維護組態。
您可以建立新的客體 OS 更新維護設定,或修改現有的設定。
建立新的維護設定
移至 [ 機器 ],然後從清單中選取計算機。
在 [更新] 窗格中,選取 [排程的更新]。
在 [ 建立維護組態 ] 窗格上,遵循此 程式中 的步驟 3 來建立維護設定。
在 [基本] 索引標籤上,選取 [維護範圍] 作為 [客體](Azure VM、已啟用 Arc 的 VM/servers)。
從維護設定新增或移除機器
移至 [ 機器 ],然後從清單中選取機器。
在 [更新] 頁面上,選取 [一次性更新]。
在 [安裝一次性更新] 窗格中,選取 [機器>新增計算機]。
變更更新選取準則
在 [ 安裝一次性更新] 窗格中,選取要安裝更新的資源和機器。
在 [ 機器] 索引標籤上,選取 [新增計算機 ] 以新增先前未選取的機器,然後選取 [ 新增]。
在 [更新] 索引標籤上,指定要包含在部署中的更新。
選取 [包含 KB 標識符/套件] 和 [排除 KB 標識符/套件],以選取 [重大]、[安全性] 和 [功能更新] 等更新。
使用 Azure 原則 上線至排程
更新管理員可讓您以一組 Azure 或非 Azure VM 為目標,以透過 Azure 原則 進行更新部署。 使用原則的群組可讓您不必編輯部署來更新機器。 您可以使用訂用帳戶、資源群組、標籤或區域來定義範圍。 您可以針對內建原則使用這項功能,您可以根據您的使用案例自定義此功能。
注意
此原則也可確保 Azure 機器的修補程式協調流程屬性已設定為 客戶管理的排程 ,因為它是排程修補的必要條件。
指派原則
Azure 原則 可讓您大規模指派標準和評估合規性。 如需詳細資訊,請參閱 Azure 原則概觀。 若要將原則指派給範圍:
登入 Azure 入口網站,然後選取 [原則]。
在 [指派] 底下,選取 [指派原則]。
在 [ 指派原則] 頁面上的 [ 基本] 索引標籤 上:
針對 [ 範圍],選擇您的訂用帳戶和資源群組,然後選擇 [ 選取]。
選取 [ 原則定義 ] 以檢視原則清單。
在 [可用的定義] 窗格中,選取 [內建類型]。 在 [ 搜尋] 中,輸入 使用 Azure 更新管理員 排程週期性更新,然後按兩下 [ 選取]。
確定 [原則 強制執行 ] 設定為 [已啟用],然後選取 [ 下一步]。
根據預設,在 [ 參數] 索引標籤上 ,只會顯示維護設定ARM標識碼 。
如果您未指定任何其他參數,您在 [基本] 索引標籤上選取的訂用帳戶和資源群組中的所有機器都會涵蓋在範圍下。 如果您想要根據資源群組、位置、OS、標籤等進一步設定範圍,請清除 [僅顯示需要輸入或檢閱 的參數] 以檢視所有參數:
- 維護設定ARM標識碼:提供的必要參數。 它表示您要指派給機器之排程的 Azure Resource Manager (ARM) 識別符。
- 資源群組:如果您想要將資源群組限定為資源群組,您可以選擇性地指定資源群組。 根據預設,會選取訂用帳戶中的所有資源群組。
- 操作系統類型:您可以選取 [Windows] 或 [Linux]。 根據預設,這兩者都會預先選取。
- 計算機位置:您可以選擇性地指定您想要選取的區域。 根據預設,會選取所有專案。
- 機器上的標籤:您可以使用標籤進一步縮小範圍。 根據預設,會選取所有專案。
- 標記運算子:如果您選取多個標籤,您可以指定範圍是否為具有所有標籤或具有這些標籤標的電腦。
在 [補救] 索引標籤的 [受控識別>類型] 中,選取 [系統指派的受控識別]。 根據原則定義,許可權 已設定為 參與者 。
如果您選取 [ 補救],原則就會在範圍中的所有現有機器上生效,否則會指派給已新增至範圍的任何新計算機。
在 [ 檢閱 + 建立] 索引標籤上,確認您的選取專案,然後選取 [建立 ] 以識別不符合規範的資源,以了解環境的合規性狀態。
檢視合規性
若要檢視現有資源的目前合規性狀態:
在 [ 原則指派] 中,選取 [ 範圍 ] 以選取您的訂用帳戶和資源群組。
在 [ 定義類型] 中,選取原則。 在清單中,選取指派名稱。
選取 [ 檢視合規性]。 資源合規性 會列出計算機和失敗原因。
檢查排程的修補執行
您可以從 Update Manager 入口網站檢查維護組態的部署狀態和歷程記錄。 如需詳細資訊,請參閱 依維護執行標識元更新部署歷程記錄。
維護期間的時間軸
維護期間會控制可在虛擬機和已啟用Arc的伺服器上安裝的更新數目。 建議您瀏覽下表,以瞭解安裝更新時維護時段的時間軸:
例如,如果維護期間為 3 小時,且從下午 3:00 開始,以下是安裝更新的詳細數據:
| 更新類型 | 詳細資料 |
|---|---|
| Service Pack | 如果您要安裝 Service Pack,則需要在維護視窗中保留 20 分鐘,才能成功安裝更新,否則會略過更新。 在此範例中,您必須在下午 5:40 之前完成安裝 Service Pack。 |
| 其他更新 | 如果您要安裝 Service Pack 以外的任何其他更新,則需要在維護期間保留 15 分鐘,否則會略過。 在此範例中,您必須在下午 5:45 之前完成安裝其他更新。 |
| 重新啟動 | 如果機器需要重新啟動,您需要在維護期間保留 10 分鐘,否則會略過重新啟動。 在此範例中,您必須在下午 5:50 開始重新啟動。 注意:針對 Azure 虛擬機和已啟用 Arc 的伺服器,Azure Update Manager 會等候最多 15 分鐘的 Azure VM,並在重新啟動后 25 分鐘等候 Arc 伺服器完成重新啟動作業,再將其標示為失敗。 |
注意
- 如果 Azure 更新管理員接近維護期間結尾,則不會停止安裝新的更新。
- 如果超過維護期間,且未嘗試安裝剩餘的更新,則 Azure Update Manger 不會終止進行中的更新。 建議您重新評估維護時段的持續時間,以確保已安裝所有更新。
- 如果在 Windows 上超出維護時間範圍,通常是因為 Service Pack 更新需要很長的時間才能安裝完成。
下一步
- 深入瞭解 動態範圍,這是排程修補的進階功能。
- 深入瞭解如何 設定 Azure VM 上的排程修補,以保持商務持續性。
- 遵循如何 管理動態範圍各種作業的指示
- 了解 預先和張貼事件 ,以在排程的維護設定前後自動執行工作。