更新管理員的運作方式
更新管理員會評估並套用所有適用於 Windows 和 Linux 的 Azure 機器和已啟用 Azure Arc 的伺服器更新。
更新管理員 VM 延伸模組
當您在已啟用 Azure 或 Arc 的伺服器上啟用或觸發 Azure Update Manager 作業 (AUM) 時,AUM 會分別在您的電腦上安裝 Azure 延伸模組或已啟用 Arc 的伺服器延伸模組來管理更新。
當您第一次在機器上起始任何更新管理員作業時,會自動在您的機器上安裝延伸模組,例如檢查更新、安裝一次性更新、定期評估,或第一次在機器上執行排程的更新部署。
客戶不需要明確安裝延伸模組和其生命週期,因為這方面是由 Azure 更新管理員管理,包括安裝和設定。 更新管理員延伸模組是使用下列代理程式來安裝及管理,必須有這些程式才能讓更新管理員在您的機器上運作:
- 適用於 Azure VM 的 Azure VM Windows 代理程式或 Azure VM Linux 代理程式。
- 已啟用 Arc 的伺服器代理程式
注意
Arc 連線是更新管理員、非 Azure 機器的必要條件,包含已啟用 Arc 的 VMWare、SCVMM 等。
會針對 Azure 機器安裝單一延伸模組,而針對已啟用 Azure Arc 的機器則會安裝兩個延伸模組。 以下是安裝延伸模組的詳細資料:
| 作業系統 | 副檔名 |
|---|---|
| Windows | Microsoft.CPlat.Core.WindowsPatchExtension |
| Linux | Microsoft.CPlat.Core.LinuxPatchExtension |
更新來源
Azure 更新管理員會接受電腦上的更新來源設定,並根據該設定擷取更新。 AUM 不會發佈或提供更新。
如果 Windows Update Agent (WUA) 設定為從 Windows Update 存放庫或Microsoft Update 存放庫或 Windows Server Update Services (WSUS)擷取更新,AUM 會接受這些設定。 如需詳細資訊,請參閱如何設定 Windows Update 用戶端。 根據預設,其設定為從 Windows Updates 存放庫擷取更新。
AUM 會執行下列步驟:
- 擷取 Windows Update 用戶端或 Linux 套件管理員所指定系統更新狀態的評估資訊。
- 使用 Windows Update 用戶端或 Linux 套件管理員,以起始更新的下載和安裝。
注意
- 機器會根據已設定為同步處理的來源,來回報其更新狀態。 如果已將 Windows Update 服務設定為向 WSUS 回報,則視 WSUS 上一次與 Microsoft Update 同步的時間而定,Update Manager 的結果可能與 Microsoft Update 所顯示的結果不同。 對於設定為向本機存放庫 (而不是公用套件存放庫) 報告的 Linux 機器,此行為是相同的。
- Update Manager 只會在您從本機 Windows 系統上選取檢查更新按鈕時,尋找 Windows Update 服務找到的更新。 在 Linux 系統上,只會尋找本機存放庫上的更新。
儲存在 Azure Resource Graph 中的更新資料
更新管理員延伸模組會將所有擱置的更新資訊和更新安裝結果推送至 Azure Resource Graph,資料會在下列期間內保留:
| 資料 | Azure Resource Graph 中的保留期間 |
|---|---|
| 擱置的更新 (ARG 資料表名稱:patchassessmentresources) | 7 天 |
| 更新安裝結果 (ARG 資料表名稱:patchinstallationresources) | 30 天 |
如需詳細資訊,請參閱 Azure Resource Graph 記錄結構,以及範例查詢。
如何在 Azure Update Manager 中安裝修補程式
在 Azure Update Manager 中,會使用下列方式安裝修補程式:
安裝流程會從 VM 上可用更新的全新評估開始。
安裝更新遵循評估。
- 在 Windows 中,會逐一安裝符合客戶準則的已選取更新,
- 在 Linux 中,會以批次方式安裝更新。
在安裝更新期間,系統會以多個步驟檢查維護視窗使用率。 針對 Windows 和 Linux,會保留 10 和 15 分鐘的維護時段給個別時間點的重新開機使用。 在繼續安裝其餘更新之前,系統會檢查預期的重新啟動時間加上平均更新安裝時間 (針對下一個更新或下一組更新),不會超過維護時段。 在 Windows 的情況下,除了服務套件更新以外,所有類型更新的平均安裝更新時間為 10 分鐘。 若為服務套件更新,則為 15 分鐘。
請注意,即使超過維護時段,進行中的安裝更新 (一旦根據上述計算啟動) 都會強制停止,,以避免使機器處於未定狀態。 不過,一旦超過維護時段,系統就不會繼續安裝剩餘的更新,而且在這種情況下會傳回超過維護時段的錯誤。
如果已安裝所有選取的更新,則修補/更新安裝只會標示為成功,且相關的所有作業 (包括重新啟動和評估) 皆為成功。 否則會標示為「失敗」或「已完成」,並出現警告。 例如,
案例 更新安裝狀態 無法安裝其中一個選取的更新。 失敗 不會因為任何原因而重新啟動,並且會等待重新啟動逾時。 失敗 機器無法在重新啟動期間啟動。 失敗 初始或最終評估失敗 失敗 必須重新啟動才能完成更新,但已選取 [一律不重新啟動] 選項。 已完成,但出現警告 如果找不到 Ubuntu 專業授權,則 ESM 套件已跳過 ubuntu18 或更低版本的修補。 已完成,但出現警告 會在最後進行評估。 請注意,在某些情況下,更新安裝結束時完成的重新啟動和評估可能不會發生,例如,如果已超過維護時段,或者如果更新因某些原因而安裝失敗等。