Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Patchen von Betriebssystemen ist eine wichtige (wenn nichtlamoröse) Pflicht für systemadministratoren. Traditionell kann man Windows Server Update Services (WSUS) oder System Center Configuration Manager (SCCM) verwenden, um Windows-Updates zu verwalten und Wartungsfenster für Server zu planen. Im cloudeigenen Ansatz übernimmt Azure Update Manager diese Rolle und stellt eine einheitliche Patchverwaltungslösung für Windows- und Linux-Server bereit, unabhängig davon, ob sie virtuelle Azure-Computer (VMs) oder Arc-fähige lokale Computer sind.
Cloud-native Betriebssystempatching über Azure Update Manager bedeutet zentralisiertes, richtliniengesteuertes Patching mit größerer Flexibilität und Einblick. Sie erhalten Features wie Wartungsfenster und Automatisierung für komplexe Workflows. Aufgrund von Innovationen wie Hotpatching können Sie ausfallzeiten während Updates reduzieren. Für einen Systemadministrator werden vertraute Aufträge vereinfacht: Sie legen die Regeln fest, und Azure führt das Patching aus. Sie können die Zeit für die manuelle Verwaltung von Updates reduzieren und alle Ihre Umgebungen über einen zentralen Compliancebericht überwachen.
Angenommen, Sie haben eine große Anzahl von Servern, die mit Azure Arc verbunden sind. Nachdem Sie Azure Update Manager auf Ihren Servern aktiviert haben, können Sie Wartungskonfigurationen definieren. Sie können beispielsweise Group A (Dev) erstellen, um jede Woche gepatcht zu werden, Gruppe B (Prod), um monatlich mit einem zweistündigen Fenster zu patchen usw. Anschließend weisen Sie diesen Zeitplänen Server (oder ganze Ressourcengruppen) zu. Sie können optional Vor- oder Nachbearbeitungsaufgaben mithilfe von Automatisierungs-Runbooks angeben. Wenn Patches bereitgestellt werden, können Sie den Fortschritt im Azure-Portal überwachen und später überprüfen, ob updates noch ausstehen.
Tipp
Um Anwendungen auf Azure-VMs bereitzustellen, bietet Virtual Machine Applications (VM Applications) einen modernen, flexiblen Ansatz für die Verwaltung von Anwendungen. Die Anwendungsinstallation wird von Basis-VM-Images entkoppelt, ohne dass VM-Images für jede Anwendungsänderung neu erstellt und erneut veröffentlicht werden müssen. Derzeit unterstützen Azure Arc-fähige Server keine VM-Anwendungen, aber Ausführen von Befehlsskripts und angepasster Computerkonfiguration kann die Bereitstellung von Anwendungen in ihrer lokalen Umgebung unterstützen.
Werfen wir einen genaueren Blick auf die Features, die einen modernisierten Ansatz für die Patchverwaltung für Ihre Arc-fähigen Server ermöglichen.
Einheitliches Patchcompliance-Dashboard
Azure Update Manager bietet Ihnen ein einziges Dashboard, um die Updatecompliance auf allen Ihren Servern zu überwachen. Sie können sehen, welche Updates auf jedem Computer fehlen, nach kritischen/Sicherheitsupdates filtern und einen Überblick über Ihren Patchstatus erhalten. Dieses Dashboard zeigt ähnliche Informationen wie in WSUS-Berichten oder scCM-Complianceberichten, aber integriert in das Azure-Portal und einschließlich lokaler Server zusammen mit nativen Azure-VMs. Bei einer Hybridumgebung kann diese Funktion Zeit sparen, indem die Notwendigkeit reduziert wird, Berichte aus mehreren Systemen zu aggregieren.
Planungs- und Wartungsfenster
Sie können Wartungskonfigurationen erstellen, die definieren, wann Patches auf Computergruppen angewendet werden sollen. Sie können beispielsweise jeden Samstag um 2 Uhr ein Fenster für Ihre Entwicklungsserver und ein weiteres Fenster am letzten Sonntag des Monats für Produktionsserver festlegen. Azure Update Manager ermöglicht das Planen von Updates in diesen kundendefiniert Wartungsfenstern. Dieser Ansatz entspricht sehr den Wartungsfenstern von SCCM oder änderungsverwaltungsfenstern. Sie haben kontrolle über Häufigkeit, Tag/Uhrzeit und welche Aktualisierungen einbezogen werden sollen. Wenn das Fenster eintrifft, koordiniert Azure die Installation der Updates auf den Zielcomputern. Sie können azure Policy auch verwenden, um neu hinzugefügte Computer automatisch in einem Standardpatchfenster zu planen.
Skripts für Das Vorab- und Bereitstellen von Ereignisupdates
Ein erweitertes Feature ist die Möglichkeit, Ereignisse vor und nach einem Wartungsfenster zu verbinden. Sie können Aufgaben automatisieren, die ausgeführt werden, bevor das Patchen beginnt und nach Abschluss des Patches abgeschlossen ist. Häufig verwendete Aufgaben können z. B. "Snapshot the VM" oder "Stop specific services" vor Updates sein. Post-Tasks können nach dem Patchen "diese Dienste sichern" oder "eine E-Mail-Benachrichtigung senden" sein. Möglicherweise möchten Sie auch virtuelle Computer aktivieren, die ausgeschaltet wurden (damit sie gepatcht werden können), und sie dann nach Updates wieder deaktivieren. Die präzise Kontrolle, die von Vor- und Nachvorgängen bereitgestellt wird, kann Ihnen helfen, maximale Betriebszeit zu gewährleisten, auch wenn Updates erforderlich sind.
Azure Update Manager verwendet Das Ereignisraster zum Auslösen von Vor- und Nachereignissen. Dies bedeutet, dass Sie Azure-Funktionen, Azure Logic Apps oder Azure Automation-Runbooks für Vorab- und Postereignisse aufrufen können. Diese Funktionen ermöglichen anwendungsfähiges Patchen; Genau wie sie benutzerdefinierte Skripts in SCCM oder orchestrierten Patchsequenzen verwenden können, können Sie die gleichen Funktionen in Azure in Ihrer gesamten Hybridumgebung erreichen.
Granulare Patchsteuerelemente und Sequenzierung
Mit Azure Update Manager können Sie Computer in einer Wartungskonfiguration gruppieren und bei Bedarf sogar die Reihenfolge des Patchings sequenzieren. Sie können beispielsweise separate Wartungskonfigurationen mit Offset verwenden, um sicherzustellen, dass Webserver zuerst gepatcht werden, dann App-Server und dann Datenbankserver.
Sie können auch Einschluss- oder Ausschlusslisten für Updates verwenden, sodass Sie präzise Anforderungen erzwingen können. Sie können z. B. diese Listen verwenden, um ein bestimmtes Update auszuschließen, das bekanntermaßen Probleme verursacht, oder nur sicherheitsrelevante Updates auf Ihre Server anzuwenden.
Hotpatching (eine Technik zur Durchführung von Software-Updates ohne Neustart des Systems)
Azure Update Manager integriert Hotpatch für Arc-fähige Server mit Windows Server 2025 Datacenter Edition oder Standard Edition. Durch Hotpatching können bestimmte Sicherheitsupdates installiert werden, ohne die Computer neu zu starten, wodurch die Ausfallzeiten beseitigt werden, die bei einem Neustart erforderlich wären. Als Systemadministrator würden Sie weiterhin ein Wartungsfenster planen, aber wenn alle Patches in einem Zyklus über Hotpatching bereitgestellt werden können, kann dieses Fenster ohne Neustart bestehen und die Dienstverfügbarkeit maximieren.
Azure Update Manager verwaltet die Hotpatch-Zyklen, wobei Hotpatch-Updates monatlich bereitgestellt werden. Ein Neustart ist nur für neue Basispläne (kumulative Updates) erforderlich, die in der Regel alle drei Monate bereitgestellt werden.
Betriebssystem- und Hybridunterstützung
Azure Update Manager ist nicht nur für Windows vorgesehen. Arc-fähige Server, die Linux ausführen, werden ebenfalls unterstützt. Der Update-Manager kann Updates aus Linux-Paketrepositorys anwenden und bei Bedarf sogar Neustarts durchführen. Sie erhalten einheitliche Berichte für Ihre Linux-Computer zusammen mit Windows. Wenn Sie also auch für einige Ubuntu- oder RHEL-Server verantwortlich sind, deckt Azure diese jetzt nativ ab. Diese breite Unterstützung unterstreicht den Vorteil des "Cloudadministrators" mit einem Tool für alle Betriebssystemversionen.
Automatischer Linux-Updatedienst
Sie können den integrierten Dienst Ihrer Linux-Verteilung auch verwenden, um das installierte, mit Azure verbundene Computer-Agent-Paket automatisch zu aktualisieren. Mit dieser Option können Sie das Agent-Paketupdate nahtlos in Ihren Paket-Manager integrieren und konfigurierte Repositorys konfigurieren. Da Paketupdates im Microsoft-Paket-Repository veröffentlicht werden, können Sie den Agent mit Ihren üblichen Verteilungstools aktualisieren, unabhängig davon, ob es sich um manuelle, remote verwaltete oder in einem von Tools verwalteten Zeitplan handelt, z. B. dnf-automatic für RPM-basierte Distributionen und unbeaufsichtigte Upgrades für Debian-basierte Distributionen.