Planowanie cyklicznych aktualizacji komputerów przy użyciu witryny Azure Portal i usługi Azure Policy

Dotyczy: ✔️ Maszyny wirtualne z systemem Windows ✔️ Maszyny wirtualne z systemem Linux ✔️ Środowisko lokalne ✔️ Serwery z Azure Arc.

Usługa Azure Update Manager używa konfiguracji konserwacji do kontrolowania aktualizacji wielu zasobów maszyn wirtualnych platformy Azure i zarządzania nimi. Aby uzyskać więcej informacji, zobacz dokumentację gościa .

Pojęcie Za pomocą usługi Azure Update Manager można tworzyć i zapisywać cyklicznych harmonogramów wdrażania. Możesz utworzyć harmonogram w cyklu dziennym, tygodniowym lub godzinnym. Można określić maszyny, które muszą zostać zaktualizowane w ramach harmonogramu i aktualizacje do zainstalowania. Są one zapisywane jako konfiguracje konserwacji.

Wymagania wstępne dotyczące zaplanowanego stosowania poprawek

1. Zobacz Wymagania wstępne dotyczące programu Update Manager.
2. Orkiestracja poprawek maszyn platformy Azure powinna być ustawiona na harmonogramy zarządzane przez klienta.

Nuta W przypadku maszyn z obsługą usługi Azure Arc nie jest to wymagane.

Zaplanowane stosowanie poprawek w zestawie dostępności

Wszystkie maszyny wirtualne we wspólnym zestawie dostępności nie są aktualizowane współbieżnie.

Maszyny wirtualne w typowym zestawie dostępności są aktualizowane w granicach domeny aktualizacji. Maszyny wirtualne w wielu domenach aktualizacji nie są aktualizowane współbieżnie.

W scenariuszach, w których komputery z tego samego zestawu dostępności są poprawiane w tym samym czasie w różnych harmonogramach, prawdopodobnie mogą one nie zostać poprawione lub potencjalnie może to zakończyć się niepowodzeniem w przypadku przekroczenia okna obsługi. Aby tego uniknąć, zalecamy zwiększenie okna obsługi lub podzielenie komputerów należących do tego samego zestawu dostępności na kilka harmonogramów w różnym czasie.

Skonfiguruj ustawienia ponownego uruchamiania

Klucze rejestru wymienione w Konfigurowanie automatycznych aktualizacji przez edytowanie rejestru i Klucze rejestru używane do zarządzania ponownym uruchomieniem mogą spowodować ponowne uruchomienie maszyn. Ponowny rozruch może wystąpić, nawet jeśli w ustawieniach Harmonogramu określono opcję Nigdy nie uruchamiaj ponownie. Skonfiguruj te klucze rejestru, aby najlepiej pasowały do Twojego środowiska.

Limity usługi

Aby uzyskać więcej informacji, zobacz limity usługi dla zakresu dynamicznego.

Planowanie cyklicznych aktualizacji na jednej maszynie wirtualnej

Aktualizacje można zaplanować w okienku Przegląd lub Maszyny na stronie Menedżera aktualizacji lub z wybranej maszyny wirtualnej.

Aby zaplanować cykliczne aktualizacje na jednej maszynie wirtualnej:

1. Zaloguj się w witrynie Azure Portal.

2. | wybierz subskrypcję, a następnie wybierz pozycję Zaplanuj aktualizacje.

3. Na stronie Tworzenie nowej konfiguracji konserwacji możesz utworzyć harmonogram dla pojedynczej maszyny wirtualnej.

   Obecnie obsługiwane są maszyny wirtualne i konfiguracja konserwacji w tej samej subskrypcji.

4. Na stronie Podstawowe wybierz pozycję Subskrypcja, Grupa zasobów i wszystkie opcje w Szczegóły wystąpienia.

   • Wybierz Zakres konserwacji jako Gość (maszyna wirtualna platformy Azure, maszyny wirtualne z obsługą usługi Azure Arc/serwery).

   • Wybierz pozycję Dodaj harmonogram. W obszarze Dodaj/Modyfikuj harmonogram określ szczegóły harmonogramu, takie jak:

     • Rozpocznij
     • Okno obsługi (w godzinach). Górne okno konserwacyjne wynosi 3 godziny 55 minut.
     • Powtarza się (co miesiąc, codziennie lub co tydzień)
     • Dodaj datę zakończenia
     • Podsumowanie harmonogramu

   Opcja godzinowa nie jest obsługiwana w portalu, ale może być używana za pośrednictwem interfejsu API.

   

   W przypadku powtórzeń miesięcznych dostępne są dwie opcje:

   • Powtarzaj się na określoną datę w kalendarzu (opcjonalnie uruchom na ostatniej dacie miesiąca).
   • Powtórz w n-ty (pierwszy, drugi itp.) x dzień (na przykład poniedziałek, wtorek) w miesiącu. Możesz również określić przesunięcie od ustalonego dnia. Może to być +6/-6. Jeśli na przykład chcesz zastosować poprawkę w pierwszą sobotę po poprawce we wtorek, ustaw cykl jako drugi wtorek miesiąca z przesunięciem +4 dni. Opcjonalnie możesz również określić datę zakończenia, gdy harmonogram ma wygasnąć.

5. Na karcie Maszyny wybierz maszynę, a następnie wybierz pozycję Dalej.

   Menedżer aktualizacji nie obsługuje aktualizacji sterowników.

6. Na karcie Tagi przypisz tagi do konfiguracji konserwacji.

7. Na karcie Przeglądanie + tworzenie sprawdź opcje wdrażania aktualizacji, a następnie wybierz pozycję Utwórz.

Powiadomienie potwierdza, że wdrożenie zostało utworzone.

Planowanie cyklicznych aktualizacji na dużą skalę

Aby zaplanować cykliczne aktualizacje na dużą skalę, wykonaj następujące kroki.

Aktualizacje można zaplanować w okienku Przegląd lub Maszyny .

Powiadomienie potwierdza, że wdrożenie zostało utworzone.

Dołączanie konfiguracji konserwacji

Konfiguracja konserwacji może być przypisana do wielu maszyn. Można go dołączyć do maszyn w momencie utworzenia nowej konfiguracji konserwacji lub nawet po jej utworzeniu.

1. Na stronie Azure Update Manager wybierz pozycję Maszyny, a następnie wybierz subskrypcję.

2. Wybierz maszynę, a następnie w okienku Aktualizacje wybierz pozycję Zaplanowane aktualizacje , aby utworzyć konfigurację konserwacji lub dołączyć istniejącą konfigurację konserwacji do zaplanowanych aktualizacji cyklicznych.

3. Na karcie Planowanie wybierz pozycję Dołącz konfigurację konserwacji.

4. Wybierz konfigurację konserwacji, którą chcesz dołączyć, a następnie wybierz pozycję Dołącz.

5. W okienku Aktualizacje wybierz pozycję Planowanie>Dołącz konfigurację konserwacji.

6. Na stronie Dołączanie istniejącej konfiguracji konserwacji wybierz konfigurację konserwacji, którą chcesz dołączyć, a następnie wybierz pozycję Dołącz.

   

Planowanie aktualizacji cyklicznych z poziomu konfiguracji konserwacji

Możesz przeglądać wszystkie konfiguracje konserwacji i zarządzać nimi z jednego miejsca.

1. Wyszukaj konfiguracje konserwacji w witrynie Azure Portal. Przedstawia listę wszystkich konfiguracji konserwacji wraz z zakresem konserwacji, grupą zasobów, lokalizacją i subskrypcją, do której należy.

2. Konfiguracje konserwacji można filtrować przy użyciu filtrów u góry. Konfiguracje konserwacji związane z aktualizacjami systemu operacyjnego gościa to te, które mają zakres konserwacji jako InGuestPatch.

Możesz utworzyć nową konfigurację konserwacji aktualizacji systemu operacyjnego gościa lub zmodyfikować istniejącą konfigurację.

Tworzenie nowej konfiguracji konserwacji

1. Przejdź do pozycji Maszyny i wybierz maszyny z listy.

2. W okienku Aktualizacje wybierz pozycję Zaplanowane aktualizacje.

3. W okienku Tworzenie konfiguracji konserwacji wykonaj krok 3 w tej procedurze, aby utworzyć konfigurację konserwacji.

4. Na karcie Podstawowe wybierz zakres konserwacji jako Gość (maszyna wirtualna platformy Azure, maszyny wirtualne z obsługą usługi Arc/serwery).

   

Dodawanie lub usuwanie maszyn z konfiguracji konserwacji

1. Przejdź do pozycji Maszyny i wybierz maszyny z listy.

2. Na stronie Aktualizacje wybierz pozycję Aktualizacje jednorazowe.

3. W okienku Instalowanie aktualizacji jednorazowych wybierz pozycję Maszyny>Dodaj maszynę.

   

Zmienianie kryteriów wyboru aktualizacji

1. W okienku Instalowanie aktualizacji jednorazowych wybierz zasoby i maszyny do zainstalowania aktualizacji.

2. Na karcie Maszyny wybierz pozycję Dodaj maszynę, aby dodać maszyny, które nie zostały wcześniej wybrane, a następnie wybierz pozycję Dodaj.

3. Na karcie Aktualizacje określ aktualizacje do uwzględnienia we wdrożeniu.

4. Wybierz odpowiednio Uwzględnij identyfikator/pakiet i Wyklucz identyfikator/pakiet, aby wybrać aktualizacje, takie jak aktualizacje krytyczne, aktualizacje zabezpieczeń i aktualizacje funkcji.

   

Dołączanie do harmonogramu przy użyciu usługi Azure Policy

Rozwiązanie Update Manager umożliwia określenie grupy maszyn wirtualnych platformy Azure lub maszyn wirtualnych spoza platformy Azure na potrzeby wdrażania aktualizacji za pośrednictwem usługi Azure Policy. Grupowanie przy użyciu zasad zapobiega konieczności edytowania wdrożenia w celu aktualizowania maszyn. Do zdefiniowania zakresu można użyć subskrypcji, grupy zasobów, tagów lub regionów. Tej funkcji można używać dla wbudowanych zasad, które można dostosować zgodnie z przypadkiem użycia.

Przypisz zasady

Usługa Azure Policy umożliwia przypisywanie standardów i ocenę zgodności na dużą skalę. Aby uzyskać więcej informacji, zobacz Omówienie usługi Azure Policy. Aby przypisać zasady do zakresu:

1. Zaloguj się do witryny Azure Portal i wybierz pozycję Zasady.

2. W obszarze Przypisania wybierz pozycję Przypisz politykę.

3. Na stronie Przypisania zasad, na zakładce Podstawy:

   • W obszarze Zakres wybierz subskrypcję i grupę zasobów, a następnie wybierz pozycję Wybierz.

   • Wybierz pozycję Definicja zasad, aby wyświetlić listę zasad.

   • W okienku Dostępne definicje wybierz Wbudowane dla Typ. W obszarze Wyszukiwanie wprowadź pozycję Zaplanuj aktualizacje cykliczne przy użyciu usługi Azure Update Manager , a następnie kliknij pozycję Wybierz.

     

   • Upewnij się, że wymuszanie zasad jest ustawione na Włączone, a następnie wybierz Dalej.

4. Na karcie Parametry domyślnie widoczny jest tylko identyfikator ARM konfiguracji konserwacji.

   Jeśli nie określisz żadnych innych parametrów, wszystkie maszyny w subskrypcji i grupie zasobów wybranej na karcie Podstawowe zostaną objęte zakresem. Jeśli chcesz dalej określać zakres na podstawie grupy zasobów, lokalizacji, systemu operacyjnego, tagów itd., wyczyść pole Pokaż tylko parametry, które wymagają danych wejściowych lub przeglądowych , aby wyświetlić wszystkie parametry:

   • Identyfikator ARM konfiguracji konserwacji: jest obowiązkowym parametrem, który należy podać. Określa identyfikator usługi Azure Resource Manager (ARM) harmonogramu, który chcesz przypisać do maszyn.
   • Grupy zasobów: opcjonalnie możesz określić grupę zasobów, jeśli chcesz ograniczyć jej zakres do grupy zasobów. Domyślnie wybierane są wszystkie grupy zasobów w ramach subskrypcji.
   • Typy systemów operacyjnych: możesz wybrać system Windows lub Linux. Domyślnie oba są zaznaczone.
   • Lokalizacje maszyn: opcjonalnie możesz określić regiony, które chcesz wybrać. Domyślnie wszystkie są zaznaczone.
   • Tagi na maszynach: tagi umożliwiają dalsze określanie zakresu. Domyślnie wszystkie są zaznaczone.
   • Operator tagów: jeśli wybierzesz wiele tagów, możesz określić, czy zakres ma obejmować maszyny, które mają wszystkie tagi, czy takie, które mają którykolwiek z tych tagów.

   

5. Na karcie Korygowanie, w sekcji Tożsamość zarządzana>, wybierz Tożsamość zarządzana przypisana przez system. Uprawnienia są już ustawione jako Współautor zgodnie z definicją zasad.

   Jeśli wybierzesz pozycję Korygowanie, polityka obowiązuje na wszystkich istniejących maszynach w zakresie albo na każdej nowej maszynie, która zostanie dodana do zakresu.

6. Na karcie Przeglądanie + tworzenie sprawdź wybrane opcje, a następnie wybierz pozycję Utwórz, aby zidentyfikować niezgodne zasoby, aby zrozumieć stan zgodności środowiska.

Wyświetlanie zgodności

Aby wyświetlić bieżący stan zgodności istniejących zasobów:

1. W Przypisaniach zasad wybierz pozycję Zakres aby wybrać subskrypcję i grupę zasobów.

2. W Typ definicji wybierz politykę. Na liście wybierz nazwę przypisania.

3. Wybierz pozycję Wyświetl zgodność. Zgodność zasobów przedstawia listę maszyn oraz przyczyny niezgodności.

   

Sprawdzanie zaplanowanego przebiegu stosowania poprawek

Możesz sprawdzić stan wdrożenia i historię uruchomień konfiguracji konserwacji w portalu Menedżera aktualizacji. Aby uzyskać więcej informacji, zobacz temat Aktualizowanie historii wdrażania według identyfikatora przebiegu konserwacji.

Harmonogram okna serwisowego

Okno obsługi kontroluje liczbę aktualizacji, które można zainstalować na maszynie wirtualnej i serwerach z obsługą usługi Arc. Zalecamy zapoznanie się z poniższą tabelą w celu zrozumienia osi czasu okna obsługi podczas instalowania aktualizacji:

Jeśli na przykład okno obsługi wynosi 3 godziny i rozpoczyna się o godzinie 15:00, poniżej przedstawiono szczegółowe informacje na temat sposobu instalowania aktualizacji:

Uzyskiwanie przypisań przy użyciu usługi ARG

<#
.SYNOPSIS
Get a list of Azure VMs and Arc machines assigned to a specific Maintenance Configuration using Azure Resource Graph.

.PARAMETER SubscriptionId
The Azure subscription ID to query.

.PARAMETER ConfigName
The name of the maintenance configuration.

.PARAMETER ExportCsv
Optional path to export results to CSV.
#>

param(
    [Parameter(Mandatory = $true)][string]$SubscriptionId,
    [Parameter(Mandatory = $true)][string]$ConfigName,
    [Parameter(Mandatory = $false)][string]$ExportCsv
)

$cfgQuery = @"
resources
| where type =~ 'microsoft.maintenance/maintenanceconfigurations'
| where name =~ '$ConfigName'
| project id
"@

$cfgResult = Search-AzGraph -Query $cfgQuery -Subscription $SubscriptionId

if (-not $cfgResult -or $cfgResult.Count -eq 0) {
    Write-Error "Maintenance configuration '$ConfigName' not found in subscription '$SubscriptionId'."
    return
}

$maintenanceConfigId = $cfgResult[0].id
Write-Host "Resolved configuration ID: $maintenanceConfigId`n"

$assignQuery = @"
maintenanceresources
| where type =~ 'microsoft.maintenance/configurationassignments'
| where properties.maintenanceConfigurationId =~ '$maintenanceConfigId'
| project MachineId = properties.resourceId, AssignmentName = name
"@

$machines = Search-AzGraph -Query $assignQuery -Subscription $SubscriptionId

if (-not $machines -or $machines.Count -eq 0) {
    Write-Host "No machines assigned to configuration '$ConfigName'."
    return
}

$resources = Search-AzGraph -Query "resources | project id, name, resourceGroup" -Subscription $SubscriptionId


$results = $machines | ForEach-Object {
    $mach = $_
    $res = $resources | Where-Object { $_.id -eq $mach.MachineId }
    [PSCustomObject]@{
        MachineName    = if ($res) { $res.name } else { $mach.MachineId }
        ResourceGroup  = if ($res) { $res.resourceGroup } else { "" }
        AssignmentName = $mach.AssignmentName
        MachineId      = $mach.MachineId
        Kind           = if ($res -and $res.id -match 'Microsoft\.Compute/virtualMachines') { "AzureVM" } else { "Arc" }
    }
}

Write-Host "Machines assigned to configuration '$ConfigName':`n"
$results | Format-Table -AutoSize

# --------------------------------------------
# Optional: export to CSV
# --------------------------------------------
if ($ExportCsv) {
    $results | Export-Csv -Path $ExportCsv -NoTypeInformation
    Write-Host "`nResults exported to $ExportCsv"
}

Następne kroki

• Dowiedz się więcej o Dynamic scope, zaawansowanej funkcji stosowania poprawek harmonogramu.
• Postępuj zgodnie z instrukcjami dotyczącymi zarządzania różnymi operacjami zakresu dynamicznego
• Dowiedz się więcej o zdarzeniach poprzedzających i następujących, które automatycznie wykonują zadania przed i po zaplanowanej konfiguracji konserwacji.