Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A aplicação de patch de sistemas operacionais é um dever crítico para qualquer administrador do sistema. Tradicionalmente, pode-se usar o Windows Server Update Services (WSUS) ou o System Center Configuration Manager (SCCM) para gerenciar as atualizações do Windows e agendar janelas de manutenção para os servidores. Na abordagem nativa de nuvem, o Gerenciador de Atualizações do Azure assume essa função, fornecendo uma solução unificada de gerenciamento de patches para servidores Windows e Linux, sejam eles máquinas virtuais (VMs) do Azure ou máquinas locais habilitadas para Arc.
A aplicação de patches de SO nativa de nuvem por meio do Gerenciador de Atualizações do Azure significa aplicação de patches centralizada e controlada por políticas, com mais flexibilidade e insights. Você obtém recursos como janelas de manutenção e automação para fluxos de trabalho complexos. Devido a inovações como hotpatching, você pode reduzir o tempo de paralisação durante as atualizações. Para um administrador de sistema, trabalhos familiares são facilitados: você define as regras e o Azure realiza a aplicação de patches. Você pode reduzir o tempo gasto no gerenciamento manual de atualizações e monitorar todos os seus ambientes por meio de um relatório de conformidade centralizado.
Por exemplo, suponha que você tenha um grande número de servidores conectados ao Azure Arc. Depois de habilitar o Gerenciador de Atualizações do Azure em seus servidores, você poderá definir configurações de manutenção. Por exemplo, você pode criar o Grupo A (Dev) para receber patches toda semana, o Grupo B (Prod) para aplicar patches mensalmente com uma janela de duas horas, e assim por diante. Em seguida, atribua servidores (ou grupos de recursos inteiros) a esses agendamentos. Opcionalmente, você pode especificar tarefas prévias ou posteriores usando runbooks de Automação. Quando os patches são entregues, você pode monitorar o andamento no portal do Azure e, posteriormente, verificar se ainda há atualizações pendentes.
Dica
Para implantar aplicativos em VMs do Azure, os Aplicativos de Máquina Virtual (Aplicativos de VM) oferecem uma abordagem moderna e flexível para gerenciar aplicativos. A instalação do aplicativo é desacoplada das imagens base da VM, eliminando a necessidade de recompilar e republicar imagens de VM para cada alteração de aplicativo. Atualmente, os servidores habilitados para Azure Arc não oferecem suporte a Aplicativos de VM, mas scripts de Executar Comando e Configuração de Máquina personalizada podem ajudar a implantar aplicativos em escala no seu ambiente local.
Vamos examinar mais de perto os recursos que possibilitam uma abordagem modernizada para o gerenciamento de patches em seus servidores habilitados para Arc.
Painel unificado de conformidade de patches
O Gerenciador de Atualizações do Azure oferece um único painel para monitorar a conformidade de atualizações em todos os seus servidores. Você pode ver quais atualizações estão ausentes em cada computador, filtrar por atualizações críticas/de segurança e obter uma visão geral da sua postura de patch. Este painel mostra informações semelhantes às encontradas em relatórios do WSUS ou nos relatórios de conformidade do SCCM, mas integradas ao portal do Azure e incluindo servidores locais ao lado de VMs nativas do Azure. Para um ambiente híbrido, essa capacidade pode economizar tempo ao reduzir a necessidade de agregar relatórios de vários sistemas.
Agendamento e janelas de manutenção
Você pode criar configurações de manutenção que definem quando os patches devem ser aplicados a grupos de computadores. Por exemplo, você pode definir uma janela todo sábado às 2h para seus servidores de desenvolvimento e outra janela no último domingo do mês para servidores de produção. O Gerenciador de Atualizações do Azure permite o agendamento de atualizações dentro dessas janelas de manutenção definidas pelo cliente. Essa abordagem é muito análoga às janelas de manutenção do SCCM ou às janelas de gerenciamento de alterações. Você tem controle sobre frequência, dia, hora e quais atualizações incluir. Quando a janela chega, o Azure orquestra a instalação das atualizações nas máquinas de destino. Você também pode usar a Azure Policy para agendar automaticamente a entrada de novas máquinas na janela de patch padrão.
Scripts de atualização para eventos anteriores e posteriores
Um recurso avançado é a capacidade de conectar eventos anteriores e posteriores a uma janela de manutenção. Você pode automatizar tarefas para serem executadas antes do início da aplicação de patch e depois da conclusão. Por exemplo, tarefas comuns anteriores podem ser "tirar instantâneo da VM" ou "parar serviços específicos" antes das atualizações. As tarefas posteriores podem ser "reiniciar esses serviços" ou "enviar uma notificação por email" após a aplicação de patch. Você também pode querer ativar VMs que são desligadas (para que possam ser corrigidas) e desativá-las novamente após as atualizações. O controle detalhado fornecido por tarefas anteriores e posteriores pode ajudar a manter o tempo de atividade máximo, mesmo quando atualizações são necessárias.
O Gerenciador de Atualizações do Azure usa a Grade de Eventos para disparar eventos anteriores e posteriores. Isso significa que você pode invocar Azure Functions, Aplicativos Lógicos do Azure ou runbooks de Automação do Azure para eventos anteriores e posteriores. Essas funcionalidades permitem a aplicação de patch com reconhecimento de aplicativo; assim como você pode usar scripts personalizados no SCCM ou sequências de patch orquestradas, é possível obter as mesmas funcionalidades no Azure em todo o seu ambiente híbrido.
Controles de patch e sequenciamento granulares
O Gerenciador de Atualizações do Azure permite agrupar máquinas em uma configuração de manutenção e até mesmo sequenciar a ordem de aplicação de patch, se necessário. Por exemplo, você pode usar configurações de manutenção separadas com deslocamento para garantir que os servidores Web sejam corrigidos primeiro, depois os servidores de aplicativos e, em seguida, os servidores de banco de dados.
Você também pode usar listas de inclusão ou exclusão para atualizações, permitindo impor requisitos granulares. Por exemplo, você pode usar essas listas para excluir uma atualização específica que se sabe causar problemas ou para aplicar apenas atualizações relacionadas à segurança aos seus servidores.
Hotpatching
O Gerenciador de Atualizações do Azure integra o Patch dinâmico para servidores habilitados para Arc que executam o Windows Server 2025 Datacenter Edition ou Standard Edition. Usando o hotpatching, você pode instalar determinadas atualizações de segurança sem reiniciar os computadores, eliminando o tempo de inatividade necessário para uma reinicialização. Como administrador do sistema, você ainda agenda uma janela de manutenção, mas se todos os patches em um ciclo puderem ser entregues por meio de hotpatching, essa janela poderá passar sem necessidade de reinicialização, maximizando a disponibilidade do serviço.
O Gerenciador de Atualizações do Azure gerencia os ciclos de hotpatch, com atualizações de hotpatch entregues mensalmente. Uma reinicialização só é necessária para novas linhas de base (Atualizações Cumulativas), normalmente entregues a cada três meses.
Suporte a SO e híbrido
O Gerenciador de Atualizações do Azure não é apenas para Windows. Servidores habilitados para Arc que executam Linux também são compatíveis. O Gerenciador de Atualizações pode aplicar atualizações de repositórios de pacotes Linux e até mesmo reiniciar, se necessário. Você obtém relatórios unificados para suas máquinas Linux junto com o Windows. Portanto, se você também for responsável por alguns servidores Ubuntu ou RHEL, o Azure agora oferece suporte nativo a eles. Esse amplo suporte reforça a vantagem de "administração na nuvem", com uma ferramenta para todas as versões do sistema operacional.
Serviço de atualização automática do Linux
Você também pode usar o serviço interno da distribuição do Linux para atualizar automaticamente o pacote de agente do computador conectado do Azure instalado. Essa opção permite que você integre a atualização do pacote do agente diretamente ao gerenciador de pacotes e aos repositórios configurados. Como as atualizações de pacote são publicadas no repositório de pacotes da Microsoft, você pode atualizar o agente usando suas ferramentas de distribuição habituais, sejam elas manuais, gerenciadas remotamente ou em um agendamento gerenciado por ferramentas como dnf-automatic para distribuições baseadas em RPM e atualizações autônomas para distribuições baseadas em Debian.