你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
修补作系统对于任何系统管理员来说都是一个关键的(如果不相容的话)。 传统上,人们可以使用 Windows Server Update Services(WSUS)或 System Center Configuration Manager (SCCM)来管理 Windows 更新和计划服务器的维护时段。 在云原生方法中, Azure 更新管理器 将承担此角色,为 Windows 和 Linux 服务器提供统一的修补程序管理解决方案,无论是 Azure 虚拟机(VM)还是已启用 Arc 的本地计算机。
通过 Azure 更新管理器进行云原生 OS 修补意味着具有更大的灵活性和见解的集中式策略驱动修补。 你可以获取复杂工作流的维护时段和自动化等功能。 由于热修补等创新,可以减少更新期间的停机时间。 对于系统管理员来说,熟悉的作业变得更加容易:设置规则,Azure 会执行修补。 可以减少手动管理更新所用的时间,并通过集中式合规性报告监视所有环境。
例如,假设已将大量服务器连接到 Azure Arc。跨服务器启用 Azure 更新管理器后,可以定义维护配置。 例如,可以创建组 A(Dev)来每周进行修补,组 B(Prod)以每月修补两小时窗口,等等。 然后将服务器(或整个资源组)分配给这些计划。 可以选择使用自动化 Runbook 指定预任务或发布任务。 交付修补程序后,可以在 Azure 门户中监视进度,然后检查是否有任何更新仍然未完成。
小窍门
若要将应用程序部署到 Azure VM, 虚拟机应用程序 (VM 应用程序)提供了一种管理应用程序的新式灵活方法。 应用程序安装与基本 VM 映像分离,无需为每个应用程序更改重新生成和重新发布 VM 映像。 目前,已启用 Azure Arc 的服务器不支持 VM 应用程序,但 运行命令 脚本和自定义的计算机配置可帮助将应用程序大规模部署到本地环境。
让我们更详细地了解一下启用已启用 Arc 的服务器修补程序管理的现代化方法的功能。
统一修补程序符合性仪表板
Azure 更新管理器提供单个仪表板,用于监视所有服务器的更新符合性。 可以查看每台计算机上缺少哪些更新,按关键/安全更新进行筛选,并大致了解修补程序状况。 此仪表板显示与 WSUS 报表或 SCCM 合规性报告中找到的类似信息,但已集成到 Azure 门户,并包括本地服务器以及本机 Azure VM。 对于混合环境,此功能可以通过减少从多个系统聚合报表的需求来节省时间。
计划和维护时段
可以创建维护配置,用于定义何时应将修补程序应用于计算机组。 例如,可以在每周六上午 2 点为开发服务器设置一个窗口,在生产服务器的最后一个星期天设置另一个窗口。 Azure 更新管理器允许在这些客户定义的维护时段内计划更新。这种方法非常类似于 SCCM 的维护时段或更改管理时段。 你可以控制频率、日/时间以及要包括哪些更新。 窗口到达时,Azure 会协调在目标计算机上安装更新。 还可以使用 Azure Policy 将新添加的计算机自动安排到默认修补窗口中。
事件更新脚本前和发布后
一项高级功能是能够在维护时段前后挂接事件。 可以在修补开始和修补完成后自动执行要运行的任务。 例如,常见的预任务可能是更新前的“快照 VM”或“停止特定服务”。 事后任务可能是“启动这些服务备份”或在修补后“发送电子邮件通知”。 你可能还想要打开已关闭电源的 VM(以便它们可以修补),然后在更新后再次关闭它们。 前任务和发布任务提供的精细控制有助于保持最长运行时间,即使需要更新也是如此。
Azure 更新管理器使用事件网格来触发事件前和发布事件。 这意味着,可以调用 Azure Functions、 Azure 逻辑应用或 Azure 自动化 Runbook 来准备和发布事件。 这些功能支持应用程序感知修补;就像在 SCCM 中使用自定义脚本或业务流程协调的修补序列一样,可以在 Azure 中实现整个混合资产中的相同功能。
精细修补控件和排序
Azure 更新管理器允许在维护配置中对计算机进行分组,甚至可以根据需要对修补顺序进行排序。 例如,可以将单独的维护配置与偏移量一起使用,以确保首先修补 Web 服务器,然后修补应用服务器,然后使用数据库服务器。
还可以对更新使用包含列表或排除列表,从而强制实施精细要求。 例如,可以使用这些列表排除已知导致问题的特定更新,或仅对服务器应用与安全相关的更新。
Hotpatching
Azure 更新管理器为运行 Windows Server 2025 Datacenter Edition 或 Standard Edition 的已启用 Arc 的服务器集成 Hotpatch 。 热修补使某些安全更新无需重启计算机即可安装,从而消除了重启所需的停机时间。 作为系统管理员,你仍会计划维护时段,但如果循环中的所有修补程序都可以通过热修补传递,该窗口可能无需重启即可通过,从而最大程度地提高服务可用性。
Azure 更新管理器使用每月提供的热修补更新来管理热修补周期。 通常每三个月交付一次新的基线(累积更新)才需要重新启动。
OS 和混合支持
Azure 更新管理器不仅适用于 Windows。 还支持已启用 Arc 的服务器运行 Linux。 更新管理器可以从 Linux 包存储库应用更新,甚至可以根据需要重新启动。 你可以与 Windows 一起获得 Linux 计算机的统一报告。 因此,如果还负责某些 Ubuntu 或 RHEL 服务器,Azure 现在会本机涵盖这些服务器。 这种广泛的支持突显出“云管理员”优势,为所有 OS 版本提供一个工具。
Linux 自动更新服务
还可以使用 Linux 分发的内置服务自动更新已安装的 Azure 连接的计算机代理包。 此选项允许将代理包更新与包管理器和配置的存储库无缝集成。 由于包更新发布到 Microsoft包存储库,因此可以使用常用的分发工具更新代理,无论是手动的、远程管理的,还是按计划由基于 RPM 的分发版的 dnf 自动管理,以及基于 Debian 的分发版的无人参与升级等工具进行更新。