修補作業系統是任何系統管理員的重要職責。 傳統上,可能會使用 Windows Server Update Services (WSUS) 或 System Center Configuration Manager (SCCM) 來管理 Windows 更新,並排程伺服器的維護時段。 在雲端原生方法中, Azure 更新管理員 會擔任此角色,為 Windows 和 Linux 伺服器提供統一的修補程式管理解決方案,無論它們是 Azure 虛擬機器 (VM) 或已啟用 Arc 的內部部署機器。
透過 Azure Update Manager 進行雲端原生 OS 修補意味著集中式、策略驅動的修補,具有更大的靈活性和洞察力。 您可以獲得維護時段和複雜工作流程自動化等功能。 因為像 熱補丁這類創新,你可以減少更新期間的停機時間。 對於系統系統管理員來說,熟悉的工作會變得更容易:您設定規則,然後 Azure 會執行修補。 您可以減少手動管理更新所花費的時間,並可以透過集中式合規性報告監控所有環境。
例如,假設您有大量伺服器連線到 Azure Arc。在伺服器上啟用 Azure Update Manager 之後,您可以定義維護設定。 例如,您可以建立群組 A (Dev) 以每週修補,建立群組 B (生產) 以每月修補,並以兩小時的時段進行修補,依此類推。 然後,您將伺服器 (或整個資源群組) 指派給這些排程。 您可以選擇使用 Automation Runbook 指定前置或後置任務。 傳遞修補程式時,您可以在 Azure 入口網站中監視進度,然後稍後檢查是否有任何更新仍未完成。
小提示
若要將應用程式部署至 Azure VM, 虛擬機器應用程式 (VM 應用程式) 提供新式、彈性的方法來管理應用程式。 應用程式安裝與基礎 VM 映像分離,因此不需要為每次應用程式變更重建和重新發佈 VM 映像。 目前,已啟用 Azure Arc 的伺服器不支援 VM 應用程式,但 執行命令 腳本和自定義的機器設定可協助將應用程式大規模部署至內部部署環境。
讓我們仔細看看哪些功能可為已啟用 Arc 的伺服器啟用現代化修補程式管理方法。
統一修補程式合規性儀表板
Azure 更新管理員提供單一儀錶板,以監視所有伺服器的更新合規性。 您可以查看每部電腦上缺少哪些更新、依重要/安全性更新進行篩選,以及取得修補程式狀態的概觀。 此儀錶板顯示的資訊與 WSUS 報告或 SCCM 的合規性報告中類似的資訊,但已整合到 Azure 入口網站中,並包含內部部署伺服器以及原生 Azure VM。 對於混合式環境,此功能可以減少從多個系統彙總報告的需求,從而節省時間。
排程和維護時段
您可以建立維護組態,以定義何時應將修補程式套用至電腦群組。 例如,您可以為開發伺服器設定每週六凌晨 2 點的時段,並在當月最後一個星期日為生產伺服器設定另一個時段。 Azure Update Manager 允許在這些客戶定義的維護期間內排程更新。 這種做法與 SCCM 的維護視窗或變更管理視窗非常相似。 你可以控制頻率、日期、時間,以及要包含哪些更新。 當視窗到達時,Azure 會協調在目標電腦上安裝更新。 您也可以使用 Azure 原則 自動將新新增的機器排程到預設修補程式視窗中。
事件前後更新指令碼
一項進階功能是能夠在維護時段前後掛接前後 事件 。 您可以在修補開始之前和修補完成之後自動執行任務。 例如,常見的前置工作可能是在更新之前「建立虛擬機器快照」或「停止特定服務」。 後置任務可能是修補後「重新啟動這些服務備份」或「發送電子郵件通知」。 你也可以先開啟關機的虛擬機(這樣可以修補),更新後再關機。 前置和後置任務提供的精細控制可以幫助您保持最長的正常運行時間,即使需要更新也是如此。
Azure Update Manager 會使用事件方格來觸發前置和後置事件。 這表示您可以叫用 Azure Functions、 Azure Logic Apps 或 Azure 自動化 Runbook 來進行前置和後置事件。 這些功能可啟用應用程式感知修補;就像您可能在 SCCM 中使用自訂腳本或協調的修補程式序列一樣,您可以在整個混合式資產中在 Azure 中實現相同的功能。
精細的補丁控制和排序
Azure Update Manager 可讓您將維護設定中的機器分組,甚至視需要排序修補順序。 例如,您可以使用具有偏移的個別維護組態,以確保先修補 Web 伺服器,然後修補應用程式伺服器,然後修補資料庫伺服器。
您也可以使用包含或排除清單進行更新,讓您強制執行精細的需求。 例如,您可以使用這些清單來排除已知會導致問題的特定更新,或只將安全性相關的更新套用至伺服器。
Hotpatching
Azure Update Manager 會針對執行 Windows Server 2025 Datacenter Edition 或 Standard Edition 的已啟用 Arc 伺服器整合熱 修補程式 。 透過熱補丁,你可以安裝某些安全更新而不需重啟機器,省去重啟所需的停機時間。 作為系統管理員,你仍會排程維護時段,但如果一個週期內所有修補都能透過熱補丁交付,該時段可能無需重啟就過去,最大化服務可用性。
Azure Update Manager 管理熱補丁週期,熱補丁更新每月一次。 只有新的基準 (累積更新) 才需要重新啟動,通常每三個月傳遞一次。
作業系統和混合式支援
Azure 更新管理員不僅適用於 Windows。 也支援執行 Linux 的已啟用 Arc 伺服器。 Update Manager 可以套用 Linux 套件存放庫中的更新,甚至可以視需要重新開機。 您可以獲得 Linux 機器和 Windows 的統一報告。 因此,如果您還負責某些 Ubuntu 或 RHEL 伺服器,Azure 現在會原生涵蓋這些伺服器。 這種廣泛的支持強調了“雲管理員”的優勢,一個工具適用於所有操作系統版本。
Linux 自動更新服務
您也可以使用 Linux 發行版的內建服務來自動更新已安裝的 Azure 連線機器代理程式套件。 此選項可讓您將代理程式套件更新與套件管理員和已設定的儲存庫無縫整合。 由於套件更新會發佈到 Microsoft 套件倉庫,你可以使用平常的發行工具來更新代理程式,無論是手動、遠端管理,或是透過像 dnf-automatic 這類工具來排程管理(針對基於 RPM 的發行版)以及 unattended-upgrades(針對基於 Debian 的發行版)。