管理 VM 的更新和修补程序
注意
本文引用了 CentOS,这是一个处于生命周期结束 (EOL) 状态的 Linux 发行版。 请相应地考虑你的使用和规划。
重要
自动化更新管理已于 2024 年 8 月 31 日停用,我们建议使用 Azure 更新管理器。 请遵循从自动化更新管理迁移到 Azure 更新管理器的指导。
Azure 自动化更新管理中的软件更新提供一组工具和资源,它们可帮助管理“跟踪软件更新并将其应用于 Azure 和混合云中的计算机”这项复杂任务。 若要维持操作效率、克服安全问题和降低日益增多的网络安全威胁风险,有效的软件更新管理过程是必需的。 但是,由于技术日新月异,并且新的安全威胁不断出现,因此需要始终如一地持续关注有效的软件更新管理。
注意
更新管理功能支持部署第一方更新并预先下载这些更新。 要实现此项支持,必须在要更新的系统上进行更改。 请参阅为 Azure 自动化更新管理配置 Windows 更新设置,了解如何在系统上配置这些设置。
尝试管理 VM 的更新之前,请确保已使用下述方法之一在 VM 上启用了更新管理功能:
限制部署的范围
更新管理在工作区中使用范围配置来确定要接收更新的计算机。 有关详细信息,请参阅限制更新管理的部署范围。
符合性评估
在将软件更新部署到计算机之前,请查看已启用的计算机的更新符合性评估结果。 对于每个软件更新,系统都会记录其符合性状态,然后在评估完成后,进行收集并批量转发到 Azure Monitor 日志。
在 Windows 计算机上,合规性扫描默认每 12 个小时运行一次,并在 Windows 的 Log Analytics 代理重启后 15 分钟内启动。 然后评估数据会转发到工作区并刷新“更新”表。 在更新安装之前和之后,将执行更新合规性扫描以识别缺少的更新,但不会使用结果来更新表中的评估数据。
有必要查看我们的建议,了解如何使用更新管理功能来配置 Windows 更新客户端,以免出现任何妨碍对其进行正确管理的问题。
对于 Linux 计算机,符合性扫描默认情况下每个小时执行一次。 如果适用于 Linux 的 Log Analytics 代理重启,则在重启后 15 分钟内开始符合性扫描。
每台已经过评估的计算机的符合性结果将显示在更新管理中。 可能需要 30 分钟,仪表板才会显示管理中启用的新计算机提供的已更新数据。
请查看监视软件更新,了解如何查看符合性结果。
部署更新
评审符合性结果后,软件更新部署阶段进入到部署软件更新的过程。 若要安装更新,请计划一个遵循你的发布时间和服务窗口的部署。 可选择在部署中包括哪种更新类型。 例如,可包括关键或安全更新,排除更新汇总。
请查看部署软件更新,了解如何计划更新部署。
排除更新
在某些 Linux 变体中,OS 级别的升级可能会通过包进行。 这可能会导致运行更新管理并更改 OS 版本号。 由于更新管理使用相同的方法来更新管理员将在 Linux 计算机本地使用的包,因此,此行为是有意实施的。
若要避免通过更新管理部署来更新 OS 版本,可以使用“排除”功能。
查看更新部署
部署完成后,请检查执行过程,按计算机或目标组确定更新部署是否成功。 请参阅查看部署状态,了解如何监视部署状态。
后续步骤
若要了解如何创建警报来就更新部署结果进行通知,请参阅为更新管理创建警报。
可查询 Azure Monitor 日志来分析更新评估、部署和其他相关管理任务。 它包含预定义的查询,可帮助你入门。