计划更新管理部署

  • 项目

步骤 1:自动化帐户

更新管理是一项 Azure 自动化功能,因此需要一个自动化帐户。 你可以使用订阅中现有的自动化帐户,也可以新建一个帐户,专用于更新管理,不用于其他自动化功能。

步骤 2:Azure Monitor 日志

更新管理依赖于 Azure Monitor 中的 Log Analytics 工作区来存储从托管计算机收集的评估和更新状态日志数据。 与 Log Analytics 的集成还支持在 Azure Monitor 中进行详细分析和发送警报。 你可以使用订阅中的现有工作区,也可以新建一个工作区专用于更新管理。

如果你不熟悉 Azure Monitor 日志和 Log Analytics 工作区,建议查看设计 Log Analytics 工作区部署指南

步骤 3:支持的操作系统

更新管理支持特定版本的 Windows Server 和 Linux 操作系统。 在启用更新管理之前,请确认目标计算机满足操作系统要求

步骤 4:Log Analytics 代理

需要适用于 Windows 和 Linux 的 Log Analytics 代理来支持更新管理。 该代理既用于数据收集,也用于自动化系统混合 Runbook 辅助角色,以支持用于管理计算机上的评估和更新部署的更新管理 runbook。

在 Azure VM 上,如果还没有安装 Log Analytics 代理,当你为 VM 启用更新管理时,会使用适用于 WindowsLinux 的 Log Analytics VM 扩展自动安装。 该代理被配置为向链接到自动化帐户(已启用更新管理)的 Log Analytics 工作区报告。

非 Azure VM 或服务器需要安装适用于 Windows 或 Linux 的 Log Analytics 代理,并向链接的工作区报告。

不支持在多个 Log Analytics 工作区(也称为多宿主)中对计算机注册更新管理。

步骤 5 - 网络规划

为了准备网络以支持更新管理,可能需要配置一些基础结构组件。 例如,打开防火墙端口以传递更新管理和 Azure Monitor 使用的通信。

查看 Azure 自动化网络配置,了解有关更新管理所需的端口、URL 和其他网络的详细信息,包括混合 Runbook 辅助角色。 若要安全且私密地从 Azure VM 连接到自动化服务,请查看“使用 Azure 专用链接”。

对于 Windows 计算机,还必须允许流量发送到 Windows 更新代理所需的任何终结点。 可以在与 HTTP/Proxy 相关的问题中找到所需终结点的更新列表。 如果你有本地 Windows Server Update Services (WSUS) 部署,则还必须允许将流量发送到 WSUS 密钥中指定的服务器。

如果 IT 安全策略不允许网络上的计算机连接到 Internet,则可以设置 Log Analytics 网关,然后将计算机配置为通过该网关连接到 Azure 自动化和 Azure Monitor。

步骤 6:权限

若要创建和管理更新部署,需要特定的权限。 若要了解这些权限,请参阅基于角色的访问 - 更新管理

步骤 7:Windows 更新代理

Azure 自动化更新管理依赖 Windows 更新代理来下载和安装 Windows 更新。 计算机上的 Windows 更新代理 (WUA) 使用特定的组策略设置来连接到 Windows Server Update Services (WSUS) 或 Microsoft 更新。 这些组策略设置还用于成功扫描软件更新的符合性,以及自动更新软件更新。 若要查看我们的建议,请参阅为更新管理配置 Windows 更新设置

步骤 8:Linux 存储库

对于任何 Linux 发行版,都必须使用该发行版支持的方法从其联机文件存储库对其进行更新。

步骤 9:规划部署目标

通过更新管理,可以将更新定向到代表 Azure 或非 Azure 计算机的动态组,以便确保特定计算机始终在最方便的时间获得正确的更新。 动态组是在部署时解析的,并基于以下条件:

  • 订阅
  • 资源组
  • 位置
  • Tags

对于非 Azure 计算机,动态组使用保存的搜索,也称为计算机组。 范围限定为一组计算机的更新部署仅在更新管理“部署计划”选项中的自动化帐户中可见,在特定的 Azure VM 中不可见。

另外,只能为选定的 Azure VM 管理更新。 范围限定为特定计算机的更新部署在计算机和更新管理“部署计划”选项中的自动化帐户中均可见。

后续步骤

启用更新管理并使用以下方法之一选择要管理的计算机:

  • 使用 Azure 资源管理器模板将更新管理部署到订阅中新的或现有的自动化帐户和 Azure Monitor Log Analytics 工作区。 它不会配置应管理的计算机范围,而是在使用模板后在单独的步骤中执行此操作。

  • 从一台或多台 Azure 和非 Azure 计算机(包括启用了 Azure Arc 的服务器)的自动化帐户

  • 从 Azure 门户中的“虚拟机”页为所选 Azure VM 启用。 此方案适用于 Linux 和 Windows VM。