使用 Azure 更新管理器管理多台计算机

适用于:✔️ Windows VM ✔️ Linux VM ✔️ 本地环境 ✔️ 已启用 Azure Arc 的服务器。

重要

  • 为了获得无缝的计划修补体验,建议将所有 Azure VM 的补丁业务流程更新为客户管理的计划。 如果无法更新补丁业务流程,则可能会遇到业务连续性中断问题,因为计划将无法修补 VM。了解更多信息

本文介绍 Azure 更新管理器提供的用于管理计算机上的系统更新的各种功能。 通过使用更新管理器,可以:

  • 快速评估可用操作系统更新的状态。
  • 部署更新。
  • 设置定期更新部署计划。
  • 获取有关受管理计算机数量的见解。
  • 获取有关如何管理它们的信息以及其他相关详细信息。

可以管理 Azure 订阅中的所有计算机,而不是从选定的 Azure VM 或启用 Azure Arc 的服务器执行这些操作。

查看更新管理器的状态

  1. 登录 Azure 门户

  2. 若要查看所有计算机(包括已启用 Azure Arc 的服务器)的更新评估,请导航到 Azure 更新管理器

    显示 Azure 门户中的“更新管理器概述”页面的屏幕截图。

    在“概述”页上,摘要磁贴显示以下状态:

    • 筛选器:使用筛选器专注于资源的子集。 磁贴上方的选择器根据你被授予的基于 Azure 角色的访问权限返回订阅资源组资源类型(Azure VM 和已启用 Azure Arc 的服务器)、位置操作系统类型(Windows 或 Linux)。 可以组合筛选器以将范围限定为特定的资源。

    • 计算机的更新状态:显示具有适用或需要更新的受评估计算机的更新状态信息。 可以根据分类类型筛选结果。 默认情况下将选择所有分类。 磁贴会根据分类选择更新。

      该图表提供了订阅中所有计算机的快照,无论你是否为该计算机使用了更新管理器。 此评估数据来自 Azure Resource Graph,它将数据存储 7 天。

      在提供的评估数据中,计算机划分为以下类别:

      • 无可用更新:这些计算机没有等待更新,并且这些计算机是最新的。
      • 有可用更新:这些计算机有正在等待的更新,并且这些计算机不是最新的。
      • 需要重新启动:等待重新启动以使更新生效。
      • 无更新数据:这些计算机没有可用的评估数据。

      以下原因可以解释为什么没有评估数据:

      • 过去 7 天内未进行任何评估。
      • 该计算机具有不受支持的操作系统。
      • 计算机位于不受支持的区域,因此你无法执行评估。
    • Azure 虚拟机的补丁业务流程配置:订阅中列出的所有 Azure 计算机均按每种更新业务流程方法进行汇总。 值为:

      • 客户管理的计划 - 可以在现有 VM 上启用计划修补。
      • Azure 托管 - 安全部署 - 此模式可为 Azure 虚拟机启用自动 VM 来宾修补。 后续修补程序安装由 Azure 编排。
      • 映像默认设置 — 对 Linux 计算机使用默认修补配置
      • OS 编排 — OS 自动更新计算机
      • 手动更新 — 可以通过在计算机内部手动应用修补程序,来控制对计算机应用修补程序的过程。 在此模式下,将禁用 Windows OS 的自动更新。

    有关每种编排方法的详细信息,请参阅 Azure VM 的自动 VM 来宾修补

    有关每种业务流程方法的详细信息,请参阅 Azure VM的自动 VM 来宾修补。

    • 更新安装状态:默认情况下,磁贴显示过去 30 天的状态。 通过使用时间选取器,可以选择其他范围。 有效值为:
      • 失败:部署中的一个或多个更新失败。
      • 已完成:部署在所选时间范围内成功结束。
      • 已完成但出现警告:部署已成功完成,但有警告。
      • 正在进行:部署当前正在运行。
  • 选择“更新计算机状态”或“Azure 虚拟机的补丁业务流程配置”以转到“计算机”页面。
  • 选择“更新安装状态”以转至“历史记录”页面。
  • 待处理的 Windows 更新:订阅中 Windows 计算机的待处理更新的状态。
  • 待处理的 Linux 更新:订阅中 Linux 计算机的待处理更新的状态。

计算机状态摘要

Azure 中的更新管理器使你能够在与更新管理器相关的 Azure 订阅中浏览有关 Azure VM 和已启用 Arc 的服务器的信息。 本部分介绍如何筛选信息以了解计算机资源的更新状态,以及如何针对多个计算机启动更新评估、更新部署和管理其更新设置。

在“Azure 更新管理器”页中,从左侧菜单中选择“计算机”。

在“更新管理器”页中,从左侧菜单中选择“计算机”。

显示 Azure 门户中的“更新管理器计算机”页面的屏幕截图。

该表列出了指定订阅中的所有计算机,对于每台计算机,它可以帮助你了解根据最新评估显示的以下详细信息:

  • 客户管理的计划 - 可以在现有 VM 上启用计划修补。 新的补丁业务流程选项会在收到你的同意后代表你启用两个 VM 属性:Patch mode = AutomaticByPlatformBypassPlatformSafetyChecksOnUserSchedule = TRUE
  • Azure 托管 - 安全部署 - 对于一组正在进行更新的虚拟机,Azure 平台会协调更新。 VM 设置为自动 VM 来宾修补。(即,修补模式为“AutomaticByPlatform”)。
  • 由 OS 自动更新 — 计算机由 OS 自动更新
  • 映像默认设置 — 对于 Linux 计算机,将使用其默认修补配置
  • 手动 — 可以通过在计算机内部手动应用修补程序,来控制对计算机应用修补程序的过程。 在此模式下,将禁用 Windows OS 的自动更新。

计算机补丁模式下的“补丁业务流程”列具有以下值:

  • 客户管理的计划(预览版):可以在现有 VM 上启用计划修补。 新的补丁业务流程选项会在收到你的同意后代表你启用两个 VM 属性:Patch mode = AutomaticByPlatformBypassPlatformSafetyChecksOnUserSchedule = TRUE
  • Azure 托管 - 安全部署:对于一组正在进行更新的虚拟机,Azure 平台会协调更新。 VM 设置为自动 VM 来宾修补。 例如,补丁模式为 AutomaticByPlatform
  • 由操作系统自动更新:计算机由操作系统自动更新。
  • 映像默认:对于 Linux 计算机,使用其默认的修补配置。
  • 手动:通过在计算机内部手动应用补丁来控制计算机上的补丁应用。 在此模式下,将禁用 Windows OS 的自动更新。

计算机的状态:对于 Azure VM,它会显示其电源状态。 对于已启用 Azure Arc 的服务器,它显示它是否已连接。

使用筛选器可专注于一部分资源。 磁贴上方的选择器将返回订阅、资源组、资源类型(即 Azure VM 和已启用 Azure Arc 的服务器)和区域。 它们基于你已被授予的 Azure 基于角色的访问权限。 可以组合筛选器以将范围限定为特定的资源。

页面顶部的摘要磁贴汇总了已评估的计算机数量及其更新状态。

若要管理计算机的更新设置,请参阅管理更新配置设置

检查更新

对于尚未进行首次合规性评估扫描的计算机,可以从列表中选择其中一个或多个合规性评估扫描。 然后,选择“检查更新”。 在执行配置时,会收到状态消息。

显示使用“检查更新”选项启动对选定计算机的扫描评估的屏幕截图。

否则,将开始合规性扫描,并将结果转发并存储在 Azure Resource Graph 中。 此过程需要几分钟。 评估完成后,页面上会显示一条确认消息。

显示“管理计算机”页上的评估横幅的屏幕截图。

从列表中选择一台计算机以打开作用域为该计算机的更新管理器。 在这里,可以查看其详细的评估状态和更新历史记录,配置其补丁业务流程选项,并开始更新部署。

部署更新

对于报告有可用更新的已评估计算机,请从列表中选择一台或多台计算机,并开始立即启动的更新部署。 选择计算机并转到“一次性更新”

显示在更新(预览)页面上为计算机安装一次性更新的屏幕截图。

一则通知将确认活动何时启动,另一则通知将告知你活动何时完成。 成功完成安装操作后,即可查看安装操作结果。 从“计算机”页中选择计算机时,可以使用“更新历史记录”选项卡。 还可以选择“历史记录”页。 开始更新部署后,会自动重定向到此页面。 可以随时从 Azure 活动日志查看操作状态。

设置定期更新部署

可为计算机创建定期更新部署。 选择计算机,然后选择“计划的更新”。 此时会打开一个“新建维护配置”流。

更新部署历史记录

更新管理器使你能够在与更新管理器相关的 Azure 订阅中浏览有关 Azure VM 和已启用 Azure Arc 的服务器的信息。 可以筛选信息以了解多个计算机的更新评估和部署历史记录。 在“更新管理器”页中,从左侧菜单中选择“历史记录”。

按计算机显示的更新部署历史记录

更新部署历史记录提供针对 Azure VM 和启用 Azure Arc 的服务器执行的更新和评估操作的汇总状态。 还可以深入到特定计算机以查看更新相关详细信息并直接进行管理。 可以在表中查看计算机的详细更新或评估历史记录以及其他相关详细信息。

Azure 门户中的更新中心历史记录页的屏幕截图。

每条记录显示:

  • 计算机名称
  • Status
  • 已安装更新
  • 更新操作
  • 操作类型
  • 操作开始时间
  • 资源类型
  • 标记
  • 上次评估时间

按维护运行 ID 显示的更新部署历史记录

在“历史记录”页上,选择“按维护运行 ID”可查看维护运行计划的历史记录。

显示 Azure 门户中的更新中心“历史记录”页(按维护运行 ID)的屏幕截图。

每条记录显示:

  • 维护运行 ID
  • Status
  • 已更新的计算机
  • 维护配置
  • 操作开始时间
  • 操作结束时间

选择任一维护运行 ID 记录可以查看该维护运行的扩展状态。 其中包含有关计算机和更新的信息。 它包括已更新的计算机数量以及这些计算机上安装的更新。 显示每台计算机的状态的饼图。 在页面末尾,一个列表视图会显示属于此维护运行一部分的计算机和更新。

显示维护运行 ID 记录的屏幕截图。

Resource Graph

可以在 Azure Resource Graph 中查询更新评估和部署数据。 可将此数据应用于包括安全合规性、安全操作和故障排除在内的方案。 选择“转到 Resource Graph”转到“Azure Resource Graph 浏览器”。 支持直接在 Azure 门户中运行 Resource Graph 查询。 Resource Graph 支持 Azure CLI、Azure PowerShell、Azure SDK for Python 等。 有关详细信息,请参阅使用 Azure Resource Graph 资源管理器进行第一次查询

当 Resource Graph 浏览器打开时,它会自动填充用于生成更新管理器的“历史记录”页上的表中显示的结果的同一查询。 请务必查看Azure 更新管理器中的查询日志概述,以了解日志记录及其属性以及所包含的示例查询。

后续步骤

  • 若要查看更新管理器生成的更新评估和部署日志,请参阅查询日志