Migrazione tramite script di runbook automatizzati
Si applica a: ✔️ Macchine virtuali Windows ✔️ Macchine virtuali Linux ✔️ Ambiente locale ✔️ Server abilitati per Azure Arc
Questo articolo spiega come usando i runbook di migrazione, è possibile eseguire automaticamente la migrazione di tutti i carichi di lavoro (computer e pianificazioni) da Gestione aggiornamenti di Automazione ad Gestore aggiornamenti di Azure.
Le sezioni seguenti descrivono in dettaglio come eseguire lo script, le operazioni eseguite dallo script nel back-end, il comportamento previsto e le eventuali limitazioni, se applicabili. Lo script può eseguire la migrazione di tutti i computer e le pianificazioni in un unico account di automazione in un'unica operazione. Se si dispone di più account di automazione, è necessario eseguire il runbook per tutti gli account di automazione.
A livello generale, è necessario seguire la procedura seguente per eseguire la migrazione dei computer e delle pianificazioni da Gestione aggiornamenti di Automazione ad Azure Update Manager.
Scenari non supportati
- Le query di ricerca non salvate di Azure non verranno migrate; devono essere migrati manualmente.
Per l'elenco completo delle limitazioni e degli elementi da notare, vedere i punti chiave nella migrazione
Guida dettagliata
Le informazioni indicate in ognuno dei passaggi precedenti sono illustrate in dettaglio di seguito.
Prerequisito 1: Eseguire l'onboarding di computer non Azure in Arc
Cosa fare
Il runbook di automazione della migrazione ignora le risorse che non vengono caricate in Arc. È quindi un prerequisito per eseguire l'onboarding di tutti i computer non Azure in Azure Arc prima di eseguire il runbook di migrazione. Seguire la procedura per eseguire l'onboarding dei computer in Azure Arc.
Prerequisito 2: Creare identità utente e assegnazioni di ruolo eseguendo lo script di PowerShell
R. Prerequisiti per l'esecuzione dello script
- Eseguire il comando
Install-Module -Name Az -Repository PSGallery -Forcein PowerShell. Lo script dei prerequisiti dipende da Az.Modules. Questo passaggio è obbligatorio se Az.Modules non è presente o aggiornato. - Per eseguire questo script prerequisito, è necessario disporre di autorizzazioni di Microsoft.Authorization/roleAssignments/write per tutte le sottoscrizioni che contengono risorse di Gestione aggiornamenti di Automazione, ad esempio computer, pianificazioni, area di lavoro Log Analytics e account di automazione. Informazioni su come assegnare un ruolo di Azure.
- È necessario disporre delle autorizzazioni di Gestione aggiornamenti.
B. Eseguire lo script
Scaricare ed eseguire lo script di PowerShell MigrationPrerequisiteScript localmente. Questo script accetta la migrazione di AutomationAccountResourceId dell'account di Automazione e AutomationAccountAzureEnvironment come input. I valori accettati per AutomationAccountAzureEnvironment sono AzureCloud, AzureUSGovernment e AzureChina che firmano il cloud a cui appartiene l'account di automazione.
È possibile recuperare AutomationAccountResourceId passando ad Account di Automazione>Proprietà.
C. Verificare
Dopo aver eseguito lo script, verificare che nell'account di automazione venga creata un'identità gestita dall'utente. Account di Automazione>Identità>Assegnata dall'utente.
D. Operazioni back-end dallo script
Aggiornamento di Az.Modules per l'account di Automazione, che sarà necessario per l'esecuzione di script di migrazione e deboarding.
Crea una variabile di automazione con il nome AutomationAccountAzureEnvironment che archivierà l'ambiente cloud di Azure a cui appartiene l'account di Automazione.
Creazione dell'identità utente nello stesso gruppo di risorse e sottoscrizione dell'account di Automazione. Il nome dell'identità utente sarà simile a AutomationAccount_aummig_umsi.
Collegamento dell'identità utente all'account di Automazione.
Lo script assegna le autorizzazioni seguenti all'identità gestita dall'utente: Autorizzazioni di gestione aggiornamenti necessarie.
- A questo scopo, lo script recupera tutti i computer di cui è stato eseguito l'onboarding in Gestione aggiornamenti di Automazione con questo account di automazione e analizza gli ID sottoscrizione in modo da assegnare il controllo degli accessi in base al ruolo richiesto all'identità utente.
- Lo script fornisce un controllo degli accessi in base al ruolo appropriato all'identità utente nella sottoscrizione a cui appartiene l'account di automazione in modo che le configurazioni MRP possano essere create qui.
- Lo script assegna i ruoli necessari per l'area di lavoro Log Analytics e la soluzione.
Registrazione delle sottoscrizioni necessarie ai provider di risorse Microsoft.Maintenance e Microsoft.EventGrid.
Passaggio 1: Migrazione di computer e pianificazioni
Questo passaggio prevede l'uso di un runbook di automazione per eseguire la migrazione di tutti i computer e le pianificazioni da un account di automazione ad Azure Update Manager.
Segui questi passaggi:
Importare runbook di migrazione dalla raccolta di runbook e pubblicare. Cercare l'aggiornamento di Automazione di Azure dalla raccolta e importare il runbook di migrazione denominato Eseguire la migrazione da Gestione aggiornamenti di Automazione di Azure in Azure Update Manager e pubblicare il runbook.
Il runbook supporta PowerShell 5.1.
Impostare Registrazione dettagliata su True per il runbook.
Eseguire il runbook e passare i parametri necessari, ad esempio AutomationAccountResourceId, UserManagedServiceIdentityClientId e così via.
È possibile recuperare AutomationAccountResourceId da account di Automazione>Proprietà.
È possibile recuperare UserManagedServiceIdentityClientId da account di Automazione>Identità>Assegnata dall'utente>Identità>Proprietà>ID client.
L'impostazione di EnablePeriodicAssessmentForMachinesOnboardedToUpdateManagement su TRUE abilita la proprietà di valutazione periodica in tutti i computer di cui è stato eseguito l'onboarding in Gestione aggiornamenti di Automazione.
L'impostazione di MigrateUpdateSchedulesAndEnablePeriodicAssessmentonLinkedMachines su TRUE esegue la migrazione di tutte le pianificazioni degli aggiornamenti in Gestione aggiornamenti di Automazione ad Azure Update Manager e attiva anche la proprietà di valutazione periodica su True in tutti i computer collegati a queste pianificazioni.
È necessario specificare ResourceGroupForMaintenanceConfigurations in cui verranno create tutte le configurazioni di manutenzione in Gestione aggiornamenti di Azure. Se si specifica un nuovo nome, verrà creato un gruppo di risorse in cui verranno create tutte le configurazioni di manutenzione. Tuttavia, se si specifica un nome con cui esiste già un gruppo di risorse, tutte le configurazioni di manutenzione verranno create nel gruppo di risorse esistente.
Controllare i log dei runbook di Azure per verificare lo stato di esecuzione e migrazione dei controller di archiviazione.
Operazioni del runbook nel back-end
La migrazione del runbook esegue le attività seguenti:
- Abilita la valutazione periodica in tutti i computer.
- Tutte le pianificazioni nell'account di automazione vengono migrate in Gestione aggiornamenti di Azure e viene creata una configurazione di manutenzione corrispondente per ognuna di esse, con le stesse proprietà.
Informazioni sullo script
Di seguito è riportato il comportamento dello script di migrazione:
Controllare se un gruppo di risorse con il nome preso come input è già presente nella sottoscrizione dell'account di automazione o meno. In caso contrario, creare un gruppo di risorse con il nome specificato dal cliente. Questo gruppo di risorse viene usato per la creazione delle configurazioni MRP per la versione 2.
RebootOnly L'impostazione non è disponibile in Gestione aggiornamenti di Azure. Le pianificazioni con l'impostazione RebootOnly non vengono migrate.
Filtrare i controller di archiviazione che si trovano nello stato errored/expired/provisioningFailed/disabled e contrassegnarli come Non migrati, e stampare i log appropriati che indicano che tali controller di archiviazione non vengono migrati.
Il nome dell'assegnazione di configurazione è una stringa che sarà nel formato AUMMig_AAName_SUCName
Determinare se questo ambito dinamico è già assegnato alla configurazione di manutenzione o meno controllando Azure Resource Graph. Se non è assegnato, assegnare solo con il nome dell'assegnazione nel formato AUMMig_ AAName_SUCName_SomeGUID.
Per le pianificazioni con attività pre/post configurate, lo script creerà un webhook di automazione per i runbook nelle attività pre/post e nelle sottoscrizioni di Griglia di eventi per gli eventi di manutenzione pre/post. Per altre informazioni, vedere funzionamento pre/post in Gestione aggiornamenti di Azure
Un set riepilogato di log viene stampato nel flusso di output per fornire uno stato complessivo di computer e controller di streaming.
I log dettagliati vengono stampati nel flusso dettagliato.
Dopo la migrazione, una configurazione di aggiornamento software può avere uno dei quattro stati di migrazione seguenti:
- MigrationFailed
- PartiallyMigrated
- NotMigrated
- Migrated
La tabella seguente illustra gli scenari associati a ogni stato di migrazione.
| MigrationFailed | PartiallyMigrated | NotMigrated | Migrated |
|---|---|---|---|
| Impossibile creare la configurazione di manutenzione per la configurazione dell'aggiornamento software. | Numero diverso da zero di computer in cui non è stato possibile applicare Patch-Settings. | Impossibile ottenere la configurazione dell'aggiornamento software dall'API a causa di un errore client/server, ad esempio errore interno del servizio. | |
| Numero diverso da zero di computer con assegnazioni di configurazione non riuscite. | Configurazione aggiornamento software ha l'impostazione di riavvio solo come riavvio. Questo non è attualmente supportato in Gestore aggiornamenti di Azure. | ||
| Numero diverso da zero di query dinamiche non risolte, ovvero non è stato possibile eseguire la query con Azure Resource Graph. | |||
| Numero diverso da zero di errori di assegnazione della configurazione dell'ambito dinamico. | La configurazione dell'aggiornamento software non ha uno stato di provisioning riuscito nel DB. | ||
| La configurazione dell'aggiornamento software prevede query di ricerca salvate. | La configurazione dell'aggiornamento software è in stato di errore nel database. | ||
| La configurazione dell'aggiornamento software prevede attività pre/post che non sono state migrate correttamente. | La pianificazione associata alla configurazione dell'aggiornamento software è già scaduta al momento della migrazione. | ||
| La pianificazione associata alla configurazione dell'aggiornamento software è disabilitata. | |||
| Eccezione non gestita durante la migrazione della configurazione degli aggiornamenti software. | Zero computer in cui non è stato possibile applicare le impostazioni patch. And Zero computer con assegnazioni di configurazione non riuscite. And Impossibile risolvere zero query dinamiche che non sono riuscite a eseguire la query in Azure Resource Graph. And Zero errori di assegnazione della configurazione dell'ambito dinamico. And Configurazione aggiornamento software ha zero query di ricerca salvate. |
Per capire dalla tabella precedente quale scenario/quali scenari corrispondono al motivo per cui la configurazione dell'aggiornamento software ha uno stato specifico, esaminare i log dettagliati/non riusciti/di avviso per ottenere il codice di errore e il messaggio di errore.
È anche possibile cercare con il nome della pianificazione degli aggiornamenti per ottenere i log specifici per il debug.
Passaggio 2: Deboarding dalla soluzione Gestione aggiornamenti di Automazione
Segui questi passaggi:
Importare il runbook di migrazione dalla raccolta di runbook. Cercare l'aggiornamento di Automazione di Azure da sfoglia raccolta e importare il runbook di migrazione denominato Deboard da Gestione aggiornamenti di Automazione di Azure e pubblicare il runbook.
Il runbook supporta PowerShell 5.1.
Impostare Registrazione dettagliata su True per il runbook.
Avviare il runbook e passare parametri come AccountResourceId di Automazione, UserManagedServiceIdentityClientId e così via.
È possibile recuperare AutomationAccountResourceId da account di Automazione>Proprietà.
È possibile recuperare UserManagedServiceIdentityClientId da account di Automazione>Identità>Assegnata dall'utente>Identità>Proprietà>ID client.
Controllare i log dei runbook di Azure per verificare lo stato di deboarding di computer e pianificazioni.
Operazioni script di deboarding nel back-end
- Disabilitare tutte le pianificazioni sottostanti per tutte le configurazioni di aggiornamento software presenti in questo account di Automazione. Questa operazione viene eseguita per assicurarsi che il runbook Patch-MicrosoftOMSComputers non venga attivato per i controller di streaming di cui è stata eseguita la migrazione parziale alla versione 2.
- Eliminare la soluzione Aggiornamenti dall'area di lavoro Log Analytics collegata per l'account di Automazione di cui è stato eseguito il deboarding da Gestione aggiornamenti di Automazione nella versione 1.
- Nel flusso di output viene stampato anche un log riassuntivo di tutti i SUC disattivati e dello stato di rimozione della soluzione di aggiornamento dall'area di lavoro Log Analytics collegata.
- I log dettagliati vengono stampati sui flussi dettagliati.