Come distribuire gli aggiornamenti ed esaminare i risultati

Attenzione

Questo articolo fa riferimento a CentOS, una distribuzione Linux che ha raggiunto lo stato End Of Life (EOL). Valutare le proprie esigenze e pianificare di conseguenza. Per ulteriori informazioni, consultare la Guida alla fine del ciclo di vita di CentOS.

Importante

Gestione aggiornamenti di Automazione è stato ritirato il 31 agosto 2024 ed è consigliabile usare Gestore aggiornamenti di Azure. Seguire le linee guida per la migrazione da Gestione aggiornamenti di Automazione a Gestore aggiornamenti di Azure.

Questo articolo descrive come pianificare una distribuzione degli aggiornamenti ed esaminare il processo al termine della distribuzione. È possibile configurare una distribuzione di aggiornamenti da una macchina virtuale di Azure selezionata, dal server abilitato per Azure Arc selezionato o dall'account di Automazione in tutti i computer e i server configurati.

In ogni scenario, la distribuzione creata è destinata a un computer o a un server selezionato o, nel caso di creazione di una distribuzione dall'account di Automazione, è possibile specificare come destinazione uno o più computer. Quando si pianifica una distribuzione di aggiornamenti da una macchina virtuale di Azure o da un server abilitato per Azure Arc, la procedura è identica alla distribuzione dall'account di Automazione, con le eccezioni seguenti:

• Il sistema operativo viene selezionato automaticamente in base al sistema operativo del computer.
• Il computer di destinazione da aggiornare viene impostato automaticamente come destinazione.

Importante

Creando una distribuzione di aggiornamenti, si accettano le condizioni delle Condizioni di licenza software (EULA) fornite dall'azienda che offre aggiornamenti per il sistema operativo.

Accedere al portale di Azure

Accedere al portale di Azure

Pianificare la distribuzione degli aggiornamenti

Quando si pianifica una distribuzione degli aggiornamenti, viene creata una risorsa di tipo pianificazione collegata al runbook Patch-MicrosoftOMSComputers che gestisce la distribuzione degli aggiornamenti nel computer o nei computer di destinazione. È necessario pianificare una distribuzione che rispetti la pianificazione delle versioni e l'intervallo di servizio per installare gli aggiornamenti. È possibile scegliere i tipi di aggiornamento da includere nella distribuzione. È possibile ad esempio includere gli aggiornamenti di tipo Critico o Sicurezza ed escludere gli aggiornamenti cumulativi.

Nota

Se si elimina la risorsa di tipo pianificazione dal portale di Azure o si usa PowerShell dopo aver creato la distribuzione, l'eliminazione interrompe la distribuzione degli aggiornamenti pianificati e viene visualizzato un errore quando si prova a riconfigurare la risorsa di pianificazione dal portale. È possibile eliminare la risorsa di tipo pianificazione solo eliminando la pianificazione di distribuzione corrispondente.

Per pianificare una nuova distribuzione degli aggiornamenti, seguire questa procedura. A seconda della risorsa selezionata (ovvero dell'account di Automazione, del server abilitato per Azure Arc, della macchina virtuale di Azure), i passaggi seguenti si applicano a tutte le differenze secondarie durante la configurazione della pianificazione delle distribuzioni.

1. Nel portale pianificare una distribuzione per:

   • Uno o più computer, andare a Account di automazione e selezionare il proprio account di automazione con Gestione aggiornamenti abilitato nell'elenco.
   • Per una macchina virtuale di Azure andare a Macchine virtuali e selezionare la macchina virtuale nell'elenco.
   • Per un server abilitato per Azure Arc, andare a Server - Azure Arc e selezionare il server nell'elenco.

2. A seconda della risorsa selezionata, andare a Gestione aggiornamenti:

   • Nell'account di Automazione andare a Gestione aggiornamenti in Gestione aggiornamenti e selezionare Pianifica distribuzione degli aggiornamenti.
   • Se è stata selezionata una macchina virtuale di Azure, andare a Aggiornamenti guest + host e selezionare Vai a Gestione aggiornamenti.
   • Se è stato selezionato un server abilitato per Azure Arc, andare a Gestione aggiornamenti e selezionare Pianifica distribuzione degli aggiornamenti.

3. In Nuova distribuzione di aggiornamenti nel campo Nome immettere un nome univoco per la distribuzione.

4. Selezionare il sistema operativo di destinazione per la distribuzione degli aggiornamenti.

   Nota

   Questa opzione non è disponibile se è stata selezionata una macchina virtuale di Azure o un server abilitato per Azure Arc. Il sistema operativo viene identificato automaticamente.

5. Nell'area Gruppi da aggiornare definire una query che combini sottoscrizione, gruppi di risorse, posizioni e tag per creare un gruppo dinamico di macchine virtuali di Azure da includere nella distribuzione. Per altre informazioni, vedere Usare i gruppi dinamici con Gestione aggiornamenti.

   Nota

   Questa opzione non è disponibile se è stata selezionata una macchina virtuale di Azure o un server abilitato per Azure Arc. Il computer è destinato automaticamente alla distribuzione pianificata.

   Importante

   Quando si compila un gruppo dinamico di macchine virtuali di Azure, Gestione aggiornamenti supporta solo un massimo di 500 query che combinano sottoscrizioni o gruppi di risorse nell'ambito del gruppo.

6. Nell'area Computer da aggiornare selezionare una ricerca salvata o un gruppo importato oppure scegliere Computer dall'elenco a discesa e selezionare computer singoli. Con questa opzione è possibile visualizzare l'idoneità dell'agente di Log Analytics per ogni computer. Per altre informazioni sui diversi metodi di creazione di gruppi di computer nei log di Monitoraggio di Azure, vedere Gruppi di computer nei log di Monitoraggio di Azure. È possibile includere fino a un massimo di 1000 computer in una distribuzione di aggiornamenti pianificata.

   Nota

   Questa opzione non è disponibile se è stata selezionata una macchina virtuale di Azure o un server abilitato per Azure Arc. Il computer è destinato automaticamente alla distribuzione pianificata.

7. Usare l'area Classificazioni aggiornamenti per specificare classificazioni degli aggiornamenti per i prodotti. Per ogni prodotto, deselezionare tutte le classificazioni degli aggiornamenti supportate, tranne quelle da includere nella distribuzione degli aggiornamenti.

   

   Se la distribuzione è destinata a essere applicata solo a un set selezionato di aggiornamenti, è necessario deselezionare tutte le classificazioni degli aggiornamenti preselezionate quando si configura l'opzione Includi/Escludi aggiornamenti come descritto nel passaggio seguente. Ciò garantisce che nel computer di destinazione siano installati solo gli aggiornamenti da includere in questa distribuzione.

   Nota

   La distribuzione degli aggiornamenti in base alla relativa classificazione non funziona nelle versioni RTM di CentOS. Per distribuire correttamente gli aggiornamenti per CentOS, selezionare tutte le classificazioni per assicurarsi che gli aggiornamenti vengano applicati. Attualmente non è supportato alcun metodo per abilitare la disponibilità dei dati di classificazione nativi in CentOS. Per altre informazioni sulle classificazioni degli aggiornamenti, vedere quanto segue.

   Nota

   La distribuzione degli aggiornamenti in base alla classificazione degli aggiornamenti potrebbe non funzionare correttamente per le distribuzioni Linux supportate da Gestione aggiornamenti. Si tratta di un problema identificato con lo schema di denominazione del file OVAL e ciò impedisce a Gestione aggiornamenti di associare correttamente le classificazioni in base alle regole di filtro. A causa della diversa logica usata nelle valutazioni degli aggiornamenti di tipo Sicurezza, i risultati possono differire dagli aggiornamenti della sicurezza applicati durante la distribuzione. Se la classificazione è impostata su Critico e Sicurezza, la distribuzione degli aggiornamenti sarà eseguita come previsto. È interessata solo la classificazione degli aggiornamenti durante una valutazione.

   Gestione aggiornamenti per i computer Windows Server non è interessato; le distribuzioni e la classificazione degli aggiornamenti sono invariate.

8. Usare l'area Includi/escludi aggiornamenti per aggiungere o escludere gli aggiornamenti selezionati dalla distribuzione. Nella pagina Includi/Escludi immettere i numeri ID articolo della Knowledge Base da includere o escludere per gli aggiornamenti di Windows. Per le distribuzioni Linux supportate, specificare il nome del pacchetto.

   

   Importante

   Tenere presente che le esclusioni eseguono l'override delle inclusioni. Se, ad esempio, si definisce la regola di esclusione *, Gestione aggiornamenti esclude tutte le patch o i pacchetti dall'installazione. Le patch escluse vengono ancora visualizzate come mancanti dai computer. Per i computer Linux, se si include un pacchetto contenente un pacchetto dipendente che è stato escluso, Gestione aggiornamenti non installa il pacchetto principale.

   Nota

   Non è possibile indicare aggiornamenti sostituiti perché vengano inclusi nella distribuzione degli aggiornamenti.

   Ecco alcuni scenari di esempio che consentono di comprendere come usare la classificazione di inclusione/esclusione e aggiornamento contemporaneamente nelle distribuzioni degli aggiornamenti:

   • Se si desidera installare solo un elenco specifico di aggiornamenti, non è consigliabile selezionare alcuna classificazione di aggiornamenti ed è bene fornire un elenco di aggiornamenti da applicare usando l'opzione Includi.

   • Se si desidera installare solo aggiornamenti di tipo Sicurezza e Critico, oltre a uno o più aggiornamenti facoltativi, è consigliabile selezionare Sicurezza e Critico in Classificazioni degli aggiornamenti. Quindi, per l'opzione Includi, specificare gli KBID per gli aggiornamenti facoltativi.

   • Se si desidera installare solo aggiornamenti di tipo Sicurezza e Critico, ma ignorare uno o più aggiornamenti per Python per evitare l'interruzione dell'applicazione legacy, selezionare Sicurezza e Critico in Classificazioni degli aggiornamenti. Per l'opzione Escludi aggiungere quindi i pacchetti Python da ignorare.

9. Selezionare Impostazioni pianificazione. L'ora di inizio predefinita è 30 minuti dopo il momento corrente. È possibile impostare l'ora di inizio su qualsiasi orario a partire da 10 minuti dal momento corrente.

10. Usare Ricorrenza per specificare se la distribuzione viene eseguita una sola volta o in base a una pianificazione ricorrente e selezionare OK.

11. Nell'area Pre-script + post-script selezionare gli script da eseguire prima e dopo la distribuzione. Per altre informazioni, vedere Gestire pre-script e post-script.

12. Usare il campo Finestra di manutenzione (minuti) per specificare la quantità di tempo consentita per l'installazione di aggiornamenti. Quando si specifica una finestra di manutenzione, tenere presenti i dettagli seguenti:

    • Le finestre di manutenzione controllano la quantità di aggiornamenti che vengono installati.
    • Se il passaggio successivo del processo di aggiornamento consiste nell'installare un Service Pack, la finestra di manutenzione deve avere ancora 20 minuti o tale aggiornamento verrà ignorato.
    • Se il passaggio successivo del processo di aggiornamento consiste nell'installare un altro tipo di aggiornamento oltre a Service Pack, la finestra di manutenzione deve avere ancora 15 minuti o tale aggiornamento verrà ignorato.
    • Se il passaggio successivo del processo di aggiornamento consiste in un riavvio, nella finestra di manutenzione devono esserci 10 minuti rimanenti oppure il riavvio verrà ignorato.
    • Gestione aggiornamenti non interrompe l'installazione di nuovi aggiornamenti se si avvicina la fine di una finestra di manutenzione.
    • Gestione aggiornamenti non termina gli aggiornamenti in corso se viene superata la finestra di manutenzione. Gli aggiornamenti rimanenti da installare non vengono eseguiti. Se questo errore si verifica in modo costante, è consigliabile rivalutare la durata della finestra di manutenzione.
    • Se la finestra di manutenzione viene superata in Windows, il motivo è in genere dovuto all'aggiornamento di un Service Pack la cui installazione impiega molto tempo.

    Nota

    Per evitare che gli aggiornamenti vengano applicati al di fuori di una finestra di manutenzione in Ubuntu, riconfigurare il pacchetto Unattended-Upgrade in modo da disabilitare gli aggiornamenti automatici. Per informazioni su come configurare il pacchetto, vedere l'argomento sugli aggiornamenti automatici nella guida a Ubuntu Server.

13. Usare il campo Opzioni di riavvio per specificare la modalità di gestione dei riavvii durante la distribuzione. Sono disponibili le seguenti opzioni:

    • Riavvia se necessario (impostazione predefinita)
    • Riavvia sempre
    • Non riavviare mai
    • Solo riavvio - Gli aggiornamenti non verranno installati

    Nota

    Le chiavi del Registro di sistema elencate in Chiavi del Registro di sistema usate per gestire il riavvio possono causare un evento di riavvio se le Opzioni di riavvio sono impostate su Non riavviare mai.

14. Al termine della configurazione della pianificazione delle distribuzioni, selezionare Crea.

    

    Nota

    Al termine della configurazione della pianificazione delle distribuzioni per un server abilitato per Azure Arc selezionato, selezionare Rivedi + crea.

15. Verrà nuovamente visualizzato il dashboard dello stato. Selezionare Pianificazioni delle distribuzioni per visualizzare la pianificazione di distribuzioni creata. Sono elencate al massimo 500 pianificazioni. Se sono presenti più di 500 pianificazioni e si desidera esaminare l'elenco completo, vedere il metodo dell'API REST Configurazioni degli aggiornamenti software - Elenco. Specificare la versione API 2019-06-01 o successiva.

Pianificare una distribuzione di aggiornamenti a livello di codice

Per informazioni su come creare una distribuzione di aggiornamenti con l'API REST, vedere Configurazione degli aggiornamenti software - Creazione.

È possibile usare un runbook di esempio per creare una distribuzione di aggiornamenti settimanale. Per altre informazioni su questo runbook, vedere Create a weekly update deployment for one or more VMs in a resource group (Creare una distribuzione di aggiornamenti settimanale per una o più macchine virtuali in un gruppo di risorse).

Controllare lo stato della distribuzione

Dopo avere avviato la distribuzione pianificata, è possibile visualizzarne lo stato nella scheda Cronologia in Gestione aggiornamenti. Se la distribuzione è attualmente in esecuzione, lo stato sarà In corso. Al termine della distribuzione, se questa ha esito positivo, lo stato passa a Completata. Se si verificano errori in uno o più aggiornamenti della distribuzione, lo stato sarà Non riuscito.

Visualizzare i risultati di una distribuzione di aggiornamenti completata

Al termine della distribuzione, è possibile selezionarla per visualizzarne i risultati.

In Risultati aggiornamento è disponibile un riepilogo che indica il numero totale di aggiornamenti e i risultati della distribuzione nelle macchine virtuali di destinazione. La tabella a destra offre una suddivisione dettagliata degli aggiornamenti e dei risultati dell'installazione per ognuno.

I valori disponibili sono:

• Tentativo non eseguito: l'aggiornamento non è stato installato perché il tempo disponibile non era sufficiente, in base alla durata della finestra di manutenzione specificata.
• Non selezionato: l'aggiornamento non è stato selezionato per la distribuzione.
• Completato: l'aggiornamento è stato completato.
• Non riuscito: l'aggiornamento non è riuscito.

Selezionare Tutti i log per visualizzare tutte le voci di log create dalla distribuzione.

Selezionare Output per visualizzare il flusso del processo del runbook responsabile della gestione della distribuzione di aggiornamenti nelle macchine virtuali di destinazione.

Per visualizzare informazioni dettagliate sugli errori della distribuzione, selezionare Errori.

Distribuire gli aggiornamenti tra tenant di Azure

Se si hanno computer in un altro tenant di Azure che segnalano a Gestione aggiornamenti che necessitano di una patch, occorrerà usare la seguente soluzione alternativa per pianificarli. È possibile usare il cmdlet New-AzAutomationSchedule con il parametro ForUpdateConfiguration per creare una pianificazione. Usare quindi il cmdlet New-AzAutomationSoftwareUpdateConfiguration e passare i computer dell'altro tenant al parametro NonAzureComputer. L'esempio seguente illustra come farlo.

$nonAzurecomputers = @("server-01", "server-02")

$startTime = ([DateTime]::Now).AddMinutes(10)

$sched = New-AzAutomationSchedule `
    -ResourceGroupName mygroup `
    -AutomationAccountName myaccount `
    -Name myupdateconfig `
    -Description test-OneTime `
    -OneTime `
    -StartTime $startTime `
    -ForUpdateConfiguration

New-AzAutomationSoftwareUpdateConfiguration  `
    -ResourceGroupName $rg `
    -AutomationAccountName <automationAccountName> `
    -Schedule $sched `
    -Windows `
    -NonAzureComputer $nonAzurecomputers `
    -Duration (New-TimeSpan -Hours 2) `
    -IncludedUpdateClassification Security,UpdateRollup `
    -ExcludedKbNumber KB01,KB02 `
    -IncludedKbNumber KB100

Passaggi successivi

• Per informazioni su come creare avvisi per notificare i risultati della distribuzione degli aggiornamenti, vedere Creare avvisi per Gestione aggiornamenti.
• Per risolvere gli errori generali di Gestione aggiornamenti, vedere Risolvere i problemi relativi a Gestione aggiornamenti.