Pianificare gli aggiornamenti ricorrenti per i computer tramite il portale di Azure e Criteri di Azure
Si applica a: ✔️ Macchine virtuali Windows ✔️ Macchine virtuali Linux ✔️ Ambiente locale ✔️ Server abilitati per Azure Arc.
Importante
- Per un'esperienza di applicazione di patch pianificata senza problemi, è consigliabile aggiornare l'orchestrazione delle patch a Pianificazioni gestite dal cliente per tutte le macchine virtuali di Azure entro il 30 giugno 2023. Se non si aggiorna l'orchestrazione delle patch entro il 30 giugno 2023, è possibile che si riscontri un'interruzione della continuità aziendale perché le pianificazioni non riusciranno ad applicare patch alle macchine virtuali. Altre informazioni.
È possibile usare Gestore aggiornamenti di Azure per creare e salvare pianificazioni di distribuzione ricorrenti. È possibile creare una pianificazione in base a cadenza giornaliera, settimanale o oraria. È possibile specificare i computer che devono essere aggiornati come parte della pianificazione e gli aggiornamenti da installare.
Questa pianificazione installa automaticamente gli aggiornamenti in base alla pianificazione creata su larga scala per una singola macchina virtuale.
Aggiorna Manager usa una pianificazione basata sul controllo della manutenzione anziché creare pianificazioni personalizzate. Il controllo della manutenzione consente ai clienti di gestire gli aggiornamenti della piattaforma. Per altre informazioni, vedere la documentazione relativa al controllo della gestione.
Prerequisiti per l'applicazione di patch pianificata
L'orchestrazione delle patch dei computer di Azure deve essere impostata su Pianificazioni gestite dal cliente. Per altre informazioni, vedere Abilitare l'applicazione di patch di pianificazione nelle macchine virtuali esistenti. Requisiti di rete per i computer abilitati per Azure ARC.
Nota
Se si imposta la modalità patch su Orchestrata da Azure (
AutomaticByPlatform
) ma non si abilita il flag BypassPlatformSafetyChecksOnUserSchedule e non si allega una configurazione di manutenzione a un computer di Azure, il suddetto viene considerato come un computer abilitato per l'applicazione automatica delle patch guest. La piattaforma Azure installa automaticamente gli aggiornamenti in base alla propria pianificazione. Altre informazioni.
Pianificare l'applicazione di patch in un set di disponibilità
Tutte le macchine virtuali in un set di disponibilità comune non vengono aggiornate contemporaneamente.
Le macchine virtuali in un set di disponibilità comune vengono aggiornate entro i limiti del dominio di aggiornamento. Le macchine virtuali in più domini di aggiornamento non vengono aggiornate contemporaneamente.
Negli scenari in cui ai computer dello stesso set di disponibilità vengono applicate contemporaneamente patch in pianificazioni diverse, è probabile che non vengano applicate patch o che si verifichino errori se la finestra di manutenzione non rispetta i limiti. Per evitare questo problema, è consigliabile aumentare la finestra di manutenzione o dividere i computer appartenenti allo stesso set di disponibilità in più pianificazioni in momenti diversi.
Configurare le impostazioni di riavvio
Le chiavi del Registro di sistema elencate in Configurare gli aggiornamenti automatici modificando il Registro di sistema e Chiavi del Registro di sistema usate per gestire il riavvio possono causare il riavvio dei computer. Un riavvio può verificarsi anche se si specifica Non riavviare mai nelle impostazioni di Pianificazione. Configurare queste chiavi del registro di sistema per adattarle al proprio ambiente.
Limiti del servizio
È consigliabile usare i limiti seguenti per gli indicatori.
Indicatore | Limite cloud pubblico | Mooncake/Fairfax Limit |
---|---|---|
Numero di pianificazioni per sottoscrizione per area | 250 | 250 |
Numero totale di associazioni di risorse a una pianificazione | 3,000 | 3,000 |
Associazioni di risorse in ogni ambito dinamico | 1.000 | 1,000 |
Numero di ambiti dinamici per gruppo di risorse o sottoscrizione per area | 250 | 250 |
Numero di ambiti dinamici per pianificazione | 200 | 100 |
Numero totale di sottoscrizioni associate a tutti gli ambiti dinamici per pianificazione | 200 | 100 |
Per altre informazioni, vedere i limiti del servizio per l'ambito dinamico.
Pianificare gli aggiornamenti ricorrenti in una singola macchina virtuale
È possibile pianificare gli aggiornamenti dal riquadro Panoramica o Computer nella pagina Gestione aggiornamenti o dalla macchina virtuale selezionata.
Per pianificare gli aggiornamenti ricorrenti in una singola macchina virtuale:
Accedere al portale di Azure.
Nella pagina Panoramica di Gestore aggiornamenti di Azure | selezionare la sottoscrizione e successivamente Pianifica aggiornamenti.
Nella pagina Crea nuova configurazione di manutenzione è possibile creare una pianificazione per una singola macchina virtuale.
Attualmente sono supportate le macchine virtuali e la configurazione di manutenzione nella stessa sottoscrizione.
Nella pagina Dati principali selezionare Sottoscrizione, Gruppo di risorse e tutte le opzioni in Dettagli istanza.
Selezionare Ambito di manutenzione come Guest (macchina virtuale di Azure, macchine virtuali/server abilitati per Azure Arc).
Selezionare Aggiungi pianificazione. In Aggiungi/Modifica pianificazionespecificare i dettagli della pianificazione, ad esempio:
- Data di inizio
- Finestra di manutenzione (in ore). La finestra di manutenzione superiore è di 3 ore 55 minuti.
- Ripetizioni (mensile, giornaliero o settimanale)
- Aggiungi data di fine
- Riepilogo della pianificazione
L'opzione oraria non è supportata nel portale; tuttavia, è possibile usarla tramite l'API.
Per Le ripetizioni mensilisono disponibili due opzioni:
- Ripetere in base a una data del calendario (facoltativamente eseguita nell'ultima data del mese).
- Ripetere l'n° (primo, secondo e così via) x giorno (ad esempio lunedì, martedì) del mese. È anche possibile specificare un offset dal set di giorni. Potrebbe essere +6/-6. Ad esempio, se si desidera applicare patch il primo sabato dopo una patch il martedì, impostare la ricorrenza come secondo martedì del mese con un offset di +4 giorni. Facoltativamente, è anche possibile specificare una data di fine quando si desidera che la pianificazione scada.
Nella scheda Computer selezionare il computer e quindi selezionare Avanti.
Gestione aggiornamenti non supporta gli aggiornamenti dei driver.
Nella scheda Tag assegnare tag alle configurazioni di manutenzione.
Nella scheda Rivedi + crea verificare le opzioni di distribuzione degli aggiornamenti e selezionare Crea.
Accedere al portale di Azure.
Nella pagina Gestore aggiornamenti di Azure | Computer, selezionare la sottoscrizione, selezionare il computer e successivamente selezionare Pianifica aggiornamenti.
In Creare una nuova configurazione di manutenzione è possibile creare una pianificazione per una singola macchina virtuale e assegnare un computer e tag. Seguire la procedura descritta nel passaggio 3 elencato in Nel riquadro Panoramica di Pianificare gli aggiornamenti ricorrenti in una singola macchina virtuale per creare una configurazione di manutenzione e assegnare una pianificazione.
Una notifica conferma che la distribuzione è stata creata.
Pianificare gli aggiornamenti ricorrenti su larga scala
Per pianificare gli aggiornamenti ricorrenti su larga scala, seguire questa procedura.
È possibile pianificare gli aggiornamenti dal riquadro Panoramica o Computer.
Accedere al portale di Azure.
Nella pagina Panoramica di Gestore aggiornamenti di Azure | selezionare la sottoscrizione e successivamente Pianifica aggiornamenti.
Nella pagina Crea nuova configurazione di manutenzione è possibile creare una pianificazione per più computer.
Attualmente sono supportate le macchine virtuali e la configurazione di manutenzione nella stessa sottoscrizione.
Nella scheda Dati principali selezionare Sottoscrizione, Gruppo di risorse e tutte le opzioni in Dettagli istanza.
Selezionare Aggiungi pianificazione. In Aggiungi/Modifica pianificazionespecificare i dettagli della pianificazione, ad esempio:
- Data di inizio
- Finestra di manutenzione (in ore)
- Ripetizioni (mensile, giornaliero o settimanale)
- Aggiungi data di fine
- Riepilogo della pianificazione
L'opzione oraria non è supportata nel portale; tuttavia, è possibile usarla tramite l'API.
Nella scheda Computer verificare se i computer selezionati sono elencati. È possibile aggiungere o rimuovere computer dall'elenco. Selezionare Avanti.
Nella scheda Aggiornamenti specificare gli aggiornamenti da includere nella distribuzione, ad esempio classificazioni di aggiornamenti o ID/pacchetti KB che devono essere installati quando si attiva la pianificazione.
Gestione aggiornamenti non supporta gli aggiornamenti dei driver.
Nella scheda Tag assegnare tag alle configurazioni di manutenzione.
Nella scheda Rivedi + crea verificare le opzioni di distribuzione degli aggiornamenti e selezionare Crea.
Una notifica conferma che la distribuzione è stata creata.
Allegare una configurazione della manutenzione
Una configurazione di manutenzione può essere allegata a più computer. Può essere allegato ai computer al momento della creazione di una nuova configurazione di manutenzione o anche dopo averlo creato.
Nella pagina Gestore aggiornamenti di Azure selezionare Computer, quindi selezionare la sottoscrizione.
Selezionare il computer e nel riquadro Aggiornamenti selezionare Aggiornamenti pianificati per creare una configurazione di manutenzione o allegare una configurazione di manutenzione esistente agli aggiornamenti ricorrenti pianificati.
Nella scheda Pianificazione selezionare Allega configurazione di manutenzione.
Selezionare la configurazione di manutenzione da allegare e quindi selezionare Connetti.
Nel riquadro Aggiornamenti selezionare Pianificazione>Allega configurazione di manutenzione.
Nella pagina Allega configurazione di manutenzione esistente selezionare la configurazione di manutenzione da allegare e quindi selezionare Connetti.
Pianificare gli aggiornamenti ricorrenti dalla configurazione della manutenzione
È possibile esplorare e gestire tutte le configurazioni di manutenzione da un'unica posizione.
Cercare configurazioni di manutenzione nel portale di Azure. Mostra un elenco di tutte le configurazioni di manutenzione insieme all'ambito di manutenzione, al gruppo di risorse, alla posizione e alla sottoscrizione a cui appartiene.
È possibile filtrare le configurazioni di manutenzione usando filtri nella parte superiore. Le configurazioni di manutenzione correlate agli aggiornamenti del sistema operativo guest sono quelle con ambito di manutenzione come InGuestPatch.
È possibile creare una nuova configurazione di manutenzione degli aggiornamenti del sistema operativo guest o modificare una configurazione esistente.
Creare una nuova configurazione della manutenzione
Andare a Computer e selezionare computer nell'elenco.
Nel riquadro Aggiornamenti selezionare Aggiornamenti pianificati.
Nel riquadro Crea una configurazione di manutenzione seguire il passaggio 3 di questa procedura per creare una configurazione di manutenzione.
Nella scheda Dati principali selezionare l'ambito di manutenzione come Guest (macchina virtuale di Azure, macchine virtuali/server abilitati per Arc).
Aggiungere o rimuovere computer dalla configurazione di manutenzione
Andare a Computer e selezionare i computer nell'elenco.
Nella pagina Aggiornamenti selezionare Aggiornamenti monouso.
Nel riquadro Installa aggiornamenti monouso selezionare Computer>Aggiungi computer.
Modificare i criteri di selezione degli aggiornamenti
Nel riquadro Installa aggiornamenti monouso selezionare le risorse e i computer per installare gli aggiornamenti.
Nella scheda Computer selezionare Aggiungi computer per aggiungere computer non selezionati in precedenza e quindi selezionare Aggiungi.
Nella scheda Aggiornamenti specificare gli aggiornamenti da includere nella distribuzione.
Selezionare Includi ID KB/pacchetto ed Escludi ID KB/pacchetto, rispettivamente, per selezionare gli aggiornamenti come Critici, Sicurezzae Aggiornamenti delle funzionalità.
Eseguire l'onboarding per pianificare usando Criteri di Azure
Gestione aggiornamenti consente di specificare come destinazione un gruppo di macchine virtuali di Azure o non di Azure per la distribuzione degli aggiornamenti tramite Criteri di Azure. Il raggruppamento con un criterio impedisce di dover modificare la distribuzione per aggiornare i computer. È possibile usare la sottoscrizione, il gruppo di risorse, i tag o le aree per definire l'ambito. È possibile usare questa funzionalità per i criteri predefiniti, che è possibile personalizzare in base al caso d'uso.
Nota
Questo criterio garantisce anche che la proprietà di orchestrazione patch per i computer di Azure sia impostata su Pianificazioni gestite dal cliente perché è un prerequisito per l'applicazione di patch pianificate.
Assegnare un criterio
Criteri di Azure consente di assegnare standard e valutare la conformità su larga scala. Per altre informazioni, vedere Panoramica di Criteri di Azure. Per assegnare un criterio all'ambito:
Accedere al portale di Azure e selezionare Criteri.
In Assegnazioniselezionare Assegna criterio.
Nella pagina Assegna criteri, nella scheda Dati principali:
In Ambitoscegliere la sottoscrizione e il gruppo di risorse e scegliere Seleziona.
Selezionare Definizione criteri per visualizzare un elenco di criteri.
Nel riquadro Definizioni disponibili selezionare Predefinita per Tipo. In Cercaimmettere Pianifica aggiornamenti ricorrenti con Gestore aggiornamenti di Azure e fare clic su Seleziona.
Assicurarsi che Imposizione dei criteri sia impostata su Abilitata e selezionare Avanti.
Nella scheda Parametri, per impostazione predefinita, è visibile solo l'ID ARM della configurazione di manutenzione.
Se non si specificano altri parametri, tutti i computer nella sottoscrizione e nel gruppo di risorse selezionati nella scheda Dati principali sono inclusi nell'ambito. Se si desidera definire un ambito più approfondito in base a gruppo di risorse, posizione, sistema operativo, tag e così via, deselezionare Mostra solo i parametri che richiedono input o revisione per visualizzare tutti i parametri:
- ID ARM della configurazione della manutenzione: parametro obbligatorio da specificare. Indica l'ID di Azure Resource Manager (ARM) della pianificazione da assegnare ai computer.
- Gruppi di risorse: facoltativamente, è possibile specificare un gruppo di risorse se si desidera definire l'ambito a un gruppo di risorse. Per impostazione predefinita, vengono selezionati tutti i gruppi di risorse all'interno della sottoscrizione.
- Tipi di sistema operativo: è possibile selezionare Windows o Linux. Per impostazione predefinita, entrambi sono preselezionati.
- Località computer: facoltativamente è possibile specificare le aree da selezionare. Per impostazione predefinita, vengono selezionati tutti.
- Tag nei computer: è possibile usare i tag per definire ulteriormente l'ambito. Per impostazione predefinita, vengono selezionati tutti.
- Operatore tag: se si selezionano più tag, è possibile specificare se si desidera che l'ambito sia computer con tutti i tag o i computer con uno di questi tag.
Nella scheda Correzione, in Identità gestita>Tipo dell'identità gestita selezionare Identità gestita assegnata dal sistema. Le autorizzazioni sono già impostate come Collaboratore in base alla definizione dei criteri.
Se si seleziona Correzione, il criterio è attivo su tutti i computer esistenti nell'ambito oppure viene assegnato a qualsiasi nuovo computer aggiunto all'ambito.
Nella scheda Rivedi + crea verificare le selezioni e quindi selezionare Crea per identificare le risorse non conformi per comprendere lo stato di conformità dell'ambiente.
Visualizzare la conformità
Per visualizzare lo stato di conformità corrente delle risorse esistenti:
In Assegnazionicriteri selezionare Ambito per selezionare la sottoscrizione e il gruppo di risorse.
In Tipo di definizione selezionare il criterio. Nell'elenco selezionare il nome dell'assegnazione.
Selezionare Visualizza conformità. Conformità delle risorse elenca i computer e i motivi dell'errore.
Controllare l'esecuzione pianificata delle patch
È possibile controllare lo stato della distribuzione e la cronologia delle esecuzioni della configurazione di manutenzione dal portale di Gestione aggiornamenti. Per altre informazioni, vedere Aggiornare la cronologia di distribuzione in base all'ID esecuzione della manutenzione.
Sequenza temporale della finestra di manutenzione
La finestra di manutenzione controlla il numero di aggiornamenti che possono essere installati nella macchina virtuale e nei server abilitati per Arc. È consigliabile esaminare la tabella seguente per comprendere la sequenza temporale per una finestra di manutenzione durante l'installazione di un aggiornamento:
Ad esempio, se una finestra di manutenzione è di 3 ore e inizia alle 15:00, di seguito sono riportati i dettagli su come vengono installati gli aggiornamenti:
Aggiorna tipo | Dettagli |
---|---|
Service Pack | Se si installa un Service Pack, sono necessari 20 minuti rimanenti nella finestra di manutenzione per l'installazione degli aggiornamenti, altrimenti l'aggiornamento viene ignorato. In questo esempio è necessario completare l'installazione del Service Pack entro le 17:40. |
Altri aggiornamenti | Se si installa un altro aggiornamento oltre al Service Pack, è necessario lasciare 15 minuti nella finestra di manutenzione, altrimenti viene ignorato. In questo esempio è necessario completare l'installazione degli altri aggiornamenti entro le 17:45. |
Riavvio | Se il computer richiede un riavvio, è necessario lasciare 10 minuti nella finestra di manutenzione, altrimenti il riavvio viene ignorato. In questo esempio è necessario avviare il riavvio entro le 17:50. Nota: per le macchine virtuali di Azure e i server abilitati per Arc, Gestore aggiornamenti di Azure attende un massimo di 15 minuti per le macchine virtuali di Azure e 25 minuti per i server Arc dopo un riavvio per completare l'operazione di riavvio prima di contrassegnarlo come non riuscito. |
Nota
- Gestore aggiornamenti di Azure non interrompe l'installazione dei nuovi aggiornamenti se si avvicina alla fine della finestra di manutenzione.
- Azure Update Manger non termina gli aggiornamenti in corso se la finestra di manutenzione viene superata e solo gli aggiornamenti rimanenti che devono essere installati non vengono tentati. È consigliabile valutare nuovamente la durata della finestra di manutenzione per assicurarsi che tutti gli aggiornamenti siano installati.
- Se la finestra di manutenzione viene superata in Windows, il motivo è in genere dovuto all'aggiornamento di un Service Pack la cui installazione impiega molto tempo.
Passaggi successivi
- Altre informazioni su Ambito dinamico, una funzionalità avanzata dell'applicazione di patch pianificata.
- Altre informazioni su come configurare la pianificazione dell'applicazione di patch nelle macchine virtuali di Azure per la continuità aziendale.
- Seguire le istruzioni su come gestire varie operazioni dell'ambito dinamico
- Informazioni su eventi pre e post per eseguire automaticamente le attività prima e dopo una configurazione di manutenzione pianificata.