Como funciona o Update Manager
O Update Manager avalia e aplica atualizações a todas as máquinas do Azure e servidores habilitados para Azure Arc para Windows e Linux.
Extensões de VM do Update Manager
Quando uma operação do Azure Update Manager (AUM) é habilitada ou acionada em seu servidor habilitado para Azure ou Arc, o AUM instala uma extensão do Azure ou extensões de servidores habilitadas para Arc, respectivamente, em sua máquina para gerenciar as atualizações.
A extensão é instalada automaticamente em sua máquina quando você inicia qualquer operação do Update Manager em sua máquina pela primeira vez, como Verificar atualizações, Instalar atualização única, Avaliação periódica ou quando a implantação de atualização agendada é executada em sua máquina pela primeira vez.
O cliente não precisa instalar explicitamente a extensão e seu ciclo de vida, pois ela é gerenciada pelo Azure Update Manager, incluindo instalação e configuração. A extensão do Update Manager é instalada e gerenciada usando os agentes abaixo, que são necessários para que o Update Manager funcione em suas máquinas:
- Agente do Windows da VM do Azure ou o agente Linux da VM do Azure para VMs do Azure.
- Agente de servidores habilitados para Azure Arc
Nota
A conectividade Arc é um pré-requisito para o Update Manager, máquinas que não são do Azure, incluindo VMWare habilitado para Arc, SCVMM, etc.
Para máquinas do Azure, uma única extensão é instalada, enquanto para máquinas habilitadas para Azure Arc, duas extensões são instaladas. Abaixo estão os detalhes das extensões, que são instaladas:
Sistema operativo | Extensão |
---|---|
Windows | Microsoft.CPlat.Core.WindowsPatchExtension |
Linux | Microsoft.CPlat.Core.LinuxPatchExtension |
Fonte de atualização
O Azure Update Manager respeita as configurações de origem da atualização na máquina e buscará atualizações de acordo. A AUM não publica nem fornece atualizações.
Se o Windows Update Agent (WUA) estiver configurado para buscar atualizações do repositório do Windows Update, do repositório do Microsoft Update ou do WSUS (Windows Server Update Services), o AUM respeitará essas configurações. Para obter mais informações, consulte como configurar o cliente do Windows Update. Por padrão, ele é configurado para buscar atualizações do repositório de atualizações do Windows.
O AUM executa as seguintes etapas:
- Recupere as informações de avaliação sobre o status das atualizações do sistema especificadas pelo cliente Windows Update ou pelo gerenciador de pacotes Linux.
- Inicie o download e a instalação de atualizações com o cliente Windows Update ou o gerenciador de pacotes Linux.
Nota
- As máquinas relatarão seu status de atualização com base na fonte com a qual estão configuradas para sincronizar. Se o serviço Windows Update estiver configurado para relatar ao WSUS, os resultados no Update Manager podem ser diferentes do que o Microsoft Update mostra, dependendo de quando o WSUS foi sincronizado pela última vez com o Microsoft Update. Esse comportamento é o mesmo para máquinas Linux configuradas para relatar para um repositório local em vez de um repositório de pacote público.
- O Gestor de Atualizações só encontrará atualizações que o serviço Windows Update encontrar quando selecionar o botão local Procurar atualizações no sistema Windows local. Em sistemas Linux, apenas atualizações no repositório local serão descobertas.
Atualiza dados armazenados no Azure Resource Graph
A extensão do Update Manager envia todas as informações de atualizações pendentes e os resultados da instalação de atualização para o Azure Resource Graph , onde os dados são retidos por períodos de tempo abaixo:
Dados | Período de retenção no gráfico de Recursos do Azure |
---|---|
Atualizações pendentes (nome da tabela ARG: patchassessmentresources) | Sete Dias |
Atualizar os resultados da instalação (nome da tabela ARG: patchinstallationresources) | 30 dias |
Para obter mais informações, consulte Estrutura de log do Azure Resource Graph e consultas de exemplo.
Como os patches são instalados no Azure Update Manager
No Azure Update Manager, os patches são instalados da seguinte maneira:
Ele começa com uma nova avaliação das atualizações disponíveis na VM.
A instalação da atualização segue a avaliação.
- No Windows, as atualizações selecionadas que atendem aos critérios do cliente são instaladas uma a uma,
- No Linux, eles são instalados em lotes.
Durante a instalação da atualização, a utilização da janela Manutenção é verificada em várias etapas. Para Windows e Linux, 10 e 15 minutos da janela de manutenção são reservados para reinicialização a qualquer momento, respectivamente. Antes de prosseguir com a instalação das atualizações restantes, ele verifica se o tempo de reinicialização esperado mais o tempo médio de instalação da atualização (para a próxima atualização ou próximo conjunto de atualizações) não excede a janela de manutenção. No caso do Windows, o tempo médio de instalação da atualização é de 10 minutos para todos os tipos de atualizações, exceto para atualizações do service pack. Para atualizações do service pack, são 15 minutos.
Observe que uma instalação de atualização contínua (uma vez iniciada com base no cálculo acima) não é interrompida à força, mesmo que exceda a janela de manutenção, para evitar o pouso da máquina em um estado possivelmente indeterminado. No entanto, ele não continua instalando as atualizações restantes depois que a janela de manutenção for excedida e um erro de janela de manutenção excedido for lançado nesses casos.
A instalação de patches/atualizações só será marcada como bem-sucedida se todas as atualizações selecionadas estiverem instaladas e todas as operações envolvidas (incluindo Reinicialização e Avaliação) forem bem-sucedidas. Caso contrário, ele será marcado como Reprovado ou Concluído com avisos. Por exemplo,
Cenário Atualizar o status da instalação Uma das atualizações selecionadas não é instalada. Com falhas A reinicialização não acontece por qualquer motivo e o tempo de espera para a reinicialização expira. Com falhas A máquina não consegue iniciar durante uma reinicialização. Com falhas Reprovação na avaliação inicial ou final Com falhas A reinicialização é exigida pelas atualizações, mas a opção Nunca reinicializar está selecionada. Completado com avisos Os pacotes ESM ignoraram a aplicação de patches no ubuntu 18 ou inferior se a licença do Ubuntu pro não estivesse presente. Completado com avisos Uma avaliação é realizada no final. Observe que a reinicialização e a avaliação feita no final da instalação da atualização podem não ocorrer em alguns casos, por exemplo, se a janela de manutenção já tiver sido excedida, se a instalação da atualização falhar por algum motivo, etc.
Próximos passos
- Pré-requisitos do Update Manager
- Veja atualizações para uma única máquina.
- Implante atualizações agora (sob demanda) para uma única máquina.
- Habilite a avaliação periódica em escala usando a política.
- Agendar atualizações periódicas
- Gerencie as configurações de atualização através do portal.
- Gerencie várias máquinas usando o Update Manager.