虚拟机上的更新管理解决方案

5 分钟

注意

本文中提到了 CentOS，这是一个已终止服务 (EOL) 的 Linux 发行版。请相应地考虑你的使用和规划。有关详细信息，请参阅 CentOS 生命周期结束指南。

部门的公共信息官 (PIO) 维护一个不面向公众的、仅供本地媒体使用的网站。你的 PIO 使用移动设备更新该媒体网站上的内容，以便本地媒体分支机构可以随时了解当前事件的最新动态。为防止向媒体公布未经授权或不正确的信息，此站点必须尽可能的安全。管理员可采用的一种用于提高安全性的方法是使用最新更新使站点保持最新状态。

在这里，我们介绍适用于 Azure 的更新管理解决方案。

更新管理概述

通过使用 Azure 更新管理，可为部署在 Azure、本地环境甚至其他云提供程序中的 Windows 和 Linux 虚拟机管理和安装操作系统更新和修补程序。可以评估计算机上可用更新的状态，并管理为服务器安装所需更新的过程。

Azure 更新管理解决方案具有以下几个优点：

虚拟机中不需要代理或额外配置。
可以在不登录到虚拟机 (VM) 的情况下运行更新。而且无需创建密码就可以安装更新。
更新管理器解决方案会列出缺少的更新，并以易于阅读的格式提供失败部署的相关信息。

可以使用更新管理在同一租户的多个订阅中本机登记计算机。要管理不同租户中的计算机，必须将其登记为非 Azure 计算机。

支持的操作系统

更新管理解决方案支持 Windows 和 Linux。所有操作系统都假定为 x64。任何操作系统均不支持 x86。更新管理具体支持以下项：

Windows Server 2022 (Datacenter)、Windows Server 2019（Datacenter/Standard，包括 Server Core）、Windows Server 2016（Datacenter/Standard，不包括 Server Core）、Windows Server 2012 R2 (Datacenter/Standard)、Windows Server 2012 和 Windows Server 2008 R2（RTM 和 SP1 Standard）
Oracle Linux 6.x、7.x、8x
Red Hat Enterprise 6、7 和 8
SUSE Linux Enterprise Server 12、15 和 15.1
Ubuntu 14.04 LTS、16.04 LTS 和 18.04、20.04 LTS

在本模块中，我们使用 Azure 中部署的 Windows Server 2019 虚拟机。

更新管理使用的组件

以下配置用于执行评估和更新部署：

用于 Windows 或 Linux 的 Microsoft 监视代理 (MMA)
用于 Linux 的 PowerShell 所需状态配置 (DSC)
自动化混合 Runbook 辅助角色
适用于 Windows 计算机的 Microsoft 更新或 Windows Server 更新服务 (WSUS)

下图是针对行为和数据流的概念性视图，说明了解决方案如何评估安全更新并将其应用到工作区中所有连接的 Windows Server 和 Linux 计算机。

显示解决方案如何评估安全更新并将其应用到工作区中所有连接的 Windows Server 和 Linux 计算机的关系图。

混合辅助角色组

任何直接连接到 Log Analytics 工作区的 Windows 计算机都会自动配置为“混合 Runbook 辅助角色”，为此解决方案中包括的 Runbook 提供支持。此解决方案管理的每台 Windows 计算机都会显示为自动化帐户的一个系统混合辅助角色组。解决方案使用命名约定 Hostname FQDN_GUID。

Operations Manager 管理包

如果 System Center Operations Manager 管理组已连接到 Log Analytics 工作区，则会在 Operations Manager 中安装以下管理包。在添加此解决方案后，还会在直接连接的 Windows 计算机上安装这些管理包。你不需要对这些管理包进行配置或管理。