验证代理连接性和计划定期更新
除了面向公众的网站,该部门还设置了用于处理内容的网站,例如调度信息和病人护理记录。 这些网站都必须尽可能的安全。
这里将演示如何评估代理连接性和计划定期更新。
更新管理使用的组件
以下配置用于执行评估和更新部署:
- 用于 Windows 或 Linux 的 Microsoft 监视代理 (MMA)
- 用于 Linux 的 PowerShell 所需状态配置 (DSC)
- 自动化混合 Runbook 辅助角色
- 适用于 Windows 计算机的 Microsoft 更新或 Windows Server 更新服务 (WSUS)
符合性扫描
更新管理执行更新符合性扫描。 默认情况下,Windows 计算机上每 12 小时以及 Linux 计算机上每 3 小时会执行一次符合性扫描操作。 如果 MMA 重启,除了按扫描计划扫描,符合性扫描还会在更新安装前和更新安装后的 15 分钟内启动。 在计算机执行更新符合性扫描以后,代理会将信息批量转发到 Azure Log Analytics。
可能需要 30 分钟到 6 小时,仪表板才会显示受托管计算机提供的已更新数据。
定期更新
可以创建按计划实施的和定期实施的更新部署。 通过计划部署,可以定义接收更新的目标计算机。 可以显式指定计算机,也可以根据某一组计算机的日志搜索来选择计算机组。 也可以指定一个计划来批准并指定可以安装更新的一个时段。
在 Azure 自动化中,runbook 会安装更新。 你无法查看这些 runbook,它们不需要任何配置。 创建更新部署后,更新部署会创建计划,用于在指定时间为包含的计算机启动主更新 runbook。 此主 Runbook 会在每个代理上启动一个子 Runbook 来安装必需的更新。