Compartilhar via


Aplicação automática de patch de convidado para máquinas virtuais do Azure e conjuntos de dimensionamento

Aplica-se a: ✔️ VMs Linux ✔️ VMs Windows ✔️ Conjuntos de dimensionamento flexíveis

Habilitar a aplicação automática de patch de convidado para suas máquinas virtuais (VMs) do Azure e conjuntos de dimensionamento (VMSS) ajuda a facilitar o gerenciamento de atualizações, aplicando patches em máquinas virtuais automaticamente e com segurança, limitando o raio de alcance das VMs.

A aplicação automática de patches de convidado de VM tem as seguintes características:

  • Os patches classificados como Críticos ou de Segurança são baixados e aplicados automaticamente à VM.
  • Os patches são aplicados fora do horário de pico para VMs da infraestrutura como serviço no fuso horário da VM.
  • Os patches são aplicados durante todas as horas para o VMSS Flex.
  • O Azure gerencia a orquestração de patches e segue os princípios de priorização de disponibilidade.
  • A integridade da máquina virtual, conforme determinado por sinais de integridade da plataforma, é monitorada para detectar falhas de patch.
  • A integridade do aplicativo pode ser monitorada por meio da extensão Integridade do Aplicativo.
  • Funciona para todos os tamanhos de VM.

Como funciona a aplicação automática de patches de convidado de VM?

Se a aplicação automática de patches de convidado de VM estiver habilitada em uma VM, os patches Críticos e de Segurança disponíveis são baixados e aplicados automaticamente na VM. Esse processo é ativado automaticamente todos os meses quando novos patches são lançados. A avaliação e a instalação do patch são automáticas, e o processo inclui a reinicialização da VM conforme configurado. O parâmetro rebootSetting no modelo da VM tem precedência sobre as configurações em outro sistema, como Configuração de Manutenção.

A VM é avaliada periodicamente a cada poucos dias, e várias vezes em um período de 30 dias para determinar os patches aplicáveis para essa VM. Os patches podem ser instalados em qualquer dia na VM, fora do horário de pico da VM. Essa avaliação automática garante que todos os patches perdidos sejam descobertos na primeira oportunidade possível.

Os patches são instalados dentro de 30 dias depois que as versões mensais do patch são liberadas, seguindo a orquestração de priorização de disponibilidade. Os patches são instalados somente fora do horário de pico, dependendo do fuso horário da VM. A VM deve estar em execução durante os horários fora de pico para que os patches sejam instalados automaticamente. Se uma VM for desligada durante uma avaliação periódica, a plataforma avaliará e aplicará automaticamente patches (se necessário) durante a próxima avaliação periódica (normalmente em alguns dias) quando a VM estiver ligada.

As atualizações de definições e outros patches não classificados como Críticos ou de Segurança não serão instalados por meio da aplicação automática de patches do convidado de VM. Para instalar patches com outras classificações ou agendar a instalação de patch em sua própria janela de manutenção personalizada, use o Gerenciamento de Atualizações.

Habilitar a correção automática de convidados em VMs de instância única ou Conjuntos de Dimensionamento de Máquinas Virtuais no modo de orquestração flexível permite que a plataforma Azure atualize sua frota em fases. A implantação em fases segue as Práticas de implantação segura do Azure e reduz o raio de impacto se algum problema for identificado com a atualização mais recente. O monitoramento da integridade é recomendado para VMs de instância única e necessário para Conjuntos de Dimensionamento de Máquinas Virtuais no modo de orquestração flexível para detectar quaisquer problemas com a atualização.

Atualizações com priorização de disponibilidade

O Azure orquestra o processo de instalação de patches em todas as nuvens públicas e privadas para VMs que habilitaram a Aplicação Automática de Patch de Convidado. A orquestração segue princípios de disponibilidade em primeiro lugar em diferentes níveis de disponibilidade fornecidos pelo Azure.

Para um grupo de máquinas virtuais que passa por uma atualização, a plataforma do Azure orquestrará as atualizações:

Entre regiões:

  • Uma atualização mensal é orquestrada globalmente no Azure de forma faseada para impedir falhas de implantação global.
  • Uma fase pode ter uma ou mais regiões e uma atualização passa para as próximas fases somente se as VMs qualificadas em uma fase forem atualizadas com êxito.
  • As regiões emparelhadas geograficamente não são atualizadas simultaneamente e não podem estar na mesma fase regional.
  • O sucesso de uma atualização é medido acompanhando a integridade após a atualização da VM. A integridade da VM é monitorada usando os indicadores de integridade da plataforma para a VM.

Dentro de uma região:

  • As VMs de diferentes Zonas de Disponibilidade não são atualizadas simultaneamente com a mesma atualização.
  • As VMs que não fazem parte de um conjunto de disponibilidade são agrupadas da melhor maneira possível para evitar atualizações simultâneas de todas as VMs de uma assinatura.

Dentro de um conjunto de disponibilidade:

  • Todas as VMs de um conjunto de disponibilidade em comum não são atualizadas simultaneamente.
  • As VMs em um conjunto de disponibilidade em comum são atualizadas dentro dos limites do domínio de atualização, e as VMs de vários domínios de atualização não são atualizadas simultaneamente.
  • Em um domínio de atualização, no máximo 20% das VMs em um conjunto de disponibilidade serão atualizadas por vez. Em conjuntos de disponibilidade com menos de 10 VMs, as VMs atualizam uma de cada vez em um domínio de atualização.

Restringir o número de VMs corrigidas simultaneamente entre regiões, dentro de uma região ou dentro de um conjunto de disponibilidade limita o impacto de um patch defeituoso em um determinado conjunto de VMs. Com o monitoramento de integridade, todos os possíveis problemas são sinalizados antes de afetarem toda a carga de trabalho.

A data de instalação do patch para uma determinada VM pode variar de mês a mês, pois uma VM específica pode ser selecionada em um lote diferente entre os ciclos de aplicação de patch mensais.

Quais patches estão instalados?

Os patches instalados dependem do estágio de distribuição para a VM. Todos os meses, uma nova distribuição global é iniciada, em que todos os patches críticos e de segurança são avaliados e instalados para uma VM individual. A distribuição é orquestrada em todas as regiões do Azure em lotes.

O conjunto exato de patches a serem instalados varia de acordo com a configuração da VM, incluindo o tipo de SO e o tempo de avaliação. É possível que duas VMs idênticas em regiões diferentes recebam patches diferentes se houver mais ou menos patches disponíveis quando a orquestração de patch avaliar regiões diferentes em momentos diferentes. Da mesma forma, mas com menos frequência, as VMs na mesma região mas avaliadas em momentos diferentes (devido a diferentes Zonas de Disponibilidade ou lotes de Conjunto de Disponibilidade) podem receber patches diferentes.

Como a aplicação automática de patch de convidado de VM não configura a fonte do patch, duas VMs semelhantes configuradas para diferentes fontes de patch, como o repositório público versus o repositório privado, também podem ver uma diferença no mesmo conjunto de patches instalados.

Para Sistemas operacionais que liberam patches em um periodicidade fixa, as VMs configuradas para o repositório público do SO podem receber o mesmo conjunto de patches em diferentes fases de distribuição em um mês. Por exemplo, VMs Windows configuradas para o repositório público do Windows Update.

Como uma nova distribuição é disparada todos os meses, a VM receberá pelo menos uma distribuição de patch a cada mês se a VM estiver ligada fora do horário de pico. Esse processo garante que a VM seja corrigida mensalmente, recebendo os patches críticos e de segurança mais recentes. Para garantir a consistência no conjunto de patches instalado, configure suas VMs para avaliar e baixar patches de seus repositórios privados.

Imagens do sistema operacional com suporte

Importante

A aplicação automática de patch a convidados de VM, a avaliação de patches sob demanda e a instalação de patches sob demanda só são aceitas nas VMs criadas com base em imagens com a combinação exata de editor, oferta e SKU da lista de imagens aceitas pelo sistema operacional. Não há suporte para imagens personalizadas ou outras combinações de editor, oferta e SKU. Mais imagens são adicionadas periodicamente. Não vê sua SKU na lista? Solicite suporte arquivando a Solicitação de Suporte da Imagem.

Publisher Oferta de sistema operacional Sku
Canônico UbuntuServer 16.04-LTS
Canônico UbuntuServer 16.04.0-LTS
Canônico UbuntuServer 18.04-LTS
Canônico UbuntuServer 18.04-LTS-gen2
Canônico 0001-com-ubuntu-pro-bionic pro-18_04-lts
Canônico 0001-com-ubuntu-server-focal 20_04-lts
Canônico 0001-com-ubuntu-server-focal 20_04-lts-gen2
Canônico 0001-com-ubuntu-pro-focal pro-20_04-lts
Canônico 0001-com-ubuntu-pro-focal pro-20_04-lts-gen2
Canônico 0001-com-ubuntu-server-jammy 22_04-lts
Canônico 0001-com-ubuntu-server-jammy 22_04-lts-gen2
microsoftcblmariner cbl-mariner cbl-mariner-1
microsoftcblmariner cbl-mariner 1-gen2
microsoftcblmariner cbl-mariner cbl-mariner-2
microsoftcblmariner cbl-mariner cbl-mariner-2-gen2
Redhat RHEL 7.2, 7.3, 7.4, 7.5, 7.6, 7.7, 7.8, 7_9, 7-RAW, 7-LVM
Redhat RHEL 8, 8.1, 81gen2, 8.2, 82gen2, 8_3, 83-gen2, 8_4, 84-gen2, 8_5, 85-gen2, 8_6, 86-gen2, 8_7, 8_8, 8-lvm, 8-lvm-gen2
Redhat RHEL 9_0, 9_1, 9-lvm, 9-lvm-gen2
Redhat RHEL-RAW 8-raw, 8-raw-gen2
SUSE sles-12-sp5 gen1, gen2
SUSE sles-15-sp2 gen1, gen2
MicrosoftWindowsServer WindowsServer 2008-R2-SP1
MicrosoftWindowsServer WindowsServer 2012-R2-Datacenter
MicrosoftWindowsServer WindowsServer 2012-R2-Datacenter-gensecond
MicrosoftWindowsServer WindowsServer 2012-R2-Datacenter-smalldisk
MicrosoftWindowsServer WindowsServer 2012-R2-Datacenter-smalldisk-g2
MicrosoftWindowsServer WindowsServer 2016-Datacenter
MicrosoftWindowsServer WindowsServer 2016-datacenter-gensecond
MicrosoftWindowsServer WindowsServer 2016-Datacenter-Server-Core
MicrosoftWindowsServer WindowsServer 2016-datacenter-smalldisk
MicrosoftWindowsServer WindowsServer 2016-datacenter-with-containers
MicrosoftWindowsServer WindowsServer 2019-Datacenter
MicrosoftWindowsServer WindowsServer 2019-Datacenter-Core
MicrosoftWindowsServer WindowsServer 2019-datacenter-gensecond
MicrosoftWindowsServer WindowsServer 2019-datacenter-smalldisk
MicrosoftWindowsServer WindowsServer 2019-datacenter-smalldisk-g2
MicrosoftWindowsServer WindowsServer 2019-datacenter-with-containers
MicrosoftWindowsServer WindowsServer 2022-datacenter
MicrosoftWindowsServer WindowsServer 2022-datacenter-smalldisk
MicrosoftWindowsServer WindowsServer 2022-datacenter-smalldisk-g2
MicrosoftWindowsServer WindowsServer 2022-datacenter-g2
MicrosoftWindowsServer WindowsServer 2022-datacenter-core
MicrosoftWindowsServer WindowsServer 2022-datacenter-core-g2
MicrosoftWindowsServer WindowsServer 2022-datacenter-azure-edition
MicrosoftWindowsServer WindowsServer 2022-datacenter-azure-edition-core
MicrosoftWindowsServer WindowsServer 2022-datacenter-azure-edition-core-smalldisk
MicrosoftWindowsServer WindowsServer 2022-datacenter-azure-edition-smalldisk

Modos de orquestração de patch

As VMs no Azure agora são compatíveis com os seguintes modos de orquestração de patch:

AutomaticByPlatform (aplicação de patch orquestrada pelo Azure):

  • Esse modo é compatível para VMs Linux e Windows.
  • Esse modo permite a aplicação automática de patches de convidado de VM para máquina virtual e a instalação de patch subsequente é orquestrada pelo Azure.
  • Durante o processo de instalação, esse modo avaliará a VM quanto aos patches disponíveis e salvará os detalhes no Azure Resource Graph.
  • Esse modo é necessário para a aplicação de patches de primeira disponibilidade.
  • Esse modo é compatível somente para VMs que são criadas usando as imagens de plataforma de SO compatíveis mencionadas acima.
  • Para VMs do Windows, a definição desse modo também desabilita as Atualizações Automáticas nativas na máquina virtual do Windows para evitar a duplicação.
  • Para usar esse modo nas VMs do Linux, defina a propriedade osProfile.linuxConfiguration.patchSettings.patchMode=AutomaticByPlatform no modelo de VM.
  • Para usar esse modo nas VMs do Windows, defina a propriedade osProfile.windowsConfiguration.patchSettings.patchMode=AutomaticByPlatform no modelo de VM.
  • A habilitação desse modo definirá a chave do Registro SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate como 1

AutomaticByOS:

  • Esse modo é compatível somente para VMs do Windows.
  • Esse modo permite Atualizações Automáticas na máquina virtual do Windows, e os patches são instalados na VM por meio de Atualizações Automáticas.
  • Esse modo não é compatível com a aplicação de patches de priorização de disponibilidade.
  • Esse modo é definido por padrão, se nenhum outro modo de patch for especificado para a VM do Windows.
  • Para usar esse modo nas VMs do Windows, defina a propriedade osProfile.windowsConfiguration.enableAutomaticUpdates=true e a propriedade osProfile.windowsConfiguration.patchSettings.patchMode=AutomaticByOS no modelo de VM.
  • A habilitação desse modo definirá a chave do Registro SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate como 0

Manual:

  • Esse modo é compatível somente para VMs do Windows.
  • Esse modo desabilita Atualizações Automáticas na máquina virtual do Windows. Ao implantar uma VM com a CLI ou o PowerShell e configurar --enable-auto-updates como false, patchMode também será configurado como manual e as atualizações automáticas serão desabilitadas.
  • Esse modo não é compatível com a aplicação de patches de priorização de disponibilidade.
  • Esse modo deve ser definido ao usar soluções de aplicação de patch personalizadas.
  • Para usar esse modo nas VMs do Windows, defina a propriedade osProfile.windowsConfiguration.enableAutomaticUpdates=false e a propriedade osProfile.windowsConfiguration.patchSettings.patchMode=Manual no modelo de VM.
  • A habilitação desse modo definirá a chave do Registro SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate como 1

ImageDefault:

  • Esse modo é compatível somente para VMs do Linux.
  • Esse modo não é compatível com a aplicação de patches de priorização de disponibilidade.
  • Esse modo respeita a configuração de aplicação de patch padrão na imagem usada para criar a VM.
  • Esse modo é definido por padrão, se nenhum outro modo de patch for especificado para a VM do Linux.
  • Para usar esse modo nas VMs do Linux, defina a propriedade osProfile.linuxConfiguration.patchSettings.patchMode=ImageDefault no modelo de VM.

Observação

Para VMs do Windows, a propriedade osProfile.windowsConfiguration.enableAutomaticUpdates só poderá ser definida na criação da VM. Isso afeta certas transições de modos de patch. É possível alternar entre os modos AutomaticByPlatform e Manual em VMs que têm osProfile.windowsConfiguration.enableAutomaticUpdates=false. Da mesma maneira, é possível alternar entre os modos AutomaticByPlatform e AutomaticByOS em VMs que têm osProfile.windowsConfiguration.enableAutomaticUpdates=true. Não é permitido alternar entre os modos AutomaticByOS e Manual. O Azure recomenda que o Modo de Avaliação seja habilitado em uma VM mesmo que a Orquestração do Azure não esteja habilitada para aplicação de patch. Isso permitirá que a plataforma avalie a VM a cada 24 horas quanto a atualizações pendentes e salve os detalhes no Azure Resource Graph. A plataforma realiza a avaliação para relatar os resultados consolidados quando o estado de configuração do patch desejado do computador é aplicado ou confirmado. Isso será relatado como uma avaliação iniciada pela ‘Plataforma’.

Requisitos para habilitar o patch automático de convidado de VM

  • A máquina virtual deve ter instalado o agente de VM do Azure para Windows ou Linux.
  • Para VMs Linux, o agente Linux do Azure deve ser a versão 2.2.53.1 ou superior. Atualize o agente do Linux se a versão atual for inferior à versão necessária.
  • Para VMs Windows, o serviço Windows Update deve estar em execução na máquina virtual.
  • A máquina virtual deve ser capaz de acessar os pontos de extremidade de atualização configurados. Se sua máquina virtual estiver configurada para usar repositórios privados para Linux ou Windows Server Update Services (WSUS) para VMs Windows, os pontos de extremidade de atualização relevantes deverão estar acessíveis.
  • Use a API de computação versão 2021-03-01 ou posterior para acessar todas as funcionalidades, incluindo a avaliação sob demanda e a aplicação de patch sob demanda.
  • Imagens personalizadas não são compatíveis atualmente.
  • A Orquestração Flexível do VMSS exige a instalação da extensão de Integridade do Aplicativo. Isso é opcional para VMs IaaS.

Permitir a aplicação de patch automática de convidado de VM

É possível habilitar a aplicação de patch a convidados de VM em qualquer VM de Windows ou Linux criada com base em uma imagem de plataforma permitida.

API REST para VMs Linux

O exemplo a seguir descreve como habilitar a aplicação automática de patches de convidado de VM:

PUT on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2020-12-01`
{
  "location": "<location>",
  "properties": {
    "osProfile": {
      "linuxConfiguration": {
        "provisionVMAgent": true,
        "patchSettings": {
          "patchMode": "AutomaticByPlatform"
        }
      }
    }
  }
}

API REST para VMs Windows

O exemplo a seguir descreve como habilitar a aplicação automática de patches de convidado de VM:

PUT on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2020-12-01`
{
  "location": "<location>",
  "properties": {
    "osProfile": {
      "windowsConfiguration": {
        "provisionVMAgent": true,
        "enableAutomaticUpdates": true,
        "patchSettings": {
          "patchMode": "AutomaticByPlatform"
        }
      }
    }
  }
}

Azure PowerShell ao criar uma VM do Windows

Use o cmdlet Set-AzVMOperatingSystem para habilitar a aplicação automática de patches de convidado de VM ao criar uma VM.

Set-AzVMOperatingSystem -VM $VirtualMachine -Windows -ComputerName $ComputerName -Credential $Credential -ProvisionVMAgent -EnableAutoUpdate -PatchMode "AutomaticByPlatform"

Azure PowerShell ao atualizar uma VM do Windows

Use os cmdlets Set-AzVMOperatingSystem e Update-AzVM para habilitar a aplicação automática de patch de convidado de VM em uma VM existente.

$VirtualMachine = Get-AzVM -ResourceGroupName "myResourceGroup" -Name "myVM"
Set-AzVMOperatingSystem -VM $VirtualMachine -PatchMode "AutomaticByPlatform"
Update-AzVM -VM $VirtualMachine

CLI do Azure para VMs Windows

Use az vm create para habilitar a aplicação automática de patches de convidado de VM ao criar uma nova VM. O exemplo a seguir configura a aplicação do patch automático de convidado de VM para uma VM chamada myVM no grupo de recursos chamado MyResourceGroup:

az vm create --resource-group myResourceGroup --name myVM --image Win2019Datacenter --enable-agent --enable-auto-update --patch-mode AutomaticByPlatform

Para modificar uma VM existente, use az vm update

az vm update --resource-group myResourceGroup --name myVM --set osProfile.windowsConfiguration.enableAutomaticUpdates=true osProfile.windowsConfiguration.patchSettings.patchMode=AutomaticByPlatform

Portal do Azure

Ao criar uma VM usando o portal do Azure, os modos de orquestração de patch podem ser definidos na guia Gerenciamento para Linux e Windows.

Mostra a guia Gerenciamento no portal do Azure, usada para habilitar modos de orquestração de patch.

Habilitação e avaliação

Observação

Pode levar mais de três horas para habilitar as atualizações automáticas de convidados de VM em uma VM, pois a habilitação é concluída durante os horários fora de picos da VM. Como a avaliação e a instalação do patch ocorrem somente fora do horário de pico, a VM também deve estar em execução fora do horário de pico para aplicar os patches.

Quando a aplicação automática de patches de convidado de VM está habilitada para uma VM, a extensão de VM do tipo Microsoft.CPlat.Core.LinuxPatchExtension é instalada em VMs Linux ou a extensão de VM do tipo Microsoft.CPlat.Core.WindowsPatchExtension é instalada em VMs Windows. Essa extensão não precisa ser instalada ou atualizada manualmente, pois essa extensão é gerenciada pela plataforma do Azure, como parte do processo automático de aplicação de patches de convidado de VM.

Pode levar mais de três horas para habilitar as atualizações automáticas de convidados de VM em uma VM, pois a habilitação é concluída durante os horários fora de picos da VM. A extensão também é instalada e atualizada fora do horário de pico da VM. Se o horário fora de pico da VM acabar antes da habilitação ser concluída, o processo de habilitação será retomado durante o próximo horário fora de pico disponível.

A plataforma fará chamadas periódicas de configuração de patches para garantir o alinhamento quando forem detectadas alterações de modelo em VMs de IaaS ou conjuntos de dimensionamento na orquestração Flexível. Algumas alterações de modelo, como atualizar o modo de avaliação, o modo de patch e a atualização de extensão, entre outros, podem disparar uma chamada de configuração de aplicação de patch.

As atualizações automáticas são desabilitadas na maioria dos cenários, e a instalação dos patches é feita por meio da próxima extensão. As seguintes condições se aplicam.

  • Se uma VM Windows tinha anteriormente o Windows Update automático ativado por meio do modo de patch AutomaticByOS, o Automatic Windows Update é desativado para a VM quando a extensão for instalada.
  • Para VMs do Ubuntu, as atualizações automáticas padrão são desabilitadas automaticamente quando a Aplicação Automática de Patches de Convidado de VM conclui a habilitação.
  • Para o RHEL, as atualizações automáticas precisam ser desabilitadas manualmente. Execute:
sudo systemctl stop packagekit
sudo systemctl mask packagekit

Para verificar se a aplicação automática de patches de convidado de VM foi concluída e se a extensão de aplicação de patch está instalada na VM, examine a exibição de instância da VM. Se o processo de habilitação estiver concluído, a extensão será instalada e os resultados da avaliação para a VM estarão disponíveis em patchStatus. A exibição da instância da VM pode ser acessada de várias maneiras, conforme descrito abaixo.

API REST

GET on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine/instanceView?api-version=2020-12-01`

Azure PowerShell

Use o cmdlet Get-AzVM com o parâmetro -Status para acessar a exibição de instância da VM.

Get-AzVM -ResourceGroupName "myResourceGroup" -Name "myVM" -Status

Atualmente o PowerShell fornece apenas informações sobre a extensão de patch. Informações sobre patchStatus o que estará disponível em breve no PowerShell.

CLI do Azure

Use az vm get-instance-view para acessar a exibição da instância da VM.

az vm get-instance-view --resource-group myResourceGroup --name myVM

Entenda o status do patch da VM

A patchStatus seção da resposta de exibição de instância fornece detalhes sobre a avaliação mais recente e a última instalação de patch da VM.

Os resultados da avaliação da VM podem ser avaliados na seção availablePatchSummary. Uma avaliação é realizada periodicamente para uma VM que tem aplicação de patch de convidado de VM automática habilitada. O número de patches disponíveis após uma avaliação é fornecida em criticalAndSecurityPatchCount e nos resultados otherPatchCount. O patch automático de convidado de VM instala todos os patches avaliados sob as classificações de patches Críticos e de Segurança. Qualquer outro patch avaliado é ignorado.

Os resultados da instalação do patch da VM podem ser examinados na seção lastPatchInstallationSummary. Esta seção fornece detalhes sobre a última tentativa de instalação de patch na VM, incluindo o número de patches que foram instalados, os pendentes, com falha ou ignorados. Os patches são instalados somente durante o horário fora de pico, na janela de manutenção da VM. Os patches pendentes e com falha são automaticamente reaplicados durante a próxima janela de manutenção de horários fora do horário de pico.

Desabilitar a aplicação automática de patch a convidados de VM

É possível desabilitar a aplicação automática de patch a convidados de VM alterando o modo de orquestração de patches da VM.

Para fazer isso em uma VM do Linux, altere o modo de patch para ImageDefault.

Para habilitar a aplicação automática de patch a convidados de VM em uma VM do Windows, a propriedade osProfile.windowsConfiguration.enableAutomaticUpdates determina quais modos de patch podem ser definidos na VM e só pode ser definida na criação da VM. Isso afeta certas transições de modos de patch:

  • Para VMs que têm osProfile.windowsConfiguration.enableAutomaticUpdates=false, desabilite a aplicação automática de patch a convidados de VM alterando o modo de patch para Manual.
  • Para VMs que têm osProfile.windowsConfiguration.enableAutomaticUpdates=true, desabilite a aplicação automática de patch a convidados de VM alterando o modo de patch para AutomaticByOS.
  • Não é permitido alternar entre os modos AutomaticByOS e Manual.

Use os exemplos da seção de habilitação deste artigo como exemplos de uso de APIs, PowerShell e CLI para definir o modo de patch necessário.

Avaliação de patch sob demanda

Se a aplicação automática de patches de convidado de VM já estiver habilitada para a VM, uma avaliação periódica de patch é executada na VM durante os horários de fora de pico da VM. Esse processo é automático e os resultados da avaliação mais recente podem ser avaliados usando a exibição de instância da VM, conforme descrito anteriormente neste documento. Você também pode disparar uma avaliação de patch sob demanda para a VM a qualquer momento. A avaliação de patch pode levar alguns minutos para ser concluída, e o status da avaliação mais recente é atualizado na exibição da instância da VM.

Observação

A avaliação de patch sob demanda não dispara automaticamente a instalação do patch. Se você tiver habilitado a aplicação automática de patches de convidado de VM, os patches avaliados e aplicáveis para a VM serão instalados durante o horário fora de pico da VM, seguindo o processo de aplicação de patch de primeira disponibilidade descrito anteriormente neste documento.

API REST

Use a API Avaliar patches para avaliar os patches disponíveis para sua máquina virtual.

POST on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine/assessPatches?api-version=2020-12-01`

Azure PowerShell

Use o cmdlet Invoke-AzVmPatchAssessment para avaliar os patches disponíveis para a máquina virtual.

Invoke-AzVmPatchAssessment -ResourceGroupName "myResourceGroup" -VMName "myVM"

CLI do Azure

Use AZ VM avalie-patches para avaliar os patches disponíveis para a máquina virtual.

az vm assess-patches --resource-group myResourceGroup --name myVM

Instalação de patch sob demanda

Se a aplicação automática de patch a convidados de VM já estiver habilitada para a VM, uma instalação periódica de patches Críticos e de Segurança será realizada nela fora do horário de pico da VM. Esse processo é automático e os resultados da avaliação mais recente podem ser revisados usando a exibição de instâncias da VM, como descrito anteriormente neste documento.

Também é possível disparar uma instalação de patch sob demanda para a VM a qualquer momento. A instalação de patch pode levar alguns minutos para ser concluída, e o status da instalação mais recente é atualizado na exibição de instâncias da VM.

Você pode usar a instalação de patch sob demanda para instalar todos os patches de uma ou mais classificações de patch. Também é possível optar por incluir ou excluir pacotes específicos para Linux ou IDs de KB específicas para Windows. Ao acionar uma instalação de patch sob demanda, certifique-se de especificar pelo menos uma classificação de patch ou pelo menos um patch (pacote para Linux, ID de KB para Windows) na lista de inclusão.

API REST

Use a API Instalar patches para instalar patches em sua máquina virtual.

POST on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine/installPatches?api-version=2020-12-01`

Exemplo do corpo da solicitação para Linux:

{
  "maximumDuration": "PT1H",
  "Setting": "IfRequired",
  "linuxParameters": {
    "classificationsToInclude": [
      "Critical",
      "Security"
    ]
  }
}

Exemplo do corpo da solicitação para Windows:

{
  "maximumDuration": "PT1H",
  "rebootSetting": "IfRequired",
  "windowsParameters": {
    "classificationsToInclude": [
      "Critical",
      "Security"
    ]
  }
}

Azure PowerShell

Use o cmdlet Invoke-AzVMInstallPatch para instalar patches em sua máquina virtual.

Exemplo para instalar determinados pacotes em uma VM de Linux:

Invoke-AzVmInstallPatch -ResourceGroupName "myResourceGroup" -VMName "myVM" -MaximumDuration "PT90M" -RebootSetting "Always" -Linux -ClassificationToIncludeForLinux "Security" -PackageNameMaskToInclude ["package123"] -PackageNameMaskToExclude ["package567"]

Exemplo para instalar todos os patches críticos em uma VM de Windows:

Invoke-AzVmInstallPatch -ResourceGroupName "myResourceGroup" -VMName "myVM" -MaximumDuration "PT2H" -RebootSetting "Never" -Windows   -ClassificationToIncludeForWindows Critical

Exemplo para instalar todos os patches de segurança em uma VM de Windows, incluindo e excluindo patches com IDs de KB específicas e excluindo qualquer patch que exija uma reinicialização:

Invoke-AzVmInstallPatch -ResourceGroupName "myResourceGroup" -VMName "myVM" -MaximumDuration "PT90M" -RebootSetting "Always" -Windows -ClassificationToIncludeForWindows "Security" -KBNumberToInclude ["KB1234567", "KB123567"] -KBNumberToExclude ["KB1234702", "KB1234802"] -ExcludeKBsRequiringReboot

CLI do Azure

Use az vm install-patches para instalar patches em sua máquina virtual.

Exemplo para instalar todos os patches críticos em uma VM de Linux:

az vm install-patches --resource-group myResourceGroup --name myVM --maximum-duration PT2H --reboot-setting IfRequired --classifications-to-include-linux Critical

Exemplo para instalar todos os patches críticos e de segurança em uma VM de Windows, excluindo qualquer patch que exija uma reinicialização:

az vm install-patches --resource-group myResourceGroup --name myVM --maximum-duration PT2H --reboot-setting IfRequired --classifications-to-include-win Critical Security --exclude-kbs-requiring-reboot true

Implantação rigorosa e segura em imagens canonical

A Microsoft e a Canonical fizeram uma parceria para facilitar que nossos clientes permaneçam atualizados com as atualizações do sistema operacional Linux e aumentem a segurança e a resiliência das cargas de trabalho do Ubuntu no Azure. Aproveitando o serviço de instantâneo da Canonical, o Azure passará a aplicar o mesmo conjunto de atualizações do Ubuntu de maneira consistente à sua frota entre regiões.

O Azure armazenará as atualizações relacionadas ao pacote no repositório de clientes por até 90 dias, dependendo do espaço disponível. Isso permite que os clientes atualizem a frota aproveitando a Implantação Segura Estrita para VMs com até três meses de atraso nas atualizações.

Não há nenhuma ação necessária para os clientes que habilitaram a aplicação de patch automática. A plataforma instalará um pacote que é ajustado conforme um ponto no tempo por padrão. Caso uma atualização baseada em instantâneo não possa ser instalada, o Azure aplicará o pacote mais recente na VM para garantir que a VM permaneça segura. As atualizações pontuais serão consistentes em todas as VMs entre regiões a fim de garantir a homogeneidade. Os clientes podem visualizar as informações de data publicadas relacionadas à atualização aplicada no Azure Resource Graph e na exibição da instância da VM.

Fim da vida útil (EOL) da imagem

Os editores podem não dar mais suporte à geração de novas atualizações para suas imagens após uma determinada data. Isso é comumente conhecido como fim da vida útil (EOL) para a imagem. O Azure não recomenda o uso de imagens após a data do EOL, pois isso expõe o serviço a vulnerabilidades de segurança ou problemas de desempenho. O Serviço de Aplicação de Patch de Convidado (AzGPS) do Azure comunicará as etapas necessárias para clientes e parceiros afetados. O AzGPS removerá a imagem da lista de suporte após a data do EOL. As VMs que usam uma imagem de fim de vida útil no Azure podem continuar a funcionar além da data. No entanto, todos os problemas enfrentados por essas VMs não são qualificados para suporte.

Próximas etapas