在 Azure VM 上設定排程修補以保持商務持續性
適用於: ✔️ Windows VMs ✔️ Linux VMs ✔️ Azure VMs.
本文概觀說明如何使用新的必要條件,在 Azure VM 上設定排程修補和自動客體虛擬機 (VM) 修補,以確保商務持續性。 在 Azure Arc VM 上設定這兩個修補選項的步驟維持不變。
目前,您可以將修補模式設定為 Azure 入口網站中的 [由 Azure 協調] 或 REST API 中的 [AutomaticByPlatform],以啟用自動客體 VM 修補 (自動修補),其中修補程式會在離峰時段自動套用。
若要自定義對修補程式安裝的控制權,您可以使用 排程修補 來定義維護期間。 您可以將修補程式模式設定為 REST API 中的 Azure 入口網站 或 AutomaticByPlatform 中的 Azure 協調,並將排程附加至 Azure VM,以啟用排程修補。 因此,VM 屬性無法區分 排程修補 或 自動客體 VM 修補 ,因為兩者都已將修補程式模式設定為 Azure 協調。
在某些情況下,當您從 VM 移除排程時,可能會自動修補 VM 並重新啟動。 為了克服這些限制,我們引進了新的必要條件, ByPassPlatformSafetyChecksOnUserSchedule
現在可以使用排程修補來 true
識別 VM。 這表示當 VM 沒有相關聯的維護設定時,此屬性設定為 true
的 VM 將不再自動修補。
重要
如需持續的排程修補體驗,您必須確定所有已於 2023 年 6 月 30 日之前附加排程的 Azure VM (現有或新 VM) 上都已啟用新的 VM 屬性 BypassPlatformSafetyChecksOnUserSchedule
。 此設定可確保電腦會使用您設定的排程進行修補,而不會自動修補。 無法在 2023 年 6 月 30 日之前啟用時,會發生不符合必要條件的錯誤。
可用性設定組中的排程修補
在一般可用性設定組中的所有 VM 不會同時更新。
一般可用性設定組中的 VM 會在升級網域界限內更新。 跨多個升級網域的 VM 不會同時更新。
當相同可用性設定組的電腦在相同時間於不同的排程中進行修補時,可能會無法修補,或者如果超過維護時段,則可能會失敗。 若要避免這種情況,建議您增加維護期間,或在不同時間將屬於相同可用性設定組的電腦分割成多個排程。
尋找具有相關聯排程的 VM
若要使用您必須啟用新 VM 屬性的相關聯排程來識別 VM 清單:
移至 Azure 更新管理員首頁,然後選取 [電腦] 索引標籤。
在 [修補程序協調流程] 篩選條件中,選取 [Azure 受控 - 安全部署]。
使用 [全部選取] 選項來選取電腦,然後選取 [匯出至 CSV]。
開啟 CSV 檔案,然後在資料行 [相關聯的排程] 中,選取具有項目的資料列。
在對應的 [名稱] 資料行中,您可以檢視需要啟用
ByPassPlatformSafetyChecksOnUserSchedule
旗標的 VM 清單。
在 Azure VM 上啟用排程修補
若要在 Azure VM 上啟用排程修補,請遵循下列步驟。
必要條件
修補程式協調流程 = 客戶自控排程
選取修補程式協調流程選項作為客戶自控排程。 新的修補程式協調流程選項會在收到您的同意之後,代表您啟用下列 VM 屬性:
- 修補模式 =
Azure-orchestrated
BypassPlatformSafetyChecksOnUserSchedule
= TRUE
啟用新的 VM
您可以針對與排程相關聯的新 VM 選取修補程式協調流程選項。
若要更新修補模式:
- 登入 Azure 入口網站。
- 移至 [虛擬機器],然後選取 [建立] 以開啟 [建立虛擬機器] 頁面。
- 在 [基本] 索引標籤上,填入所有必要欄位。
- 在 [管理] 索引標籤的 [客體 OS 更新] 底下,針對 [修補程式協調流程選項],選取 [由 Azure 協調]。
- 填入 [監視]、[進階] 和 [標籤] 索引標籤上的項目。
- 選取 [檢閱 + 建立] 。 選取 [建立] 以使用適當的修補程式協調流程選項建立新的 VM。
若要排程修補新建立的 VM,請遵循下一節「針對現有的 VM 啟用」中步驟 2 中程序。
針對現有的 VM 啟用
您可以更新現有 VM 的修補程式協調流程選項,這些 VM 已與排程相關聯,或與排程新建立關聯。
如果修補程式協調流程設定為 [由 Azure 協調] 或 [Azure 受控 - 安全部署 (AutomaticByPlatform)],而 BypassPlatformSafetyChecksOnUserSchedule
設定為 false
,且沒有相關聯的排程時,VM 將會自動修補。
若要更新修補模式:
- 登入 Azure 入口網站。
- 移至 [Azure 更新管理員],然後選取 [更新設定]。
- 在 [變更更新設定] 中,選取 [新增機器]。
- 在 [選取資源] 中,選取您的 VM,然後選取 [新增]。
- 在 [變更更新設定] 的 [修補程式協調流程] 下方,選取 [客戶自控排程],然後選取 [儲存]。
完成上述步驟之後,請附加排程。
若要檢查是否 BypassPlatformSafetyChecksOnUserSchedule
已啟用,請移至 [虛擬機器] 首頁,然後選取 [概觀]>[JSON 檢視]。
注意
您現在可以透過 Azure 入口網站、REST API、PowerShell 和 Azure CLI 啟用排程修補的新必要條件。
在 Azure VM 上啟用自動客體 VM 修補
若要立即在您的 Azure VM 上啟用自動客體 VM 修補,請遵循下列步驟。
必要條件
修補模式 = Azure-orchestrated
啟用新的 VM
您可以針對與排程相關聯的新 VM 選取修補程式協調流程選項。
若要更新修補模式:
- 登入 Azure 入口網站。
- 移至 [虛擬機器],然後選取 [建立] 以開啟 [建立虛擬機器] 頁面。
- 在 [基本] 索引標籤上,填入所有必要欄位。
- 在 [管理] 索引標籤的 [客體 OS 更新] 底下,針對 [修補程式協調流程選項],選取 [由 Azure 協調]。
- 填入 [監視]、[進階] 和 [標籤] 索引標籤上的項目。
- 選取 [檢閱 + 建立] 。 選取 [建立] 以使用適當的修補程式協調流程選項建立新的 VM。
針對現有的 VM 啟用
若要更新修補模式:
- 登入 Azure 入口網站。
- 移至 [更新管理員],然後選取 [更新設定]。
- 在 [變更更新設定] 窗格中,選取 [新增電腦]。
- 在 [選取資源] 窗格中,選取您的 VM,然後選取 [新增]。
- 在 [變更更新設定] 窗格的 [修補程式協調流程] 底下,選取 [Azure 受控 - 安全部署],然後選取 [儲存]。
使用者案例
案例 | 由 Azure 協調 | BypassPlatformSafetyChecksOnUserSchedule | 相關聯的排程 | Azure 中預期的行為 |
---|---|---|---|---|
實例 1 | Yes | True | Yes | 排程的修補程式會依使用者定義執行。 |
案例 2 | Yes | True | No | 自動修補和排程的修補程式不會執行。 |
案例 3 | Yes | False | Yes | 自動修補和排程的修補程式不會執行。 您收到不符合排程修補程式必要條件的錯誤。 |
案例 4 | Yes | False | No | VM 已自動修補。 |
案例 5 | No | True | Yes | 自動修補和排程修補不會執行。 您收到不符合排程修補程式必要條件的錯誤。 |
案例 6 | No | True | No | 自動修補和排程的修補程式不會執行。 |
案例 7 | No | False | Yes | 自動修補和排程的修補程式不會執行。 您收到不符合排程修補程式必要條件的錯誤。 |
案例 8 | No | False | No | 自動修補和排程的修補程式不會執行。 |
下一步
- 深入瞭解 動態範圍,這是排程修補的進階功能。
- 遵循如何管理各種動態範圍作業的指示
- 了解如何根據針對單一 VM 和大規模範圍建立的排程自動安裝更新。
- 了解事件前與事件後,以在排程的維護設定的前後自動執行工作。