Uw implementatie van Updatebeheer plannen
Stap 1: Automation-account
Updatebeheer is een Azure Automation functie en vereist daarom een Automation-account. U kunt een bestaand Automation-account gebruiken in uw abonnement of een nieuw account maken dat alleen is toegewezen aan Updatebeheer en geen andere Automation-functies.
Stap 2: Azure Monitor-logboeken
Updatebeheer is afhankelijk van een Log Analytics-werkruimte in Azure Monitor voor het opslaan van evaluatie- en updatestatuslogboekgegevens die zijn verzameld van beheerde machines. Integratie met Log Analytics maakt ook gedetailleerde analyse en waarschuwingen in Azure Monitor mogelijk. U kunt een bestaande werkruimte in uw abonnement gebruiken of een nieuwe maken die uitsluitend is toegewezen voor Updatebeheer.
Als u geen ervaring hebt met Azure Monitor-logboeken en de Log Analytics-werkruimte, kunt u Een implementatiehandleiding voor een Log Analytics-werkruimte ontwerpen raadplegen.
Stap 3: Ondersteunde besturingssystemen
Updatebeheer ondersteunt specifieke versies van de Windows Server- en Linux-besturingssystemen. Voordat u Updatebeheer inschakelt, controleert u of de doelcomputers voldoen aan de vereisten van het besturingssysteem.
Stap 4: Log Analytics-agent
De Log Analytics-agent voor Windows en Linux is vereist voor de ondersteuning van Updatebeheer. De agent wordt gebruikt voor zowel gegevensverzameling als de rol Hybrid Runbook Worker van het Automation-systeem ter ondersteuning van Updatebeheer-runbooks die worden gebruikt voor het beheren van de evaluatie- en update-implementaties op de computer.
Als de Log Analytics-agent op Azure-VM's nog niet is geïnstalleerd, wordt deze automatisch geïnstalleerd met behulp van de Log Analytics VM-extensie voor Windows of Linux wanneer u Updatebeheer inschakelt voor de VM. De agent is geconfigureerd om te rapporteren aan de Log Analytics-werkruimte die is gekoppeld aan het Automation-account Updatebeheer is ingeschakeld in.
Niet-Azure-VM's of -servers moeten de Log Analytics-agent voor Windows of Linux hebben geïnstalleerd en rapporteren aan de gekoppelde werkruimte. Voor hybride machines raden we u aan de Log Analytics-agent voor Linux te installeren door uw computer eerst te verbinden met servers met Azure Arc en vervolgens Azure Policy te gebruiken om de ingebouwde beleidsdefinitie Log Analytics-agent implementeren in Microsoft Azure Arc-machines toe te wijzen. Als u van plan bent de machines te bewaken met VM-inzichten kunt u, in plaats daarvan, het initiatief Azure Monitor voor VM's inschakelen.
Als u een computer inschakelt die momenteel wordt beheerd door Operations Manager is er geen nieuwe agent vereist. De werkruimtegegevens worden toegevoegd aan de configuratie van de agents wanneer u de beheergroep verbindt met de Log Analytics-werkruimte.
De registratie van een computer voor Updatebeheer in meer dan één Log Analytics-werkruimte (ook wel multi-homing genoemd) wordt niet ondersteund.
Stap 5 - Planning van het netwerk
Als u uw netwerk wilt voorbereiden op de ondersteuning van Updatebeheer, moet u mogelijk enkele infrastructuuronderdelen configureren. Open bijvoorbeeld firewallpoorten om de communicatie door te geven die wordt gebruikt door Updatebeheer en Azure Monitor.
Raadpleeg de Azure Automation Netwerkconfiguratie voor gedetailleerde informatie over de poorten, URL's en andere netwerkgegevens die vereist zijn voor Updatebeheer, waaronder de rol Hybrid Runbook Worker. Als u veilig en privé verbinding wilt maken met de Automation-service vanaf uw Azure-VM's kunt u Het gebruik van Azure Private Link raadplegen.
Voor Windows-machines moet u ook verkeer toestaan naar alle eindpunten die zijn vereist voor Windows Update-agent. Problemen met betrekking tot HTTP/proxy biedt een bijgewerkte lijst met vereiste eindpunten. Als u een wsus-implementatie (local Windows Server Update Services) hebt, moet u ook verkeer toestaan naar de server die is opgegeven in uw WSUS-sleutel.
Zie IPPs for the RHUI content delivery servers for required endpoints (IP's voor de RHUI-contentleveringsservers voor vereiste eindpunten) voor Red Hat Linux-machines. Raadpleeg de documentatie van uw provider voor andere Linux-distributies.
Als uw IT-beveiligingsbeleid niet toestaat dat computers op het netwerk verbinding maken met internet, kunt u een Log Analytics-gateway instellen en de machine vervolgens configureren om via de gateway verbinding te maken met Azure Automation en Azure Monitor.
Stap 6: Machtigingen
Als u update-implementaties wilt maken en beheren, hebt u specifieke machtigingen nodig. Zie Op rollen gebaseerde toegang - Updatebeheer voor meer informatie over deze machtigingen.
Stap 7: Windows Update Agent
Azure Automation Updatebeheer is afhankelijk van de Windows Update Agent voor het downloaden en installeren van Windows-updates. Windows Update Agent (WUA) gebruikt specifieke groepsbeleidsinstellingen op computers om verbinding te maken met Windows Server Update Services (WSUS) of Microsoft Update. U kunt met deze groepsbeleidinstellingen ook een scan uitvoeren van de compatibiliteit van software-updates en de software-updates en de WUA automatisch bijwerken. Zie Instellingen voor Windows Update configureren voor Updatebeheer om onze aanbevelingen te bekijken.
Stap 8: Linux-opslagplaats
Virtuele machines (VM's) die zijn gemaakt op basis van de on-demand RHEL-installatiekopieën (Red Hat Enterprise Linux) die beschikbaar zijn in Azure Marketplace, zijn ze geregistreerd voor toegang tot de Red Hat Update Infrastructure (RHUI) die is geïmplementeerd in Azure. Elke andere Linux-distributie moet worden bijgewerkt vanuit de online bestandsopslagplaats van de distributie met behulp van methoden die door die distributie worden ondersteund.
Als u updates op Red Hat Enterprise versie 6 wilt classificeren, kunt u de YUM-beveiliging invoegtoepassing installeren. Op Red Hat Enterprise Linux 7 maakt de invoegtoepassing al deel uit van YUM zelf en hoeft u niets te installeren. Zie voor meer informatie het volgende kennisartikel van Red Hat.
Stap 9: Implementatiedoelen plannen
Updatebeheer biedt u de mogelijkheid updates te richten op een dynamische groep die Azure- of niet-Azure-machines vertegenwoordigt, zodat u ervoor kunt zorgen dat specifieke machines altijd de juiste updates krijgen op de meest geschikte momenten. Een dynamische groep wordt opgelost tijdens de implementatie en is gebaseerd op de volgende criteria:
- Abonnement
- Resourcegroepen
- Locaties
- Codes
Voor niet-Azure-machines maakt een dynamische groep gebruik van opgeslagen zoekopdrachten, ook wel computergroepen genoemd. Update-implementaties binnen het bereik van een groep machines zijn alleen zichtbaar vanuit het Automation-account in de optie Updatebeheerimplementatieschema's, niet van een specifieke Azure-VM.
Updates kunnen ook alleen worden beheerd voor een geselecteerde Azure-VM. Update-implementaties binnen het bereik van de specifieke computer zijn zichtbaar vanaf zowel de computer als het Automation-account in de planningsoptie Updatebeheer.
Volgende stappen
Schakel Updatebeheer in en selecteer machines die moeten worden beheerd met een van de volgende methoden:
Met behulp van een Azure Resource Manager-sjabloon kunt u Updatebeheer implementeren in een nieuw of bestaand Automation-account en azure Monitor Log Analytics-werkruimte in uw abonnement. Het configureert niet het bereik van machines die moeten worden beheerd. Dit wordt uitgevoerd als een afzonderlijke stap na het gebruik van de sjabloon.
Vanuit uw Automation-account voor een of meer Azure- en niet-Azure-machines, waaronder servers met Azure Arc.
Het enable-AutomationSolution-runbook gebruiken om onboarding van Azure-VM's te automatiseren.
Voor een geselecteerde Azure-VM op de pagina Virtuele machines in Azure Portal. Dit scenario is beschikbaar voor Virtuele Linux- en Windows-machines.
Voor meerdere Virtuele Azure-machines selecteert u deze op de pagina Virtuele machines in Azure Portal.