你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 更新管理器中的更新选项和业务流程

  • 项目

适用于:✔️ Windows VM ✔️ Linux VM ✔️ 本地环境 ✔️ 已启用 Azure Arc 的服务器。

重要

  • 为了获得无缝计划的修补体验,我们建议为所有 Azure 虚拟机(VM)更新修补业务流程到 客户托管计划。 如果无法更新修补业务流程,则可能会遇到业务连续性中断,因为计划无法修补 VM。 如需更多信息,请参阅在 Azure VM 上配置计划修补以确保业务连续性
  • 对于已启用 Azure Arc 的服务器,不支持更新和维护选项,例如 Azure 中的自动 VM 来宾修补、Windows 自动更新和热修补。

本文概述了 Azure 更新管理器中的各种更新选项和业务流程。

更新选项

自动 OS 映像升级

在 Azure 虚拟机规模集启用自动 OS 映像升级时,它有助于简化 Azure 更新管理器,安全地自动升级规模集中所有实例的 OS 磁盘。

自动 OS 升级具有以下特征:

  • 配置后,映像发布者发布的最新 OS 映像会自动应用于规模集,无需任何用户干预。
  • 每次发布者发布新映像时,它都会以滚动方式升级一批实例。
  • 与应用程序运行状况探测和应用程序运行状况扩展集成。
  • 适用于 Windows 和 Linux 映像的所有 VM 大小,包括通过 Azure 计算库的自定义映像。
  • 随时选择退出自动升级的灵活性。 (也可以手动启动 OS 升级)。
  • VM 的 OS 磁盘将替换为使用最新映像版本创建的新 OS 磁盘。 配置扩展和自定义数据脚本在保留持久化数据磁盘时运行。
  • 支持扩展排序。
  • 可以在任何大小的规模集上启用。

注意

建议检查以下内容:

  • 启用自动 OS 映像升级之前的要求
  • 支持的 OS 映像
  • 支持自定义映像的要求。 了解详细信息

自动 VM 来宾修补

在 Azure VM 上启用 自动 VM 来宾修补 时,它有助于简化 Azure 更新管理器以安全自动修补虚拟机以维护安全合规性。

自动 VM 来宾修补具有以下特征:

  • 在 VM 上自动下载并应用已分类为“关键”或“安全”的补丁。
  • 在 VM 所在时区的非高峰期为 IaaS VM 应用补丁。
  • Azure 虚拟机规模集 VMSS 灵活业务流程在所有小时内应用修补程序。
  • 由 Azure 管理补丁业务流程,遵循可用性优先原则应用补丁。
  • 监视虚拟机运行状况(通过平台运行状况信号来确定),以检测修补失败的情况。
  • 可以通过应用程序运行状况扩展监视应用程序运行状况
  • 它适用于所有 VM 大小。

启用 VM 属性

若要启用 VM 属性,请执行以下步骤:

  1. 在 Azure 更新管理器主页上,转到“更新设置
  2. 选择修补业务流程作为 Azure 托管保险箱部署

注意

我们建议采取以下做法:

  • 了解自动 VM 来宾修补的工作原理。
  • 启用自动 VM 来宾修补之前,请检查要求。
  • 检查支持的 OS 映像。 了解详细信息

热修补

热修补 允许在受支持的 Windows Server Datacenter 上安装 OS 安全更新:安装后不需要重新启动的 Azure Edition 虚拟机。 热补丁的工作方式是修补正在运行的进程的内存中代码,而无需重启进程。

以下是热修补的功能:

  • 二进制文件减少会使更新安装速度更快,使用的磁盘空间和 CPU 资源更少。
  • 随着重启次数的减少,工作负载影响降低。
  • 提供更好的保护,因为热补丁更新包的范围限定为 Windows 安全更新,无需重启即可更快地安装更新。
  • 减少向安全风险和更改窗口公开的时间,并使用 Azure 更新管理器更轻松地修补业务流程

Screenshot that shows the Hotpatch option.

热修补属性可用作 Azure 更新管理器中的设置,可以使用更新设置流启用该设置。 有关详细信息,请参阅 虚拟机和支持的平台的热修补。

自动扩展升级

自动扩展升级适用于 Azure VM 和 Azure 虚拟机规模集。 在 VM 或规模集中启用自动扩展升级后,每当扩展发行商发布了扩展的新版本,该扩展就会自动升级。

自动扩展升级具有以下特性:

  • Azure VM 和 Azure 虚拟机规模集支持它。
  • 升级应用于 可用性优先部署模型
  • 对于虚拟机规模集,在一个批次中升级的规模集虚拟机数不超过总数的 20%。 最小批次大小为一个虚拟机。
  • 适用于所有 VM 大小以及 Windows 和 Linux 扩展。
  • 在任何大小的虚拟机规模集上启用。
  • 每个受支持的扩展单独注册,可以选择自动升级的扩展。
  • 在所有公有云区域中均受支持。 有关详细信息,请参阅 支持的扩展和自动扩展升级

Windows 自动更新

此修补模式允许操作系统在可用后立即自动在 Windows VM 上安装更新。 它使用通过将补丁业务流程设置为“OS 编排/由 OS 自动执行”启用的 VM 属性。

注意

  • Windows 自动更新不是 Azure 更新管理器设置,而是 Windows 级别设置。
  • Azure 更新管理器不支持 在 Azure 中运行 Windows Server 的 VM 就地升级。

更新或修补业务流程

Azure 更新管理器可以灵活地立即安装更新或在定义的维护时段内计划更新。 通过这些设置,可以协调虚拟机的修补。

立即更新/一次性更新

Azure 更新管理器允许你通过按需安装更新来立即保护计算机。 若要执行按需更新,请参阅 “检查并安装一次性更新”

计划内修补

可以根据要求为每日、每周或每小时节奏创建计划,指定必须作为计划一部分更新的计算机,以及必须安装的更新。 然后,此计划会根据这些规定自动安装更新。

Azure 更新管理器使用维护控制计划,而不是创建自己的计划。 维护控制使客户能够管理平台更新。 有关详细信息,请参阅 维护控制

使用 计划的修补 来创建和保存定期部署计划。

注意

应将 Azure 计算机的修补业务流程属性设置为 客户托管计划 ,因为它是计划修补的先决条件。 有关详细信息,请参阅 先决条件列表。

重要

  • 为了获得无缝计划的修补体验,我们建议对所有 Azure VM,必须将修补业务流程更新到 客户托管计划。 如果无法更新修补业务流程,则可能会遇到业务连续性中断,因为计划将无法修补 VM。 了解详细信息
  • 对于已启用 Arc 的服务器,不支持更新和维护选项,例如 Azure 中的自动 VM 来宾修补、Windows 自动更新和热修补。

后续步骤

  • 若要查看更新管理器生成的更新评估和部署日志,请参阅 查询日志
  • 若要排查 Azure 更新管理器问题,请参阅 “排查问题”。