Funktionsweise von Update Manager
Update Manager bewertet Updates und wendet diese auf alle Azure-Computer und Azure Arc-fähigen Server für Windows und Linux an.
VM-Erweiterungen für Update Manager
Wenn ein Vorgang in Azure Update Manager (AUM) auf Ihrem Azure-Computer oder Ihrem Arc-fähigen Server aktiviert oder ausgelöst wird, installiert AUM eine Azure-Erweiterung bzw. Erweiterung für Arc-fähige Server auf Ihrem Computer, um die Updates zu verwalten.
Die Erweiterung wird automatisch auf Ihrem Computer installiert, wenn Sie in Update Manager einen Vorgang wie „Auf Updates prüfen“, „Einmaliges Update installieren“ oder „Regelmäßige Bewertung“ zum ersten Mal auf Ihrem Computer initiieren oder wenn die geplante Updatebereitstellung zum ersten Mal auf Ihrem Computer ausgeführt wird.
Der Kunde muss die Erweiterung und ihren Lebenszyklus nicht explizit installieren, da sie einschließlich der Installation und Konfiguration durch Azure Update Manager verwaltet wird. Die Update Manager-Erweiterung wird mithilfe der folgenden Agents installiert und verwaltet, die erforderlich sind, damit Update Manager auf Ihren Computern funktioniert:
- Azure VM Windows-Agent oder der Azure VM Linux-Agent für Azure-VMs.
- Agent für Azure Arc-fähige Server
Hinweis
Arc-Konnektivität ist eine Voraussetzung für Update Manager und Nicht-Azure-Computer, einschließlich Arc-fähiger VMware- und SCVMM-Instanzen usw.
Bei Azure-Computern wird eine einzelne Erweiterung installiert, wohingegen bei Azure Arc-fähigen Computern zwei Erweiterungen installiert werden. Nachfolgend finden Sie die Details zu den Erweiterungen, die installiert werden:
Betriebssystem | Durchwahl |
---|---|
Windows | Microsoft.CPlat.Core.WindowsPatchExtension |
Linux | Microsoft.CPlat.Core.LinuxPatchExtension |
Updatequelle
Azure Update Manager berücksichtigt die Einstellungen für die Updatequelle auf dem Computer und ruft Updates entsprechend ab. AUM veröffentlicht keine Updates und stellt keine Updates bereit.
Wenn der Windows Update-Agent (WUA) so konfiguriert ist, dass Updates aus dem Windows Update- oder Microsoft Update-Repository oder aus Windows Server Update Services (WSUS) abgerufen werden, berücksichtigt AUM diese Einstellungen. Weitere Informationen finden Sie unter Konfigurieren des Windows Update-Clients. Standardmäßig ist dieser so konfiguriert, dass Updates aus dem Windows Update-Repository abgerufen werden.
AUM führt die folgenden Schritte aus:
- Abrufen der Bewertungsinformationen über den Status von Systemupdates, die durch den Windows Update-Client oder Linux-Paket-Manager angegeben wurden
- Initiieren des Downloads und der Installation von Updates mit dem Windows Update-Client oder dem Linux-Paket-Manager
Hinweis
- Die Computer melden ihren Updatestatus basierend auf der für die Synchronisierung konfigurierten Quelle. Wenn der Windows Update-Dienst so konfiguriert ist, dass dieser Berichte an WSUS sendet, unterscheiden sich die Ergebnisse in Update Manager möglicherweise von dem, was Microsoft Update anzeigt. Das hängt davon ab, wann WSUS zuletzt mit Microsoft Update synchronisiert wurde. Dieses Verhalten gilt auch für Linux-Computer, die so konfiguriert sind, dass sie an ein lokales Repository und nicht an ein öffentliches Paketrepository berichten.
- Update Manager findet ausschließlich Updates, die der Windows Update-Dienst findet, wenn Sie im lokalen Windows-System die lokale Schaltfläche Auf Updates prüfen auswählen. Auf Linux-Systemen werden ausschließlich Updates für das lokale Repository ermittelt.
In Azure Resource Graph gespeicherte Daten zu Updates
Die Update Manager-Erweiterung pusht alle Informationen zu ausstehenden Updates und den Ergebnisse der Updateinstallation an Azure Resource Graph, wo Daten für die untenstehenden Zeiträume aufbewahrt werden:
Daten | Aufbewahrungszeitraum in Azure Resource Graph |
---|---|
Ausstehende Updates (ARG-Tabellenname: patchassessmentresources) | Sieben Tage |
Ergebnisse der Updateinstallation (ARG-Tabellenname: patchinstallationresources) | 30 Tage |
Weitere Informationen finden Sie unter Protokollstruktur von Azure Resource Graph und Beispielabfragen.
Installieren von Patches in Azure Update Manager
In Azure Update Manager werden Patches folgendermaßen installiert:
Zunächst wird eine neue Bewertung der auf der VM verfügbaren Updates durchgeführt.
Nach der Bewertung erfolgt die Updateinstallation.
- In Windows werden die ausgewählten Updates, die den Kriterien des Kunden entsprechen, nacheinander installiert.
- In Linux werden sie in Batches installiert.
Während der Updateinstallation wird die Auslastung des Wartungsfensters in mehreren Schritten überprüft. Bei Windows und Linux sind jederzeit 10 bzw. 15 Minuten des Wartungsfensters für den Neustart reserviert. Bevor die Installation der verbleibenden Updates fortgesetzt wird, überprüft Update Manager, ob die erwartete Neustartzeit zuzüglich der durchschnittlichen Installationszeit für Updates (für das nächste Update oder die nächste Gruppe von Updates) das Wartungsfenster nicht überschreitet. Bei Windows beträgt die durchschnittliche Installationszeit für alle Arten von Updates mit Ausnahme von Service Pack-Updates 10 Minuten. Bei Service Pack-Updates beträgt sie 15 Minuten.
Beachten Sie, dass eine fortlaufende Updateinstallation (nach dem Start basierend auf der obigen Berechnung) selbst dann nicht angehalten wird, wenn sie das Wartungsfenster überschreitet, um zu vermeiden, dass der Computer in einen möglicherweise unbestimmten Status versetzt wird. Die Installation der verbleibenden Updates wird jedoch nicht fortgesetzt, wenn das Wartungsfenster überschritten wurde. In solchen Fällen wird der Fehler „Wartungsfenster überschritten“ ausgelöst.
Das Patching bzw. die Updateinstallation wird nur dann als „Erfolg“ gekennzeichnet, wenn alle ausgewählten Updates installiert sind und alle beteiligten Vorgänge (einschließlich Neustart und Bewertung) erfolgreich sind. Andernfalls werden diese mit Warnungen als „Fehler“ oder „Abgeschlossen“ gekennzeichnet. Beispiel:
Szenario Status der Updateinstallation Eines der ausgewählten Updates kann nicht installiert werden. Fehler Ein Neustart erfolgt ohne Grund, und ein Timeout der Wartezeit für den Neustart ist aufgetreten. Fehler Während eines Neustarts ist ein Fehler beim Starten des Computers aufgetreten. Fehler Die anfängliche oder endgültige Bewertung ist fehlgeschlagen. Fehler Die Updates erfordern einen Neustart, allerdings ist die Option „Nie neu starten“ ausgewählt. Abgeschlossen mit Warnungen ESM-Pakete haben das Patching in Ubuntu 18 oder niedriger übersprungen, wenn die Ubuntu Pro-Lizenz nicht vorhanden war. Abgeschlossen mit Warnungen Am Ende wird eine Bewertung durchgeführt. Beachten Sie, dass der Neustart und die am Ende durchgeführte Bewertung der Updateinstallation in einigen Fällen möglicherweise nicht auftreten, wenn beispielsweise das Wartungsfenster bereits überschritten wurde oder die Updateinstallation aus irgendeinem Grund fehlschlägt.
Nächste Schritte
- Voraussetzungen von Update Manager
- Anzeigen von Updates für einen einzelnen Computer
- Sofortiges Bereitstellen von Updates (bei Bedarf) für einzelnen Computer
- Aktivieren der periodischen Bewertung im großen Stil mithilfe von Azure Policy
- Planen von wiederkehrenden Updates
- Verwalten von Updateeinstellungen über das Portal
- Verwalten mehrerer Computer mithilfe von Azure Update Manager