Configurare l'applicazione di patch pianificata nelle macchine virtuali di Azure per la continuità aziendale
Si applica a: ✔️ Macchine virtuali Windows ✔️ Macchine virtuali Linux ✔️ Macchine virtuali di Azure.
Questo articolo offre una panoramica su come configurare l'applicazione di patch di patch e l'applicazione automatica di patch alle macchine virtuali guest (VM) guest nelle macchine virtuali di Azure usando il nuovo prerequisito per garantire la continuità aziendale. I passaggi per configurare entrambe le opzioni di applicazione di patch nelle macchine virtuali di Azure Arc rimangono invariati.
È attualmente possibile abilitare l'applicazione di patch automatica per VM guest impostando la modalità di patch su Orchestrata da Azure nel portale di Azure o AutomaticByPlatform nell'API REST, in cui le patch vengono applicate automaticamente durante orari non di punta.
Per personalizzare il controllo sull'installazione delle patch, è possibile usare l'applicazione di patch pianificata per definire la finestra di manutenzione. È possibile abilitare l'applicazione di patch pianificata impostando la modalità di patch su Orchestrata da Azure nel portale di Azure o AutomaticByPlatform nell'API REST e collegando una pianificazione alla macchina virtuale di Azure. Le proprietà della macchina virtuale non possono quindi essere differenziate tra applicazione di patch pianificata o applicazione di patch automatica per VM guest perché la modalità di patch è impostata su Orchestrata da Azure in entrambi i casi.
In alcuni casi, quando si rimuove la pianificazione da una macchina virtuale, è possibile che le patch vengano applicate automaticamente e che la macchina virtuale venga riavviata. Per superare le limitazioni, è stato introdotto un nuovo prerequisito, ByPassPlatformSafetyChecksOnUserSchedule
, che ora può essere impostato su true
per identificare una macchina virtuale usando l'applicazione di patch pianificata. Ciò significa che alle macchine virtuali con questa proprietà impostata su true
non vengono più applicate automaticamente patch quando le macchine virtuali non hanno una configurazione di manutenzione associata.
Importante
Per un'esperienza di applicazione di patch pianificata continua, è necessario assicurarsi che la nuova proprietà della macchina virtuale, BypassPlatformSafetyChecksOnUserSchedule
, sia abilitata in tutte le macchine virtuali di Azure (esistenti o nuove) che hanno pianificazioni collegate entro il 30 giugno 2023. Questa impostazione garantisce che le patch vengano applicate ai computer usando le pianificazioni configurate e non mediante l'applicazione di patch automatica. Se non si abilita questa proprietà entro il 30 giugno 2023, viene generato un errore che indica che i prerequisiti non sono soddisfatti.
Pianificare l'applicazione di patch in un set di disponibilità
Tutte le macchine virtuali in un set di disponibilità comune non vengono aggiornate contemporaneamente.
Le macchine virtuali in un set di disponibilità comune vengono aggiornate entro i limiti del dominio di aggiornamento. Le macchine virtuali in più domini di aggiornamento non vengono aggiornate contemporaneamente.
Negli scenari in cui ai computer dello stesso set di disponibilità vengono applicate contemporaneamente patch in pianificazioni diverse, è probabile che non vengano applicate patch o che si verifichino errori se la finestra di manutenzione non rispetta i limiti. Per evitare questo problema, è consigliabile aumentare la finestra di manutenzione o dividere i computer appartenenti allo stesso set di disponibilità in più pianificazioni in momenti diversi.
Trovare macchine virtuali con pianificazioni associate
Per identificare l'elenco di macchine virtuali con le pianificazioni associate per cui è necessario abilitare una nuova proprietà della macchina virtuale:
Passare alla home page del Gestore aggiornamenti di Azure e selezionare la scheda Computer.
Nel filtro Orchestrazione patch selezionare Gestita da Azure - Distribuzione sicura.
Usare l'opzione Seleziona tutto per selezionare i computer e quindi selezionare Esporta in CSV.
Aprire il file CSV e nella colonna Pianificazioni associate selezionare le righe in cui è presente una voce.
Nella colonna Nome corrispondente è possibile visualizzare l'elenco delle macchine virtuali per cui è necessario abilitare il flag
ByPassPlatformSafetyChecksOnUserSchedule
.
Abilitare Pianifica applicazione di patch nelle macchine virtuali di Azure
Per abilitare l'applicazione di patch pianificata nelle macchine virtuali di Azure, seguire questa procedura.
Prerequisiti
Orchestrazione patch = Pianificazioni gestite dal cliente
Selezionare Pianificazioni gestite dal cliente come opzione di orchestrazione delle patch. La nuova opzione di orchestrazione delle patch abilita le proprietà della macchina virtuale seguenti per conto dell'utente dopo aver ricevuto il consenso:
- Modalità patch =
Azure-orchestrated
BypassPlatformSafetyChecksOnUserSchedule
= TRUE
Abilitazione per le nuove macchine virtuali
È possibile selezionare l'opzione di orchestrazione delle patch per le nuove macchine virtuali che verranno associate alle pianificazioni.
Per aggiornare la modalità di patch:
- Accedere al portale di Azure.
- Passare a Macchina virtuale e selezionare Crea per aprire la pagina Crea macchina virtuale.
- Nella scheda Informazioni di base compilare tutti i campi obbligatori.
- In Aggiornamenti del sistema operativo guest nella scheda Gestione per Opzioni di orchestrazione patch selezionare Orchestrata da Azure.
- Compilare le voci nelle schede Monitoraggio, Avanzate e Tag.
- Selezionare Rivedi e crea. Selezionare Crea per creare una nuova macchina virtuale con l'opzione di orchestrazione patch appropriata.
Per pianificare l'applicazione di patch alle macchine virtuali appena create, seguire la procedura a partire dal passaggio 2 nella sezione successiva "Abilitazione per le macchine virtuali esistenti".
Abilitazione per le macchine virtuali esistenti
È possibile aggiornare l'opzione di orchestrazione patch per le macchine virtuali esistenti che hanno già pianificazioni associate o che saranno ora associate a una pianificazione.
Se l'Orchestrazione patch è impostata su Orchestrata da Azure o Gestita da Azure - Distribuzione sicura (AutomaticByPlatform), BypassPlatformSafetyChecksOnUserSchedule
è impostata su false
e non è presente alcuna pianificazione associata, le patch verranno applicate automaticamente alle macchine virtuali.
Per aggiornare la modalità di patch:
- Accedere al portale di Azure.
- Passare al Gestore aggiornamenti di Azure e selezionare Impostazioni aggiornamento.
- In Modifica impostazioni di aggiornamento selezionare Aggiungi computer.
- In Seleziona risorse selezionare le macchine virtuali, quindi selezionare Aggiungi.
- In Orchestrazione patch nel riquadro Modifica impostazioni di aggiornamento selezionare Pianificazioni gestite dal cliente, quindi selezionare Salva.
Collegare una pianificazione dopo aver completato i passaggi precedenti.
Per verificare se BypassPlatformSafetyChecksOnUserSchedule
è abilitata, passare alla home page Macchina virtuale e selezionare Panoramica>Visualizzazione JSON.
Nota
È ora possibile abilitare il nuovo prerequisito per la pianificazione dell'applicazione di patch tramite il portale di Azure, l'API REST, PowerShell e l'interfaccia della riga di comando di Azure.
Abilitare l'applicazione automatica di patch alle macchine virtuali guest nelle macchine virtuali di Azure
Per abilitare l'applicazione automatica di patch alle macchine virtuali guest nelle macchine virtuali di Azure, seguire questa procedura.
Prerequisito
Modalità patch = Azure-orchestrated
Abilitazione per le nuove macchine virtuali
È possibile selezionare l'opzione di orchestrazione delle patch per le nuove macchine virtuali che verranno associate alle pianificazioni.
Per aggiornare la modalità di patch:
- Accedere al portale di Azure.
- Passare a Macchina virtuale e selezionare Crea per aprire la pagina Crea macchina virtuale.
- Nella scheda Informazioni di base compilare tutti i campi obbligatori.
- In Aggiornamenti del sistema operativo guest nella scheda Gestione per Opzioni di orchestrazione patch selezionare Orchestrata da Azure.
- Compilare le voci nelle schede Monitoraggio, Avanzate e Tag.
- Selezionare Rivedi e crea. Selezionare Crea per creare una nuova macchina virtuale con l'opzione di orchestrazione patch appropriata.
Abilitazione per le macchine virtuali esistenti
Per aggiornare la modalità di patch:
- Accedere al portale di Azure.
- Passare al Gestore aggiornamenti e selezionare Impostazioni aggiornamento.
- Nel riquadro Modifica impostazioni di aggiornamento selezionare Aggiungi computer.
- Nel riquadro Seleziona risorse selezionare le macchine virtuali, quindi selezionare Aggiungi.
- In Orchestrazione patch nel riquadro Modifica impostazioni di aggiornamento selezionare Gestita da Azure - Distribuzione sicura, quindi selezionare Salva.
Scenari utente
Scenari | Orchestrata da Azure | BypassPlatformSafetyChecksOnUserSchedule | Pianificazione associata | Comportamento previsto in Azure |
---|---|---|---|---|
Scenario 1 | Sì | Vero | Sì | L'applicazione di patch pianificata viene eseguita in base a quanto definito dall'utente. |
Scenario 2 | Sì | Vero | No | L'applicazione automatica di patch e l'applicazione di patch pianificata non vengono eseguite. |
Scenario 3 | Sì | Falso | Sì | L'applicazione automatica di patch e l'applicazione di patch pianificata non vengono eseguite. Viene visualizzato un errore che indica che i prerequisiti per l'applicazione di patch pianificata non sono soddisfatti. |
Scenario 4 | Sì | Falso | No | Le patch vengono applicate automaticamente alla macchina virtuale. |
Scenario 5 | No | Vero | Sì | L'applicazione automatica di patch e l'applicazione di patch pianificata non vengono eseguite. Viene visualizzato un errore che indica che i prerequisiti per l'applicazione di patch pianificata non sono soddisfatti. |
Scenario 6 | No | Vero | No | L'applicazione automatica di patch e l'applicazione di patch pianificata non vengono eseguite. |
Scenario 7 | No | Falso | Sì | L'applicazione automatica di patch e l'applicazione di patch pianificata non vengono eseguite. Viene visualizzato un errore che indica che i prerequisiti per l'applicazione di patch pianificata non sono soddisfatti. |
Scenario 8 | No | Falso | No | L'applicazione automatica di patch e l'applicazione di patch pianificata non vengono eseguite. |
Passaggi successivi
- Altre informazioni su Ambito dinamico, una funzionalità avanzata dell'applicazione di patch pianificata.
- Seguire le istruzioni su come gestire varie operazioni dell'ambito dinamico
- Informazioni su come installare automaticamente gli aggiornamenti in base alla pianificazione creata per una singola macchina virtuale e su larga scala.
- Informazioni su eventi pre e post per eseguire automaticamente le attività prima e dopo una configurazione di manutenzione pianificata.