Agendar atualizações recorrentes para máquinas através do portal do Azure e da Política do Azure

Aplica-se a: ✔️ VMs ✔️ do Windows VMs ✔️ Linux Ambiente local ✔️ Servidores habilitados para Azure Arc.

Importante

  • Para uma experiência de aplicação de patches agendada perfeita, recomendamos que, para todas as máquinas virtuais (VMs) do Azure, atualize a orquestração do patch para as Agendas Gerenciadas pelo Cliente até 30 de junho de 2023. Se você não atualizar a orquestração do patch até 30 de junho de 2023, poderá sofrer uma interrupção na continuidade dos negócios porque as agendas não conseguirão corrigir as VMs. Mais informações.

Você pode usar o Azure Update Manager para criar e salvar agendas de implantação recorrentes. Você pode criar uma programação em uma cadência diária, semanal ou horária. Você pode especificar as máquinas que devem ser atualizadas como parte da programação e as atualizações a serem instaladas.

Em seguida, esse agendamento instala automaticamente as atualizações de acordo com o cronograma criado para uma única VM e em escala.

O Update Manager usa uma agenda de controle de manutenção em vez de criar suas próprias agendas. O controlo de manutenção permite aos clientes gerir as atualizações na plataforma. Para obter mais informações, veja Documentação do controlo de manutenção.

Pré-requisitos para a aplicação de patches programados

  1. Consulte Pré-requisitos para o Update Manager.

  2. A orquestração de patches das máquinas do Azure deve ser definida como Agendas Gerenciadas pelo Cliente. Para obter mais informações, consulte Ativar aplicação de patches de agendamento em VMs existentes. Para máquinas ativadas pelo Azure Arc, isso não é um requisito.

    Nota

    Se você definir o modo de patch como orquestrado do Azure (AutomaticByPlatform), mas não habilitar o sinalizador BypassPlatformSafetyChecksOnUserSchedule e não anexar uma configuração de manutenção a uma máquina do Azure, ele será tratado como uma máquina habilitada para correção de convidado automático. A plataforma Azure instala automaticamente as atualizações de acordo com a sua própria programação. Mais informações.

Agendar aplicação de patches num conjunto de disponibilidade

Todas as VMs num conjunto de disponibilidade comum não são atualizadas em simultâneo.

As VMs num conjunto de disponibilidade comum são atualizadas dentro dos limites do Domínio de Atualização. As VMs em vários Domínios de Atualização não são atualizadas simultaneamente.

Em cenários em que as máquinas do mesmo conjunto de disponibilidade estão a ser corrigidas ao mesmo tempo em horários diferentes, é provável que não sejam corrigidas ou que possam falhar se a janela de manutenção for ultrapassada. Para evitar esta situação, recomendamos que aumente a janela de manutenção ou divida as máquinas pertencentes ao mesmo conjunto de disponibilidade por vários programas em alturas diferentes.

Configurar definições de reinicialização

As chaves do Registro listadas em Configurar Atualizações Automáticas editando as chaves do Registro e do Registro usadas para gerenciar a reinicialização podem fazer com que suas máquinas sejam reinicializadas. Uma reinicialização pode ocorrer mesmo se você especificar Nunca reinicializar nas configurações de agendamento . Configure estas chaves de registo da forma mais adequada ao seu ambiente.

Limites de serviço

Recomendamos os seguintes limites para os indicadores.

Indicador Limite de nuvem pública Limite Mooncake/Fairfax
Número de agendas por assinatura por região 250 250
Número total de associações de recursos para uma agenda 3,000 3,000
Associações de recursos em cada escopo dinâmico 1,000 1,000
Número de escopos dinâmicos por grupo de recursos ou assinatura por região 250 250
Número de escopos dinâmicos por cronograma 200 30
Número total de assinaturas anexadas a todos os escopos dinâmicos por agendamento 200 30

Para obter mais informações, consulte os limites de serviço para Escopo dinâmico.

Agendar atualizações recorrentes numa única VM

Você pode agendar atualizações no painel Visão geral ou Máquinas na página Gerenciador de atualizações ou na VM selecionada.

Para agendar atualizações recorrentes em uma única VM:

  1. Inicie sessão no portal do Azure.

  2. Na página Visão Geral do Azure Update Manager | , selecione sua assinatura e selecione Agendar atualizações.

  3. Na página Criar nova configuração de manutenção, você pode criar um agendamento para uma única VM.

    Atualmente, há suporte para VMs e configuração de manutenção na mesma assinatura.

  4. Na página Noções básicas, selecione Assinatura, Grupo de recursos e todas as opções em Detalhes da instância.

    • Selecione Escopo de manutenção como convidado (VM do Azure, VMs/servidores habilitados para Azure Arc).

    • Selecione Adicionar uma agenda. Em Adicionar/Modificar agenda, especifique os detalhes do calendário, tais como:

      • Começar a
      • Janela de manutenção (em horas). A janela superior de manutenção é de 3 horas 55 minutos.
      • Repetições (mensais, diárias ou semanais)
      • Adicionar data de fim
      • Resumo do cronograma

    A opção por hora não é suportada no portal, mas pode ser usada através da API.

    Captura de tela que mostra a página Noções básicas de aplicação de patches agendada.

    Para repetições mensais, há duas opções:

    • Repita em uma data do calendário (opcionalmente execute na última data do mês).
    • Repita no nono (primeiro, segundo, etc.) x dia (por exemplo, segunda-feira, terça-feira) do mês. Você também pode especificar um deslocamento do conjunto de dias. Pode ser +6/-6. Por exemplo, se você quiser corrigir no primeiro sábado após um patch na terça-feira, defina a recorrência como a segunda terça-feira do mês com um intervalo de +4 dias. Opcionalmente, você também pode especificar uma data de término quando desejar que a agenda expire.
  5. No separador Máquinas, selecione a sua máquina e, em seguida, selecione Seguinte.

    O Gestor de Atualizações não suporta a atualizações de controladores.

  6. No separador Etiquetas, atribuir etiquetas às configurações de manutenção.

  7. No separador Rever + criar, verifique as opções de implementação da atualização e, em seguida, selecione Criar.

  1. Inicie sessão no portal do Azure.

  2. Na página Máquinas do Azure Update Manager | , selecione sua assinatura, selecione sua máquina e selecione Agendar atualizações.

  3. Em Criar nova configuração de manutenção, você pode criar uma agenda para uma única VM e atribuir uma máquina e tags. Siga o procedimento da etapa 3 listado no painel Visão geral de Agendar atualizações recorrentes em uma única VM para criar uma configuração de manutenção e atribuir uma agenda.

Uma notificação confirma que o desdobramento foi criado.

Programar atualizações recorrentes em escala

Para agendar atualizações recorrentes em escala, siga estes passos.

Você pode agendar atualizações no painel Visão geral ou Máquinas .

  1. Inicie sessão no portal do Azure.

  2. Na página Visão Geral do Azure Update Manager | , selecione sua assinatura e selecione Agendar atualizações.

  3. Na página Criar nova configuração de manutenção, pode criar uma agendar para várias máquinas.

    Atualmente, há suporte para VMs e configuração de manutenção na mesma assinatura.

  4. No separador Noções básicas, selecione Subscrição, Grupo de recursos, e todas as opções em Detalhes da instância.

    • Selecione Adicionar uma agenda. Em Adicionar/Modificar agenda, especifique os detalhes do calendário, tais como:

      • Começar a
      • Janela de manutenção (em horas)
      • Repetições (mensais, diárias ou semanais)
      • Adicionar data de fim
      • Resumo do cronograma

    A opção por hora não é suportada no portal, mas pode ser usada através da API.

  5. No separador Máquinas, verifique se as máquinas selecionadas estão listadas. Pode adicionar ou remover máquinas da lista. Selecione Seguinte.

  6. No separador Atualizações, especifique as atualizações a incluir na implementação, tais como classificações de atualização ou ID/pacotes KB que têm de ser instalados quando aciona a sua agenda..

    O Gestor de Atualizações não suporta a atualizações de controladores.

  7. No separador Etiquetas, atribuir etiquetas às configurações de manutenção.

  8. No separador Rever + criar, verifique as opções de implementação da atualização e, em seguida, selecione Criar.

Uma notificação confirma que o desdobramento foi criado.

Anexar uma configuração de manutenção

Uma configuração de manutenção pode ser conectada a várias máquinas. Ele pode ser anexado às máquinas no momento da criação de uma nova configuração de manutenção ou mesmo depois de criar uma.

  1. Na página Azure Update Manager, selecione Máquinas e, em seguida, selecione a sua subscrição.

  2. Selecione sua máquina e, no painel Atualizações , selecione Atualizações agendadas para criar uma configuração de manutenção ou anexar uma configuração de manutenção existente às atualizações recorrentes agendadas.

  3. Na guia Agendamento, selecione Anexar configuração de manutenção.

  4. Selecione a configuração de manutenção que deseja anexar e, em seguida, selecione Anexar.

  5. No painel Atualizações, selecione Configuração de manutenção Agendamento>de Anexação.

  6. Na página Anexar configuração de manutenção existente, selecione a configuração de manutenção que deseja anexar e selecione Anexar.

    Captura de tela que mostra a configuração de manutenção de anexação de patches agendada.

Agendar atualizações periódicas a partir da configuração de manutenção

Pode navegar e gerir todas as suas configurações de manutenção a partir de um único local.

  1. Pesquisar configurações de Manutenção no portal do Azure. Ele mostra uma lista de todas as configurações de manutenção, juntamente com o escopo de manutenção, grupo de recursos, local e a assinatura à qual pertence.

  2. Você pode filtrar as configurações de manutenção usando filtros na parte superior. As configurações de manutenção relacionadas às atualizações do SO convidado são aquelas que têm escopo de manutenção como InGuestPatch.

Você pode criar uma nova configuração de manutenção de atualização do SO convidado ou modificar uma configuração existente.

Captura de tela que mostra a configuração de manutenção.

Criar uma nova configuração de manutenção

  1. Vá para Máquinas e selecione máquinas na lista.

  2. No painel Atualizações, selecione Atualizações agendadas.

  3. No painel Criar uma configuração de manutenção, siga a etapa 3 deste procedimento para criar uma configuração de manutenção.

  4. Na guia Noções básicas, selecione o escopo Manutenção como convidado (VM do Azure, VMs/servidores habilitados para Arc).

    Captura de tela que mostra a criação de uma configuração de manutenção.

Adicionar ou remover máquinas virtuais da configuração de manutenção

  1. Vá para Máquinas e selecione as máquinas na lista.

  2. Na página Atualizações, selecione Atualizações únicas.

  3. No painel Instalar atualizações únicas, selecione Máquinas>Adicionar máquina.

    Captura de tela que mostra a adição ou remoção de máquinas da configuração de manutenção.

Alterar critérios de seleção de atualização

  1. No painel Instalar atualizações únicas, selecione os recursos e as máquinas para instalar as atualizações.

  2. Na guia Máquinas, selecione Adicionar máquina para adicionar máquinas que não foram selecionadas anteriormente e, em seguida, selecione Adicionar.

  3. Na guia Atualizações, especifique as atualizações a serem incluídas na implantação.

  4. Selecione Incluir ID/pacote KB e Excluir ID/pacote KB, respectivamente, para selecionar atualizações como Crítica, Segurança e Atualizações de recursos.

    Captura de tela que mostra a alteração dos critérios de seleção de atualização da configuração de Manutenção.

Integrar para agendar usando a Política do Azure

O Update Manager permite que você direcione um grupo de VMs do Azure ou não do Azure para implantação de atualização por meio da Política do Azure. O agrupamento usando uma política evita que você precise editar sua implantação para atualizar máquinas. Você pode usar assinatura, grupo de recursos, tags ou regiões para definir o escopo. Você pode usar esse recurso para as políticas internas, que podem ser personalizadas de acordo com seu caso de uso.

Nota

Esta política também garante que a propriedade de orquestração de patches para máquinas do Azure esteja definida como Agendas Gerenciadas pelo Cliente porque é um pré-requisito para patches agendados.

Atribuir uma política

O Azure Policy permite atribuir padrões e avaliar a conformidade em escala. Para obter mais informações, consulte Visão geral da Política do Azure. Para atribuir uma política ao escopo:

  1. Entre no portal do Azure e selecione Política.

  2. Em Atribuições, selecione Atribuir política.

  3. Na página Atribuir política, na guia Noções básicas:

    • Em Escopo, escolha sua assinatura e grupo de recursos e escolha Selecionar.

    • Selecione Definição de política para exibir uma lista de políticas.

    • No painel Definições Disponíveis, selecione Incorporado para Tipo. Em Pesquisar, insira Agendar atualizações recorrentes usando o Azure Update Manager e clique em Selecionar.

      Captura de tela que mostra como selecionar a definição.

    • Verifique se a imposição de política está definida como Habilitado e selecione Avançar.

  4. Na guia Parâmetros, por padrão, apenas o ID ARM de configuração de manutenção está visível.

    Se você não especificar outros parâmetros, todas as máquinas do grupo de assinaturas e recursos selecionado na guia Noções básicas serão cobertas no escopo. Se você quiser definir o escopo com base no grupo de recursos, local, sistema operacional, tags e assim por diante, desmarque Mostrar apenas parâmetros que precisam de entrada ou revisão para exibir todos os parâmetros:

    • Configuração de manutenção ARM ID: Um parâmetro obrigatório a ser fornecido. Ele indica a ID do Azure Resource Manager (ARM) da agenda que você deseja atribuir às máquinas.
    • Grupos de recursos: opcionalmente, você pode especificar um grupo de recursos se quiser defini-lo como um grupo de recursos. Por padrão, todos os grupos de recursos dentro da assinatura são selecionados.
    • Tipos de sistema operacional: Você pode selecionar Windows ou Linux. Por padrão, ambos são pré-selecionados.
    • Locais da máquina: opcionalmente, você pode especificar as regiões que deseja selecionar. Por padrão, todos são selecionados.
    • Tags em máquinas: você pode usar tags para definir o escopo ainda mais. Por padrão, todos são selecionados.
    • Operador de tags: se você selecionar várias tags, poderá especificar se deseja que o escopo seja de máquinas que tenham todas as tags ou máquinas que tenham qualquer uma dessas tags.

    Captura de ecrã que mostra como atribuir uma política.

  5. Na guia Correção, em Tipo de Identidade Gerenciada>da Identidade Gerenciada, selecione Identidade gerenciada atribuída ao sistema. As permissões já estão definidas como Colaborador de acordo com a definição da política.

    Se você selecionar Remediação, a política estará em vigor em todas as máquinas existentes no escopo ou será atribuída a qualquer nova máquina adicionada ao escopo.

  6. Na guia Revisar + criar, verifique suas seleções e selecione Criar para identificar os recursos não compatíveis e entender o estado de conformidade do seu ambiente.

Ver conformidade

Para exibir o estado atual de conformidade de seus recursos existentes:

  1. Em Atribuições de Política, selecione Escopo para selecionar sua assinatura e seu grupo de recursos.

  2. Em Tipo de definição, selecione a política. Na lista, selecione o nome da atribuição.

  3. Selecione Exibir conformidade. A conformidade de recursos lista as máquinas e os motivos da falha.

    Captura de tela que mostra a conformidade com a política.

Verificar a execução de patches agendada

Pode verificar o estado da implementação e o histórico das execuções da configuração de manutenção a partir do portal do Gestor de Atualizações. Para obter mais informações, consulte Atualizar histórico de implantação por ID de execução de manutenção.

Cronograma da janela de manutenção

A janela de manutenção controla o número de atualizações que podem ser instaladas em sua máquina virtual e servidores habilitados para Arc. Recomendamos que você percorra a tabela a seguir para entender o cronograma de uma janela de manutenção durante a instalação de uma atualização:

Por exemplo, se uma janela de manutenção for de 3 horas e começar às 15:00, a seguir estão os detalhes sobre como as atualizações são instaladas:

Tipo de atualização Detalhes
Service Pack Se você estiver instalando um Service Pack, precisará de 20 minutos restantes na janela de manutenção para que as atualizações sejam instaladas com êxito, caso contrário, a atualização será ignorada.
Neste exemplo, você deve concluir a instalação do service pack às 17h40.
Outras atualizações Se você estiver instalando qualquer outra atualização além do Service Pack, você precisa ter 15 minutos restantes na janela de manutenção, caso contrário, ela será ignorada.
Neste exemplo, você deve concluir a instalação das outras atualizações até as 17h45.
Reiniciar Se a(s) máquina(s) precisar(em) de uma reinicialização, você precisará ter 10 minutos restantes na janela de manutenção, caso contrário, a reinicialização será ignorada.
Neste exemplo, você deve iniciar a reinicialização às 17h50.
Observação: para máquinas virtuais do Azure e servidores habilitados para Arc, o Azure Update Manager aguarda no máximo 15 minutos para VMs do Azure e 25 minutos para servidores Arc após uma reinicialização para concluir a operação de reinicialização antes de marcá-la como falha.

Nota

  • O Azure Update Manager não para de instalar as novas atualizações se estiver a aproximar-se do fim da janela de manutenção.
  • O Azure Update Manager não encerra atualizações em andamento se a janela de manutenção for excedida e apenas as atualizações restantes que devem ser instaladas não forem tentadas. Recomendamos que você reavalie a duração da janela de manutenção para garantir que todas as atualizações estejam instaladas.
  • Se a janela de manutenção for excedida no Windows, tal deve-se, muitas vezes, ao facto de uma atualização do service pack estar a demorar muito tempo a instalar.

Próximos passos