你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 更新管理器中的更新选项和业务流程

  • 项目

适用于:✔️ Windows VM ✔️ Linux VM ✔️ 本地环境 ✔️ 已启用 Azure Arc 的服务器。

重要

  • 为了获得无缝的计划修补体验,建议将所有 Azure 虚拟机 (VM) 的补丁业务流程更新为“客户管理的计划”。 如果无法更新补丁业务流程,可能会遇到业务连续性中断问题,因为计划将无法修补 VM。 如需更多信息,请参阅在 Azure VM 上配置计划修补以确保业务连续性
  • 对于已启用 Azure Arc 的服务器,不支持诸如 Azure 中的自动 VM 来宾修补、Windows 自动更新和热修补等更新和维护选项。

本文概述了 Azure 更新管理器中的各种更新选项和业务流程。

更新选项

自动 OS 映像升级

Azure 虚拟机规模集上启用自动 OS 映像升级时,它有助于简化更新管理的过程,以安全、自动的方式升级规模集内所有实例的 OS 磁盘。

自动 OS 升级具有以下特征:

  • 配置后,映像发布者发布的最新 OS 映像将自动应用于规模集,无需任何用户干预。
  • 每次发布者发布新映像时,它都以滚动方式分批升级实例。
  • 与应用程序运行状况探测和应用程序运行状况扩展集成。
  • 适用于所有大小的 VM,同时适用于 Windows 和 Linux 映像,其中包括通过 Azure Compute Gallery 获取的自定义映像。
  • 可以灵活地随时选择停用自动升级。 (也可以手动启动 OS 升级)。
  • VM 的 OS 磁盘被替换为使用最新映像版本创建的新 OS 磁盘。 已配置的扩展和自定义数据脚本会运行,同时保留持久性数据磁盘。
  • 支持扩展排序。
  • 可在任意大小的规模集上启用。

注意

建议查看以下内容:

  • 在启用自动 OS 映像升级之前需要符合的要求
  • 支持的 OS 映像
  • 支持自定义映像需要符合的要求。 了解详细信息

自动 VM 来宾修补

在 Azure VM 上启用自动 VM 来宾修补后,有助于 Azure 更新管理器自动、安全地修补虚拟机,使虚拟机保持安全合规。

自动 VM 来宾修补具有以下特征:

  • 在 VM 上自动下载并应用已分类为“关键”或“安全”的补丁。
  • 在 VM 所在时区的非高峰期为 IaaS VM 应用补丁。
  • Azure 虚拟机规模集 VMSS 灵活业务流程可在所有时段应用修补程序。
  • 由 Azure 管理补丁业务流程,遵循可用性优先原则应用补丁。
  • 监视虚拟机运行状况(通过平台运行状况信号来确定),以检测修补失败的情况。
  • 可以通过应用程序运行状况扩展监视应用程序运行状况。
  • 适用于所有大小的 VM。

启用 VM 属性

若要启用 VM 属性,请执行以下步骤:

  1. 在 Azure 更新管理器主页上,转到“更新设置”
  2. 选择“补丁业务流程”作为“Azure 托管安全部署”

注意

我们建议采取以下做法:

  • 了解自动 VM 来宾修补的工作原理。
  • 在启用自动 VM 来宾修补之前确认需要符合的要求。
  • 查看支持的 OS 映像。 了解详细信息

热修补

通过热修补,可以在受支持的 Windows Server Datacenter: Azure Edition 虚拟机上安装 OS 安全更新,安装后无需重新启动。 热补丁的工作方式是修补正在运行的进程的内存中代码,而无需重启进程。

以下是热修补的功能:

  • 二进制文件减少会使更新安装速度更快,使用的磁盘空间和 CPU 资源更少。
  • 随着重启次数的减少,工作负载影响降低。
  • 提供更好的保护,因为热补丁更新包的范围限定为 Windows 安全更新,无需重启即可更快地安装更新。
  • 可减少暴露于安全风险和更改窗口的时间,并使用 Azure 更新管理器简化补丁业务流程

显示“热补丁”选项的屏幕截图。

“热修补”属性可用作 Azure 更新管理器中的设置,可以使用更新设置流程启用该设置。 有关详细信息,请参阅虚拟机和受支持平台的热补丁

自动扩展升级

自动扩展升级适用于 Azure VM 和 Azure 虚拟机规模集。 在 VM 或规模集中启用自动扩展升级后,每当扩展发行商发布了扩展的新版本,该扩展就会自动升级。

自动扩展升级具有以下特性:

  • 它支持 Azure VM 和 Azure 虚拟机规模集。
  • 根据可用性优先部署模型应用升级。
  • 对于虚拟机规模集,在一个批次中升级的规模集虚拟机数不超过总数的 20%。 最小批次大小为一个虚拟机。
  • 适用于所有 VM 大小,并且适用于 Windows 和 Linux 扩展。
  • 在任何大小的虚拟机规模集上启用。
  • 每个受支持的扩展将单独注册,可以选择要自动升级的扩展。
  • 在所有公有云区域中均受支持。 有关详细信息,请参阅支持的扩展和自动扩展升级

Windows 自动更新

使用此修补模式,操作系统可以在 Windows VM 可用后立即自动在其上安装更新。 它使用通过将补丁业务流程设置为“OS 编排/由 OS 自动执行”启用的 VM 属性。

注意

更新或修补业务流程

Azure 更新管理器具有灵活性,可以立即安装更新,也可以在定义的维护时段内计划更新。 通过这些设置,你可以协调虚拟机的修补。

立即更新/一次性更新

使用 Azure 更新管理器,可以通过按需安装更新来即时保护计算机。 若要执行按需更新,请参阅检查并安装一次性更新

计划内修补

可以创建频率为每日、每周或每小时的计划(具体取决于你的要求),指定必须按计划更新的计算机,以及必须安装的更新。 然后,此计划会根据这些规定自动安装更新。

Azure 更新管理器使用维护控制计划,而不是创建自身的计划。 维护控制使客户能够管理平台更新。 有关详细信息,请参阅维护控制

使用计划内修补来创建和保存定期部署计划。

注意

应将 Azure 计算机的修补业务流程属性设置为客户管理的计划,因为它是计划修补的先决条件。 有关详细信息,请参阅先决条件列表

重要

  • 为了获得无缝的计划修补体验,必须将所有 Azure VM 的补丁业务流程更新为客户管理的计划。 如果无法更新修补业务流程,则可能会遇到业务连续性中断,因为计划将无法修补 VM。 了解详细信息
  • 对于已启用 Arc 的服务器,不支持诸如 Azure 中的自动 VM 来宾修补、Windows 自动更新和热修补等更新和维护选项。

后续步骤

  • 若要查看更新管理器生成的更新评估和部署日志,请参阅查询日志
  • 若要排查 Azure 更新管理器的问题,请参阅排查问题