Astăzi, în majoritatea organizațiilor, reducerea costurilor neproductive de management IT este o prioritate. O modalitate de a rezolva această problemă este reducerea la minimum a lucrărilor legate de actualizarea sistemelor de operare, inclusiv reducerea la minimum a numărului de module de corecție necesare
Infrastructura IT pentru întreprinderea dvs.
Voi începe cu problema reducerii numărului de module de corecție și apoi să demonstrez metodele de automatizare a instalării în sistemele celorlalte patch-uri.
Reducerea numărului de module de corecție
În mod obișnuit, o repornire a serverului determină ca serviciile care rulează pe acesta să devină indisponibile pe parcursul repornirii. Dacă luați, de exemplu, o gazdă Hyper-V, aceasta înseamnă că toate mașinile virtuale și serviciile care rulează pe ele nu vor fi disponibile. Dar această problemă poate fi rezolvată. Aici, pentru a ajuta administratorul să vină mijloacele de grupare, ocolind eșecul clustering-ului Failover. Dacă gazdele sunt grupate împreună cu un failover, aveți posibilitatea să mutați serviciile (inclusiv mașinile virtuale) de la un nod la altul fără a necesita opriri. Este necesar doar ca serviciul respectiv să accepte tehnologia de migrare cu zero timp de așteptare - cum ar fi migrarea dinamică a mașinilor virtuale sau o migrare neobservată a SMB 3.0. Aceasta înseamnă că instalarea modulelor de corecție și reîncărcările asociate cu acestea nu conduc la o scădere semnificativă a indicatorilor de disponibilitate, deoarece nivelul de disponibilitate nu scade.
- Selectați nodul de cluster și mutați toate serviciile sale către alte noduri din cluster folosind tehnologia de migrare cu zero downtime (de exemplu, tehnologia de migrare dinamică pentru mașinile virtuale).
- Transferați acest nod în modul de întreținere, în urma căruia toate resursele acestuia vor fi dezactivate și transferați nodurile către alte noduri ale clusterului. Pentru a efectua această operație, puteți utiliza comanda Windows PowerShell încorporată Suspend-ClusterNode cu parametrul -Drain. Suspend-ClusterNode este una dintre numeroasele comenzi compuse ale modulului Failover Cluster pentru PowerShell.
- Descărcați modulele de corecție, instalați-le și reporniți nodul. Când ați terminat, verificați dacă există module noi pe care să le instalați. Dacă există astfel de module, instalați-le și reporniți din nou sistemul.
- Scoateți nodul din modul de întreținere. Pentru a efectua acest pas, puteți utiliza comanda Resume-ClusterNode cu opțiunea -Failback din Windows PowerShell.
- Cu tehnologia de migrare cu zero downtime, mutați serviciile înapoi la nodul actualizat.
- Repetați pașii anteriori pentru noul nod de cluster și așa mai departe până când actualizările sunt implementate pentru întregul cluster.
Automatizați actualizarea utilizând CAU
Prin activarea CAU-urilor din grupurile rețelei dvs., veți obține un mecanism flexibil și în același timp simplu pentru instalarea actualizărilor în cluster-e. Poate fi pornit manual sau conform unui program predefinit. Puteți chiar să executați scripturi PowerShell pe fiecare nod pentru pre-actualizare și evenimente ulterioare, ca parte a instalării modulelor de corecție.
Elementele de bază ale modurilor CAU și cerințele pentru nodurile de cluster
Clustering-ul este realizat pe clustere fizice, precum și pe clustere create în cadrul mașinilor virtuale. Acesta este implementat în două moduri: în modul de auto-actualizare și în modul de actualizare de la distanță.
Pentru a efectua o actualizare automată, instrumentele de gestionare a clusterului de reacție în caz de avarie sunt instalate pe toate nodurile clusterului pentru a exclude dependențele externe. În plus, rolul cluster al CAU este stabilit.
Avantajul modului de auto-reînnoire este că grupul actualizat este autonom și poate fi actualizat în mod eficient, așa cum se spune, "pe pilotul automat". Avantajul utilizării acestui mod rezultă din faptul că instalarea modulelor de corecție într-o varietate de clustere diferite poate fi controlată de la un sistem configurat ca coordonator de actualizare la distanță. Deoarece coordonarea se face de la distanță, necesitatea de a instala instrumentul Failover Cluster Management în toate nodurile din cluster (și chiar PowerShell, precum și Microsoft. NET Framework, dacă nu utilizați scripturile care rulează înainte și după actualizare) nu mai este, și aceasta înseamnă că nodurile serverul poate funcționa în modul Core Server. În plus, în modul de administrator de actualizare la distanță primește informații mai detaliate cu privire la canalele de feedback, care este o soluție ideală în cazurile în care este necesar să se monitorizeze cu atenție procesul (și în același timp, administratorul nu ar trebui să efectueze orice măsuri manuale).
Pentru a permite utilizarea instrumentelor CAU, nodurile de cluster trebuie să îndeplinească o serie de cerințe:
- Trebuie activat instrumentul de gestionare la distanță WMI Windows (aceasta este setarea implicită). Dacă doriți să activați WMI, puteți utiliza comanda Set-WSManQuickConfig implementată în PowerShell.
- Dacă utilizați modul de actualizare automată sau scripturile PowerShell care sunt executate înainte și după actualizare, trebuie să aveți instalată o platformă. NET Framework 4.5 (setarea implicită).
- Dacă utilizați modul de actualizare automată sau scripturile PowerShell care se execută înainte și după actualizare, trebuie să aveți instalat PowerShell versiunea 3.0 și să aveți activat instrumentele de remodelare PowerShell. Pentru a activa redarea PowerShell, puteți folosi comanda Enable-PSRemoting.
- Trebuie să fie prevăzută o excepție de tip firewall pentru reinițializarea sistemului la distanță, care este setată prin activarea excepției încorporate de închidere la distanță. Când se utilizează interfața grafică, această procedură se realizează automat ca parte a configurației CAU. Administratorul trebuie să ia măsuri numai dacă, în conformitate cu politica curentă de grup, excepția corespunzătoare poate fi revocată.
- Actualizarea nodurilor trebuie să facă parte dintr-un cluster, deci trebuie să aibă instalată actualizarea clusterului.
- Dacă utilizați un server proxy pentru a accesa Windows Update Center, trebuie să îl configurați pentru contul computerului, deoarece CAU-urile se execută din contul System și nu din contul de utilizator. Pentru a configura serverul proxy, puteți utiliza utilitarul pentru linia de comandă Netsh. Modificați în consecință și executați următoarea comandă în interpretorul de linie de comandă Cmd.exe:
Instalarea și configurarea instrumentelor CAU
După ce verificați dacă toate aceste cerințe sunt îndeplinite, puteți începe instalarea și configurarea CAU. Voi descrie în detaliu toți pașii de configurare a CAU în modul de actualizare automată. Dacă doriți să utilizați modul de actualizare la distanță, instalați pur și simplu instrumentele de gestionare a clusterului de reacție în caz de avarie (Failover Cluster Management) și apoi inițiați procesul de actualizare folosind interfața grafică sau comenzile PowerShell din modulul Failover Cluster Module.
Când instalați și configurați CAU în modul de actualizare automată, urmați aceste instrucțiuni:
1. Deschideți Managerul Clusterului de Deblocare. Utilizând acțiunea Connect to Cluster, conectați-vă la clusterul în care doriți să utilizați CAU.
2. Activați link-ul Actualizare cluster-aware. Se va afișa ecranul Actualizare cluster și va începe scanarea mediului.
3. Faceți clic pe Configurați opțiunile de auto-actualizare a clusterului și porniți expertul Configurați opțiunile de auto-actualizare. Apoi, faceți clic pe pagina Noțiuni introductive a expertului.
4. În pagina Add CAU Clustered with Auto-updating Activat, selectați caseta de selectare Add the CAU clustered, cu modul de auto-actualizare activat. Veți vedea, de asemenea, o casetă de selectare pentru că am un obiect de computer de prestigiu pentru rolul CAU clustered. În modul de actualizare automată, serviciul de rol CAU este adăugat în cluster. Utilizează propriul obiect "mașină virtuală", care trebuie creat în directorul Active Directory (AD). Dacă nu bifați această casetă, obiectul de calculator pregătit anterior va fi creat automat. Dar, în scopul de a rezolva această problemă, obiectul dvs. „cluster“ trebuie să obțină permisiunea de a crea obiecte de „computer“ în container implicit alocă Calculatoare (sau într-un container, care găzduiește obiect dvs. „grup de calculator“ computer, așa cum se arată în figura 1).
Ecran 1. Verificați dacă contul Computer Cluster are permisiunea de a crea obiecte de computer în containerul implicit de computere
5. În pagina Specificați programul de actualizare automată, configurați programul de actualizare. După cum se arată pe ecranul 2, actualizările pot fi efectuate zilnic, săptămânal sau lunar. Când planificați programul, amintiți-vă că Microsoft lansează noi module de corecție în a doua zi de marți a fiecărei luni. Faceți clic pe Următorul.
Ecranul 2. Planificați grupul de actualizare automată
6. Pe Opțiuni avansate, puteți modifica numărul de încercări admisibil (implicit este 3), specificați alerga înainte și după scripturi PowerShell de upgrade, dacă intenționați să le utilizați, precum și introduceți alte setări. În plus, puteți modifica pluginul CAU. În mod implicit, modulul Microsoft.WindowsUpdatePlugin este selectat. Se instalează actualizări pentru cluster direct de pe Windows Update sau de pe serverul WSUS în incinta organizației. Rețineți că comanda de a aplica module de corecție pentru Windows Update sau pentru serverul WSUS nu este inclusă în numărul de setări CAU. Clusterul va utiliza metoda de actualizare specificată în timpul procesului de configurare. Pur și simplu specificați ce plug-in doriți să utilizați pentru a citi actualizări din sursa specificată. Efectuați toate modificările necesare pe pagina Opțiuni avansate și faceți clic pe Următorul.
7. Dacă modulul Microsoft.WindowsUpdatePlugin este afișat pe pagina anterioară, este afișată pagina Opțiuni suplimentare de actualizare. Această pagină are un buton radio numit Dați-mi recomandările pentru actualizări în același mod în care primesc actualizări importante. Selectați-l și faceți clic pe Următorul.
8. Pagina Confirmare afișează un rezumat al parametrilor selectați. După ce vă asigurați că toate sunt corecte, vă recomandăm să parcurgeți pagina până la final, unde va fi afișat codul comenzii, pe care expertul îl va efectua în pasul următor. Comanda va arata cam asa:
Copiați comanda și salvați-o pentru o utilizare ulterioară.
9. În pagina Confirmare, faceți clic pe Aplicare. După aceasta, expertul va adăuga rolul cluster CAU și va crea obiectul "computer virtual" în AD.
După ce setările au fost finalizate, activați link-ul de actualizare a clusterului, astfel încât grupul dvs. să sugereze efectuarea unor verificări CAU. Vă recomand să verificați disponibilitatea actualizării clusterului Analizați. Ca rezultat, starea nodurilor de cluster va fi verificată pentru a se asigura că procesul de actualizare este efectuat corect. Acum, instrumentele CAU sunt pregătite pentru a instala module de corecție în conformitate cu programul pe care l-ați întocmit.
Execuția manuală a actualizărilor în grup
În orice moment puteți verifica ce actualizări ar trebui să fie instalate și aplicați aceste actualizări manual. Pentru a face acest lucru, activați link-ul Actualizare cluster-aware pentru a afișa diferite acțiuni CAU. Apoi, faceți clic pe Previzualizați actualizările pentru această acțiune de grup. Se afișează caseta de dialog Actualizări de previzualizare. Acum, selectând plug-in-ul și făcând clic pe butonul Generați lista de previzualizare a actualizărilor, puteți genera o listă a tuturor actualizărilor care ar trebui să fie aplicate tuturor gazdelor de cluster, după cum se arată în Figura 3.
Pentru a instala manual aceste actualizări, închideți fereastra Actualizări de previzualizare și selectați aplicația Actualizări la această acțiune cluster. Ca rezultat, va fi lansat Expertul de actualizare a clusterului. Va trebui să faceți clic pe Următorul pe pagina Noțiuni de bază și pe butonul Actualizare din pagina Confirmare. După aceasta, CAU va actualiza clusterul utilizând setările existente.
Ordinea de actualizare a gazdei este determinată de numărul de resurse găzduite pe site. Mai întâi, CAU va actualiza nodul cu cel mai mic număr de resurse, apoi nodul care este al doilea în acest indicator și așa mai departe, până când toate nodurile clusterului vor fi actualizate.
Puteți monitoriza starea procesului de actualizare. După cum se arată în figura 4, administratorul are la dispoziție informații detaliate, inclusiv informații despre modulele de corecție încărcate, despre nodurile transferate în modul de întreținere, despre actualizările actual utilizate, despre nodurile reîncărcate etc.
Ecranul 4. Monitorizarea actualizărilor în procesul de aplicare a acestora
Când lucrați în modul de actualizare automată în timpul repornirii sistemului, coordonatorul actualizării actualizării coordonatorului se mută de la un nod la altul. Dacă efectuați o actualizare de la distanță, coordonatorul de actualizare va rămâne în sistemul de la distanță. Coordonatorul de actualizare este creierul sistemului CAU. Acesta scanează, încarcă și instalează module de corecție pe fiecare nod, gestionează scripturi și așa mai departe.
Când toate actualizările sunt instalate pe nod, CAU reîncarcă acest nod și verifică din nou pentru a vedea dacă au apărut module noi de corecție care trebuie instalate. Dacă este disponibil, CAU le va instala și verifică din nou pentru actualizări. Procesul va continua atâta timp cât sistemul găsește noi module de corecție. După finalizarea actualizării nodului curent, CAU va trece la următorul. După ce CAU finalizează procesul de actualizare, puteți selecta raportul Generați din trecut pentru opțiunea Actualizarea proceselor, iar sistemul vă va furniza un raport cu detalii despre procedura de actualizare care tocmai a fost finalizată.
Ce să vă amintesc
CAU este o caracteristică excelentă, dar este totuși foarte important să expuneți modulele de corectare înainte de testare cu procesele standard de verificare a actualizării și numai apoi să le implementați cu instrumentele CAU. Prin urmare, dacă intenționați să rulați CAU în modul autopilot, asigurați-vă că verificați programul de actualizare prin care se alocă interval de timp suficient pentru acest tip de testare.
În plus, asigurați-vă că nu se efectuează în acest moment alte procese de actualizare, cum ar fi instalarea automată a modulelor de corecție în afara cadrului CAU - altfel grupul poate fi inactiv. Amintiți-vă: CAU nu este o nouă tehnologie de actualizare. Este un instrument de orchestrație care armonizează activitatea tehnologiilor actualizate existente.
Și încă o atenție. CAU nu este o tehnologie care ar trebui să fie raportată la cap. Lăsați-l să creadă că petreceți tot weekend în camera serverului instalând module corective pe 14 clustere separate!
Distribuiți materialul împreună cu colegii și prietenii