Ringbereitstellungen

Die Ringbereitstellung ist eine strategische Methode, um Updates oder Patches kontrolliert und gestaffelt bereitzustellen. Der Patchrollout erfolgt sequenziell und wird zunächst auf ausgewählten internen Testgeräten bereitgestellt. Je nach Erfolgsquote wird der Patch auf zusätzliche Ringe ausgerollt, bis er vollständig auf den Zielgeräten bereitgestellt ist. Dieser Ansatz minimiert Risiken, indem Probleme identifiziert und behoben werden, bevor der Patch auf eine Vielzahl von Produktionsendpunkten bereitgestellt wird. Sie können die Patches jederzeit anhalten oder zurücksetzen, wenn Sie ein Problem feststellen.

Diese Methode bietet eine höhere Qualität, ein verbessertes Benutzererlebnis und zuverlässigere Updates und verringert proaktiv die Wahrscheinlichkeit großflächiger Störungen.

Die Patchkonfiguration im Rahmen der Routinewartung kann für die Ringbereitstellung aktiviert werden und bietet Optionen für die manuelle und automatisierte Hochstufung sowie die Möglichkeit, den Fortschritt eines Rollouts kontinuierlich zu verfolgen.

In diesem Thema wird beschrieben, wie Sie Geräte Ringen zuweisen und den Fortschritt eines Rollouts verfolgen. Informationen zum Aktivieren von Ringbereitstellungen für eine Patchkonfiguration finden Sie unter Konfigurationsverhalten.

Video zu diesem Thema ansehen (5:29)

Auf die Seite Ringbereitstellungen können Sie über das Hauptmenü zugreifen, indem Sie Patchverwaltung > Ringbereitstellungen auswählen. Die Seite enthält eine Tabelle mit Ringbereitstellungen, in der die zugehörige Patchkonfiguration, ihre Version, die Anzahl der Ringe, das Datum der letzten Aktualisierung und der aktuelle Status angezeigt werden. Die Ringbereitstellungen in der Tabelle können nach der Anzahl der Ringe, dem letzten Aktualisierungsdatum und dem aktuellen Status gefiltert werden. Die folgende Liste enthält eine Beschreibung des aktuell angezeigten Status:

Nicht konfiguriert: Die Patchkonfiguration wird ohne zugehörige Ringbereitstellungskonfiguration erstellt.

Wird ausgeführt: Eine Ringbereitstellungskonfiguration befindet sich im Status "Geplant" oder "Wird ausgeführt". Beide Zustände bedeuten, dass die Ringbereitstellungskonfiguration aktiv ist.

Angehalten: Eine Patchhochstufung für den Rollout, der mit der Ringbereitstellungskonfiguration verknüpft ist, wurde angehalten.

Archiviert: Die mit der Ringbereitstellungskonfiguration verknüpfte Patchkonfiguration wird nach den erforderlichen Aktionen oder Schritten archiviert.

Gelöscht: Die mit der Ringbereitstellungskonfiguration verknüpfte Patchkonfiguration wurde gelöscht.

Oben in der Tabelle befinden sich Schaltflächen, mit denen Sie automatische Hochstufungen für ausgewählte Rollouts anhalten und fortsetzen können.

Anzeigen und Konfigurieren der Ringe

Um die Geräte in den einzelnen Ringen zu konfigurieren und die Bereitstellung von Patches in einem Rollout zu überwachen, navigieren Sie zu Patchverwaltung > Ringbereitstellung und klicken Sie in der Spalte Konfiguration auf den gewünschten Namen. Die Bereitstellungsseite für den Ring wird angezeigt. Um die Hauptseite anzuzeigen, klicken Sie auf Schließen. Die Bereitstellungsseite für den Ring besteht aus folgenden Abschnitten:

Rollout

Das Dropdownmenü "Rollout" oben auf der Seite ermöglicht die Auswahl der Ausführungsinstanz der Ringbereitstellung für Statussichtbarkeit und Administrationsaktionen. Rollouts werden durch die für sie definierten Ausführungsfenster identifiziert. Stellen Sie sicher, dass Sie das richtige Rollout auswählen, da mitunter mehrere Rollouts zu einem bestimmten Zeitpunkt aktiv sind. Für jedes Rollout werden auch Statusinformationen angezeigt:

  • Abgebrochen: Wenn ein Benutzer den Zeitplan einer aktiven Patchkonfiguration ändert, wird die Anpassung über den Agenten an das Patchmodul weitergegeben, wodurch möglicherweise die Konsistenz des derzeit laufenden Rollouts gestört wird.
  • Abgeschlossen: Wenn eine der folgenden Aktionen stattfindet:
    • Wenn der Rollout mehrere Ringe durchlaufen und einen Endpunkt erreicht hat.

    • Manuelles Anhalten und Fortsetzen: Wenn der Benutzer die Patchhochstufung manuell anhält und innerhalb weniger Tage fortsetzt, wird der Rollout dort fortgesetzt, wo er unterbrochen wurde, und innerhalb des Zielzeitrahmens zum Abschluss gebracht.

    • Unbefristete Pause mit erreichtem Zeitlimit: Wenn der Benutzer den Rollout auf unbestimmte Zeit pausiert und die angestrebte Abschlusszeit abläuft, setzt das System den Rollout automatisch in den Status "abgeschlossen", d. h. der Rollout ist trotz der Pause nicht mehr aktiv.

  • Angehalten: Wenn ein Benutzer die Patchhochstufung manuell anhält. Dieser Status gilt sowohl für die manuelle als auch für die automatisierte Hochstufung.
  • Wird ausgeführt: Der Rollout durchläuft aufeinanderfolgende Ringe, bis die Zieltage für die Fertigstellung erreicht sind.
  • Geplant: Wenn der Rollout unter Berücksichtigung etwaiger Verzögerungen zur angegebenen Ortszeit am konfigurierten Tag des Monats beginnen soll.

  • Ringbereitstellung deaktiviert: Wenn ein Benutzer die Patchkonfiguration erstellt, die Ringbereitstellungskonfiguration jedoch deaktiviert ist.

Wenn eine Ringbereitstellung auf unbestimmte Zeit angehalten wird:

Bereits abgeschlossene Rollouts wechseln vom angehaltenen in den abgeschlossenen Zustand.

Rollouts, deren Beginn geplant war, wechseln vom laufenden Zustand in den angehaltenen Zustand.

Neu geplante Rollouts werden wie gewohnt in die Ringbereitstellung integriert.

Gerätegruppen

Oben auf der Seite ermöglicht das Feld Gerätegruppen die Auswahl oder Auslassung bestimmter Gerätegruppen in der Seitenansicht. Nach der Anwendung werden die Diagramme und Tabellen den Auswahlkriterien entsprechend gefiltert.

Klicken Sie auf die Leiste "Gerätegruppen" und wählen Sie die Option Diese Auswahl für das gesamte Neurons Patch Management verwenden aus, um denselben Satz von Gerätegruppen innerhalb von Neurons Patch Management anzuwenden. Nach der Anwendung wird in der Leiste Gerätegruppen das Symbol und die Anzahl der ausgewählten Gruppen angezeigt. Sie können die gefilterten Gerätegruppen deaktivieren, indem Sie direkt auf das Symbol klicken und in ändern.

Die Leiste Gerätegruppen wird angezeigt , wenn Sie Gerätegruppen aus der Liste auswählen, um die Seitenansicht zu filtern. Klicken Sie bei den Gerätegruppen auf , um den Gerätegruppenfilter lokal zu löschen.

Informationen zum Verwalten von Gerätegruppen finden Sie unter Geräte.

Ringzuweisungen

Wenn Sie oben auf der Seite auf Ringzuweisungen klicken, wird eine Seite geöffnet, auf der Sie der Ringkonfiguration Gerätegruppen zuteilen können. Um die dynamische Zuordnung von Gerätegruppen zu Klingeltönen zu aktivieren oder zu deaktivieren, schalten Sie die Gerätegruppenzuordnung um.

Durch Hinzufügen einer Gerätegruppe zu einem Zielring werden alle Geräte innerhalb dieser Gruppe sofort diesem Ring hinzugefügt. Alle Geräte, die dieser Gerätegruppe zukünftig hinzugefügt werden, werden automatisch dem zugeordneten Ring hinzugefügt. Wenn Sie jedoch ein Gerät aus einer Gerätegruppe entfernen, wird es NICHT automatisch aus dem zugewiesenen Ring entfernt.

Um einem Ring eine oder mehrere Gerätegruppen hinzuzufügen, wählen Sie diese in der Tabelle aus und wählen Sie Gerätegruppen verschieben aus, um den entsprechenden Ring zu identifizieren. Wählen Sie Ringzuweisung löschen, um Gerätegruppen aus einer Ringzuweisung zu entfernen. Klicken Sie auf Anwenden , um die Gerätegruppenzuteilungen zu aktivieren.

Wenn die Gerätegruppenzuteilung aktiviert ist, werden alle Geräte, die keiner Gerätegruppe zugewiesen sind, automatisch dem letzten Ring in der Sequenz zugewiesen (z. B. dem Produktionsring). Wenn ein Gerät mehreren Gruppen angehört, wird das Gerät dem zugeordneten Ring zugewiesen, der in der Sequenz am weitesten entfernt liegt. Wenn beispielsweise ein Gerät einer dem Testring zugewiesenen Patchgruppe und einer dem Produktionsring zugewiesenen Patchgruppe angehört, wird das Gerät dem Produktionsring hinzugefügt.

Wenn die dynamische Ringzuweisung aktiviert ist, kommen folgende Regeln zur Anwendung:

Manuell zugewiesene Geräte ändern sich nicht basierend auf den definierten Gerätegruppenregeln. Sie können die Geräte jedoch manuell den Gerätegruppen zuweisen.

Wenn ein Gerät keiner Gerätegruppe angehört, weist das System das Gerät dem Produktionsring zu.

Wenn ein Gerät mehreren Gerätegruppen angehört, weist das System das Gerät dem am weitesten entfernten Ring unter diesen Gerätegruppen zu.

Wenn ein Gerät nur einer Gerätegruppe abgehört, weist das System das Gerät dem von dieser Gerätegruppe angegebenen Ring zu.

Wenn die dynamische Ringzuweisung deaktiviert ist und die Geräte zur Patchkonfiguration hinzugefügt werden, weist das System die Geräte standardmäßig dem Produktionsring zu.

Analyse der Ringbereitstellung

Die Kacheln oben auf der Seite "Ringkonfiguration" zeigen die Anzahl der derzeit zugewiesenen Geräte und den Prozentsatz der jedem Ring zugewiesenen Geräte an. Es wird empfohlen, 1 % der Geräte im Testring, 9 % im Early Adopter Ring und 90 % im Production Ring vorzuhalten. Die Kacheln vereinfachen das Herstellen ausgewogener Ring-Geräte-Zuordnungen.

Konfigurationsübersicht

Der Abschnitt "Konfigurationsübersicht" enthält Informationen zu den einzelnen Ringen im Rollout, darunter Erfolgsquote, Soak-Zeit, Verzögerungszeit, geplantes Start- und Enddatum/-uhrzeit und ob die Hochstufung von Inhalten für jeden Ring automatisch oder manuell erfolgt. Datum und Uhrzeit beziehen sich auf die Lokalzeit auf den Endpunkten.

Für den Rollout enthält die Zusammenfassung die Angaben Bereitgestellt von und Patchkonfiguration.

Zusammenfassung der Umfrage

Der Abschnitt "Zusammenfassung der Umfrage" bietet Informationen zu jedem der Ringe im Rollout, einschließlich der aktivierten Benutzerumfragen, Hochstufen nach Ergebnissen, Umfragename, Umfrageantworten, Mindestantworten und Schwellenwert Stimmungslage für jeden Ring.

Ringfilter

Mit den Filtern können Sie entweder nur die Geräte oder Patches in den Ringen "Test", "Early Adopter" oder "Produktion" anzeigen oder alle für die Einführung relevanten Ringe anzeigen. Die ausgewählten Filter werden in der Filterleiste angezeigt. Sie können die Filter nach Bedarf löschen.

Mit den Umschaltern für Patchstatus und Gerätestatus können Sie den aktuellen Status des Rollouts entweder aus der Perspektive der Patches, die ausgerollt werden, oder der Geräte, auf denen die Patches ausgerollt werden, darstellen.

Standardmäßig wird die Tabelle mit dem Filter Alle Ringe im Gerätestatus angezeigt.

Umschalten zwischen Patchstatus und Gerätestatus

Durch das Umschalten zwischen Patchstatus und Gerätestatus wird auch in der Tabelle unten auf der Seite zwischen der Anzeige von Informationen zu jedem Patch und der Anzeige von Informationen zu jedem Gerät umgeschaltet.

Gerätestatus

In der Tabelle wird die Liste der Geräte angezeigt, für die das Rollout gilt. Mithilfe der Suche können Sie die Geräte in der Liste ausfindig machen. Verwenden Sie , um die erforderlichen Spalten in der Tabelle anzuzeigen. Mit der Spaltenauswahl können Sie verschiedene Spalten für Geräte-, Ring- und Benutzerumfragedetails für die in der Tabelle aufgeführten Geräte einfügen.

Verwenden Sie die Option Zuweisungsmethode löschen, um manuelle Ringzuweisungen von Geräten zu entfernen. Wenn die dynamische Ringzuweisung deaktiviert ist, verbleiben die Geräte im aktuellen Ring. Wenn die dynamische Ringzuweisung aktiviert ist, weist das System die Geräte basierend auf den definierten Gerätegruppenregeln automatisch neu zu. Weitere Informationen finden Sie unter Ringzuweisungen.

Sie können die Geräte auswählen und mit Umfragebenutzer die Geräte in die Benutzerbefragung einbeziehen oder daraus entfernen.

Die Liste der Geräte wird durch die Bereiche bestimmt, die den Mitgliedern von den Administratoren zugewiesen wurden. Weitere Informationen zur Bereichszuweisung finden Sie unter Zugriffskontrolle: Bereiche.

Nachdem ein Gerät während eines Ring-Rollouts auf Patches gescannt wurde, zeigt das System weiterhin den vorhandenen Ringstatus in der Ansicht Gerätestatus an. Dies ist deshalb der Fall, weil das System stets den Status anzeigt, der dem aktuellen Rollout-Ring-Paar zugeordnet ist. Das Backend berücksichtigt zwar den aktualisierten Ringstatus, dieser wird jedoch nicht sofort in der Tabelle angezeigt. Um den neuen Ringstatus in der Geräteansicht widerzuspiegeln, führen Sie nach der Neuzuweisung einen Scan oder eine Bereitstellung auf dem Gerät durch. Die Spalte zeigt den Zuweisungsstatus an, solange das Zielring-Rollout noch nicht abgeschlossen ist.

In allen Fällen der Patch-Ring-Neuzuweisung wird das Gerät sofort als Bestandteil des neu zugewiesenen Rings betrachtet. Das Gerät nimmt an allen nachfolgenden Patch-Bereitstellungsvorgängen auf dem Endpunkt teil, die von der Ivanti Neurons Patch Engine durchgeführt werden. Die Neuzuweisung von Geräten im Test- oder Early Adopter-Ring wirkt sich unter den folgenden Bedingungen auf die automatische Patch-Hochstufung aus:

  • Der Gerätering wird vor der automatischen Hochstufung geändert: Das System schließt die Geräteergebnisse der ursprünglichen Ring-Hochstufung aus und schließt die Ergebnisse in die neue Ring-Hochstufung ein.
  • Der Gerätering wird nach der automatischen Hochstufung geändert: Das System überarbeitet keine vorherigen Hochstufungsergebnisse, selbst wenn der Ausschluss des Geräts das Ergebnis geändert hätte. Wenn der neue Ring die Hochstufung noch nicht abgeschlossen hat, zählt das System die Geräteergebnisse mitunter zweimal.

Die Gerätestatustabelle kann nach dem aktuellen Ring des Geräts, dem Zeitplan für den Bereitstellungsstart und dem aktuellen Gerätestatus gefiltert werden. Die folgende Liste enthält die Beschreibung des angezeigten Status:

  • Nicht gestartet: Geräte, die gemäß der Patchkonfiguration für den zugehörigen Ring und Rollout keine Patchaktivität angezeigt haben.
  • Bewertet: Geräte, die (vor der Bereitstellung) die Staffelung von Patches gemäß der Patchkonfiguration für den zugehörigen Ring und das Rollout initiiert haben.
  • Aktuell: Geräte, die mit der Bereitstellung von Patches basierend auf der Patchkonfiguration für den zugehörigen Ring und das Rollout begonnen haben.
  • Fehlgeschlagen: Geräte, bei denen die Patchbereitstellung gemäß der Patchkonfiguration für den zugehörigen Ring und Rollout fehlgeschlagen ist.
  • Erfolgreich: Geräte, die das Bereitstellen der Patches gemäß der Patchkonfiguration für den zugehörigen Ring und Rollout erfolgreich abgeschlossen haben.

Patchstatus

Anand der Tabelle Patchstatus können Sie den Fortschritt eines Rollouts ablesen. In der Tabelle sind unter anderem alle Patches im aktuellen Ring des Patches, die Plattform, die Erfolgsquote und der aktuelle Patchstatus aufgeführt.

Sie können bestimmte Patches in den nächsten Ring hochstufen, indem Sie das Kontrollkästchen daneben aktivieren und dann auf Hochstufen klicken.

Sie können Patches aus der Liste auswählen und die Patches zu einer Patchgruppe hinzufügen, eine neue Patchgruppe erstellen oder die Patchgruppen mithilfe von Patchgruppen verwalten. Weitere Informationen finden Sie unter Patchgruppen. Um weitere Informationen zu einem Patch zu erhalten, klicken Sie auf den jeweiligen Eintrag in der Spalte Patchname, um die entsprechende Patchseite in Patch Intelligence zu öffnen. Klicken Sie auf den Wert in der Spalte CVE-Anzahl, um die Patchseite in Patch Intelligence mit angezeigter Registerkarte CVE zu öffnen.
Weitere Informationen zu Patch Intelligence finden Sie unter Patch Intelligence.

Verwenden Sie , um die erforderlichen Spalten in der Tabelle anzuzeigen. Mit der Spaltenauswahl können Sie verschiedene Spalten für Zusammenfassung, Bedrohungsrisiko und Benutzerumfragedetails für die in der Tabelle aufgeführten Patches einfügen.

Verwenden Sie den Filter "Erfolgsquote", um alle Patches für den Rollout oder nur Patches, die die festgelegte Erfolgsquote überschreiten oder unterschreiten anzuzeigen.

Die folgende Liste enthält die für den Rollout angezeigten Status:

  • Muss noch bewertet werden
  • Aus vorherigem Ring hochgestuft
  • Nicht aus vorherigem Ring hochgestuft
  • Nicht in vorherigem Ring gesehen
  • Soaking
  • Hochstufung ausstehend
  • Manuell hochgestuft
  • Hochgestuft
  • Nicht hochgestuft
  • Heruntergestuft
  • In Bereitstellung

Der Status Nicht in vorherigem Ring gesehen zeigt Patches an, die nicht bereitgestellt werden, da sie in einem früheren Ring auf keine Geräte anwendbar waren.
Wenn z. B. eine bestimmte Anwendung auf keinem Gerät im Testring installiert ist, werden Patches für diese Anwendung auch nicht auf den Geräten im Early Adopter- oder Produktionsring bereitgestellt, selbst wenn die dort Anwendung installiert ist.

Umschalten von Geräten zwischen Ringen

Wenn Sie einen Satz Ringe erstellen, sind diese zunächst leer. Sie können die Geräte in Ihrem IT-Umfeld drei separaten Ringen zuordnen:

  • Testring
  • Early Adopter-Ring
  • Produktionsring

Sie können den Early Adopter-Ring und den Produktionsring im Rahmen der Patchkonfiguration zu einem Ring zusammenfassen.

Wenn Sie einen neuen Ring hinzufügen, ist der Ring leer. Wenn Sie die Geräte zum ersten Mal zuordnen, befinden sich die Geräte standardmäßig im Produktionsring. Wählen Sie Geräte manuell aus, die Sie anderen Ringen zuordnen möchten.

In der Regel können Sie 1 % Ihrer Geräte zum Testring, 9 % zum Early Adopter-Ring und die restlichen 90 % zum Produktionsring hinzufügen. Neu ermittelte Geräte werden dem Produktionsring hinzugefügt.

Ivanti empfiehlt, geschäftskritische Geräte und Geräte, die leitenden Mitarbeitern des Unternehmens zugewiesen sind, dem Produktionsring hinzuzufügen. Geräte im Testring sollten auf Testgeräte und Geräte beschränkt sein, die Personen zugeordnet sind, die wissen, dass sich ihre Geräte im Testring befinden und für die die Einbeziehung in diese Phase des Rollouts passt.

Wenn Sie in der Patchkonfiguration unter Inhalt hochstufen die Option Automatisch auswählen (siehe Ringbereitstellung), werden nur Patches automatisch in den nächsten Ring hochgestuft, die am Ende der in der Patchkonfiguration angegebenen Soak-Zeit den Erfolgsschwellenwert (%) erreichen. Stellen Sie daher sicher, dass jeder Ring genügend Geräte enthält, auf denen die zu patchenden Anwendungen ausgeführt werden, sodass Patches für jede dieser Anwendungen beim Rollout entsprechend getestet werden können. Wenn in einem Ring keine Geräte mit einer Anwendung installiert sind, für die Sie einen Patch installieren möchten, kann dieser Patch den Erfolgsschwellenwert (%)nicht erreichen und daher nicht automatisch in den nächsten Ring verschoben werden. Sie können jedoch jeden Patch manuell in den nächsten Ring verschieben.

So verschieben Sie Geräte zwischen Ringen:

  1. Klicken Sie auf der Seite Ringbereitstellungen auf den Namen der Ringbereitstellung, die Sie aktualisieren möchten.
    Die entsprechende Ringbereitstellungsseite wird angezeigt.
  2. Wählen Sie über den Ringdiagrammen die Option Gerätestatusaus.
    Die Seite wird aktualisiert und zeigt nun Geräte statt Patches an. Unter den Diagrammen listet die Tabelle alle bekannten Geräte in Ihrem System auf und zeigt Informationen an, darunter den Ring, dem das Gerät zugewiesen ist.
  3. Machen Sie mithilfe der Steuerelemente Filtern (Symbol für Filtern) und Sortieren (sort icon) oben in den Spalten der Tabelle und des Felds Suchen die Geräte ausfindig, die Sie in einen anderen Ring verschieben möchten.
  4. Aktivieren Sie das Kontrollkästchen neben den erforderlichen Geräten und klicken Sie dann oberhalb der Tabelle je nach Bedarf auf Test, Early Adopter oder Produktion.
    Die Geräte werden in den gewählten Ring verschoben.