環式部署

環式部署是一種以受控和分階段的方式推出更新或修補程式的原則性方法。 修補程式的推出按順序進行,首先部署在選定的內部測試裝置上。 根據成功百分比,修補程式會套用於其他環,直到完全部署到目標裝置上為止。 此方法可在部署到大量生產端點之前,透過識別和解決修補程式問題將風險降至最低。 如果發生問題,您可以在任何階段暫停或回滾修補程式。

這種方法可確保更高的品質、更好的使用者體驗和更新內容的可靠性,同時主動減少大面積中斷的可能性。

可以啟用常式維修下的修補程式組態以進行環式部署,並具有手動和自動提升的選項,以及持續追蹤推出進度的能力。

此主題介紹如何將裝置指派到環以及如何追蹤推出的進度。 有關為修補程式組態啟用環式部署的資訊,請參閱組態行為

觀看相關影片 (5:29)

透過選取修補程式管理 > 環式部署,可在主功能表中存取環式部署頁面。 此頁面包含一個環式部署表,其中顯示了相關的修補程式組態、其版本、環數、上次更新時間以及目前狀態。 可以根據環的數量、上次更新日期和目前狀態來篩選表中的環環部署部署。 以下清單提供了顯示的目前狀態的說明:

未設定: 建立的修補程式組態沒有相關的環式部署組態。

正在執行: 環式部署組態處於「已排程」或「正在執行」狀態。 這兩種狀態都表示環式部署組態處於活動狀態。

已暫停: 與環式部署組態相關的推出的修補程式提升已暫停。

已封存: 與環式部署組態相關的修補程式組態按照所需的動作或步驟進行封存。

已刪除: 與環式部署組態關聯的修補程式組態已被刪除。

表格頂部有一些按鈕,可讓您對選取的推出暫停自動提升恢復自動提升

檢視和設定環

若要設定每個環中的裝置並監控推出中修補程式的部署情況,請導覽至修補程式管理 > 環式部署,並按一下組態欄中的所需名稱。 出現環的部署頁面。 若要檢視主頁面,請按一下關閉。 環的部署頁面包含以下部分。

推出

頁面頂端的推出下拉式功能表可選取環式部署執行個體,以便顯示狀態和執行管理動作。 推出會依其定義的執行視窗加以識別。 確保選擇適當的推出,因為多個推出可能在任何特定時間處於作用中狀態。 對於每個推出,狀態資訊也會顯示,指出下列其中一項:

  • 已中止: 當使用者修改作用中修補程式組態的排程時,調整將透過代理程式傳播到修補程式引擎,這可能會破壞正在進行的 (正在執行的) 推出的一致性。
  • 已完成: 當發生以下動作之一時:
    • 當推出經過連續的環並到達端點時。

    • 手動暫停和恢復: 如果使用者手動暫停修補程式提升並在幾天內恢復,則推出廣將從中斷的地方繼續並在目標時間軸內完成。

    • 達到時間限制的無限期暫停: 如果使用者無限期暫停推出並且目標完成時間到期,則系統會自動將推出轉換為「已完成」狀態,反映出儘管暫停,推出仍不再處於作用中狀態。

  • 已暫停: 使用者手動暫停修補程式提升。 此狀態適用於手動和自動提升。
  • 正在執行: 當推出正在進行時,它會繼續經過連續的環,直到達到目標完成天數。
  • 已排程: 排程在設定的當月的日期的指定當地時間開始推出,並考慮任何延遲。

  • 環式部署已停用: 使用者建立修補程式組態但環式部署組態被停用。

如果環式部署無限期暫停:

已經完成從已暫停狀態到已完成狀態的轉換的推出。

按原排程開始的推出將轉為暫停狀態,而不是正在執行狀態。

新排程的推出照例納入環式部署之中。

裝置群組

在頁面上方,裝置群組欄位可啟用頁面檢視選取或忽略特定裝置群組的功能。 套用後,會篩選圖表和表格以符合選取條件。

按一下裝置群組列,在面板中選擇在所有 Neurons Patch Management 中使用此選擇選項,以在 Neurons 修補程式管理中套用相同的裝置群組集合。 套用後,裝置群組列會顯示 並列出所選群組的數量。 您可以直接按一下圖示,將篩選裝置群組切換為關閉,並將其變更為

從清單中選取裝置群組以篩選頁面檢視 時,裝置群組列會顯示 。 按一下裝置群組上的 可在本機清除裝置群組篩選器。

如需有關管理裝置群組的資訊,請參閱裝置

環指派

在頁面頂端,按一下響鈴指派會開啟一個頁面,您可以在其中將裝置群組配置到響鈴組態。 若要啟用或停用裝置群組的環狀動態指派,請切換裝置群組分配

透過將裝置群組新增至目標環,該群組中的所有裝置都會立即新增至該環。 新增至該裝置群組的任何未來裝置將自動新增至關聯的環。 但是,從裝置群組移除裝置並不會自動從指派的環移除它。

若要將一個或多個裝置群組新增至環,請在表格中選擇它們,並選擇移動裝置群組以識別適當的環。 選取清除環分配可從環配置中移除裝置群組。 按一下套用以啟用裝置群組配置。

裝置群組分配啟用時,任何未指派給裝置群組的裝置都會依序自動指派給最終環 (例如生產環)。 如果裝置是多個群組的成員,裝置會依序指派給最遠的關聯環。 例如,如果裝置屬於指派給測試環的修補程式群組,以及指派給生產環的修補程式群組,則裝置會新增至生產環。

如果啟用動態環指派,則適用下列規則:

手動指派的裝置不會根據定義的裝置群組規則而變更。 不過,您可以手動將裝置指派給裝置群組。

如果裝置不屬於任何裝置群組,系統會將裝置指派給生產環。

如果裝置符合多個裝置群組,系統會將裝置指派到這些裝置群組之間的最遠環

如果裝置僅屬於一個裝置群組,系統會將裝置指派給該裝置群組指定的環。

如果停用動態環指派,且裝置已新增至修補程式組態,則系統會依預設將裝置指派至生產環。

環式部署分析

環組態頁面頂端的磚會顯示目前指派的裝置數量,以及指派給每個環的裝置百分比。 IT 建議將 1% 的裝置保留在測試環中,9% 保留在早期採用者環中,90% 保留在生產環中。 這些動態磚可協助適當平衡環狀裝置分配。

組態摘要

組態摘要部分提供了有關推出的每個環的資訊,包括成功率浸泡時間、延遲時間、預計開始和結束日期/時間,以及每個環的提升內容自動還是手動。 日期和時間反映端點的本地時間。

對於推出,摘要包括已部署修補程式組態詳細資訊。

調查摘要

調查摘要部分提供了有關推出的每個環的資訊,包括每個環的已啟用使用者調查根據結果進行推廣、調查名稱、調查回應、最小響應、情緒閾值

環篩選器

篩選器允許僅顯示測試、早期採用者或生產環中的裝置或修補程式,或顯示適用於推出的所有環。 選定的篩選器顯示在篩選器欄中。 您可以根據需要清除篩選器。

修補程式狀態和裝置狀態切換使您能夠從正在推出的修補程式或修補程式正在推出到什麼裝置的角度查看推出的目前狀態。

預設情況下,表格在顯示時會在裝置狀態使用篩選器所有環

在修補程式狀態和裝置狀態之間切換

修補程式狀態裝置狀態之間切換也會在頁面底部的表格進行切換,顯示有關每個修補程式的資訊並顯示有關每個裝置的資訊。

裝置狀態

表格顯示了此次推出適用的裝置清單。 搜尋有助於從清單中找到裝置。 使用 顯示表格中必填的欄位。 欄選擇器允許包含表中列出的裝置的針對裝置、環和用戶調查詳細資訊的各個列。

使用清除指派方法從裝置移除手動環指派。 如果停用動態環狀指派,裝置會保留在目前的環中。 如果啟用動態環指派,系統會根據定義的裝置群組規則自動重新指派裝置。 如需更多資訊,請參閱環指派

您可以選擇裝置並使用調查使用者將裝置納入或從使用者調查中刪除。

裝置清單由管理員指派給成員的範圍決定。 有關範圍指派的更多資訊,請參閱存取控制: 範圍

在環推出期間掃描裝置修補程式後,系統會繼續在裝置狀態檢視中顯示其現有的環狀態。 這是因為系統會顯示與目前推出環配對相關的狀態。 後端會尊重更新的環狀態,但不會立即顯示在表格中。 若要反映裝置檢視中的新環狀態,請在重新指派後在裝置上執行掃描或部署。 只要目標環推出未完成,此欄會顯示指派狀態。

在所有的修補程式環重新指派情況下,裝置會立即視為新指派環的一部分。 裝置透過 Ivanti Neurons 修補程式引擎參與端點上的所有後續修補程式部署操作。 在測試或早期採用者環中重新指派裝置會在下列條件下影響自動修補程式推廣提升程序:

  • 裝置環在自動提升之前變更: 系統會將裝置結果排除在原始環提升中,並將結果包含在新的環提升程序中。
  • 裝置環在自動提升後變更: 即使排除裝置將變更結果,系統也不會修改任何先前的提升結果。 如果新環未完成其提升,系統可能會計算裝置結果兩次。

可根據裝置的目前環、部署開始時間軸和目前裝置狀態篩選裝置狀態表。 以下清單提供了所顯示狀態的說明:

  • 未開始: 根據相關環和推出的修補程式組態,尚未顯示任何修補活動的裝置。
  • 已評估: 根據相關環和推出的修補程式組態,已啟動修補程式暫存 (部署之前) 的裝置。
  • 最新: 已根據相關環和推出的修補程式組態開始部署修補程式的裝置。
  • 失敗: 根據相關環和推出的修補程式組態,部署修補程式失敗的裝置。
  • 成功: 根據相關環和推出的修補程式組態成功完成修補程式部署的裝置。

修補程式狀態

修補程式狀態表讓您能夠檢視推出的進度。 表格列出了目前修補程式環中的所有修補程式、平台、成功率、以及目前修補程式狀態等。

您可以選擇將特定修補程式提升到下一個環,方法是選取旁邊的核取方塊,然後按一下提升。 有關修補程式的更多資訊,請按一下其在修補程式名稱欄中的項目,以在 Patch Intelligence 中開啟相應的修補程式頁面。 按一下 CVE 計數欄中的值可開啟 Patch Intelligence 中的修補程式頁面,並顯示 CVE 索引標籤。
如需有關 Patch Intelligence 的詳細資訊,請參閱 Patch Intelligence

使用 顯示表格中必填的欄位。 欄選擇器允許包含表中列出的修補程式的摘要、威脅風險和使用者調查詳細資訊的各個欄。

使用成功率篩選器顯示所有修補程式、超環成功率修補程式 (超過設定成功率的修補程式) 或低環成功率修補程式 (低於設定成功率的修補程式)。

以下清單提供了顯示的推出狀態:

  • 待評估
  • 已從上一圈中提升
  • 未從上一環中提升
  • 未在上一圈中出現
  • 浸泡中
  • 等待提升中
  • 已手動提升
  • 已提升
  • 未提升
  • 已降級
  • 部署中

在環之間的切換裝置

當你建立一組環時,環將是空的。 您可以將 IT 資產中的裝置指派到三個獨立的環中:

  • 測試環
  • 早期採用者環
  • 生產

您可以選擇將早期採用者環生產合併為單一環,作為修補程式組態的一部分。

當您新增新的環時,該環將為空。 當您第一次指派裝置時,預設裝置處於生產環中。 手動選取裝置以切換到其他環。

通常,您可以將 1% 的裝置新增到測試環,將 9% 新增到早期採用者環,將剩餘 90% 新增到生產環。 如果發現新裝置,則將其新增至生產環。

Ivanti 建議將業務關鍵型裝置和指派給組織高級成員的裝置新增到生產環中。 測試環中的裝置應僅限於測試裝置和指派給特定人員的裝置,此類人員知道自己在試測環 中擁有裝置並且願意參與此推出階段。

如果在修補程式組態的提升內容下選取自動 (請參閱環式部署),則只有在修補程式組態中指定的浸泡時間結束時達到成功閾值 (%) 的修補程式才會自動提升到下一個環。 因此,請確保每個環包含足夠的裝置來執行您想要修補的每個應用程式,以便可以透過推出來適當地測試每個應用程式的修補程式。 如果某個環中沒有安裝了您想要修補的應用程式的裝置,那麼該修補程式就無法滿足成功閾值 (%),因此無法自動提升到下一個環。 但是,您可以手動將任何修補程式提升到下一個環。

要在環之間移動裝置:

  1. 環式部署頁面上,按一下要更新的環部署的名稱。
    出現適當的環式部署頁面。
  2. 在環圖表上方,選取裝置狀態
    頁面更新以顯示裝置而不是修補程式。 圖表下方的表格列出了系統中所有已知的裝置,顯示的資訊包括裝置指派到什麼
  3. 使用表格欄頂部的篩選器 (節選器圖示) 和排序 (排序圖示) 控制項以及搜尋欄位,找到要移動到不同環的裝置。
  4. 選取所需裝置旁的核取方塊,然後根據需要在表格上方按一下測試早期採用者生產
    裝置即被移動到選定的環。