- Дата публикации
Azure Arc научили сам обновлять свой агент: как включить и зачем это нужно
Что появилось / что изменилось
Microsoft добавила два способа массово включать автоматическое обновление агента Azure Connected Machine (Azure Arc agent):
- Встроенная Azure Policy для автоматического включения Automatic Agent Upgrade на всех серверах в выбранном scope.
- Новый флаг в CLI при онбординге:
--enable-automatic-upgradeв командеazcmagent connect.
Automatic Agent Upgrade уже был как функция (сейчас он в статусе Public Preview), но его включение приходилось настраивать по каждому серверу. Для больших парков это быстро превращалось в ручной ад.
Теперь администратор может:
- один раз назначить политику на подписку или ресурсную группу;
- или сразу подключать новые серверы с включённым автообновлением через CLI.
Результат: все Arc-серверы автоматически получают последние версии агента с новыми функциями, патчами безопасности и багфиксам — без ручных апдейтов.
Как это работает
Через Azure Policy
- В Azure Portal нужно зайти в раздел Policy.
- В блоке Compliance нажать Assign Policy.
- Указать scope: подписку и, при желании, ресурсную группу.
- В поле Policy definition выбрать политику: Configure Azure Arc-enabled Servers to enable automatic upgrades.
- На вкладке Remediation включить опцию Create a remediation task — это нужно, чтобы система сама приводила несовместимые сервера к нужной конфигурации.
- На вкладке Review + create нажать Create.
После этого Azure Policy:
- проверяет, включён ли Automatic Agent Upgrade на серверах в указанном scope;
- помечает несоответствующие ресурсы как некомплаентные;
- запускает ремедиацию и включает автообновление там, где его не было.
Через CLI при онбординге
Для новых серверов Microsoft добавила флаг:
--enable-automatic-upgrade
Его нужно добавить в стандартную команду подключения Arc-агента:
azcmagent connect \
--resource-group {rg} \
--location {location} \
--subscription-id {subid} \
--service-principal-id {service principal id} \
--service-principal-secret {service principal secret} \
--tenant-id {tenant id} \
--enable-automatic-upgrade
Тот же флаг можно использовать в существующих сценариях массового онбординга, которые описаны в документации Azure Arc для подключения гибридных машин.
После включения Microsoft сама управляет обновлениями агента: вы всегда работаете на последней доступной версии, без дополнительных действий со своей стороны.
Что это значит для вас
Automatic Agent Upgrade решает сразу несколько типичных проблем:
- Операционный дрейф: часть серверов остаётся на старых версиях агента, потому что кто-то забыл их обновить. Политика и флаг при онбординге снимают этот риск.
- Безопасность: патчи безопасности для агента прилетают сразу после релиза. Не нужно планировать отдельные волны обновлений.
- Фичи и багфиксы: новые возможности Azure Arc и исправления в агенте становятся доступны автоматически.
Кому это полезно:
- крупным инфраструктурам с сотнями и тысячами Arc-серверов, где ручное управление версиями не работает;
- DevOps-командам, которые строят IaC и хотят, чтобы состояние агентов всегда совпадало с политиками;
- тем, кто жёстко относится к комплаенсу и аудиту: политика даёт прозрачный статус по всем серверам.
Где стоит подумать дважды:
- если у вас жёсткие регламенты на изменение ПО и каждое обновление проходит отдельное тестирование, возможно, вы захотите оставить ручной контроль или сначала обкатать автообновление на ограниченном scope;
- если часть серверов работает в сильно изолированных средах и редко выходит в интернет, нужно проверить, как туда будут доходить обновления агента.
Azure Arc и Azure Portal официально недоступны без обходных путей из России, так что для работы с этим функционалом могут понадобиться VPN и аккаунты в зарубежных регионах.
Место на рынке
Automatic Agent Upgrade — это про управление агентом Azure Arc, а не про конкуренцию с GPT-5, Claude 4 или другими AI-продуктами. Microsoft решает инфраструктурную задачу: как держать клиентский агент на актуальной версии без ручной рутины и без самописных скриптов.
Прямых числовых сравнений с аналогами у других вендоров в материале нет. В экосистеме Azure это логичный шаг: вместо того чтобы городить Ansible/DSC/скрипты для обновления Arc-агента, можно использовать встроенные Azure Policy и стандартный CLI.
Главный плюс по сравнению с самодельными решениями — единая точка управления через Azure Policy и отсутствие необходимости поддерживать свои пайплайны обновлений агента. Минус — привязка к Azure и зависимость от доступности его сервисов в вашем регионе.