Azure Update Manager でパッチ管理を試す!

Azure Update Managerとは、オンプレやAzure上のWindows Server/Linuxに提供されている自動更新プログラム適用サービスである[パッチオーケストレーション]と[メンテナンス構成]の操作や管理を一括して行えるようにしたダッシュボード機能を提供します。
主に、更新プログラムの適用状況、設定管理、スケジュール管理などが行えます。
※Automationを使うUpdate Managementのバージョンアップ版にあたります。

さっそく、構成を見てみましょう!

[パッチオーケストレーション]と[メンテナンス構成]の管理対象となった、Azure VM
(Windows Server/Linux)、Arc VM(Windows Server/Linux)からは、更新プログラムの適用状況が自動的にAzure Resource Graphに送信されます。
※Azure Resource Graph には更新履歴が30日間保存されます。
※管理対象サーバーは、24時間稼働が前提

【パッチオーケストレーション】

[重大][セキュリティ]に分類されたパッチのみを自動適用します。
適用可能なパッチを定期的(30日以内に複数回)に確認し、オフピーク時間に自動的にインストール&再起動します。
※[重大][セキュリティ]以外のパッチ適用や適用のタイミングをスケジュール化したい場合は「メンテナンス構成」「Update Management」をご利用ください。

[可用性優先の原則]
・ペアリージョン、可用性ゾーンでは、同時に更新される事はありません。
・可用性セット、サブスク内のVMでは、全台同時に更新される事はありません。

Windows 自動更新
・Windows Server のみサポート ※Arc VMは対象外
・デフォルト設定
・可用性優先の原則は未サポート

Azure マネージド
・Windows Server/Linux サポート ※Arc VMは対象外
・インストールタイミングはAzureが自動調整
・可用性優先の原則をサポート
※有効にすると、WindowsOSの自動更新が無効となる
※ホットパッチ:再起動無しでセキュリティ更新プログラムをインストールする手法。ホットパッチに含まれていない修正プログラムを適用する際には、再起動が必要となります。
サポート対象は「Windows Server 2022 Datacenter Azure Edition Core」のみ

手動で更新
・Windows Server のみサポート ※Arc VMは対象外
・可用性優先の原則は未サポート
カスタム パッチ ソリューションを使用する場合は、このモードを設定する必要があります。
※有効にすると、WindowsOSの自動更新が無効となる

イメージの既定値
・Linux のみサポート ※Arc VMは対象外
・デフォルト設定
・可用性優先の原則は未サポート

Customer Managed Schedules
メンテナンス構成を使用して、パッチを適用する

【サポートOS】
Windows Server 2008 R2 SP1 / 2012 R2 / 2016 / 2019 / 2022
Ubuntu
Red Hat Enterprise Linux (RHEL)
SUSE Linux Enterprise Server (SLES)
CentOS
※Windows Client 、カスタムイメージはサポート外

【メンテナンス構成】

Azure VMだけではなく、Arc VM、専用ホスト、VMSSの更新管理を行う場合に必要。また、Azure VMでは、更新プログラムのカテゴリーが細かく分類されており、より細かなパッチ管理が可能です。特定のKBを含めたり、除外する事も可能。更新プログラムを適用するオフピーク日時をスケジュール化する事もできます。
※これらの機能が不要な場合、[メンテナンス構成]を設定する必要はありません。

Windows
・重要な更新プログラム=セキュリティに関連しない重大な問題への修正プログラム
・セキュリティ更新プログラム=脆弱性への修正プログラム
・更新のロールアップ=パッケージ化された累積的な修正プログラム
※[セキュリティ更新プログラム][重要な更新プログラム][更新プログラム]のセット
・Feature Pack=新しい製品機能の追加
・Service Pack=パッケージ化された累積的な修正プログラム
※[更新のロールアップ]+Windowsコンポーネントの最新バージョン維持のセット
・定義ファイルの更新=セキュリティデータベースの更新(Defender Antivirus)
・ツール=ユーティリティの修正プログラム
・更新プログラム=重要性が低く、セキュリティに関連しない修正プログラム

Linux
・重要な更新プログラムとセキュリティ更新プログラム
・その他の更新プログラム

※更新プログラムの分類は、Windows Update、WSUS、SCCM などにより異なります。

ホスト(専用/分離インフラストラクチャ)
・Azure Dedicated Hostや分離VM が対象
・再起動を伴わないホストベースの更新プログラムの適用
・メンテナンス期間として最低2時間必要

OSイメージ(VMSS)
・Virtual Machine Scale Sets が対象
・メンテナンス期間として最低5時間必要

ゲスト(Azure VM、Arc対応VM)
・Windows Server/Linux 仮想マシンが対象
・メンテナンス期間として最低1時間10分必要
・パッチオーケストレーションで[Customer Managed Schedules]を選択する必要がある ※Arc VM除く


それでは、やってみよう!!

先ずは、[パッチオーケストレーション]を設定します。

Azure Portal 上部ー[検索:Azure Update Manager]ー[設定の変更]を選択

[+マシンの追加]から管理対象VMを選択します。 ※Arc VMは対象外

定期評価:24時間に1度、パッチの有無を自動確認します。※自動化する場合[有効]を選択
ホットパッチ:再起動無しでパッチ適用を行う。
パッチオーケストレーション:※自動化する場合[Azure調整済み]を選択

これにて、完了です。


つづいて、[メンテナンス構成]を設定します。

[スケジュールの更新]を選択

サブスクリプション:Azureサービスの提供範囲
リソースグループ:グループ名(複数のリソースを1つにグループ化する機能)
構成名:表示名
地域:データの置き場所
メンテナンススコープ:[ホスト/OSイメージ/ゲスト]から選択
再起動の設定:[常に再起動/必要に応じて再起動/再起動しない]から選択 ※ゲスト選択時のみ
スケジュール:※[メンテナンス期間]は[繰り返し]に指定した期間内で確保される
[メンテナンス期間]を[繰り返し]より長くすると、[繰り返し]期間単位でパッチが適用される
例:1日のうちに、メンテナンス期間を3時間55分 設ける

[+マシンの追加]から管理対象VMを選択します。

適用する更新プログラムを選択します。

これにて、完了です。


それでは、確認してみましょう!

サブスク内に存在する全VMを対象とした情報が確認できます。

各マシンのパッチオーケストレーション、メンテナンス構成、更新状態が確認できます。

VMを選択すると、保留中の更新プログラムが確認できます。

適用した更新プログラムが確認できます。

スケジュール設定