Azure-VMs mit Azure Update Management aktualisieren

Das ist, nebenbei bemerkt, auch die Stelle, an der Sie Microsoft über anstehende Host-Updates informiert, sofern diese einen Neustart der betreffenden VM nach sich ziehen. Sie haben dann bis zu 35 Tage Zeit, dass Wartungs­fenster selbst zu bestimmen und die VM neu zu starten, wodurch diese auf einen bereits aktualisierten Host platziert wird.

Die Update-Verwaltung erfordert das Verknüpfen mit einem Azure-Automation-Account, der wiederum mit einem Log Analytics Workspace verbunden sein muss. Sind beide noch nicht vorhanden, können Sie diese hier anliegen.

Achtung: Das Verknüpfen von Automation Account und Log Analytics Workspace funktioniert nur in fest vorgegeben Regionspaarungen. In Deutsch­land klappt das gar nicht. Wir verwenden daher für beide West Europe. Die VM selbst darf aber durchaus in Deutsch­land laufen.

Update-Verwaltung mit Azure Automation

Wie die Azure Update-Verwaltung im Detail funktioniert, können Sie nebenstehender Abbildung von Microsoft entnehmen. Sie illustriert, wie damit beispielsweise Windows-Server ihre Updates in Azure beziehen.

Hier fällt zunächst auf, dass der zu aktualisierende Server - das kann auch eine Azure-Arc-aktivierte on-prem-VM sein - als Datenquelle mit einem Log-Analytics Workspace verbunden ist, wozu er dessen Agent ausführt.

Flexible Nutzung von Features

Mit Hilfe der Log-Analytics-Integration ist es jedem Server möglich, in Log Analytics abzuspeichern, über welche Updates er bereits verfügt. Diese Informationen ermittelt er über seinen lokalen Windows-Update-Client. Da er ganz normal mit Microsoft Update oder einem WSUS-Server kommuniziert, braucht er die Azure Update-Verwaltung dafür eigentlich nicht.

Diese dient nämlich in erster Linie dazu, den optimalen Patch-Zeitpunkt zu bestimmen und den Server zum gewählten Zeitpunkt anzuweisen, das Update einzuspielen. Somit dient das Azure Update-Management der effizienteren Orchestrierung des Patchings, während die Bereitstellung der Patches über Microsoft Update oder WSUS erfolgt.

Und auch beim Patch-Zeitplan kann Azure Automation theoretisch außen vor bleiben, wenn Sie Patches über WSUS beziehen wollen. Dort bestimmt der Admin durch die Genehmigung der Updates, wann diese installiert werden. In diesem Fall dient die Update-Verwaltung nur dem Reporting über Log Analytics.

Ist der Windows Update Agent (WUA) für das Senden von Meldungen an WSUS konfiguriert, dann unterscheiden sich die Ergebnisse möglicherweise von denen in Microsofts Update-Ergebnissen, je nach dem, wann WSUS zuletzt mit Microsoft Update synchronisiert wurde.

Die Integration mit einem Azure Automation Account bringt aber weitere Vorteile mit sich. So lassen sich beispielswiese Pre-steps und Post-steps in Form von Azure-Automation-Runbooks integrieren, deren Verarbeitung dann über den Automation-Zeitplan erzwungen wird.

Azure Runbooks können PowerShell- oder Python-Scripts sowie PowerShell-Workflows sein. Sie werden auf der Azure-Plattform ausgeführt und nicht innerhalb der VM. Solche Runbooks können beispielsweise Azure-VMs automatisch starten oder stoppen. Auf diese Weise lassen sich auch VMs aktualisieren, die zum ermittelten Patch-Zeitpunkt ausgeschaltet sind.

Sollen Automation Runbooks auch Aktionen innerhalb der VM auslösen, dann muss in der VM der Hybrid Runbook Worker laufen.

Update-Verwaltung aktivieren

Zu Azure Automation bzw. einem Azure Automation-Account gehören eine Prozess­auto­matisierung, eine Konfigurations­verwaltung (mit Änderungs­verfolgung) und die Update-Verwaltung mit zahlreichen Integrationen.

Dazu benötigen die beiden Letztgenannten einen verknüpften Log Analytics Workspace. Alle drei verwenden einige Funktionen von Azure Automation gemeinsam, zum Beispiel Zeitpläne, Module (von Azure oder Drittanbietern), Anmelde­infor­mationen oder Zertifikate.

Wenn Sie die Aktualisierungs­verwaltung aus dem Menü Updates der betreffenden VM öffnen, dann zeigt Ihnen die Übersicht die Konformität, fehlende Updates, die Bereitschaft des Update-Agenten und ggf. fehlerhafte Update-Bereitstellungen.

Mit einem Klick auf Updatebereitstellung planen können Sie im Dialog Neue Updatebereitstellung unter anderem konfigurieren, welche Updates Sie einplanen möchten und den gewünschten Zeitplan samt Wartungsfenster und Neustartoptionen konfigurieren.

Die Optionen für Neue Updatebereitstellung sind weitgehend selbsterklärend. Allerdings erkennen Sie zum Beispiel im Auswahlmenü Updateklassifizierungen, dass Sie hier weitaus mehr Möglichkeiten haben als bei den Gast-Patches.

Im Menü Vor und nach dem Vorgang auszuführende Skripts auswählen können Sie auf die oben erwähnte Integration mit Azure Automation Runbooks zurückgreifen. Die konfigurierten Bereit­stellungs­pläne sehen Sie dann anschließend im gleichnamigen Tab.

Sie können alternativ auch Azure Automation im Azure Portal suchen und dort auf Update-Verwaltung klicken.

Hier erkennen Sie beispielsweise auf einen Blick, auf welchen überwachten Computern (srvwin1) der Update-Agent bereit ist, welche Plattform die VM hostet (Azure), das Gast-Betriebssystem (Windows) oder welche Updates fehlen. Die Reiter Fehlende Updates und Bereit­stellungs­pläne führen dann zu den gleichen Ansichten, die wir schon im Kontext der VM kennengelernt haben.

Möchten Sie eine weitere VM in die Update-Verwaltung aufnehmen, dann können Sie das auf die gezeigte Weise von der VM selbst aus tun, oder Sie fügen direkt hier in der Update-Verwaltung des gewählten Automation-Accounts eine weitere VM hinzu.

Die zugehörigen Jobs für die Patch-Vorgänge im Azure Automations-Konto tauchen dann im Abschnitt Prozess­automatisierung unter Aufträge auf.

Unterstützte Betriebs­systeme

Derzeit lassen sich VMs mit folgenden Betriebs­systemen über das Azure Update-Management aktualisieren:

• Windows Server 2019 (Datacenter/Standard mit Server Core)
• Windows Server 2016 (Datacenter/Standard ohne Server Core)
• Windows Server 2012 R2 (Datacenter/Standard)
• Windows Server 2012
• Windows Server 2008 R2 (RTM und SP1 Standard): Die Updateverwaltung unterstützt Bewertungen und Patching sowie den Hybrid Runbook Worker für dieses Betriebssystem.
• CentOS 6, 7 und 8: Für klassifizierungsbasiertes Patchen muss yum Sicherheitsdaten zurückgeben, über die CentOS in den RTM-Releases nicht verfügt.
• Oracle Linux 6.x, 7.x, 8x
• Red Hat Enterprise 6, 7 und 8
• SUSE Linux Enterprise Server 12, 15 und 15.1
• Ubuntu 14.04 LTS, 16.04 LTS, 18.04 LTS und 20.04 LTS

Linux-Agents erfordern Zugriff auf ein Update-Repository.

Kosten

Bezahlen müssen Sie für Azure Automation selbst nichts, wohl aber für den verknüpften Arbeitsbereich von Log Analytics für die dort gesammelten Informationen bzw. Protokolle. Log Analytics ist eine First Class Azure Ressource, die gleichzeitig einen Analyse-Dienst samt mächtiger Abfrage­sprache KQL (Kusto Query Language) und die Speicher-Entität selbst darstellt.

Die ersten 30 Tage sowie 5GB pro Abrechnungs­konto und Monat an Protokolldaten sind kostenlos. Danach zahlen Sie bei nutzungs­basierter Zahlung 2,834 € pro GB und Monat. Es gibt aber auch verschiedene Mindest­abnahme­pläne.

Fazit

Die Update-Verwaltung von Azure geht funktional über die ebenfalls von Azure bereitgestellten VM-Gast-Patches hinaus. Während bei Letzterer die Patches entweder von der Azure-Plattform oder vom Update-Service des Gastsystems gesteuert werden, fungiert bei der Update-Verwaltung die Prozess­automatisierung von Azure Automation Dreh- und Angelpunkt.

Sie benötigen zwar ein Azure-Automations-Konto und einen Log-Analytics-Workspace, haben dann aber mehr Kontrolle darüber, wann Sie welche Aktualisierungen einspielen möchten. Dazu muss Log Analytics pro überwachter VM Informationen über die bereits vorhandenen Patches sammeln.

Mit Hilfe von Azure Automation Runbooks können Sie ggf. weitere Workflows in das VM-Patching einbinden.