Azure-VMs mit Azure Update Management aktualisieren


    Tags: , ,

    Azure Update ManagementNeben den Patch- und Wartungs­optionen, die man beim Anlegen von Azure-VMs einrichten kann, lassen sich virtuelle Maschinen auch mit der Update-Verwaltung aktualisieren. Sie verknüpft das Be­werten, Orche­strieren und Installieren von Updates mit einem Auto­mations­konto und erschließt damit weitere Patch-Funktionen.

    Um die Update-Verwaltung für eine Azure-VM zu konfigurieren, klicken Sie im Abschnitt Vorgänge auf Updates und dort auf Zu Updateverwaltung wechseln. Sie können nur dann zur Update-Verwaltung wechseln, wenn die VM eingeschaltet ist.

    Virtuelle Maschine auf das Patch-Management mittels Update-Verwaltung umstellen

    Das ist, nebenbei bemerkt, auch die Stelle, an der Sie Microsoft über anstehende Host-Updates informiert, sofern diese einen Neustart der betreffenden VM nach sich ziehen. Sie haben dann bis zu 35 Tage Zeit, dass Wartungs­fenster selbst zu bestimmen und die VM neu zu starten, wodurch diese auf einen bereits aktualisierten Host platziert wird.

    Die Update-Verwaltung erfordert das Verknüpfen mit einem Azure-Automation-Account, der wiederum mit einem Log Analytics Workspace verbunden sein muss. Sind beide noch nicht vorhanden, können Sie diese hier anliegen.

    Achtung: Das Verknüpfen von Automation Account und Log Analytics Workspace funktioniert nur in fest vorgegeben Regionspaarungen. In Deutsch­land klappt das gar nicht. Wir verwenden daher für beide West Europe. Die VM selbst darf aber durchaus in Deutsch­land laufen.

    Die Update-Verwaltung gehört zu den Funktionen von Azure Automation.

    Update-Verwaltung mit Azure Automation

    Wie die Azure Update-Verwaltung im Detail funktioniert, können Sie nebenstehender Abbildung von Microsoft entnehmen. Sie illustriert, wie damit beispielsweise Windows-Server ihre Updates in Azure beziehen.

    Diagramm für das Das Zusammenspiel von Azure Automation, Windows Update und WSUS

    Hier fällt zunächst auf, dass der zu aktualisierende Server - das kann auch eine Azure-Arc-aktivierte on-prem-VM sein - als Datenquelle mit einem Log-Analytics Workspace verbunden ist, wozu er dessen Agent ausführt.

    Flexible Nutzung von Features

    Mit Hilfe der Log-Analytics-Integration ist es jedem Server möglich, in Log Analytics abzuspeichern, über welche Updates er bereits verfügt. Diese Informationen ermittelt er über seinen lokalen Windows-Update-Client. Da er ganz normal mit Microsoft Update oder einem WSUS-Server kommuniziert, braucht er die Azure Update-Verwaltung dafür eigentlich nicht.

    Diese dient nämlich in erster Linie dazu, den optimalen Patch-Zeitpunkt zu bestimmen und den Server zum gewählten Zeitpunkt anzuweisen, das Update einzuspielen. Somit dient das Azure Update-Management der effizienteren Orchestrierung des Patchings, während die Bereitstellung der Patches über Microsoft Update oder WSUS erfolgt.

    Und auch beim Patch-Zeitplan kann Azure Automation theoretisch außen vor bleiben, wenn Sie Patches über WSUS beziehen wollen. Dort bestimmt der Admin durch die Genehmigung der Updates, wann diese installiert werden. In diesem Fall dient die Update-Verwaltung nur dem Reporting über Log Analytics.

    Ist der Windows Update Agent (WUA) für das Senden von Meldungen an WSUS konfiguriert, dann unterscheiden sich die Ergebnisse möglicherweise von denen in Microsofts Update-Ergebnissen, je nach dem, wann WSUS zuletzt mit Microsoft Update synchronisiert wurde.

    Die Integration mit einem Azure Automation Account bringt aber weitere Vorteile mit sich. So lassen sich beispielswiese Pre-steps und Post-steps in Form von Azure-Automation-Runbooks integrieren, deren Verarbeitung dann über den Automation-Zeitplan erzwungen wird.

    Azure Runbooks können PowerShell- oder Python-Scripts sowie PowerShell-Workflows sein. Sie werden auf der Azure-Plattform ausgeführt und nicht innerhalb der VM. Solche Runbooks können beispielsweise Azure-VMs automatisch starten oder stoppen. Auf diese Weise lassen sich auch VMs aktualisieren, die zum ermittelten Patch-Zeitpunkt ausgeschaltet sind.

    Sollen Automation Runbooks auch Aktionen innerhalb der VM auslösen, dann muss in der VM der Hybrid Runbook Worker laufen.

    Update-Verwaltung aktivieren

    Zu Azure Automation bzw. einem Azure Automation-Account gehören eine Prozess­auto­matisierung, eine Konfigurations­verwaltung (mit Änderungs­verfolgung) und die Update-Verwaltung mit zahlreichen Integrationen.

    Dazu benötigen die beiden Letztgenannten einen verknüpften Log Analytics Workspace. Alle drei verwenden einige Funktionen von Azure Automation gemeinsam, zum Beispiel Zeitpläne, Module (von Azure oder Drittanbietern), Anmelde­infor­mationen oder Zertifikate.

    Update-Verwaltung erstmalig aktivieren

    Wenn Sie die Aktualisierungs­verwaltung aus dem Menü Updates der betreffenden VM öffnen, dann zeigt Ihnen die Übersicht die Konformität, fehlende Updates, die Bereitschaft des Update-Agenten und ggf. fehlerhafte Update-Bereitstellungen.

    Die fehlenden Updates werden nach Aktivieren der Update-Verwaltung angezeigt.

    Mit einem Klick auf Updatebereitstellung planen können Sie im Dialog Neue Updatebereitstellung unter anderem konfigurieren, welche Updates Sie einplanen möchten und den gewünschten Zeitplan samt Wartungsfenster und Neustartoptionen konfigurieren.

    Individuelles Einplanen einer Update-Bereitstellung

    Die Optionen für Neue Updatebereitstellung sind weitgehend selbsterklärend. Allerdings erkennen Sie zum Beispiel im Auswahlmenü Updateklassifizierungen, dass Sie hier weitaus mehr Möglichkeiten haben als bei den Gast-Patches.

    Die Update-Klassifizierungen in der Update-Verwaltung

    Im Menü Vor und nach dem Vorgang auszuführende Skripts auswählen können Sie auf die oben erwähnte Integration mit Azure Automation Runbooks zurückgreifen. Die konfigurierten Bereit­stellungs­pläne sehen Sie dann anschließend im gleichnamigen Tab.

    Bereits konfigurierte Bereitstellungspläne

    Sie können alternativ auch Azure Automation im Azure Portal suchen und dort auf Update-Verwaltung klicken.

     Alle von der Update-Verwaltung überwachten VMs

    Hier erkennen Sie beispielsweise auf einen Blick, auf welchen überwachten Computern (srvwin1) der Update-Agent bereit ist, welche Plattform die VM hostet (Azure), das Gast-Betriebssystem (Windows) oder welche Updates fehlen. Die Reiter Fehlende Updates und Bereit­stellungs­pläne führen dann zu den gleichen Ansichten, die wir schon im Kontext der VM kennengelernt haben.

    Möchten Sie eine weitere VM in die Update-Verwaltung aufnehmen, dann können Sie das auf die gezeigte Weise von der VM selbst aus tun, oder Sie fügen direkt hier in der Update-Verwaltung des gewählten Automation-Accounts eine weitere VM hinzu.

    Weitere VMs zur Update-Verwaltung hinzufügen

    Die zugehörigen Jobs für die Patch-Vorgänge im Azure Automations-Konto tauchen dann im Abschnitt Prozess­automatisierung unter Aufträge auf.

    Die in der Prozessautomatisierung ausgeführten zugehörigen Aufträge

    Unterstützte Betriebs­systeme

    Derzeit lassen sich VMs mit folgenden Betriebs­systemen über das Azure Update-Management aktualisieren:

    • Windows Server 2019 (Datacenter/Standard mit Server Core)
    • Windows Server 2016 (Datacenter/Standard ohne Server Core)
    • Windows Server 2012 R2 (Datacenter/Standard)
    • Windows Server 2012
    • Windows Server 2008 R2 (RTM und SP1 Standard): Die Updateverwaltung unterstützt Bewertungen und Patching sowie den Hybrid Runbook Worker für dieses Betriebssystem.
    • CentOS 6, 7 und 8: Für klassifizierungsbasiertes Patchen muss yum Sicherheitsdaten zurückgeben, über die CentOS in den RTM-Releases nicht verfügt.
    • Oracle Linux 6.x, 7.x, 8x
    • Red Hat Enterprise 6, 7 und 8
    • SUSE Linux Enterprise Server 12, 15 und 15.1
    • Ubuntu 14.04 LTS, 16.04 LTS, 18.04 LTS und 20.04 LTS

    Linux-Agents erfordern Zugriff auf ein Update-Repository.

    Kosten

    Bezahlen müssen Sie für Azure Automation selbst nichts, wohl aber für den verknüpften Arbeitsbereich von Log Analytics für die dort gesammelten Informationen bzw. Protokolle. Log Analytics ist eine First Class Azure Ressource, die gleichzeitig einen Analyse-Dienst samt mächtiger Abfrage­sprache KQL (Kusto Query Language) und die Speicher-Entität selbst darstellt.

    Die ersten 30 Tage sowie 5GB pro Abrechnungs­konto und Monat an Protokolldaten sind kostenlos. Danach zahlen Sie bei nutzungs­basierter Zahlung 2,834 € pro GB und Monat. Es gibt aber auch verschiedene Mindest­abnahme­pläne.

    Fazit

    Die Update-Verwaltung von Azure geht funktional über die ebenfalls von Azure bereitgestellten VM-Gast-Patches hinaus. Während bei Letzterer die Patches entweder von der Azure-Plattform oder vom Update-Service des Gastsystems gesteuert werden, fungiert bei der Update-Verwaltung die Prozess­automatisierung von Azure Automation Dreh- und Angelpunkt.

    Sie benötigen zwar ein Azure-Automations-Konto und einen Log-Analytics-Workspace, haben dann aber mehr Kontrolle darüber, wann Sie welche Aktualisierungen einspielen möchten. Dazu muss Log Analytics pro überwachter VM Informationen über die bereits vorhandenen Patches sammeln.

    Mit Hilfe von Azure Automation Runbooks können Sie ggf. weitere Workflows in das VM-Patching einbinden.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Thomas Drilling

    Thomas Drilling arbeitet ist seit fast 30 Jahren selb­ständig in der IT-Welt sowohl als Consultant, als auch als Redakteur, Buchautor und Journalist für viele ehe­malige und aktuelle IT-Magazine sowie Blogs.

    Aktuell bestätigt sich Thomas schwerpunktmäßig als IT-Trainer für Cloud-Computing in den Bereichen Microsoft Azure, Amazon Web Services und VMware.

    Thomas ist zertifizierter Microsoft-Trainer für nahe das gesamte Portfolio an Microsoft Azure Trainings. Thomas ist außerdem zerti­fi­zierter Microsoft Azure Solutions Architect Expert sowie VMware Certified Professional und wurde von VMware in den Jahren 2016 bis 2022 mit dem Blogger-Status vExpert ausge­zeichnet.

    Thomas führt aktuell jeden Monat zwei selbstkonziperte 4-tägigen Grund­lagenkurse in Cloud Computing mit Azure durch, die sich inhaltlich bewusst von den Microsft-Kursen abheben und vorzuweise als Bootcamp in eine besonderen Lokation stattfinden. Optional kann aber aber auch remote via Microsoft Teams teilgenommen werden.

    Das aktuelle Trainingsprogramm findet sich unter Azure-Trainings. Weitere Infor­mationen und Anmel­dung über sein Azure-Blog.

    Verwandte Beiträge

    Weitere Links