Tags: Patch-Management, Azure, Automatisierung
Neben den Patch- und Wartungsoptionen, die man beim Anlegen von Azure-VMs einrichten kann, lassen sich virtuelle Maschinen auch mit der Update-Verwaltung aktualisieren. Sie verknüpft das Bewerten, Orchestrieren und Installieren von Updates mit einem Automationskonto und erschließt damit weitere Patch-Funktionen.
Um die Update-Verwaltung für eine Azure-VM zu konfigurieren, klicken Sie im Abschnitt Vorgänge auf Updates und dort auf Zu Updateverwaltung wechseln. Sie können nur dann zur Update-Verwaltung wechseln, wenn die VM eingeschaltet ist.
Das ist, nebenbei bemerkt, auch die Stelle, an der Sie Microsoft über anstehende Host-Updates informiert, sofern diese einen Neustart der betreffenden VM nach sich ziehen. Sie haben dann bis zu 35 Tage Zeit, dass Wartungsfenster selbst zu bestimmen und die VM neu zu starten, wodurch diese auf einen bereits aktualisierten Host platziert wird.
Die Update-Verwaltung erfordert das Verknüpfen mit einem Azure-Automation-Account, der wiederum mit einem Log Analytics Workspace verbunden sein muss. Sind beide noch nicht vorhanden, können Sie diese hier anliegen.
Achtung: Das Verknüpfen von Automation Account und Log Analytics Workspace funktioniert nur in fest vorgegeben Regionspaarungen. In Deutschland klappt das gar nicht. Wir verwenden daher für beide West Europe. Die VM selbst darf aber durchaus in Deutschland laufen.
Update-Verwaltung mit Azure Automation
Wie die Azure Update-Verwaltung im Detail funktioniert, können Sie nebenstehender Abbildung von Microsoft entnehmen. Sie illustriert, wie damit beispielsweise Windows-Server ihre Updates in Azure beziehen.
Hier fällt zunächst auf, dass der zu aktualisierende Server - das kann auch eine Azure-Arc-aktivierte on-prem-VM sein - als Datenquelle mit einem Log-Analytics Workspace verbunden ist, wozu er dessen Agent ausführt.
Flexible Nutzung von Features
Mit Hilfe der Log-Analytics-Integration ist es jedem Server möglich, in Log Analytics abzuspeichern, über welche Updates er bereits verfügt. Diese Informationen ermittelt er über seinen lokalen Windows-Update-Client. Da er ganz normal mit Microsoft Update oder einem WSUS-Server kommuniziert, braucht er die Azure Update-Verwaltung dafür eigentlich nicht.
Diese dient nämlich in erster Linie dazu, den optimalen Patch-Zeitpunkt zu bestimmen und den Server zum gewählten Zeitpunkt anzuweisen, das Update einzuspielen. Somit dient das Azure Update-Management der effizienteren Orchestrierung des Patchings, während die Bereitstellung der Patches über Microsoft Update oder WSUS erfolgt.
Und auch beim Patch-Zeitplan kann Azure Automation theoretisch außen vor bleiben, wenn Sie Patches über WSUS beziehen wollen. Dort bestimmt der Admin durch die Genehmigung der Updates, wann diese installiert werden. In diesem Fall dient die Update-Verwaltung nur dem Reporting über Log Analytics.
Ist der Windows Update Agent (WUA) für das Senden von Meldungen an WSUS konfiguriert, dann unterscheiden sich die Ergebnisse möglicherweise von denen in Microsofts Update-Ergebnissen, je nach dem, wann WSUS zuletzt mit Microsoft Update synchronisiert wurde.
Die Integration mit einem Azure Automation Account bringt aber weitere Vorteile mit sich. So lassen sich beispielswiese Pre-steps und Post-steps in Form von Azure-Automation-Runbooks integrieren, deren Verarbeitung dann über den Automation-Zeitplan erzwungen wird.
Azure Runbooks können PowerShell- oder Python-Scripts sowie PowerShell-Workflows sein. Sie werden auf der Azure-Plattform ausgeführt und nicht innerhalb der VM. Solche Runbooks können beispielsweise Azure-VMs automatisch starten oder stoppen. Auf diese Weise lassen sich auch VMs aktualisieren, die zum ermittelten Patch-Zeitpunkt ausgeschaltet sind.
Sollen Automation Runbooks auch Aktionen innerhalb der VM auslösen, dann muss in der VM der Hybrid Runbook Worker laufen.
Update-Verwaltung aktivieren
Zu Azure Automation bzw. einem Azure Automation-Account gehören eine Prozessautomatisierung, eine Konfigurationsverwaltung (mit Änderungsverfolgung) und die Update-Verwaltung mit zahlreichen Integrationen.
Dazu benötigen die beiden Letztgenannten einen verknüpften Log Analytics Workspace. Alle drei verwenden einige Funktionen von Azure Automation gemeinsam, zum Beispiel Zeitpläne, Module (von Azure oder Drittanbietern), Anmeldeinformationen oder Zertifikate.
Wenn Sie die Aktualisierungsverwaltung aus dem Menü Updates der betreffenden VM öffnen, dann zeigt Ihnen die Übersicht die Konformität, fehlende Updates, die Bereitschaft des Update-Agenten und ggf. fehlerhafte Update-Bereitstellungen.
Mit einem Klick auf Updatebereitstellung planen können Sie im Dialog Neue Updatebereitstellung unter anderem konfigurieren, welche Updates Sie einplanen möchten und den gewünschten Zeitplan samt Wartungsfenster und Neustartoptionen konfigurieren.
Die Optionen für Neue Updatebereitstellung sind weitgehend selbsterklärend. Allerdings erkennen Sie zum Beispiel im Auswahlmenü Updateklassifizierungen, dass Sie hier weitaus mehr Möglichkeiten haben als bei den Gast-Patches.
Im Menü Vor und nach dem Vorgang auszuführende Skripts auswählen können Sie auf die oben erwähnte Integration mit Azure Automation Runbooks zurückgreifen. Die konfigurierten Bereitstellungspläne sehen Sie dann anschließend im gleichnamigen Tab.
Sie können alternativ auch Azure Automation im Azure Portal suchen und dort auf Update-Verwaltung klicken.
Hier erkennen Sie beispielsweise auf einen Blick, auf welchen überwachten Computern (srvwin1) der Update-Agent bereit ist, welche Plattform die VM hostet (Azure), das Gast-Betriebssystem (Windows) oder welche Updates fehlen. Die Reiter Fehlende Updates und Bereitstellungspläne führen dann zu den gleichen Ansichten, die wir schon im Kontext der VM kennengelernt haben.
Möchten Sie eine weitere VM in die Update-Verwaltung aufnehmen, dann können Sie das auf die gezeigte Weise von der VM selbst aus tun, oder Sie fügen direkt hier in der Update-Verwaltung des gewählten Automation-Accounts eine weitere VM hinzu.
Die zugehörigen Jobs für die Patch-Vorgänge im Azure Automations-Konto tauchen dann im Abschnitt Prozessautomatisierung unter Aufträge auf.
Unterstützte Betriebssysteme
Derzeit lassen sich VMs mit folgenden Betriebssystemen über das Azure Update-Management aktualisieren:
- Windows Server 2019 (Datacenter/Standard mit Server Core)
- Windows Server 2016 (Datacenter/Standard ohne Server Core)
- Windows Server 2012 R2 (Datacenter/Standard)
- Windows Server 2012
- Windows Server 2008 R2 (RTM und SP1 Standard): Die Updateverwaltung unterstützt Bewertungen und Patching sowie den Hybrid Runbook Worker für dieses Betriebssystem.
- CentOS 6, 7 und 8: Für klassifizierungsbasiertes Patchen muss yum Sicherheitsdaten zurückgeben, über die CentOS in den RTM-Releases nicht verfügt.
- Oracle Linux 6.x, 7.x, 8x
- Red Hat Enterprise 6, 7 und 8
- SUSE Linux Enterprise Server 12, 15 und 15.1
- Ubuntu 14.04 LTS, 16.04 LTS, 18.04 LTS und 20.04 LTS
Linux-Agents erfordern Zugriff auf ein Update-Repository.
Kosten
Bezahlen müssen Sie für Azure Automation selbst nichts, wohl aber für den verknüpften Arbeitsbereich von Log Analytics für die dort gesammelten Informationen bzw. Protokolle. Log Analytics ist eine First Class Azure Ressource, die gleichzeitig einen Analyse-Dienst samt mächtiger Abfragesprache KQL (Kusto Query Language) und die Speicher-Entität selbst darstellt.
Die ersten 30 Tage sowie 5GB pro Abrechnungskonto und Monat an Protokolldaten sind kostenlos. Danach zahlen Sie bei nutzungsbasierter Zahlung 2,834 € pro GB und Monat. Es gibt aber auch verschiedene Mindestabnahmepläne.
Fazit
Die Update-Verwaltung von Azure geht funktional über die ebenfalls von Azure bereitgestellten VM-Gast-Patches hinaus. Während bei Letzterer die Patches entweder von der Azure-Plattform oder vom Update-Service des Gastsystems gesteuert werden, fungiert bei der Update-Verwaltung die Prozessautomatisierung von Azure Automation Dreh- und Angelpunkt.
Sie benötigen zwar ein Azure-Automations-Konto und einen Log-Analytics-Workspace, haben dann aber mehr Kontrolle darüber, wann Sie welche Aktualisierungen einspielen möchten. Dazu muss Log Analytics pro überwachter VM Informationen über die bereits vorhandenen Patches sammeln.
Mit Hilfe von Azure Automation Runbooks können Sie ggf. weitere Workflows in das VM-Patching einbinden.
Täglich Know-how für IT-Pros mit unserem Newsletter
Thomas Drilling arbeitet ist seit fast 30 Jahren selbständig in der IT-Welt sowohl als Consultant, als auch als Redakteur, Buchautor und Journalist für viele ehemalige und aktuelle IT-Magazine sowie Blogs.
Aktuell bestätigt sich Thomas schwerpunktmäßig als IT-Trainer für Cloud-Computing in den Bereichen Microsoft Azure, Amazon Web Services und VMware.
Thomas ist zertifizierter Microsoft-Trainer für nahe das gesamte Portfolio an Microsoft Azure Trainings. Thomas ist außerdem zertifizierter Microsoft Azure Solutions Architect Expert sowie VMware Certified Professional und wurde von VMware in den Jahren 2016 bis 2022 mit dem Blogger-Status vExpert ausgezeichnet.
Thomas führt aktuell jeden Monat zwei selbstkonziperte 4-tägigen Grundlagenkurse in Cloud Computing mit Azure durch, die sich inhaltlich bewusst von den Microsft-Kursen abheben und vorzuweise als Bootcamp in eine besonderen Lokation stattfinden. Optional kann aber aber auch remote via Microsoft Teams teilgenommen werden.
Das aktuelle Trainingsprogramm findet sich unter Azure-Trainings. Weitere Informationen und Anmeldung über sein Azure-Blog.
Verwandte Beiträge
- Kosten sparen: Azure-VMs automatisch starten und stoppen
- Update-Methoden für Azure Virtual Machines im Überblick
- Update Compliance benötigt künftig Azure Active Directory
- Microsoft kündigt Hotpatching für Windows Server 2022 an
- Windows Update for Business via Deployment Service und PowerShell steuern
Weitere Links