Update-Methoden für Azure Virtual Machines im Überblick

Thomas Drilling, 07.07.2022
Tags: Azure, Patch-Management, Linux

Windows 10 Feature-Update Microsoft bietet mehrere Wartungsoptionen für Azure-VMs. Diese reichen von einer automatischen Bewertung und Installation bis zum manuellen Verteilen von Updates. Nicht alle Verfahren stehen für sämtliche Betriebssysteme zur Verfügung, zudem beschränken sie sich auf kritische und Sicherheits-Updates.

Sie können die automatischen Gast-Patches für Azure-VMs im Bereitstellungsassistenten für neue VMs unter Verwaltung im Abschnitt Updates für das Gastbetriebssystem einrichten. Hier stehen Ihnen folgende Orchestrierungsmodi zur Verfügung:

Azure-orchestriertes Patchen (AutomaticByPlatform): Dieser Modus steht sowohl für Windows- als auch für Linux-VMs zur Verfügung, funktioniert aber nur für die unterstützten Betriebssystem-Images (siehe die Liste weiter unten). Bei Verwendung dieses Modus deaktiviert Azure die nativen automatischen Updates auf virtuellen Windows-Computer zur Vermeidung von Duplikaten.
Automatisch durch Betriebssystem (AutomaticByOS:): Dies ist zwar die am einfachsten einzurichtende Option, funktioniert aber nur mit Windows. Patches werden dann über die automatischen Updates auf der VM installiert. Dieser Modus unterstützt keine Patches nach Verfügbarkeit.
Manuell (Manual): Möchten Sie keinesfalls, dass Azure-VMs ohne Ihr Wissen neu gestartet werden, dann setzen Sie die Updates für das Gastsystems auf diesen Modus. Auch hier deaktiviert Azure die automatischen Windows-Updates im Gastsystem. Sie können Patches dann zum Beispiel via WSUS verteilen.
ImageDefault: Dieser Modus dient ausschließlich für virtuelle Linux-Computer, unterstützt keine Patches nach Verfügbarkeit und orientiert sich an der Default-Patch-Konfiguration des Images, das zum Erstellen des virtuellen Computers verwendet wird. Er greift automatisch für einen virtuellen Linux-Computer, wenn kein anderer Modus angegeben wurde.

Darüber hinaus gibt es noch die Update-Verwaltung mit Azure Automation, das hier nicht zur Sprache kommt. Updates für Clients unter Windows 10 / 11 würde man hingegen typischerweise über Intune bzw. Microsoft Endpoint Manager verteilen.

Automatische VM-Gast-Patches

Automatische VM-Gast-Patches für Azure-VMs lädt generell sämtliche kritischen Updates und alle Sicherheits-Patches automatisch herunter und wendet diese auf die betreffende VM an.

Zum Ermitteln der Patches, die für eine VM anwendbar sind, überprüft Azure die VM mehrmals innerhalb eines 30-Tage-Zeitraums und installiert die Patches an jedem beliebigen Tag, aber außerhalb der Spitzenzeiten der VM, abhängig von der Zeitzone.

Das Bewerten und Installieren der Updates erfolgt selbständig, der Vorgang umfasst zudem den Neustart der VM, sofern erforderlich. Dies soll sicherstellen, dass fehlende Patches zum frühestmöglichen Zeitpunkt erkannt werden. Um Patches installieren zu können, muss die VM allerdings auch außerhalb der Spitzenzeiten ausgeführt werden.

Wird sie im Verlauf einer periodischen Bewertung ausgeschaltet, bewertet Azure sie automatisch und die anwendbaren Patches werden dann bei der nächsten periodischen Bewertung (in der Regel innerhalb weniger Tage) installiert, sofern die wieder VM eingeschaltet wurde.

Achtung: Automatische VM-Gast-Patches für Azure-VMs installiert keine Definitions-Updates oder andere Patches, sondern ausschließlich solche, die als kritisch sind. Um zusätzliche Patches zu installieren, benötigen Sie die Update-Verwaltung von Azure.

Auswahl der Patches

Welche Patches genau installiert werden, hängt von der Rollout-Phase der VM ab, denn Azure startet jeden Monat ein neues globales Rollout, in dessen Verlauf es sämtliche für eine VM bewerteten kritischen und Sicherheits-Patches installiert.

Azure orchestriert den Rollout über alle Azure-Regionen hinweg in Schüben, wobei die Anzahl der installierten Patches von der VM-Konfiguration, einschließlich des Betriebssystems (Windows bzw. Linux) und dem Bewertungszeitpunkt abhängt.

So kann es vorkommen, dass auf zwei prinzipiell identischen VMs unterschiedliche Patches installiert werden, wenn diese nicht in der gleichen Region sind und die Patch-Orchestrierung verschiedene Regionen zu verschiedenen Zeiten erreicht.

Anders herum können zwei VMs zwar in derselben Region sein, aber zu verschiedenen Zeitpunkten bewertet werden (aufgrund der Zugehörigkeit zu unterschiedlicher Verfügbarkeitszonen oder -gruppen) und deswegen unterschiedliche Patches erhalten.

Bei Betriebssystemen, die Patches in einem festgelegten Rhythmus erhalten (etwa Windows-VMs, die für das öffentliche Windows Update-Repository konfiguriert sind), können die VMs also davon ausgehen, dass sie in den verschiedenen Rollout-Phasen eines Monats immer den gleichen Satz an Patches bekommen.

Unterstützung von Betriebssystemen

Die beschriebenen automatischen VM-Gast-Patches unterstützen ein bedarfsgesteuertes Bewerten und Installieren von Patches nur für VMs, die aus Images erstellt wurden, welche exakt die richtige Kombination aus Herausgeber, Angebot und SKU enthalten.

Derzeit funktioniert dies für:

Windows Server 2022 (Datacenter, Datacenter-Core, Datacenter-Azure-Edition, Datacenter-Azure-Edition-Smalldisk,
Windows Server 2019 (Datacenter, Datacenter-Core)
Windows Server 2016 (Datacenter, Datacenter-Server-Core)
Windows Server 2012-R2-Datacenter
Windows Server 2008-R2-SP1
SUSE-Linux (sles-12,sp5, sles-15-sp2)
Red Hat (7.2 bis 7.9, 8 bis 8.4)
Ubuntu (18.04 LTS, Pro-18.04-LTS, 20.04 LTS, Pro-20.04-LTS)
die CentOS-Version von OpenLogic in den gleichen Versionen wie bei Red Hat

Das bedeutet auch, dass benutzerdefinierte Images oder andere Herausgeber-, Angebots- und SKU-Kombinationen dafür nicht in Betracht kommen.

Falls Sie sich fragen, wie Sie an die vielen verschiedenen Windows-Versionen kommen, nachdem im Bereitstellungsassistenten zum Beispiel für Windows Server 2022 nur die Azure-Editionen angeboten werden, dann klicken Sie direkt darunter auf Alle Images anzeigen und dann unterhalb von Windows Server auf Auswählen.

Verfügbarkeits-Updates

Sofern Sie keine Einzel-VM in Azure betreiben, sondern von den unterstützen Verfügbarkeits-Optionen in Azure profitieren möchten, was zu einem höheren SLA führt, müssen Sie auf jeden Fall das Azure-orchestrierte Patchen wählen.

Dieses wird von Azure global für alle VMs orchestriert, die für das automatische VM-Gast-Patchen aktiviert sind. Dabei erfolgt die Orchestrierung nach Verfügbarkeitsprinzipien, die sich an den Verfügbarkeitsstufen für Azure-VMs orientieren.

Durchläuft eine Gruppe von Azure-VMs ein Update, dann koordiniert die Plattform die Updates nach unterschiedlichen Prinzipen, je nachdem, ob sich diese in verschiedenen Regionen, innerhalb einer Region oder innerhalb einer Verfügbarkeitsgruppe befinden. Details dazu finden Sie in der Dokumentation.

Weitergehende Optionen

Möchten Sie mehr Einfluss auf das Patching nehmen und beispielsweise nicht nur kritische oder Sicherheits-Patches installieren oder im Zuge des Updates-Vorgangs verschiedene Pre- und Post-Scripts einbinden, dann müssen Sie zur Azure Update-Verwaltung greifen.

Täglich Know-how für IT-Pros mit unserem Newsletter

Thomas Drilling arbeitet seit mehr als 20 Jahren selbständig als Redakteur und Autor für viele ehemalige und aktuelle IT-Magazine sowie Blogs. Thomas ist zudem Buchautor und IT-Consultant. Seit 5 Jahren ist Thomas neben seiner journalistischen Tätigkeit hauptberuflicher, selbständiger IT-Trainer für VMware und Microsoft.

Seine Themenschwerpunkte sind Virtualisierung und Cloud Computing, speziell VMware, Amazon Web Services, Google Cloud und Microsoft Azure. Thomas ist zertifizierter VMware Professional, Advanced Professional und wurde von VMware in den Jahren 2016, 2017, 2018, 2019 und 2020 mit dem Blogger-Status vExpert ausgezeichnet.

Thomas ist außerdem zertifizierter AWS Solutions Architect, Sysops Engineer und Devops Engineer sowie Microsoft Certified Azure Administrator.

Thomas führt aktuell jeden zweiten Montag einen 4-tägigen Grundlagenkurs in Cloud Computing mit AWS via Zoom-Meeting durch. Weitere Informationen und Anmeldung über sein AWS-Blog.