Update-Methoden für Azure Virtual Machines im Überblick


    Tags: , ,

    Windows 10 Feature-UpdateMicrosoft bietet mehrere Wartungs­optionen für Azure-VMs. Diese reichen von einer auto­matischen Bewertung und Installation bis zum manuellen Verteilen von Updates. Nicht alle Verfahren stehen für sämtliche Betriebs­systeme zur Verfügung, zudem beschränken sie sich auf kritische und Sicherheits-Updates.

    Sie können die automatischen Gast-Patches für Azure-VMs im Bereitstellungs­assistenten für neue VMs unter Verwaltung im Abschnitt Updates für das Gastbetriebs­system einrichten. Hier stehen Ihnen folgende Orchestrierungs­modi zur Verfügung:

    • Azure-orchestriertes Patchen (AutomaticByPlatform): Dieser Modus steht sowohl für Windows- als auch für Linux-VMs zur Verfügung, funktioniert aber nur für die unterstützten Betriebssystem-Images (siehe die Liste weiter unten). Bei Verwendung dieses Modus deaktiviert Azure die nativen automatischen Updates auf virtuellen Windows-Computer zur Vermeidung von Duplikaten.
    • Automatisch durch Betriebssystem (AutomaticByOS:): Dies ist zwar die am einfachsten einzurichtende Option, funktioniert aber nur mit Windows. Patches werden dann über die automatischen Updates auf der VM installiert. Dieser Modus unterstützt keine Patches nach Verfügbarkeit.
    • Manuell (Manual): Möchten Sie keinesfalls, dass Azure-VMs ohne Ihr Wissen neu gestartet werden, dann setzen Sie die Updates für das Gastsystems auf diesen Modus. Auch hier deaktiviert Azure die automatischen Windows-Updates im Gastsystem. Sie können Patches dann zum Beispiel via WSUS verteilen.
    • ImageDefault: Dieser Modus dient ausschließlich für virtuelle Linux-Computer, unterstützt keine Patches nach Verfügbarkeit und orientiert sich an der Default-Patch-Konfiguration des Images, das zum Erstellen des virtuellen Computers verwendet wird. Er greift automatisch für einen virtuellen Linux-Computer, wenn kein anderer Modus angegeben wurde.

    Das automatische Gast-Patching wird beim Bereitstellen einer VM konfiguriert.

    Darüber hinaus gibt es noch die Update-Verwaltung mit Azure Automation, das hier nicht zur Sprache kommt. Updates für Clients unter Windows 10 / 11 würde man hingegen typischerweise über Intune bzw. Microsoft Endpoint Manager verteilen.

    Automatische VM-Gast-Patches

    Automatische VM-Gast-Patches für Azure-VMs lädt generell sämtliche kritischen Updates und alle Sicherheits-Patches automatisch herunter und wendet diese auf die betreffende VM an.

    Zum Ermitteln der Patches, die für eine VM anwendbar sind, überprüft Azure die VM mehrmals innerhalb eines 30-Tage-Zeitraums und installiert die Patches an jedem beliebigen Tag, aber außerhalb der Spitzenzeiten der VM, abhängig von der Zeitzone.

    Das Bewerten und Installieren der Updates erfolgt selbständig, der Vorgang umfasst zudem den Neustart der VM, sofern erforderlich. Dies soll sicherstellen, dass fehlende Patches zum frühest­möglichen Zeitpunkt erkannt werden. Um Patches installieren zu können, muss die VM allerdings auch außerhalb der Spitzenzeiten ausgeführt werden.

    Wird sie im Verlauf einer periodischen Bewertung ausgeschaltet, bewertet Azure sie automatisch und die anwendbaren Patches werden dann bei der nächsten periodischen Bewertung (in der Regel innerhalb weniger Tage) installiert, sofern die wieder VM eingeschaltet wurde.

    Achtung: Automatische VM-Gast-Patches für Azure-VMs installiert keine Definitions-Updates oder andere Patches, sondern ausschließlich solche, die als kritisch sind. Um zusätzliche Patches zu installieren, benötigen Sie die Update-Verwaltung von Azure.

    Auswahl der Patches

    Welche Patches genau installiert werden, hängt von der Rollout-Phase der VM ab, denn Azure startet jeden Monat ein neues globales Rollout, in dessen Verlauf es sämtliche für eine VM bewerteten kritischen und Sicherheits-Patches installiert.

    Azure orchestriert den Rollout über alle Azure-Regionen hinweg in Schüben, wobei die Anzahl der installierten Patches von der VM-Konfiguration, einschließlich des Betriebs­systems (Windows bzw. Linux) und dem Bewertungs­zeitpunkt abhängt.

    So kann es vorkommen, dass auf zwei prinzipiell identischen VMs unterschiedliche Patches installiert werden, wenn diese nicht in der gleichen Region sind und die Patch-Orchestrierung verschiedene Regionen zu verschiedenen Zeiten erreicht.

    Anders herum können zwei VMs zwar in derselben Region sein, aber zu verschiedenen Zeit­punkten bewertet werden (aufgrund der Zugehörigkeit zu unterschiedlicher Verfügbar­keitszonen oder -gruppen) und deswegen unter­schiedliche Patches erhalten.

    Bei Betriebssystemen, die Patches in einem festgelegten Rhythmus erhalten (etwa Windows-VMs, die für das öffentliche Windows Update-Repository konfiguriert sind), können die  VMs also davon ausgehen, dass sie in den verschiedenen Rollout-Phasen eines Monats immer den gleichen Satz an Patches bekommen.

    Unterstützung von Betriebssystemen

    Die beschriebenen automatischen VM-Gast-Patches unterstützen ein bedarfs­gesteuertes Bewerten und Installieren von Patches nur für VMs, die aus Images erstellt wurden, welche exakt die richtige Kombination aus Herausgeber, Angebot und SKU enthalten.

    Derzeit funktioniert dies für:

    • Windows Server 2022 (Datacenter, Datacenter-Core, Datacenter-Azure-Edition, Datacenter-Azure-Edition-Smalldisk,
    • Windows Server 2019 (Datacenter, Datacenter-Core)
    • Windows Server 2016 (Datacenter, Datacenter-Server-Core)
    • Windows Server 2012-R2-Datacenter
    • Windows Server 2008-R2-SP1
    • SUSE-Linux (sles-12,sp5, sles-15-sp2)
    • Red Hat (7.2 bis 7.9, 8 bis 8.4)
    • Ubuntu (18.04 LTS, Pro-18.04-LTS, 20.04 LTS, Pro-20.04-LTS)
    • die CentOS-Version von OpenLogic in den gleichen Versionen wie bei Red Hat

    Das bedeutet auch, dass benutzer­definierte Images oder andere Herausgeber-, Angebots- und SKU-Kombinationen dafür nicht in Betracht kommen.

    Falls Sie sich fragen, wie Sie an die vielen verschiedenen Windows-Versionen kommen, nachdem im Bereitstellungs­assistenten zum Beispiel für Windows Server 2022 nur die Azure-Editionen angeboten werden, dann klicken Sie direkt darunter auf Alle Images anzeigen und dann unterhalb von Windows Server auf Auswählen.

    Machine-Images stehen in Azure für zahlreiche Windows-Versionen zur Verfügung.

    Verfügbarkeits-Updates

    Sofern Sie keine Einzel-VM in Azure betreiben, sondern von den unterstützen Verfügbarkeits-Optionen in Azure profitieren möchten, was zu einem höheren SLA führt, müssen Sie auf jeden Fall das Azure-orchestrierte Patchen wählen.

    Dieses wird von Azure global für alle VMs orchestriert, die für das automatische VM-Gast-Patchen aktiviert sind. Dabei erfolgt die Orchestrierung nach Verfügbarkeits­prinzipien, die sich an den Verfügbarkeits­stufen für Azure-VMs orientieren.

    Durchläuft eine Gruppe von Azure-VMs ein Update, dann koordiniert die Plattform die Updates nach unterschied­lichen Prinzipen, je nachdem, ob sich diese in verschiedenen Regionen, innerhalb einer Region oder innerhalb einer Verfügbarkeits­gruppe befinden. Details dazu finden Sie in der Dokumentation.

    Weitergehende Optionen

    Möchten Sie mehr Einfluss auf das Patching nehmen und beispielsweise nicht nur kritische oder Sicherheits-Patches installieren oder im Zuge des Updates-Vorgangs verschiedene Pre- und Post-Scripts einbinden, dann müssen Sie zur Azure Update-Verwaltung greifen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Thomas Drilling

    Thomas Drilling arbeitet seit mehr als 20 Jahren selb­ständig als Redakteur und Autor für viele ehe­malige und aktuelle IT-Magazine sowie Blogs. Thomas ist zudem Buch­autor und IT-Consultant.

    Seit 5 Jahren ist Thomas neben seiner journa­listischen Tätig­keit haupt­beruflicher, selb­ständiger IT-Trainer für VMware und Microsoft.

    Seine Themen­schwer­punkte sind Virtua­lisierung und Cloud Com­puting, speziell VMware, Amazon Web Services, Google Cloud und Microsoft Azure. Thomas ist zerti­fi­zierter VMware Professional, Advanced Professional und wurde von VMware in den Jahren 2016, 2017, 2018, 2019 und 2020 mit dem Blogger-Status vExpert ausge­zeichnet.

    Thomas ist außerdem zertifi­zierter AWS Solu­tions Archi­tect, Sysops Engineer und Devops Engineer sowie Microsoft Certified Azure Admini­strator.

    Thomas führt aktuell jeden zwei­ten Mon­tag einen 4-tägigen Grund­lagenkurs in Cloud Computing mit AWS via Zoom-Meeting durch. Weitere Infor­mationen und Anmel­dung über sein AWS-Blog.

    Ähnliche Beiträge

    Weitere Links