Tags: Azure, Patch-Management, Linux
Microsoft bietet mehrere Wartungsoptionen für Azure-VMs. Diese reichen von einer automatischen Bewertung und Installation bis zum manuellen Verteilen von Updates. Nicht alle Verfahren stehen für sämtliche Betriebssysteme zur Verfügung, zudem beschränken sie sich auf kritische und Sicherheits-Updates.
Sie können die automatischen Gast-Patches für Azure-VMs im Bereitstellungsassistenten für neue VMs unter Verwaltung im Abschnitt Updates für das Gastbetriebssystem einrichten. Hier stehen Ihnen folgende Orchestrierungsmodi zur Verfügung:
- Azure-orchestriertes Patchen (AutomaticByPlatform): Dieser Modus steht sowohl für Windows- als auch für Linux-VMs zur Verfügung, funktioniert aber nur für die unterstützten Betriebssystem-Images (siehe die Liste weiter unten). Bei Verwendung dieses Modus deaktiviert Azure die nativen automatischen Updates auf virtuellen Windows-Computer zur Vermeidung von Duplikaten.
- Automatisch durch Betriebssystem (AutomaticByOS:): Dies ist zwar die am einfachsten einzurichtende Option, funktioniert aber nur mit Windows. Patches werden dann über die automatischen Updates auf der VM installiert. Dieser Modus unterstützt keine Patches nach Verfügbarkeit.
- Manuell (Manual): Möchten Sie keinesfalls, dass Azure-VMs ohne Ihr Wissen neu gestartet werden, dann setzen Sie die Updates für das Gastsystems auf diesen Modus. Auch hier deaktiviert Azure die automatischen Windows-Updates im Gastsystem. Sie können Patches dann zum Beispiel via WSUS verteilen.
- ImageDefault: Dieser Modus dient ausschließlich für virtuelle Linux-Computer, unterstützt keine Patches nach Verfügbarkeit und orientiert sich an der Default-Patch-Konfiguration des Images, das zum Erstellen des virtuellen Computers verwendet wird. Er greift automatisch für einen virtuellen Linux-Computer, wenn kein anderer Modus angegeben wurde.
Darüber hinaus gibt es noch die Update-Verwaltung mit Azure Automation, das hier nicht zur Sprache kommt. Updates für Clients unter Windows 10 / 11 würde man hingegen typischerweise über Intune bzw. Microsoft Endpoint Manager verteilen.
Automatische VM-Gast-Patches
Automatische VM-Gast-Patches für Azure-VMs lädt generell sämtliche kritischen Updates und alle Sicherheits-Patches automatisch herunter und wendet diese auf die betreffende VM an.
Zum Ermitteln der Patches, die für eine VM anwendbar sind, überprüft Azure die VM mehrmals innerhalb eines 30-Tage-Zeitraums und installiert die Patches an jedem beliebigen Tag, aber außerhalb der Spitzenzeiten der VM, abhängig von der Zeitzone.
Das Bewerten und Installieren der Updates erfolgt selbständig, der Vorgang umfasst zudem den Neustart der VM, sofern erforderlich. Dies soll sicherstellen, dass fehlende Patches zum frühestmöglichen Zeitpunkt erkannt werden. Um Patches installieren zu können, muss die VM allerdings auch außerhalb der Spitzenzeiten ausgeführt werden.
Wird sie im Verlauf einer periodischen Bewertung ausgeschaltet, bewertet Azure sie automatisch und die anwendbaren Patches werden dann bei der nächsten periodischen Bewertung (in der Regel innerhalb weniger Tage) installiert, sofern die wieder VM eingeschaltet wurde.
Achtung: Automatische VM-Gast-Patches für Azure-VMs installiert keine Definitions-Updates oder andere Patches, sondern ausschließlich solche, die als kritisch sind. Um zusätzliche Patches zu installieren, benötigen Sie die Update-Verwaltung von Azure.
Auswahl der Patches
Welche Patches genau installiert werden, hängt von der Rollout-Phase der VM ab, denn Azure startet jeden Monat ein neues globales Rollout, in dessen Verlauf es sämtliche für eine VM bewerteten kritischen und Sicherheits-Patches installiert.
Azure orchestriert den Rollout über alle Azure-Regionen hinweg in Schüben, wobei die Anzahl der installierten Patches von der VM-Konfiguration, einschließlich des Betriebssystems (Windows bzw. Linux) und dem Bewertungszeitpunkt abhängt.
So kann es vorkommen, dass auf zwei prinzipiell identischen VMs unterschiedliche Patches installiert werden, wenn diese nicht in der gleichen Region sind und die Patch-Orchestrierung verschiedene Regionen zu verschiedenen Zeiten erreicht.
Anders herum können zwei VMs zwar in derselben Region sein, aber zu verschiedenen Zeitpunkten bewertet werden (aufgrund der Zugehörigkeit zu unterschiedlicher Verfügbarkeitszonen oder -gruppen) und deswegen unterschiedliche Patches erhalten.
Bei Betriebssystemen, die Patches in einem festgelegten Rhythmus erhalten (etwa Windows-VMs, die für das öffentliche Windows Update-Repository konfiguriert sind), können die VMs also davon ausgehen, dass sie in den verschiedenen Rollout-Phasen eines Monats immer den gleichen Satz an Patches bekommen.
Unterstützung von Betriebssystemen
Die beschriebenen automatischen VM-Gast-Patches unterstützen ein bedarfsgesteuertes Bewerten und Installieren von Patches nur für VMs, die aus Images erstellt wurden, welche exakt die richtige Kombination aus Herausgeber, Angebot und SKU enthalten.
Derzeit funktioniert dies für:
- Windows Server 2022 (Datacenter, Datacenter-Core, Datacenter-Azure-Edition, Datacenter-Azure-Edition-Smalldisk,
- Windows Server 2019 (Datacenter, Datacenter-Core)
- Windows Server 2016 (Datacenter, Datacenter-Server-Core)
- Windows Server 2012-R2-Datacenter
- Windows Server 2008-R2-SP1
- SUSE-Linux (sles-12,sp5, sles-15-sp2)
- Red Hat (7.2 bis 7.9, 8 bis 8.4)
- Ubuntu (18.04 LTS, Pro-18.04-LTS, 20.04 LTS, Pro-20.04-LTS)
- die CentOS-Version von OpenLogic in den gleichen Versionen wie bei Red Hat
Das bedeutet auch, dass benutzerdefinierte Images oder andere Herausgeber-, Angebots- und SKU-Kombinationen dafür nicht in Betracht kommen.
Falls Sie sich fragen, wie Sie an die vielen verschiedenen Windows-Versionen kommen, nachdem im Bereitstellungsassistenten zum Beispiel für Windows Server 2022 nur die Azure-Editionen angeboten werden, dann klicken Sie direkt darunter auf Alle Images anzeigen und dann unterhalb von Windows Server auf Auswählen.
Verfügbarkeits-Updates
Sofern Sie keine Einzel-VM in Azure betreiben, sondern von den unterstützen Verfügbarkeits-Optionen in Azure profitieren möchten, was zu einem höheren SLA führt, müssen Sie auf jeden Fall das Azure-orchestrierte Patchen wählen.
Dieses wird von Azure global für alle VMs orchestriert, die für das automatische VM-Gast-Patchen aktiviert sind. Dabei erfolgt die Orchestrierung nach Verfügbarkeitsprinzipien, die sich an den Verfügbarkeitsstufen für Azure-VMs orientieren.
Durchläuft eine Gruppe von Azure-VMs ein Update, dann koordiniert die Plattform die Updates nach unterschiedlichen Prinzipen, je nachdem, ob sich diese in verschiedenen Regionen, innerhalb einer Region oder innerhalb einer Verfügbarkeitsgruppe befinden. Details dazu finden Sie in der Dokumentation.
Weitergehende Optionen
Möchten Sie mehr Einfluss auf das Patching nehmen und beispielsweise nicht nur kritische oder Sicherheits-Patches installieren oder im Zuge des Updates-Vorgangs verschiedene Pre- und Post-Scripts einbinden, dann müssen Sie zur Azure Update-Verwaltung greifen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Thomas Drilling arbeitet ist seit fast 30 Jahren selbständig in der IT-Welt sowohl als Consultant, als auch als Redakteur, Buchautor und Journalist für viele ehemalige und aktuelle IT-Magazine sowie Blogs.
Aktuell bestätigt sich Thomas schwerpunktmäßig als IT-Trainer für Cloud-Computing in den Bereichen Microsoft Azure, Amazon Web Services und VMware.
Thomas ist zertifizierter Microsoft-Trainer für nahe das gesamte Portfolio an Microsoft Azure Trainings. Thomas ist außerdem zertifizierter Microsoft Azure Solutions Architect Expert sowie VMware Certified Professional und wurde von VMware in den Jahren 2016 bis 2022 mit dem Blogger-Status vExpert ausgezeichnet.
Thomas führt aktuell jeden Monat zwei selbstkonziperte 4-tägigen Grundlagenkurse in Cloud Computing mit Azure durch, die sich inhaltlich bewusst von den Microsft-Kursen abheben und vorzuweise als Bootcamp in eine besonderen Lokation stattfinden. Optional kann aber aber auch remote via Microsoft Teams teilgenommen werden.
Das aktuelle Trainingsprogramm findet sich unter Azure-Trainings. Weitere Informationen und Anmeldung über sein Azure-Blog.
Verwandte Beiträge
- Azure-VMs mit Azure Update Management aktualisieren
- Update Compliance benötigt künftig Azure Active Directory
- Microsoft kündigt Hotpatching für Windows Server 2022 an
- Windows Update for Business via Deployment Service und PowerShell steuern
- Azure Stack HCI 21H2: Soft Reboot, Passthrough-GPUs für VMs, Storage Thin Provisioning
Weitere Links