ADMIN

2023

03

2023-02-28T12:00:00

Hybrid Cloud

PRAXIS

038

Cloud

Azure

Aktualisieren von Azure-VMs

Modellpflege

von Thomas Joos

Veröffentlicht in Ausgabe 03/2023 - PRAXIS

Das Betreiben von virtuellen Maschinen in der Cloud gehört zu den wichtigsten Diensten von Microsoft Azure. Um die Betriebssysteme von Azure-VMs auf dem aktuellen Stand zu halten, gibt es verschiedene Möglichkeiten. Wir verschaffen in unserem Workshop Überblick und gehen dabei unter anderem auf das Azure Automation Update Management, das Azure Update Management Center sowie Möglichkeiten zur Automatisierung ein.

Sowohl Windows als auch Linux lassen sich mithilfe von Microsoft Azure in verschiedenen Ausrichtungen virtualisieren. Dazu stehen diverse vorgefertigte Images zur Verfügung. Azure-VMs sind darüber hinaus nicht nur in der Cloud virtualisierbar, sondern über Azure Stack HCI auch direkt im lokalen Rechenzentrum – mit den Vorteilen aus der Azure-Cloud. Microsoft nennt hier eine übersichtlichere Lizenzierung, eine effektive Hochverfügbarkeit und ein einfacheres Updatemanagement, das wir in den folgenden Abschnitten besprechen.
Kostenlose Extended Security Updates
Das Bereitstellen von Extended Security Updates (ESU) nach dem Supportende – zum Beispiel bei Windows Server 2008/ 2008 R2 und Windows Server 2012/2012 R2 –, um die Betriebssysteme der Azure-VMs auf dem aktuellen Stand zu halten, ist kostenlos möglich. Das ist ein interessanter Punkt, denn auch beim Einsatz von Windows Server 2016 müssen sich Unternehmen langsam, aber sicher Gedanken um den auslaufenden Support machen. Organisationen, die zu Azure migrieren, sollten sich in diesem Zusammenhang daher gleich mit der Aktualisierung der VMs beschäftigen.
Auch ohne einen Umzug in die Cloud bietet Microsoft für Kunden mit Software Assurance und verschiedenen Abonnements die Möglichkeit an, erweiterten Support zu kaufen. Dieser gilt drei Jahre und versorgt Unternehmen weiter mit Sicherheitsupdates. Die Kosten für ESU sind allerdings beträchtlich. Im ersten Jahr sind 75 Prozent der Lizenzgebühren der aktuellen Version fällig, im zweiten bereits 100 Prozent. Im dritten steigen die Kosten auf 125 Prozent. Wer hingegen zu Azure-VMs umzieht, erhält die ESU-Sicherheitsupdates für die nächsten drei Jahre kostenfrei, der erweiterte Support ist in den Betriebskosten der Azure-VMs enthalten. Das gilt für alle Betriebssysteme, die aus dem Support fallen – Lizenzen von SQL Server 2012 und Windows Server 2012 etwa lassen sich fortan in der Cloud nutzen.
Sowohl Windows als auch Linux lassen sich mithilfe von Microsoft Azure in verschiedenen Ausrichtungen virtualisieren. Dazu stehen diverse vorgefertigte Images zur Verfügung. Azure-VMs sind darüber hinaus nicht nur in der Cloud virtualisierbar, sondern über Azure Stack HCI auch direkt im lokalen Rechenzentrum – mit den Vorteilen aus der Azure-Cloud. Microsoft nennt hier eine übersichtlichere Lizenzierung, eine effektive Hochverfügbarkeit und ein einfacheres Updatemanagement, das wir in den folgenden Abschnitten besprechen.
Kostenlose Extended Security Updates
Das Bereitstellen von Extended Security Updates (ESU) nach dem Supportende – zum Beispiel bei Windows Server 2008/ 2008 R2 und Windows Server 2012/2012 R2 –, um die Betriebssysteme der Azure-VMs auf dem aktuellen Stand zu halten, ist kostenlos möglich. Das ist ein interessanter Punkt, denn auch beim Einsatz von Windows Server 2016 müssen sich Unternehmen langsam, aber sicher Gedanken um den auslaufenden Support machen. Organisationen, die zu Azure migrieren, sollten sich in diesem Zusammenhang daher gleich mit der Aktualisierung der VMs beschäftigen.
Auch ohne einen Umzug in die Cloud bietet Microsoft für Kunden mit Software Assurance und verschiedenen Abonnements die Möglichkeit an, erweiterten Support zu kaufen. Dieser gilt drei Jahre und versorgt Unternehmen weiter mit Sicherheitsupdates. Die Kosten für ESU sind allerdings beträchtlich. Im ersten Jahr sind 75 Prozent der Lizenzgebühren der aktuellen Version fällig, im zweiten bereits 100 Prozent. Im dritten steigen die Kosten auf 125 Prozent. Wer hingegen zu Azure-VMs umzieht, erhält die ESU-Sicherheitsupdates für die nächsten drei Jahre kostenfrei, der erweiterte Support ist in den Betriebskosten der Azure-VMs enthalten. Das gilt für alle Betriebssysteme, die aus dem Support fallen – Lizenzen von SQL Server 2012 und Windows Server 2012 etwa lassen sich fortan in der Cloud nutzen.
Genau betrachtet kommen Organisationen dann in den Genuss der kostenlosen Updates, wenn sie auf Azure Virtual Machines, Azure Dedicated Host, Azure VMware Solution, Azure Nutanix Solution oder Azure Stack HCI setzen. Bei der Verwendung von Azure Stack HCI können die Server im lokalen Rechenzentrum verbleiben. Dafür ist der Einsatz einer zertifizierten Lösung für den Betrieb von Azure Stack HCI vor Ort notwendig. Diese ermöglicht den Aufbau eines lokalen Clusters, der mit Azure verbunden ist, aber on-premises läuft. Die Verbindung zu Azure muss nicht dauerhaft bestehen bleiben, wenn das System nur auf lokale Dienste setzt.
Updateverwaltung von Azure nutzen
Beim Aktualisieren von Servern geht es natürlich nicht nur um Extended Support, sondern auch um Patches für aktuelle Server, die Sie in Azure als VM betreiben. Microsoft bietet mit Azure Automation Update Management einen Dienst an, der Server in lokalen Rechenzentren und virtuelle Server in Azure sowie bei anderen Clouddiensten automatisiert patchen kann. Besonders für Azure-VMs ist dies ideal, da alle Dienste direkt in Azure laufen und keine weiteren notwendig sind. Azure Update Management ist dabei auch dazu in der Lage, Linux-Server zu aktualisieren, die als Azure-VM in Betrieb sind. Der Service steht kostenlos zur Verfügung, verursacht aber Gebühren bei der Speicherung von Protokollen.
Die Protokolle des Monitoringagenten zum Updatemanagement speichert Azure in Log Analytics. Dazu erstellen Sie dort einen eigenen Arbeitsbereich, wo dann per Default die Daten von Azure Monitor zur Überwachung der Telemetrie und Protokollierung der angebundenen Server landen. Das Monitoringtool kann über die in Log Analytics gespeicherten Protokolle der angebundenen Server Abfragen automatisiert durchführen. Dadurch erhalten Sie Informationen zu den Servern, so auch zu fehlenden Updates. Diese Informationen können wiederum andere Dienste in Azure nutzen, in unserem Fall Azure Update Management.
Azure Monitor und Azure Update Management lassen sich verzahnen, um Protokolle der Server anzufertigen und gleichzeitig Updates zu installieren. Einfach ausgedrückt erweitert Azure Update Management die Funktionen von Azure Monitor um eine Updateverwaltung. Zu den unterstützten Betriebssystemen gehören neben Windows Server CentOS, RHEL und SUSE ab Version 12 sowie Ubuntu. Windows 7, 8.1, 10 und 11 können Sie mit dem Werkzeug nicht aktualisieren. Dafür empfiehlt Microsoft den Einsatz von Endpoint Manager.
Azure-VMs anbinden
Für Azure Update Management spielt es keine Rolle, ob es sich beim angebundenen Computer um einen physischen oder virtuellen Server handelt und ob er im lokalen Rechenzentrum oder Cloud positioniert ist. Das Anbinden von Azure-VMs an Azure Update Management ist natürlich besonders einfach, da beide Ressourcen in der Cloud positioniert sind. Im Dashboard von Azure-VMs im Azure-Portal steht dazu der Menüpunkt "Updates" zur Verfügung. Hierüber führen Sie mit "Zur Aktualisierung mithilfe von Automation" die Anbindung durch. Auf dem gleichen Weg entfernen Sie Server wieder aus der Updateverwaltung. In der Weboberfläche sind Azure-VMs und lokale VMs ersichtlich, womit sich Updateregeln auf Basis der jeweiligen Positionierung anwenden lassen.
Eine der Stärken von Azure Update Management ist es, auch Linux-Server anzubinden und zu überprüfen, ob sie richtig konfiguriert sind und über alle Updates verfügen. Die Konfiguration läuft ähnlich zur Verwaltung von Updates für Win­dows-Server ab. Um Linux-Server anzubinden, öffnen Sie das Konto von Azure Update Management und klicken auf "Updateverwaltung". Über "Azure-VMs hinzufügen" binden Sie VMs in Azure an, unabhängig davon, ob es sich um Windows- oder Linux-Computer handelt.
Wollen Sie Computer außerhalb von Azure anknüpfen, verwenden Sie "Nicht-Azure-Computer hinzufügen". Dabei kann es sich um physische Computer handeln oder um VMs in AWS oder GCP. Beim Hinzufügen von VMs wählen Sie im neuen Fenster zunächst aus, welches Azure-Abonnement und welche Standorte Sie nutzen wollen sowie in welchen Ressourcengruppen die Server gespeichert sind, die Sie aktuell anbinden wollen. Unten im Fenster zeigt das Portal die einzelnen VMs in Azure an und welche bereits an Azure Update Management angebunden sind. Dabei unterscheidet Azure nicht zwischen den verschiedenen Betriebssystemen. Durch die Auswahl von "Aktivieren" flanschen Sie die entsprechenden Computer an.
Bild 1: Azure-VMs, solche aus anderen Clouddiensten sowie Server im lokalen Rechenzentrum lassen sich an Azure Update Management anflanschen.
Updates planen und automatisieren
Im Webportal von Azure Update Management erkennen Sie in der Updateverwaltung, welche Server nicht auf aktuellem Stand sind. Dazu klicken Sie in der Ressourcengruppe, in der Sie Azure Update Management integriert haben, auf das erstellte Automation-Konto und dann auf "Updateverwaltung". Hier sehen Sie Server, die nicht konform sind, auf denen also Updates fehlen, sowie die konformen Server und weitere Informationen.
Das Anbinden von Computern an Azure Update Management ist der erste Schritt, um die jeweiligen Computer mit Updates zu versorgen. Mit einem Bereitstellungsplan automatisieren Sie die Updatesteuerung auf den angebundenen Computern anschließend. Hierüber können Sie Zeitpläne definieren, bestimmte Updates freigeben und konfigurieren, welche Updates die Server automatisiert installieren sollen – vollkommen unabhängig davon, in welchem Rechenzentrum die Computer laufen.
Das Erstellen von Zeitplänen nehmen Sie mit dem Menüpunkt "Updatebereitstellung planen" vor. Dieser ist bei "Updateverwaltung" im Bereich des Azure-Update-Management-Kontos zu finden. Zunächst geben Sie dem Plan einen Namen, zum Beispiel "Monatlicher Patchday". Danach wählen Sie aus, ob er für Windows- oder Linux-Computer gilt. Danach entscheiden Sie sich für die Computergruppen, die Sie anbinden wollen. Auf der Seite zur Konfiguration der Gruppen konfigurieren Sie, ob Sie VMs aus Azure oder von außerhalb anbinden wollen. Gruppen lassen sich auf Basis des Azure-Abonnements, des Standorts, der Speicherorte und mit Tags filtern. Nach der Definition der Gruppen fügen Sie die Computer hinzu, die Sie über den Zeitplan aktualisieren wollen.
Ein wichtiger Bereich ist die Auswahl der einzelnen Updateklassifizierungen. Hier stehen zum Beispiel herkömmliche Updates, Rollups, Sicherheitsupdates, wichtige Updates und Feature Packs zur Auswahl. Einzelne Aktualisierungen können Sie auf Basis der Knowledgebase-IDs von der Installation aus- oder einschließen.
In der Übersicht der Updateverwaltung, unterhalb des Update-Management-Kontos, sind für die einzelnen Computer mehrere Menüpunkte zu sehen, die für die Verwaltung eine wesentliche Rolle spielen. "Computer" listet zunächst die an Azure Update Management angebundenen Computer samt Basisinformationen auf. Dazu gehört die Anzahl der fehlenden Updates auf dem Computer und ob der Management-Agent aktuell eine Verbindung zu Azure aufbauen kann, wenn es sich nicht um eine Azure-VM handelt.
Über den Menüpunkt "Fehlende Updates" erkennen Sie, welche Updates auf den Computern aktuell noch nicht installiert sind. Hier zeigt Azure Update Management, auf wie vielen Computern die Updates fehlen. Diese unterscheiden sich hier zwischen Aktualisierungen für Win­dows und für Linux. Haben Sie einen Bereitstellungszeitplan erzeugt, dann ist der Plan im Menüpunkt "Bereitstellungszeitpläne" zu sehen. Selbstverständlich sind hier mehrere Pläne möglich. Klicken Sie auf einen Bereitstellungszeitplan, lassen sich dessen Einstellungen anpassen.
Ob die Bereitstellungszeitpläne auf den Computern funktionieren, sehen Sie bei "Verlauf". In Bereitstellungszeitplänen können Sie spezifische Updates auf Basis der Knowledgebase-IDs hinzufügen oder IDs ausschließen. Die genauen IDs sehen Sie wiederum bei "Fehlende Updates". Klicken Sie auf ein Update, öffnet sich die Supportseite von Microsoft mit ausführlichen Hinweisen zur entsprechenden Aktualisierung. Klicken Sie doppelt auf die Zeile eines Updates, wechselt das Fenster in den Log-Analytics-Bereich für das Updatemanagement.
Bild 2: Im Dashboard von Azure-VMs lässt sich die Updatesteuerung an Azure Update Management delegieren.
VM-spezifische Updatemethoden
Im Rahmen der VM-Erstellung in Azure lassen sich weitere Anpassungen vornehmen, mit denen Sie die VMs aktualisieren. Dies läuft teilweise über das Azure Update Management ab, es gibt aber auch Funktionen, die nichts mit Azure Update Management zu tun haben.
So können Sie etwa beim Einsatz von "Windows Server 2022 Datacenter: Azure Edition" die Hotpatch-Funktion für Azure-VMs in der Cloud oder auf Azure Stack HCI setzen. Hotpatching ermöglicht das Installieren von Updates, ohne dass der komplette Server jedes Mal neu starten muss. Wenn einzelne Dienste oder Bereiche eines Servers nach der Installation von Updates einen Neustart erfordern, dann fahren nur diese neu hoch. Das dauert Sekundenbruchteile und Anwender bemerken in den meisten Fällen keinerlei Beeinträchtigungen. Die Workloads bleiben also dauerhaft aktiv.
Darüber hinaus stehen bei "Optionen für die Patchorchestrierung" vier Einstellungen zur Verfügung, die das Installieren von Updates für die verschiedenen Quellen nachhaltig beeinflussen – nicht alle Punkte sind jedoch auf alle Images anwendbar:
- Automatisch durch Betriebssystem
- Azure-orchestriert
- Manuelle Updates
- Standardwert des Images
Bei der Auswahl von "Automatisch durch das Betriebssystem" lassen sich Windows-Server über die automatische Updateinstallation innerhalb von Windows automatisiert aktualisieren. Ein Beispiel für die Bereitstellung ist entweder die im virtuellen Betriebssystem integrierte Aktualisierung oder es kommt Azure Update Management zum Einsatz.
Automatische VM-Gast-Patches
Bei den Einstellungen zur automatischen Installation von Patches für Azure-VMs lässt sich die Option "Automatische VM-Gast-Patches für Azure-VMs aktivieren" nutzen. Diese installiert alle kritischen Updates und Sicherheitspatches, aber keine Definitionsdateien für Microsoft Defender. Dazu überprüft Azure automatisch, wann eine VM wenig belastet ist und installiert die Updates im Hintergrund. Alle Aktionen dazu laufen automa­tisiert in Azure ab. Das System prüft regel­mäßig, ob es für VMs Updates gibt und installiert diese. Neustarts erfolgen außerhalb von Spitzenzeiten. Die Funktion unterstützt aber nicht alle Images. Auf der gleichnamigen Webseite [1] erläutert Microsoft die Möglichkeiten dieser Option und auf was Sie dabei achten müssen.
Mit "Azure-orchestriert" legen Sie fest, dass Windows- und Linux-Server nicht mehr durch die integrierten Updatefunktionen der Betriebssysteme aktualisiert werden, sondern nur durch Azure selbst. Das funktioniert aber nur für ausgewählte Images in Azure. Ist die Funktion für das jeweilige Image nicht verfügbar, graut der Einrichtungsassistent diese Option aus.
Bei "Manuelle Updates" installiert Azure keinerlei Updates automatisch. Sie müssen dann selbst Hand anlegen und die Verwaltung der Aktualisierung über Richtlinien steuern. Das geht in Azure zum Beispiel mit Azure Update Management, aber auch mit WSUS. In diesem Fall ist in Azure oder im lokalen Rechenzentrum beim Einsatz von Azure Stack HCI ein WSUS-Server notwendig, über den sich die jeweiligen Azure-VMs mit Updates versorgen lassen. Die Option "Standardwert des Images" kommt bei Linux-Servern zum Einsatz, wenn "Azure-orchestriert" nicht zur Verfügung steht.
Nach dem Erstellen der VM lassen sich die Einstellungen in vielen Fällen nachträglich ändern. Dazu finden Sie über den Menüpunkt "Updates" die Schaltfläche "Updateeinstellungen". Hier wählen Sie für Ihre verschiedenen Azure-VMs aus, nach welchem Prinzip Sie diese aktualisieren wollen. Damit dieser Menüpunkt erscheint, ist es notwendig, den Punkt "Neues Updateverwaltungscenter testen" zu nutzen. Wenn Microsoft diese neue Ansicht automatisch aktiviert, ist der Menüpunkt unmittelbar verfügbar.
Azure Update Management Center
Haben Sie eine Azure-VM erzeugt, steht im Dashboard wie erwähnt der Menüpunkt "Updates" zur Verfügung, mit dem Sie die VM an Azure Update Management anbinden. Hier erscheinen mehr Menüpunkte, wenn die neue Benutzeroberfläche aktiviert ist. Falls Sie diese nicht mehr benötigen, beenden Sie sie einfach mit "Neue Benutzeroberfläche verlassen". Parallel dazu können Sie an dieser Stelle das neue und noch im Preview befindliche Azure Update Management Center öffnen. Hierüber steuern Sie die Installation von Updates im Betriebssystem über das Azure-Portal. Zunächst lassen Sie mit "Auf Updates prüfen" die VMs scannen, um zu kontrollieren, ob Updates fehlen. Ist das der Fall, zeigt das Portal die fehlenden Updates an. Anschließend legen Sie fest, ob Sie die Aktualisierung einmalig manuell durchführen möchten. In diesem Fall greifen Sie auf den Menüpunkt "Einmaliges Update" zurück. Wollen Sie die Installation der Updates zu einem späteren Zeitpunkt durchführen, entscheiden Sie sich für "Updates planen".
Nach dem Erstellen einer Azure-VM ergibt es durchaus Sinn, diese zunächst zu aktualisieren, um sicherzustellen, dass die eingestellten Optionen funktionieren. Nach der Auswahl von "Einmaliges Update" wählen Sie die VMs aus, die Sie in diesem Schritt aktualisieren wollen. Für jede VM zeigt Azure den Status an und wie viele Updates fehlen. Danach definieren Sie, welche Updates Sie aufspielen wollen. Hier bietet sich der Menüpunkt "Updateklassifizierung einschließen" und dann "Select all" an.
Im Anschluss bestimmen Sie noch, ob die VMs bei Bedarf auf jeden Fall neu starten sollen oder ob Sie einen Neustart der VM überlassen. Danach erhalten Sie eine Zusammenfassung und Azure installiert die gefundenen Updates auf der VM. Den Status sehen Sie im Azure-Portal. Sie müssen dazu nicht in die Oberfläche des Betriebssystems wechseln.
Nutzen Sie das Azure Update Management Center, lassen sich im Portal alle angebundenen Azure-VMs auf einmal verwalten. Sie sehen im Dashboard des Update Management Centers verschiedene Diagramme, die anzeigen, auf welchen VMs Updates fehlen und wie viele VMs an die Umgebung angebunden sind. Über Azure Policy führen Sie einen automatisierten Scan über alle angebundenen VMs hinweg durch. Dazu klicken Sie im Azure Update Management Center bei "Computer" auf "Jetzt aktivieren" bei "Aktivieren Sie die regelmäßige Bewertung". Danach durchsucht Azure automatisch alle Azure-VMs nach fehlenden Updates und installiert diese auf Basis der Einstellungen, die Sie im Update Management Center und in den Settings der VMs hinterlegt haben.
Bild 3: Im noch im Preview befindlichen Azure Update Management Center visualisiert Microsoft die Aktualisierungsverwaltung in Azure.
Fazit
Um Azure-VMs zu aktualisieren, gibt es zahlreiche Möglichkeiten, die sich teils schon beim Auflegen einer VM festlegen lassen. Generell ist es bei allen Azure-VMs und allen unterstützten Betriebssystemen möglich, Updates mit Bordmitteln des Betriebssystems zu verteilen. Oft kann der Betrieb von Azure Update Management aber sinnvoller sein.
(ln)
Link-Codes