relif - stock.adobe.com
So verwalten Sie VM-Updates mit Azure Update Management
Mit Azure Update Management lassen sich Server On-Premises und Azure-VMs aktualisieren. Auch Linux-Server unterstützt der Dienst. Wir erklären, wie das funktioniert
Azure Automation Update Management ist ein Dienst in Microsoft Azure mit dem sich die Installation von Updates vollständig automatisieren lässt. Dafür ist kein zusätzlicher Dienst im lokalen Netzwerk notwendig. Azure Automation Update Management, kurz Azure Update Management, läuft komplett in der Cloud. Anbinden lassen sich VMs im lokalen Netzwerk (On-Premises) und Azure-VMs.
Azure Update Manager verteilt zusätzlich zu Windows- auch Linux-Updates. Zu den unterstützten Linux-Systemen gehören zum Beispiel CentOS, RHEL und SUSE sowie Ubuntu ab Version 14.04. Azure Update Management ist für die Aktualisierung von Servern, aber nicht von Arbeitsstationen mit Windows 10 oder Windows 11 gedacht.
Azure Update Management ist ein vollständig verwalteter Dienst
Bei Azure Update Management handelt es sich um einen vollständig verwalteten Dienst in Azure. Das bedeutet, selbst beim Einsatz mehrerer Netzwerke und der Cloud lassen sich Updates relativ schnell einrichten. Azure Update Management ist zudem in der Lage Virtuelle Maschinen (VMs) in AWS, GCP und anderen Cloud-Plattformen zu aktualisieren. Azure Update Management eignet sich somit als zentrale Lösung in Multi-Cloud-Umgebungen größerer Unternehmen.
Sie können außerdem Windows Server Update Services (WSUS) mit Azure Update Management verknüpfen. Erkennt Azure Update Management, dass ein Server nicht auf dem neuesten Stand ist, stößt der Dienst die Updates an. Dabei ist es möglich, die im lokalen Netzwerk bereitgestellten Updates zu nutzen und nicht vorhandene Aktualisierungen direkt bei Microsoft Update herunterzuladen
Update Management ist Bestandteil von Azure Automation. Nutzer binden Server im Netzwerk über den Azure Monitor Agent an und können sie fortan zentral in der Cloud überwachen. Außerdem bringt der Agent Automation-Aufgaben aus der Cloud in das lokale Rechenzentrum.
Bestandteil von Azure Automation ist neben Update Management auch Log Analytics. Dazu speichern die Server Informationen in Protokollen, die Sie mit Log Analytics auswerten. Die Version der Serverbetriebssysteme ist Gegenstand dieser Überwachung, so dass Sie auch hier fehlende Updates erkennen. Update Management erweitert somit die Überwachungsfunktionen von Azure Monitor zum Steuern von Updates.
Azure Update Management orchestriert die Installation von Updates
Erkennt Azure Update Management fehlende Updates, verteilt das System anhand Ihrer zuvor festgelegten Richtlinien und Zeitpläne die Aktualisierungen auf die Server. Das funktioniert über mehrere Rechenzentren und Cloud-Plattformen hinweg. Als Quelle für die Update-Installation können Sie sowohl den Download von Microsoft Update einstellen, als auch WSUS-Server.
Die Komponenten von Azure Update Management
Azure Update Manager richten Sie wie die meisten Cloud Tools über das Admin Center in Azure ein. Sie nutzen ein vertrautes Tool, mit dem Sie Server im lokalen Rechenzentrum, aber auch Server in der Cloud und natürlich Azure-VMs aktualisieren.
Im Log Analytics Workspace speichert Azure Monitor die Überwachungsdaten von Servern, inklusive der Informationen zu fehlenden Updates. Der Azure Automation Account führt auf Basis dieser Informationen Befehle auf den Servern aus, zum Beispiel die Installation von Updates und anschließende Neustarts. Sie stellen Azure Update Management über Ihren Azure Automation Account ein.
Azure Update Management einrichten
Die Einstellungen für Azure Update Management finden Sie, wie gesagt, im Azure-Portal oder im Windows Admin Center. Das funktioniert generell auch für Azure-VMs, hier ist es aber besser direkt auf das Azure-Portal zu setzen. Für Azure Update Management selbst spielt es keine Rolle, ob die Server virtuell, physisch, im lokalen Rechenzentrum oder in der Cloud laufen.
Im Dashboard von Azure-VMs im Azure-Portal ist der Menüpunkt Updates zu finden. An dieser Stelle steht Aktualisierung mithilfe von Automation zur Verfügung. Sie binden Azure Update Management über Aktualisierungsverwaltung an. Auf dem gleichen Weg entfernen Sie Server wieder aus der Updateverwaltung. In der Weboberfläche sind Azure-VMs und lokale VMs sichtbar, damit Sie Update-Regeln auf Basis der jeweiligen Positionierung des Servers vornehmen können.
Linux-Server automatisiert aktualisieren
Wenn auf Azure-VMs oder auf lokal installierten Servern Linux installiert ist, lassen sich diese an Azure Update Management an der gleichen Stelle anbinden.
Um Linux-Server anzubinden, beispielsweise Azure-VMs, öffnen Sie das Konto von Azure Update Management und klicken auf Updateverwaltung. Über Azure-VMS hinzufügen können Sie VMs in Azure anbinden, unabhängig davon, ob es sich um Windows- oder Linux-Computer handelt.
Wollen Sie Computer außerhalb von Azure anbinden, nutzen Sie die Funktion Nicht-Azure-Computer hinzufügen. Wählen Sie für das Hinzufügen der virtuellen Maschine das gewünschte Azure-Abonnement sowie die Standorte und Ressourcengruppen. Unten im Fenster zeigt das Portal die einzelnen VMs an, auch die bereits an Azure Update Management angebundenen. Dabei unterscheidet Azure nicht zwischen den verschiedenen Betriebssystemen. Mit dem Klick auf Aktivieren werden die ausgewählten Computer über Azure Update Management aktualisiert.
Angebundene Server im Azure-Portal verwalten
Im Webportal von Azure Update Management sind in der Updateverwaltung alle Server zu sehen, zusammen mit ihrem Updatestatus. Hier sind alle Server, konform (aktualisiert) wie nicht konform (nicht aktualisiert) zu sehen.
Im Reiter Fehlende Updates zeigt das Portal an, welche Updates nicht auf dem Server installiert sind und über Bereitstellungszeitpläne planen Sie die automatische Bereitstellung von Updates. Die Installation stoßen Sie über die Schaltfläche Updatebereitstellung planen oben links an.
Hier können Sie auch für die Zukunft Installationszeitpläne anlegen. Sie legen außerdem fest, für welche Computergruppen und Betriebssysteme der Plan gelten soll.
Es ist wichtig, dass Sie Ihr Update richtig klassifizieren. Es stehen zum Beispiel herkömmliche Updates, Rollups, Sicherheitsupdates, wichtige Updates und Feature Packs zur Auswahl. Einzelne Updates lassen sich auf Basis der Knowledgebase-IDs von der Installation aus- oder einschließen.
Sie haben die außerdem die Wahl, ob die Updates einmalig oder nach einem festen Plan regelmäßig installiert werden sollen. Wenn nötig legen Sie danach fest, ob Sie möchten, dass die virtuellen Maschinen nach dem Update neu starten. Zusätzlich können Sie Skripte hinterlegen, die vor und nach der Installation der Patches auf den Computern laufen sollen. Das ist sinnvoll, wenn Sie beispielsweise vor dem Neustart oder dem Patch die Daten sichern möchten.
Computer aus der Azure-Updateverwaltung entfernen
Die Azure-Updateverwaltung erfolgt über den Microsoft Monitoring Agent, der durch die Anbindung auf dem Server installiert ist. Möchten Sie Server manuell aus dem Dienst entfernen, verwenden Sie einfach appwiz.cpl. Der Vorgang löscht den Server auch aus dem Log-Analytics-Bereich. Nach der Aktualisierung der Ansicht steuern Sie die Updates wie gehabt ohne Azure Update Management.
