皆さん、こんにちは!Azure インフラ大好き川野です!
本記事では、現在 Azure でパブリック プレビュー中の Update Management センターについて紹介します。
Update Management センターは、Azure 上で管理している OS のアップデートを自動化するソリューションです。
Update Management センターは現在パブリック プレビュー機能で、既に一般提供 (GA) されている Automation Update Management の後継に当たります。
今回はAutomation Update Management と Update Management センターの比較と、定期的な VM 更新を行う場合の Update Management センターの利用手順を紹介していきます。
現行の Automation Update Management と今回紹介する Update Management センターの比較情報を下表に示しました。
| 項目 | Automation Update Management(現行) | Update Management センター(新) |
|---|---|---|
| ステータス | 一般提供(GA) | パブリック プレビュー |
| 必要なリソース |
|
なし |
| 設定 | Automation から | Update Management センターから |
| 料金 | なし ※Log Analytics へのログ保管料金は別で必要 |
なし ※今後変更の可能性あり |
| 必要なエージェント | Log Analytics エージェント ※2024 年 8 月に廃止予定 |
マシンに合わせて以下のいずれか
|
| 対象マシン |
|
|
大きな違いとしては必要なリソースとエージェントが挙げられます。
Automation Update Management ではその名の通り Automation アカウントや Log Analytics ワークスペースといった他のリソースが必要で、それに伴って VM に Log Analytics エージェントをインストールしておく必要があったりと準備が必要でした。
それに対し、Update Management センターは更新対象の VM さえあれば他にリソースを用意する必要がありません。
エージェントに関しても、Update Management センターで使用する VM 拡張機能は VM 作成時にデフォルトで入る※1エージェントによって管理されるため、追加でエージェントのインストールは不要です。
特に Log Analytics エージェントは 2024 年 8 月に廃止が予定されているため、いずれは Update Management センターへの移行が推奨となりそうです。
インフラ観点では通信要件も気になるところですが、こちらも関連リソースが無い分シンプルです。
拡張機能の管理と更新情報の取得に必要な通信要件は以下です。
Update Management センター拡張機能の管理に必要なアウトバウンドポート(上2つ)と各 OS の通常のアップデートに必要なアウトバウンドポート(下2つ)を開放する必要があります。
※1:Azure Marketplace のイメージから作成した場合のみ
※2:IP アドレス 168.63.129.16 とは (MS Learn)
※3:Update Management センター (プレビュー) について - ネットワークの計画 (MS Learn)
特徴が分かったところで、実際に Update Management センターを使用した OS アップデートの手順を確認していきます。
本記事では最も良く使うであろう、Windows VM での定期的なアップデートの設定手順を紹介します。
※Azure ポータルの内容は 2023 年 8 月時点のものです。
Azure ポータルから「Update management center (Preview)」を開きます。最初は概要ページが表示されます。
左ペインから「マシン」を選択してみましょう。
表示しているサブスクリプション内にあるマシンが一覧表示されます。
該当のマシンでまだ Update Management センターを使用したことが無い場合は、更新状態が「更新データがありません」という表示になっています。
これは、先述の拡張機能がまだインストールされていないことによる表示です。
Update Management センターの初回操作時に拡張機能が自動インストールされるのでご心配なく。
(デフォルトで入っているエージェントによって初回操作時に拡張機能が入る、という関係です。ややこしいですね)
まずは更新を設定する VM を選択し、「設定の更新」に進みます。
「更新プログラムの設定を変更する」という画面に移動します。
マシンごとに各パラメータを選択していきます。
定期的な更新を行う場合はここの「パッチ オーケストレーション」で「カスタマー マネージド スケジュール (プレビュー) 」を選択するようにしてください。
| 項目 | 選択肢 | 内容 |
|---|---|---|
| 定期評価 |
|
24 時間ごとに更新プログラムの有無を自動確認するかどうか |
| ホットパッチ |
|
一部対応 OS のみ対応の再起動不要の更新 ※4 |
| パッチ オーケストレーション |
|
定期的な更新を行う場合はカスタマー マネージド スケジュール (プレビュー)を選択する
詳細はドキュメントの「パッチ オーケストレーションのモード」を参照 ※5 |
※5:Azure VM での VM ゲストの自動パッチ適用 (MS Learn)
選択が完了したら「保存」を押します。
「スケジュールの更新」を選択し、「メンテナンス構成の作成」画面に移動します。
スケジュール設定は「インスタンスの詳細」の「構成名」をリソース名として保存されます。
「メンテナンス スコープ」では対象のマシンに合わせて該当するものを選択します。通常の仮想マシンの場合は「ゲスト (Azure VM、Arc 対応 VM/サーバー)」を選択します。
「再起動の設定」からは更新プログラムのインストール時に OS を再起動するかどうかを選択できます。
ここまで入力できたら、「スケジュールの追加」から更新プログラムの適用スケジュールを設定しましょう。
「動的スコープ (プレビュー)」タブではターゲットマシンを動的な条件で指定できます。
これは既存の Automation Update Management には無い機能ですね!
リソースグループやタグ、VM か Arc か、OS の種類、リージョンといった条件でターゲットマシンを指定できるため、後からマシンが追加されうる環境等ではこちらが便利そうです。
タグは「すべて」「いずれか」のどちらかを指定して複数条件にすることも可能です。
静的に対象マシンを追加する場合は「マシン」タブから追加できます。
「更新プログラム」タブでは適用対象の更新プログラムを選択可能です。
セキュリティアップデートのみを当てたい、という設定も可能ということですね。
また、特定の KB/パッケージを指定したり、除外することも可能です。
最後まで入力したら、「確認及び作成」タブから「作成」を選択します。
メンテナンス構成のデプロイが完了すると、リソース画面に移動することができます。
スケジュールを変更したいときは「設定」から各項目を編集できます。
Update Management センターの画面に戻ってマシンの状態を確認してみます。
スケジュールを設定したことで拡張機能がインストールされ、更新状態が表示されるようになりました。
設定したスケジュールまで待機して、マシンの状況を確認してみます。
更新されています!
VM 名を選択すると更新履歴等が確認できます。
操作 ID を選択することで適用された更新プログラムの内容も確認できます。
プレビュー中の Update Management センターについてご紹介しました。
一般提供前ですが、Automation や Log Analytics の準備無しに更新管理ができるという点には既存サービスに無い強みを感じます。
現在 Automation Update Management をご利用の方も、そうでない方も、OS 管理自動化の一環としてご参考になれば幸いです。
