Azure Update Management

Azure Update Management 8

Fast sämtliche Ressourcen, welche in der Cloud genutzt werden, verursachen Kosten. Daher muss jeder Nutzer der Public Cloud ressourcenschonend umgehen. Dies geht mit Services meist am besten. Daher wird bei z.B. Update-Management für die Windows-Server und Clients auf einen WSUS-Server verzichtet, da dieser viel Speicher, CPU und RAM verwendet. Die Cloud hebt sich durch die Automatisierung besonders hervor, selbst wenn weiterhin oft auf Infrastructure-as-a-service gesetzt wird. Es wird nun Zeit, dass wir einen genaueren Blick auf eine kostengünstige Patching-Option in Azure werfen. Der Service Update Management ist für Windows und Linux kostenlos verfügbar. Verrechnet werden nur Ressourcen, welche für die Speicherung von Daten sowie für Azure Automation gebraucht werden. Diese Kosten sind normalerweise so gering, dass man diese vernachlässigen kann.

Let’s deploy it

Azure Update Management kann direkt vom Reiter “Operations” in einer VM deployed werden, jedoch wird dann ein Automation-Account und ein Operations Management mit einem beliebigen Namen erstellt. Daher wird in diesem Beispiel der Automation Account manuell erstellt.

Im neu erstellten Automation Account findet sich ein Reiter namens “Update Management”, bei dem nun ein Log Analytics Workspace ausgewählt werden muss. Falls noch keiner vorhanden ist, empfehle ich, hier einen ebenfalls manuell zu erstellen, damit man den Namen des Workspaces bestimmen kann.

Nach kurzer Zeit finden wir unter “Update Management” ein neues Interface, bei dem alle aktuell aktivierten VMs finden.

Sobald der richtige Standort gewählt ist, können nun VMs manuell (“Add Azure VMs”) hinzugefügt werden.

Da wir aber eine automatisierte Lösung suchen, wollen wir einfach alle aktuellen Maschinen und alle neuen Maschinen hinzufügen. Dies kann über “Manage Machines” erreicht werden:

Patching einrichten

Es wird nun ein Patching für sämtliche Windows 10 eingerichtet. Hierfür werden Tags verwendet, welche auf den VMs hinterlegt wurden. Folgende Patches werden installiert:

  • Critical updates
  • Security Updates
  • Update Rollups
  • Feature Packs
  • Service Packs
  • Definition Updates
  • Tools
  • Updates

In unserem Case werden keine Patches ausgeschlossen, es können aber ganz spezifisch Patches aus- und eingeschlossen werden. Der Patching-Schedule wird jeden zweiten Samstag im Monat um 18 Uhr durchgeführt.

Weiter gibt es die Möglichkeit, Scripts vor und nach dem Patching auszuführen. Die Länge des Wartungsfensters kann genau so definiert werden wie ob die VM restarted werden soll. Für den Reboot stehen wiederum mehrere Optionen zur Verfügung:

  • Rebooten falls nötig
  • Nie neustarten
  • Immer neustarten
  • Nur neustarten, keine Updates installieren

Patching

Das Patching findet nun automatisch statt. Bei sämtlichen VMs ist ein Compliance-Status ersichtlich, welcher aufzeigt, ob noch kritische Updates oder Security Patches fehlen. Weiter wird man auf den Log Analytics Workspace mit der entsprechenden VM und den fehlenden Patches weitergeleitet, wenn auf die VM geklickt wird.

Fazit

Das Update Management ist eine solide Grundlage für ein neues Patching-Tool, wobei spezifische Anforderungen sehr gut implementiert werden können. Hier kommt wieder die Stärke von Azure hervor, denn es existieren diverse Schnittstellen und Umsysteme wie Logic Apps, Azure Functions und Integrationen wie z.B. in Change Tracking, was es sehr mächtig macht.

Wir unterstützen Sie!

Sie haben Fragen oder benötigen Hilfe? Zögern Sie nicht uns zu kontaktieren. Wir helfen Ihnen gerne!

Tech Data Software Team
software@techdata.ch
+41 41 799 19 88


Kategorien

Dominic Benndorf