クラウド環境の運用管理において、サーバーへの更新プログラムの適用は非常に重要な作業です。
適切に更新プログラムを適用することで、セキュリティリスクを軽減し、システムの安定性を確保できます。
Azureでは、更新作業を効率化するためにAzure Update Managerというサービスが提供されています。
本記事では、Azure Update Managerの概要からメリット・デメリット、導入方法まで分かりやすく解説します。
1. Azure Update Managerの概要
1-1. Azure Update Managerについて
Azure Update Managerは、Azureの仮想マシン、AWS等の他のクラウドサービスの仮想マシン、オンプレミスサーバーを対象に、更新プログラムの適用を一元的に管理・実行できるAzureのサービスです。
ただし、Azure以外のサーバーを扱うためには、それらをAzure Arcに登録する必要があります。(Azure Arcについては、後ほど簡単に紹介します。)
Azure Update Managerは、Azureポータルから簡単に利用できます。新規のサーバーを用意する必要はありません。
管理者は更新対象のサーバー、更新のスケジュール、適用する更新プログラムの種類といった設定を行うことができます。
1-2. 対象のOS
Azure Update Managerは、以下のOSのサーバーを管理できます。
- Windows(Windows Server 2012 以降)
- Linux(Ubuntu、Red Hat、CentOS 等の主要なディストリビューション)
管理できるOSについてのより詳しい情報は、Microsoftの情報をご参照ください。
URL:Azure Update Manager のサポート マトリックス | Microsoft Learn
2. メリット・デメリット
2-1. メリット
- クラウドサービスとしてのメリット
従来、オンプレミスサーバーあるいはクラウド上のIaaS仮想マシンにWSUSという機能を追加して更新管理を行うことが一般的でした。
一方、Azure Update Managerはクラウド上のマネージドサービスであるため、クラウドのメリットをそのまま享受できます。 - Azureポータルからの一元管理
Azure Update Managerは、Azureポータルから簡単に操作できます。
各サーバーで個別に更新作業を行う手間が省け、運用の効率が大幅に向上します。
また、更新状況をリアルタイムで監視できます。
Azure Update Managerの管理下にあるサーバーの更新設定を確認したり、更新が失敗した場合のエラー内容を把握したりできます。 - 自動更新の設定
Azure Update Managerでは、更新作業を手動で行うこともできますが、スケジュールを設定して自動的に更新作業を行うことも可能です。
業務時間外あるいはメンテナンス用の時間に更新を実行することが可能で、更新プログラム適用による予期せぬシステム停止を防ぐことができます。
2-2. デメリット
- インターネット接続に依存
更新プログラムをダウンロードして配布する機能は、Azure Update Managerにはありません。
基本的に、WindowsはWindows Updateから、Linuxはインターネット上のリポジトリから、更新プログラムを取得します。
そのため、インターネット接続が制限されている環境ではAzure Update Managerの利用が難しくなります。 - 特定のOSに依存
前述の通り、Azure Update Managerは主要なWindows・Linuxに対応していますが、すべてのOSに対応している訳ではありません。
また、Azure以外のサーバーはAzure Arcに登録する必要があります。そのため、Azure Arcに登録できないOSのサーバーはAzure Update Managerで管理することができません。
3. 導入方法
Azure Update Managerでは、手動更新と自動更新の両方を行うことができますが、ここでは、Azureの仮想マシン・Azure以外のサーバーを対象として、自動更新を構成することをゴールとして、導入方法について解説します。
3-1. Azure以外のサーバをAzure Arcに登録(Azureの仮想マシンのみを管理する場合は不要)
Azure以外のサーバーをAzure Update Managerで管理するためには、それらをAzureの管理対象にする必要があります。
これを可能にするのがAzure Arcです。オンプレミスサーバー・他のクラウドサービスの仮想マシンをAzure Arcに登録することで、それらをAzureポータルから管理できるようになります。
本記事では細かい登録手順は割愛します。大まかな流れは次の通りです。
- Azureポータルにサインインして、Azure Arcを開きます。
- 登録したいサーバーにAzure Arcのエージェントをインストールするため、スクリプトあるいはインストーラーを用意します。
- 登録したいサーバーにて、用意したスクリプトあるいはインストーラーを実行して、Azure Arcに登録します。
3-2. 「メンテナンス構成」を作成
「メンテナンス構成」は、Azureポータルから作成できるリソースのひとつです。
メンテナンス構成を作成することで、どのサーバーに対して、いつ、どの更新プログラムを適用するのかを設定することができます。
作成手順は次の通りです。
- Azureポータルにサインインして、Azure Update Managerを開きます。
- 「スケジュールの更新」を選択すると。メンテナンス構成を作成する画面へ遷移します。
ここでは、様々な設定を行うことができますが、本記事では特に、次の3つの項目について解説します。
- 更新のスケジュール
- 対象とするサーバー
- 更新プログラムの種類
更新のスケジュール
「基本」のタブから、「スケジュールの追加」を選択することで設定します。
具体的な項目は、次の通りです。
- 開始日:自動更新を開始するタイミングを指定します。
- メンテナンス期間:最短1時間30分、最長3時間55分で設定することができます。
この時間内に、更新プログラムのダウンロード・インストールが実行されます。 - 繰り返し:更新を行う頻度を設定します。毎日、毎週といった設定はもちろん可能です。
さらに、2週間ごとの月曜・金曜、毎月10日・20日・30日、といった詳細な設定を行うことも可能です。 - 終了日:自動更新を終了するタイミングを指定します。
設定しないことも可能で、その場合は永久的に「メンテナンス期間」「繰り返し」で設定した内容で更新が行われます。
対象とするサーバー
「リソース」あるいは「動的スコープ」のタブで設定します。
「リソース」のタブから設定する場合は、対象とするサーバーを直接指定します。複数選択できます。
「動的スコープ」のタブから設定する場合は、サブスクリプション・リソースグループ・リソースの種類(Azureの仮想マシン / Azure Arcに登録されているサーバー)・OSの種類・タグ、といった条件で対象を絞り込みます。
こちらで設定した場合、新しく条件に合致するサーバーが作成された時に、自動で対象のサーバーと判断され、自動更新が実施されます。
更新プログラムの種類
「更新プログラム」のタブで設定します。適用する更新プログラムの種類を選択できます。
例えば、セキュリティに関する更新プログラムを適用して、新機能に関する更新プログラムは適用しないといった設定にすることが可能です。
また、KB IDを指定することで、特定の更新プログラム・パッチを適用したり、除外することが可能です。
これにより、より詳細に適用する更新プログラムを選択できます。
3-3. 更新状況の監視
Azureポータルで、Azure Update Managerの概要を確認することで、更新状況を監視できます。
Azureの仮想マシン・Azure Arcに登録した仮想マシンを対象に、保留中の更新プログラムの有無、更新の適用方法の種類といった情報を確認できます。
また、更新が成功したか失敗したか、実行された更新内容等が表示されます。
更新に失敗した場合は、エラーメッセージを確認し、手動で更新を再試行することができます。
4. まとめ
Azure Update Managerは、Azure環境で稼働する仮想マシンの更新を自動化し、運用負担を軽減する強力なツールです。
Azure Update Managerを導入することで、より効率的にセキュリティの高い運用を実現できるでしょう。
本サイトではこれからも随時Azure Update Managerについての情報を発信していきますので、ぜひご参照ください。
(この記事が参考になった人の数:2)
読み込み中...