Partager via

Planifier le déploiement pour la mise à jour des machines virtuelles Windows dans Azure

Pare-feu Azure
Machines virtuelles Azure
Réseau virtuel Azure

Si vous avez verrouillé votre réseau virtuel Azure à l’Internet, vous pouvez toujours obtenir des mises à jour Windows sans globalement compromettre la sécurité ni ouvrir un accès à Internet. Cet article contient des recommandations sur la configuration d’un réseau de périmètre, également appelé DMZ, pour héberger une instance de WSUS (Windows Server Update Service) permettant de mettre à jour de manière sécurisée des réseaux virtuels sans connectivité Internet.

Si vous utilisez le Pare-feu Azure, vous utilisez la WindowsUpdate balise FQDN dans les règles d’application pour autoriser le trafic réseau sortant requis via votre pare-feu. Pour plus d’informations, consultez la vue d’ensemble des balises FQDN et Planifier les mises à jour logicielles - Configurer des pare-feu.

Pour mettre en œuvre les recommandations de cet article, vous devez avoir une certaine connaissance des services Azure. Les sections suivantes décrivent la conception de déploiement recommandée, qui utilise une configuration hub-spoke dans une seule région ou une configuration multirégion.

Topologie de réseau hub-spoke de réseau virtuel Azure

Nous vous recommandons de configurer une topologie de réseau de modèle hub-spoke en créant un réseau de périmètre. Hébergez le serveur WSUS sur une machine virtuelle Azure se trouvant dans le hub, entre Internet et les réseaux virtuels. Le hub doit avoir des ports ouverts. WSUS utilise le port 80 avec le protocole HTTP et le port 443 avec le protocole HTTPS pour obtenir les mises à jour de Microsoft. Les spokes représentent tous les autres réseaux virtuels qui communiquent avec le hub et non avec Internet. Pour ce faire, vous devez créer un sous-réseau, des groupes de sécurité réseau (NSG) et un appairage de réseaux virtuels Azure qui autorise le trafic WSUS tout en bloquant le trafic Internet. Cette image illustre un exemple de topologie hub-spoke :

Diagramme de l’architecture de topologie hub-spoke.

Téléchargez un fichier Visio de cette architecture.

Dans cette image :

  • snet-wsus est le sous-réseau dans le hub de la topologie hub-and-spoke qui contient le serveur WSUS.
  • nsg-ds est une règle de groupe de sécurité réseau qui autorise le trafic pour WSUS tout en bloquant d’autres trafics Internet.
  • La machine virtuelle windows Server Update Service est la machine virtuelle Azure configurée pour exécuter WSUS.
  • snet-workload est un exemple de sous-réseau dans un réseau virtuel spoke appairé contenant des machines virtuelles Windows.
  • nsg-ms est une stratégie de groupe de sécurité réseau qui autorise le trafic vers la machine virtuelle WSUS, mais refuse tout autre trafic Internet.

Vous pouvez réutiliser un serveur existant ou déployer un nouveau serveur qui devient le serveur WSUS. Votre machine virtuelle WSUS doit répondre à la configuration système requise documentée. Comme il s’agit d’une fonctionnalité sensible à la sécurité, vous devez planifier l’accès à cette machine virtuelle à l’aide du JIT (juste-à-temps). Consultez Gérer l’accès aux machines virtuelles à l’aide de l’accès juste-à-temps.

Votre réseau aura plusieurs réseaux virtuels Azure, ceux-ci pouvant se trouver dans la même région ou dans des régions différentes. Vous devez évaluer toutes les machines virtuelles Windows Server pour voir si elles peuvent être utilisées en tant que serveur WSUS. Si vous avez des milliers de machines virtuelles à mettre à jour, nous vous recommandons de dédier une machine virtuelle Windows Server au rôle WSUS. Nous encourageons également les machines virtuelles à ne pas utiliser de serveur WSUS dans une autre région comme source principale.

Si tous vos réseaux virtuels se trouvent dans la même région, nous suggérons la mise en place d’un WSUS par tranche de 18 000 machines virtuelles. Cette suggestion s’appuie sur une combinaison des exigences de la machine virtuelle, du nombre de machines virtuelles clientes en cours de mise à jour et du coût des communications entre les réseaux virtuels. Pour plus d’informations sur les besoins en capacité de WSUS, consultez Planifier votre déploiement WSUS.

Vous pouvez déterminer le coût de ces configurations à l’aide de la calculatrice de prix Azure. Vous devez fournir les spécifications de vos machines virtuelles WSUS et de vos attentes en matière de réseau ; même région, entre régions. Pour le transfert de données, commencez par 3 Go. Les prix varient selon la région.

Déploiement manuel

Une fois que vous avez identifié le réseau virtuel Azure à utiliser ou que vous devez créer une instance Windows Server, vous devez créer une règle de groupe de sécurité réseau. La règle autorise le trafic Internet, ce qui permet aux métadonnées et au contenu Windows Update de se synchroniser avec le serveur WSUS que vous créez. Voici les règles que vous devez ajouter :

  • Règle NSG de trafic entrant/sortant pour autoriser le trafic vers et à partir de l’Internet sur le port 80 (pour le contenu).
  • Règle NSG de trafic entrant/sortant pour autoriser le trafic vers et à partir de l’Internet sur le port 443 (pour les métadonnées).
  • Règle NSG de trafic entrant/sortant pour autoriser le trafic des machines virtuelles clientes sur le port 8530 (par défaut, sauf si configuration autre).

Configurer WSUS

Vous pouvez suivre deux approches pour configurer votre serveur WSUS :

  • Si vous souhaitez paramétrer automatiquement un serveur configuré pour gérer une charge de travail classique avec une administration minimale exigée, vous pouvez utiliser le script d’automatisation PowerShell.
  • Si vous devez gérer des milliers de clients exécutant différents systèmes d’exploitation et langues, ou si vous souhaitez configurer WSUS de telle sorte que le script PowerShell ne puisse pas gérer, vous pouvez configurer WSUS manuellement. Les deux approches sont décrites plus loin dans cet article.

Vous pouvez également combiner les deux approches. Pour cela, utilisez d’abord le script d’automatisation pour effectuer la majeure partie du travail, puis la console d’administration WSUS pour ajuster les paramètres du serveur.

Configurer WSUS à l’aide d’un script Automation

Le Configure-WSUSServer script vous permet de configurer un serveur WSUS qui synchronisera et approuvera automatiquement les mises à jour d’un ensemble choisi de produits et de langues.

Notes

Le script configure toujours WSUS afin qu’il utilise la base de données interne Windows pour y stocker ses données de mise à jour. L’installation est ainsi accélérée et la complexité de l’administration, réduite. Toutefois, si votre serveur prend en charge des milliers d’ordinateurs clients, en particulier si vous devez également prendre en charge un large éventail de produits et de langages, vous devez configurer WSUS manuellement pour pouvoir utiliser SQL Server comme base de données.

La version la plus récente de ce script est disponible sur GitHub.

Vous configurez le script à l’aide d’un fichier JSON. Vous pouvez actuellement configurer ces options :

  • Si les charges utiles de mise à jour doivent être conservées sur les serveurs Microsoft ou stockées localement (et, si tel est le cas, où elles doivent être stockées).
  • Quels produits, classifications de mise à jour et langues doivent être disponibles sur le serveur.
  • Si le serveur doit approuver automatiquement les mises à jour pour l’installation, ou laisser les mises à jour non approuvées à moins qu’un administrateur les approuve.
  • Si le serveur doit récupérer automatiquement les nouvelles mises à jour de Microsoft et, le cas échéant, à quelle fréquence.
  • Si les packages de mise à jour rapide doivent être utilisés. (Les packages de mise à jour rapide réduisent la bande passante de serveur à client aux dépens de l’utilisation du processeur/disque du client et de la bande passante de serveur à serveur.)
  • Si le script doit remplacer ses paramètres précédents. (En règle générale, pour éviter la reconfiguration par inadvertance qui peut perturber le fonctionnement du serveur, le script ne s’exécute qu’une seule fois sur un serveur donné.)

Copiez le script et son fichier de configuration dans le stockage local, puis modifiez le fichier de configuration en fonction de vos besoins.

Avertissement

Soyez prudent quand vous modifiez le fichier de configuration. La syntaxe utilisée pour les fichiers de configuration JSON est stricte. Si vous modifiez par inadvertance la structure du fichier au lieu des valeurs de paramètre, le fichier de configuration n’est pas chargé.

Vous pouvez exécuter ce script de deux manières :

  • Vous pouvez exécuter le script manuellement, à partir de la machine virtuelle WSUS.

    La commande suivante, exécutée à partir d’une fenêtre d’invite de commandes avec élévation de privilèges, installe et configure WSUS. Elle utilise le script et le fichier de configuration dans le répertoire actif.

    powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json

  • Vous pouvez utiliser l’extension de script personnalisé pour Windows.

    Copiez le script et le fichier de configuration JSON dans votre propre conteneur de stockage qui dispose d’une ligne de vue réseau privée sur la machine virtuelle WSUS.

    Dans les configurations de machine virtuelle et de réseau virtuel Azure classiques, l’extension de script personnalisé n’a besoin que des deux paramètres suivants pour exécuter le script correctement. (Vous devez remplacer les valeurs indiquées ici par les URL de vos emplacements de stockage.)

    settings: {
  fileUris: [
    'https://yourstorageaccount.blob.core.windows.net/wsus/Configure-WSUSServer.ps1'
    'https://yourstorageaccount.blob.core.windows.net/container/WSUS-Config.json'
  ]
  commandToExecute: 'powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json'
}

Le script démarrera la synchronisation initiale qui permet de rendre les mises à jour disponibles pour les ordinateurs clients. Toutefois, il n’attendra pas que cette synchronisation se termine. Selon les produits, les classifications et les langues que vous avez sélectionnés, la synchronisation initiale peut prendre plusieurs heures. Toutes les synchronisations après celle-là doivent être plus rapides.

Configurer WSUS manuellement

À partir de votre machine virtuelle WSUS, suivez les instructions indiquées dans Installer le rôle serveur WSUS

Au cours de la synchronisation, WSUS détermine si de nouvelles mises à jour ont été mises à disposition depuis la dernière synchronisation. Si c’est la première fois que vous synchronisez WSUS, les métadonnées sont téléchargées immédiatement. La charge utile n’est téléchargée que si le stockage local est activé et la mise à jour approuvée pour au moins un groupe d’ordinateurs.

Notes

La synchronisation initiale peut prendre plus d’une heure. Toutes les synchronisations après celle-là doivent être beaucoup plus rapides.

Configurer des réseaux virtuels pour communiquer avec WSUS

Ensuite, configurez l’appairage de réseaux virtuels Azure ou l’appairage de réseaux virtuels global pour communiquer avec le hub. Nous vous recommandons de configurer un serveur WSUS dans chaque région que vous avez déployée pour réduire la latence.

Sur chaque réseau virtuel Azure qui est un spoke, vous devez créer une stratégie de groupe de sécurité réseau qui a les règles suivantes :

  • Règle de groupe de sécurité réseau entrant/sortante pour autoriser le trafic vers la machine virtuelle WSUS sur le port 8530 (par défaut, sauf configuration).
  • Règle de groupe de sécurité réseau entrant/sortante pour refuser le trafic vers Internet.

Créez ensuite l’appairage de réseaux virtuels Azure du spoke vers le hub.

Configurer des machines virtuelles clientes

WSUS peut être utilisé pour mettre à jour n’importe quelle machine virtuelle qui exécute Windows. Pour configurer des clients à l’aide d’une stratégie de groupe, consultez Configurer les ordinateurs clients pour recevoir des mises à jour du serveur WSUS.

Si vous êtes administrateur d’un grand réseau, consultez Configurer les mises à jour automatiques et l’emplacement du service de mise à jour pour obtenir des informations sur l’utilisation des paramètres de stratégie de groupe afin de configurer automatiquement les clients.

Gestionnaire de mise à jour Azure

Vous pouvez utiliser Azure Update Manager pour gérer et planifier les mises à jour du système d’exploitation pour les machines virtuelles qui se synchronisent avec WSUS. L’état des correctifs de la machine virtuelle (autrement dit, les correctifs manquants) est évalué en fonction de la source avec laquelle la machine virtuelle est configurée pour se synchroniser. Si la machine virtuelle Windows est configurée pour l’envoi de rapports à WSUS, les résultats peuvent être différents de ce que Microsoft Update indique en fonction de la date de dernière synchronisation de WSUS avec Microsoft Update. Après avoir configuré votre environnement WSUS, vous pouvez activer Update Management. Pour plus d’informations, consultez la vue d’ensemble d’Azure Update Manager.

Contributeurs

Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.

Auteur principal :

  • Paul Reed | Responsable de programme de conformité Azure senior

Étapes suivantes

  • Pour plus d’informations sur la planification d’un déploiement, consultez Planifier votre déploiement WSUS.
  • Pour plus d’informations sur la gestion de WSUS, la configuration d’une planification de synchronisation WSUS et bien plus encore, consultez Administration de WSUS.