Planowanie wdrożenia na potrzeby aktualizacji maszyn wirtualnych z systemem Windows na platformie Azure

Azure Firewall

Azure Virtual Machines

Azure Virtual Network

W przypadku odizolowania sieci wirtualnej platformy Azure od Internetu nadal możesz pobierać aktualizacje systemu Windows bez naruszania zabezpieczeń i otwierania dostępu do całego Internetu. Ten artykuł zawiera zalecenia dotyczące sposobu konfigurowania sieci obwodowej, zwanej również strefą DMZ, pod kątem hostowania wystąpienia usługi Windows Server Update Services (WSUS) w celu bezpiecznego aktualizowania sieci wirtualnych bez połączenia z Internetem.

Jeśli używasz usługi Azure Firewall, użyj tagu WindowsUpdate FQDN w regułach aplikacji, aby zezwolić na wymagany ruch sieciowy wychodzący przez zaporę. Aby uzyskać więcej informacji, zobacz Omówienie tagów nazwy FQDN i Planowanie aktualizacji oprogramowania — Konfigurowanie zapór.

Aby zaimplementować zalecenia z tego artykułu, należy dysponować wiedzą na temat usług platformy Azure. W poniższych sekcjach opisano zalecany projekt wdrożenia, który używa konfiguracji piasty i szprych w jednej konfiguracji regionu lub wielu regionów.

Topologia sieci piasty i szprych usługi Azure Virtual Network

Zalecamy skonfigurowanie topologii sieci modelu gwiazdy przez utworzenie sieci obwodowej. Hostuj serwer WSUS na maszynie wirtualnej platformy Azure znajdującej się w piaście między Internetem i sieciami wirtualnymi. Piasta powinna mieć otwarte porty. Usługa WSUS używa portu 80 dla protokołu HTTP i portu 443 dla protokołu HTTPS w celu uzyskiwania aktualizacji od firmy Microsoft. Szprychy to wszystkie inne sieci wirtualne, które będą komunikować się z piastą, a nie z Internetem. W tym celu można utworzyć podsieć, sieciowe grupy zabezpieczeń i komunikację równorzędną sieci wirtualnych platformy Azure, które zezwolą na ruch usługi WSUS, jednocześnie blokując inny ruch internetowy. Ten obraz przedstawia przykład topologii piasty i szprych:

Diagram architektury topologii piasty i szprych.

Pobierz plik programu Visio z tą architekturą.

Elementy na tym obrazie:

snet-wsus to podsieć w centrum topologii piasty i szprych, która zawiera serwer WSUS.
Nsg-ds to reguła sieciowej grupy zabezpieczeń, która zezwala na ruch dla usług WSUS przy jednoczesnym blokowaniu innego ruchu internetowego.
Maszyna wirtualna usługi Windows Server Update Service to maszyna wirtualna platformy Azure skonfigurowana do uruchamiania programu WSUS.
snet-workload to przykład podsieci w równorzędnej sieci wirtualnej będącej szprychą zawierającą maszyny wirtualne z systemem Windows.
nsg-ms to zasady sieciowej grupy zabezpieczeń, które zezwalają na ruch do maszyny wirtualnej programu WSUS, ale odrzucają inny ruch internetowy.

Możesz ponownie użyć istniejącego serwera lub wdrożyć nowy serwer, który staje się serwerem WSUS. Maszyna wirtualna WSUS musi spełniać udokumentowane wymagania systemowe. Ponieważ jest to funkcja wrażliwa na zabezpieczenia, należy zaplanować dostęp do tej maszyny wirtualnej przy użyciu funkcji just in time (JIT). Zobacz Zarządzanie dostępem do maszyny wirtualnej przy użyciu just in time.

W Twojej sieci będzie istnieć więcej niż jedna sieć wirtualna platformy Azure, która może znajdować się w tym samym lub różnych regionach. Należy ocenić wszystkie maszyny wirtualne z systemem Windows Server, aby sprawdzić, czy można go użyć jako serwera WSUS. Jeśli masz tysiące maszyn wirtualnych do zaktualizowania, zalecamy skorzystanie z maszyny wirtualnej z systemem Windows Server mającej wyłącznie rolę serwera WSUS. Zachęcamy również, aby maszyny wirtualne nie używały serwera WSUS w innym regionie jako źródła podstawowego.

Jeśli wszystkie Twoje sieci wirtualne znajdują się w tym samym regionie, sugerujemy zastosowanie jednego serwera WSUS na 18 000 maszyn wirtualnych. Ta sugestia jest oparta na kombinacji wymagań maszyny wirtualnej i liczby aktualizowanych maszyn wirtualnych klienta oraz kosztów komunikacji między sieciami wirtualnymi. Aby uzyskać więcej informacji na temat wymagań dotyczących pojemności usługi WSUS, zobacz Planowanie wdrożenia usługi WSUS.

Koszt tych konfiguracji można określić za pomocą kalkulatora cen platformy Azure. Musisz podać specyfikacje maszyn wirtualnych programu WSUS i oczekiwań sieciowych; ten sam region, między regionami. W przypadku transferu danych zacznij od 3 GB. Ceny różnią się w zależności od regionu.

Wdrażanie ręczne

Po zidentyfikowaniu sieci wirtualnej platformy Azure do użycia lub ustaleniu, że musisz utworzyć nowe wystąpienie systemu Windows Server, musisz utworzyć regułę sieciowej grupy zabezpieczeń. Reguła zezwala na ruch internetowy, który umożliwia synchronizowanie metadanych i zawartości usługi Windows Update z utworzonym serwerem programu WSUS. Poniżej przedstawiono reguły, które należy dodać:

Reguła sieciowej grupy zabezpieczeń dla ruchu przychodzącego/wychodzącego w celu zezwolenia na ruch do/z Internetu na porcie 80 (dla zawartości).
Reguła sieciowej grupy zabezpieczeń dla ruchu przychodzącego/wychodzącego w celu zezwolenia na ruch do/z Internetu na porcie 443 (dla metadanych).
Reguła sieciowej grupy zabezpieczeń dla ruchu przychodzącego/wychodzącego w celu zezwolenia na ruch z maszyn wirtualnych klienta na porcie 8530 (wartość domyślna, jeśli nie zostanie skonfigurowana inaczej).

Konfigurowanie serwera WSUS

Istnieją dwa podejścia, których można użyć do skonfigurowania serwera WSUS:

Jeśli chcesz automatycznie skonfigurować serwer przeznaczony do obsługi typowego obciążenia przy minimalnym narzucie prac administracyjnych, możesz użyć skryptu automatyzacji programu PowerShell.
Jeśli musisz obsługiwać tysiące klientów z wieloma różnymi systemami operacyjnymi i językami lub jeśli chcesz skonfigurować serwer WSUS w sposób, który nie jest obsługiwany przez skrypt programu PowerShell, możesz skonfigurować serwer WSUS ręcznie. Oba podejścia są opisane w dalszej części tego artykułu.

Te dwa podejścia możesz również połączyć, używając skryptu automatyzacji do wykonania większości zadań, a następnie dostosowując ustawienia serwera przy użyciu konsoli administracyjnej WSUS.

Konfigurowanie programu WSUS przy użyciu skryptu automatyzacji

Skrypt Configure-WSUSServer umożliwia skonfigurowanie serwera WSUS, który automatycznie synchronizuje i zatwierdza aktualizacje dla wybranego zestawu produktów i języków.

Uwaga

Skrypt zawsze konfiguruje serwer WSUS do używania wewnętrznej bazy danych systemu Windows w celu przechowywania danych aktualizacji. Przyspiesza to instalację i zmniejsza stopień skomplikowania administracji. Jeśli jednak serwer będzie obsługiwać tysiące komputerów klienckich, zwłaszcza jeśli potrzebujesz również obsługi szerokiej gamy produktów i języków, należy ręcznie skonfigurować program WSUS, aby można było użyć programu SQL Server jako bazy danych.

Najnowsza wersja tego skryptu jest dostępna w witrynie GitHub.

Skrypt można skonfigurować przy użyciu pliku JSON. Obecnie można skonfigurować następujące opcje:

Czy ładunki aktualizacji powinny być przechowywane lokalnie (i, jeśli tak, gdzie powinny być przechowywane), czy pozostawione na serwerach firmy Microsoft.
Które produkty, klasyfikacje aktualizacji i języki powinny być dostępne na serwerze.
Czy serwer powinien automatycznie zatwierdzać aktualizacje na potrzeby instalacji, czy pozostawić aktualizacje niezatwierdzone, chyba że zatwierdzi je administrator.
Czy serwer powinien automatycznie pobierać nowe aktualizacje firmy Microsoft, a jeśli tak, to jak często.
Czy mają być używane ekspresowe pakiety aktualizacji. Ekspresowe pakiety aktualizacji ograniczają przepustowość serwer-klient kosztem użycia procesora CPU/dysku klienta i przepustowości serwer-serwer.
Czy skrypt powinien nadpisywać swoje poprzednie ustawienia. Zwykle w celu uniknięcia wykonania niezamierzonych czynności związanych z ponowną konfiguracją, które mogą zakłócić działanie serwera, skrypt zostanie uruchomiony tylko raz na danym serwerze.

Skopiuj skrypt i jego plik konfiguracji do magazynu lokalnego, a następnie zmodyfikuj plik konfiguracji zgodnie z potrzebami.

Ostrzeżenie

Podczas edytowania pliku konfiguracji należy zachować ostrożność. Składnia używana w plikach konfiguracji JSON jest rygorystyczna. Jeśli przypadkowo zmienisz strukturę pliku, a nie tylko wartości parametrów, plik konfiguracji nie zostanie załadowany.

Skrypt można uruchomić na jeden z dwóch sposobów:

Skrypt można uruchomić ręcznie z maszyny wirtualnej WSUS.

Następujące polecenie uruchomione w oknie wiersza polecenia z podwyższonym poziomem uprawnień spowoduje zainstalowanie i skonfigurowanie serwera WSUS. Użyje ono skryptu i pliku konfiguracji w bieżącym katalogu.

powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json
Użyć możesz rozszerzenia niestandardowego skryptu dla systemu Windows.

Skopiuj skrypt i plik konfiguracji JSON do własnego kontenera magazynu, który ma widok sieci prywatnej do maszyny wirtualnej programu WSUS.

W typowych konfiguracjach maszyn wirtualnych i sieci Azure Virtual Network rozszerzenie niestandardowego skryptu wymaga tylko następujących dwóch parametrów do prawidłowego uruchomienia skryptu. (Pokazane tutaj wartości należy zastąpić adresami URL swoich lokalizacji przechowywania).
```
settings: {
  fileUris: [
    'https://yourstorageaccount.blob.core.windows.net/wsus/Configure-WSUSServer.ps1'
    'https://yourstorageaccount.blob.core.windows.net/container/WSUS-Config.json'
  ]
  commandToExecute: 'powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json'
}
```

Skrypt uruchomi synchronizację początkową wymaganą do udostępnienia aktualizacji na komputerach klienckich. Skrypt nie czeka jednak na ukończenie tej synchronizacji. W zależności od wybranych produktów, klasyfikacji i języków synchronizacja początkowa może potrwać kilka godzin. Wszystkie późniejsze synchronizacje powinny być szybsze.

Ręczne konfigurowanie serwera WSUS

Na maszynie wirtualnej programu WSUS postępuj zgodnie z instrukcjami znajdującymi się w temacie Instalowanie roli serwera WSUS

Podczas synchronizacji usługi WSUS ustalają, czy od czasu ostatniej synchronizacji udostępniono nowe aktualizacje. Jeśli synchronizacja serwera WSUS odbywa się po raz pierwszy, metadane są pobierane od razu. Ładunek zostanie pobrany tylko wtedy, gdy lokalny magazyn jest włączony i aktualizacja zostanie zatwierdzona dla co najmniej jednej grupy komputerów.

Uwaga

Synchronizacja początkowa może zająć ponad godzinę. Wszystkie późniejsze synchronizacje powinny przebiegać znacznie szybciej.

Konfigurowanie sieci wirtualnych do komunikowania się z serwerem WSUS

Następnie skonfiguruj komunikację równorzędną sieci wirtualnych platformy Azure lub komunikację równorzędną globalnych sieci wirtualnych, aby komunikować się z piastą. Zalecamy skonfigurowanie serwera WSUS w każdym regionie, który został wdrożony, w celu zminimalizowania opóźnień.

W każdej sieci wirtualnej Azure będącej ramieniem należy utworzyć zasady grupy zabezpieczeń sieciowych, które mają następujące reguły:

Reguła sieciowej grupy zabezpieczeń dla ruchu przychodzącego/wychodzącego zezwala na ruch do maszyny wirtualnej programu WSUS na porcie 8530 (domyślnie, chyba że skonfigurowano).
Reguła sieciowej grupy zabezpieczeń dla ruchu przychodzącego/wychodzącego w celu odmowy ruchu do Internetu.

Następnie utwórz komunikację równorzędną sieci wirtualnych platformy Azure od szprychy do piasty.

Konfigurowanie maszyn wirtualnych klienta

Program WSUS może służyć do aktualizowania dowolnej maszyny wirtualnej z systemem Windows. Aby skonfigurować klientów przy użyciu zasad grupy, zobacz Konfigurowanie komputerów klienckich do odbierania aktualizacji z serwera programu WSUS.

Jeśli jesteś administratorem zarządzającym dużą siecią, zobacz Konfigurowanie aktualizacji automatycznych i aktualizowanie lokalizacji usługi, aby uzyskać informacje na temat używania ustawień zasad grupy do automatycznego konfigurowania klientów.

Menedżer aktualizacji platformy Azure

Za pomocą programu Azure Update Manager można zarządzać i planować aktualizacje systemu operacyjnego dla maszyn wirtualnych, które są synchronizowane z programem WSUS. Stan poprawek maszyny wirtualnej (określający brakujące poprawki) jest oceniany na podstawie źródła, z którym skonfigurowano synchronizację maszyny wirtualnej. Jeśli maszyna wirtualna z systemem Windows jest skonfigurowana do raportowania do serwera WSUS, wyniki mogą się różnić od tych pokazywanych w witrynie Microsoft Update w zależności od tego, kiedy usługa WSUS była ostatnio synchronizowana z usługą Microsoft Update. Po skonfigurowaniu środowiska WSUS możesz włączyć rozwiązanie Update Management. Aby uzyskać więcej informacji, zobacz omówienie usługi Azure Update Manager.

Współautorzy

Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.

Główny autor:

Paweł Reed | Starszy menedżer programu zgodności platformy Azure

Następne kroki

Aby uzyskać więcej informacji na temat planowania wdrożenia, zobacz Planowanie wdrożenia usługi WSUS.
Aby uzyskać więcej informacji na temat zarządzania usługą WSUS, konfigurowania harmonogramu synchronizacji usługi WSUS i nie tylko, zobacz Administracja usługą WSUS.

Uruchamianie maszyny wirtualnej z systemem Windows na platformie Azure

Sprzężenie zwrotne

Czy ta strona była pomocna?