Planejar a implantação para atualizar VMs do Windows no Azure

Caso tenha bloqueado sua rede virtual do Azure pela Internet, você ainda poderá obter atualizações do Windows sem comprometer a segurança e sem abrir o acesso à Internet de modo geral. Este artigo contém recomendações sobre como configurar uma rede de perímetro, também chamada de rede de borda, para hospedar uma instância do WSUS (Windows Server Update Services), a fim de atualizar redes virtuais com segurança sem conectividade com a Internet.

Se você estiver usando o Firewall do Azure, use a WindowsUpdate marca FQDN nas regras de aplicativo para permitir o tráfego de rede de saída necessário por meio do firewall. Para obter mais informações, consulte a visão geral das marcas FQDN e o Plano para atualizações de software – Configurar firewalls.

Para implementar as recomendações deste artigo, você deverá estar familiarizado com os serviços do Azure. As seções a seguir descrevem o design de implantação recomendado, que usa uma configuração hub-spoke em uma única região ou configuração de várias regiões.

Topologia de rede hub-spoke da Rede Virtual do Azure

Recomendamos que você configure uma topologia de rede de modelo hub-spoke criando uma rede de perímetro. Hospede o servidor do WSUS em uma máquina virtual do Azure que esteja no hub entre a Internet e as redes virtuais. O hub deverá ter portas abertas. O WSUS usa a porta 80 para o protocolo HTTP e a porta 443 para o protocolo HTTPS a fim de obter atualizações da Microsoft. Os spokes são todas as outras redes virtuais, que se comunicarão com o hub e não com a Internet. Faça isso criando uma sub-rede, os NSGs (grupos de segurança de rede) e um emparelhamento de rede virtual do Azure que permita o tráfego do WSUS enquanto bloqueia outros tráfegos da Internet. Esta imagem ilustra um exemplo de topologia hub-spoke:

Baixe um Arquivo Visio dessa arquitetura.

Nesta imagem:

• snet-wsus é a sub-rede no hub da topologia hub e spoke que contém o servidor WSUS.
• O nsg-ds é uma regra de grupo de segurança de rede que permite o tráfego do WSUS ao bloquear outro tráfego de Internet.
• A máquina virtual do Serviço de Atualização do Windows Server é a máquina virtual do Azure configurada para executar o WSUS.
• snet-workload é um exemplo de uma sub-rede em uma rede virtual spoke emparelhada que contém máquinas virtuais do Windows.
• O nsg-ms é uma política de grupo de segurança de rede que permite o tráfego para a VM do WSUS, mas nega outro tráfego de Internet.

Você pode reutilizar um servidor existente ou implantar um novo que se torne o servidor do WSUS. Sua VM do WSUS deve atender aos requisitos documentados do sistema. Como essa é uma funcionalidade sensível à segurança, você deve planejar o acesso a essa máquina virtual usando o JIT (Just-In-Time). Consulte Gerenciar o acesso à máquina virtual usando just-in-time.

Sua rede terá mais de uma rede virtual do Azure, que poderá estar na mesma região ou em regiões diferentes. Você precisa avaliar todas as VMs do Windows Server para ver se uma pode ser usada como um servidor WSUS. Se você tem milhares de VMs para atualizar, recomendamos dedicar uma VM do Windows Server à função do WSUS. Também incentivamos que as VMs não usem um servidor WSUS em uma região diferente como sua fonte primária.

Se todas as redes virtuais estão na mesma região, sugerimos ter um WSUS para cada 18 mil VMs. Essa sugestão se baseia em uma combinação de requisitos da VM, no número de VMs cliente que estão sendo atualizadas e no custo da comunicação entre as redes virtuais. Para obter mais informações sobre os requisitos de capacidade do WSUS, confira Planejar a implantação do WSUS.

Determine o custo dessas configurações usando a Calculadora de Preços do Azure. Você precisa fornecer as especificações de suas máquinas virtuais do WSUS e suas expectativas de rede; mesma região, entre regiões. Para transferência de dados, comece com 3 GB. Os preços variam de acordo com a região.

Implantação manual

Depois de identificar a rede virtual do Azure para usar ou determinar se precisa criar uma nova instância do Windows Server, você precisa criar uma regra NSG. A regra permitirá o tráfego da Internet, que permite que metadados e conteúdo do Windows Update sejam sincronizados com o servidor do WSUS que você criar. Estas são as regras que você precisará adicionar:

• Regra do NSG de entrada/saída para permitir o tráfego da Internet e para ela na porta 80 (para o conteúdo).
• Regra do NSG de entrada/saída para permitir o tráfego da Internet e para ela na porta 443 (para os metadados).
• Regra do NSG de entrada/saída para permitir o tráfego das VMs do cliente na porta 8530 (padrão a menos que configurado).

Configurar o WSUS

Há duas abordagens que você poderá usar para configurar o servidor do WSUS:

• Caso deseje configurar automaticamente um servidor para processar uma carga de trabalho típica com administração mínima necessária, use o script de automação do PowerShell.
• Caso precise lidar com milhares de clientes que executam uma variedade de linguagens e sistemas operacionais diferentes ou configurar o WSUS de uma forma com a qual o script do PowerShell não possa lidar, configure o WSUS manualmente. As duas propriedades serão descritas mais adiante neste artigo.

Você também pode combinar as duas abordagens usando o script de automação para fazer a maior parte do trabalho e, em seguida, usando o console administrativo do WSUS para ajustar as configurações do servidor.

Configurar o WSUS usando um script de automação

O Configure-WSUSServer script permite que você configure um servidor do WSUS que sincronizará e aprovará automaticamente atualizações para um conjunto escolhido de produtos e idiomas.

A versão mais recente desse script está disponível no GitHub.

Configure o script usando um arquivo JSON. Atualmente, você pode configurar estas opções:

• Se o conteúdo da atualização deve ser armazenado localmente (e, se for o caso, em que local ele deve ser armazenado) ou mantido nos servidores da Microsoft.
• Quais produtos, classificações de atualização e linguagens devem estar disponíveis no servidor.
• Se o servidor deve aprovar automaticamente as atualizações para instalação ou deixá-las sem aprovação até que um administrador as aprove.
• Se o servidor deve recuperar automaticamente novas atualizações da Microsoft e, em caso afirmativo, com que frequência.
• Se os pacotes da atualização expressa devem ser usados. (Os pacotes da atualização expressa reduzem a largura de banda de servidor para cliente em detrimento do uso de CPU/disco do cliente e da largura de banda de servidor para servidor.)
• Se o script deve substituir as configurações anteriores. (Normalmente, para evitar reconfigurações acidentais que possam interromper a operação do servidor, o script será executado apenas uma vez em determinado servidor.)

Copie o script e seu arquivo de configuração para o armazenamento local e edite o arquivo de configuração para atender às suas necessidades.

Você pode executar esse script de uma destas duas maneiras:

• Execute o script manualmente na VM do WSUS.

  O comando a seguir, executado em uma janela do prompt de comandos com privilégios elevados, vai instalar e configurar o WSUS. Ele usará o script e o arquivo de configuração no diretório atual.

  powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json

• Use a Extensão de Script Personalizado para o Windows.

  Copie o script e o arquivo de configuração JSON para seu próprio contêiner de armazenamento que tenha uma linha de visão de rede privada para a VM do WSUS.

  Em configurações típicas de VM e Rede Virtual do Azure, a Extensão de Script Personalizado precisa apenas dos dois parâmetros a seguir para executar o script corretamente. (Você precisará substituir os valores mostrados aqui pelas URLs para os locais de armazenamento.)

  settings: {
    fileUris: [
      'https://yourstorageaccount.blob.core.windows.net/wsus/Configure-WSUSServer.ps1'
      'https://yourstorageaccount.blob.core.windows.net/container/WSUS-Config.json'
    ]
    commandToExecute: 'powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json'
  }
  

O script começará a sincronização inicial necessária para disponibilizar atualizações para os computadores cliente. Porém, ele não aguardará a conclusão dessa sincronização. Dependendo dos produtos, das classificações e das linguagens selecionadas, a sincronização inicial poderá levar várias horas para ser concluída. Todas as sincronizações posteriores a essa deverão ser mais rápidas.

Configurar o WSUS manualmente

Na VM do WSUS, siga as instruções encontradas na instalação da função de servidor do WSUS

Durante a sincronização, o WSUS determina se alguma atualização nova foi disponibilizada desde a última sincronização. Se esta for a primeira vez que você sincroniza o WSUS, os metadados serão baixados imediatamente. O conteúdo só é baixado se o armazenamento local está ativado e a atualização é aprovada para, pelo menos, um grupo de computadores.

Configurar redes virtuais para comunicação com o WSUS

Em seguida, configure o emparelhamento de rede virtual do Azure ou o emparelhamento de rede virtual global para se comunicar com o hub. Recomendamos que você configure um WSUS em cada região de implantação para minimizar a latência.

Em cada rede virtual do Azure que atua como um spoke, você precisa criar uma política de Grupo de Segurança de Rede (NSG) que contenha estas regras:

• Uma regra NSG de entrada/saída para permitir o tráfego para a VM do WSUS na porta 8530 (padrão, a menos que configurada).
• Uma regra NSG de entrada/saída para negar o tráfego para a Internet.

Em seguida, crie o emparelhamento de rede virtual do Azure do spoke para o hub.

Configurar máquinas virtuais cliente

O WSUS pode ser usado para atualizar qualquer máquina virtual que execute o Windows. Para configurar clientes usando a política de grupo, consulte Configurar computadores cliente para receber atualizações do servidor WSUS.

Se você é um administrador que gerencia uma rede grande, confira Configurar atualizações automáticas e atualizar o local do serviço para obter informações sobre como usar as configurações da Política de Grupo para configurar clientes automaticamente.

Gerenciador de Atualizações do Azure

Você pode usar o Azure Update Manager para gerenciar e agendar atualizações do sistema operacional para VMs que estão sincronizando com o WSUS. O status dos patches da VM (ou seja, quais patches estão ausentes) é avaliado com base na origem com a qual a VM está configurada para sincronização. Se a VM do Windows estiver configurada para fornecer relatórios ao WSUS, os resultados poderão ser diferentes do que é mostrado pelo Microsoft Update, dependendo de quando o WSUS foi sincronizado pela última vez com o Microsoft Update. Depois de configurar o ambiente do WSUS, habilite o Gerenciamento de Atualizações. Para obter mais informações, consulte a visão geral do Azure Update Manager.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Autor principal:

• Paul Reed | Gerente de Programa Sênior de Conformidade do Azure

Próximas etapas

• Para obter mais informações sobre como planejar uma implantação, confira Planejar a implantação do WSUS.
• Para obter mais informações sobre como gerenciar o WSUS, configurar um agendamento de sincronização do WSUS, entre outros, confira Administração do WSUS.

Recurso relacionado

• Executar uma VM do Windows no Azure