Implementação de planos para atualizar VMs do Windows no Azure

Se tiver bloqueado o acesso à Internet na sua rede virtual do Azure, ainda pode obter atualizações do Windows sem pôr em risco a segurança e sem ter de abrir o acesso à Internet como um todo. Este artigo inclui recomendações para configurar uma rede de perímetro, também chamada DMZ, para alojar uma instância do Windows Server Update Service (WSUS) e atualizar redes virtuais em segurança sem precisar de conectividade à Internet.

Se estiver a utilizar a Firewall do Azure, utilize a WindowsUpdate etiqueta FQDN nas regras de aplicação para permitir o tráfego de rede de saída necessário através da firewall. Para obter mais informações, consulte Visão geral das tags FQDN e Planejar atualizações de software - Configurar firewalls.

Para implementar as recomendações neste artigo, deve estar familiarizado com os serviços do Azure. As seções a seguir descrevem o design de implantação recomendado, que usa uma configuração hub-spoke em uma única região ou configuração de várias regiões.

Topologia de rede hub-spoke da Rede Virtual do Azure

Recomendamos que você configure uma topologia de rede de modelo hub-spoke criando uma rede de perímetro. Aloje o servidor WSUS numa máquina virtual do Azure que esteja no hub entre a Internet e as redes virtuais. O hub deve ter portas abertas. O WSUS utiliza a porta 80 para o protocolo HTTP e a porta 443 para o protocolo HTTPS para obter atualizações da Microsoft. Os spokes são todas as outras redes virtuais, que comunicarão com o hub e não com a Internet. Para tal, crie uma sub-rede, grupos de segurança de rede (NSGs) e um peering de rede virtual do Azure que permita o tráfego do WSUS ao mesmo tempo que bloqueia outro tráfego da Internet. Esta imagem ilustra um exemplo de topologia hub-spoke:

Transfira um ficheiro do Visio desta arquitetura.

Nesta imagem:

• snet-wsus é a sub-rede no hub da topologia hub and spoke que contém o servidor WSUS.
• nsg-ds é uma regra de grupo de segurança de rede que permite tráfego para o WSUS enquanto bloqueia outro tráfego da Internet.
• A máquina virtual do Windows Server Update Service é a máquina virtual do Azure configurada para executar o WSUS.
• snet-workload é um exemplo de uma sub-rede em uma rede virtual peered spoke contendo máquinas virtuais do Windows.
• nsg-ms é uma política de grupo de segurança de rede que permite tráfego para a VM do WSUS, mas nega outro tráfego da Internet.

Pode reutilizar um servidor existente ou implementar um novo que se torne o servidor WSUS. Sua VM do WSUS deve atender aos requisitos de sistema documentados. Como esse é um recurso sensível à segurança, você deve planejar o acesso a essa máquina virtual usando just-in-time (JIT). Veja Gerir o acesso à máquina virtual usando just-in-time.

A sua rede terá mais de uma rede virtual do Azure, que podem estar na mesma região ou em regiões diferentes. Precisa de avaliar todas as VMs do Windows Server para ver se alguma pode ser usada como servidor WSUS. Se tiver de atualizar milhares de VMs, recomendamos dedicar uma VM do Windows Server à função do WSUS. Também incentivamos que as VMs não usem um servidor WSUS em uma região diferente como fonte principal.

Se todas as redes virtuais estiverem na mesma região, sugerimos um WSUS para cada 18 000 VMs. Esta sugestão assenta numa combinação dos requisitos das VMs, no número de VMs cliente que estão a ser atualizadas e no custo da comunicação entre as redes virtuais. Para obter mais informações sobre os requisitos de capacidade do WSUS, veja Plan your WSUS deployment (Planear a implementação do WSUS).

Pode determinar o custo destas configurações ao utilizar a calculadora de preços do Azure. Precisa de fornecer as especificações das suas máquinas virtuais WSUS e as expectativas para a sua rede — mesma região, entre regiões. Para transferência de dados, comece com 3 GB. Os preços variam consoante a região.

Implementação manual

Depois de identificar a rede virtual do Azure a ser usada ou determinar que precisa criar uma nova instância do Windows Server, você precisa criar uma regra NSG. A regra permitirá o tráfego da internet, o que permite que os metadados e conteúdos do Windows Update se sincronizem com o servidor WSUS que cria. Seguem-se as regras que têm de ser adicionadas:

• Uma regra de NSG de entrada/saída para permitir o tráfego de e para a Internet na porta 80 (para conteúdo).
• Uma regra de NSG de entrada/saída para permitir o tráfego de e para a Internet na porta 443 (para metadados).
• Uma regra de NSG de entrada/saída para permitir o tráfego das VMs de cliente na porta 8530 (predefinição, a menos que seja configurada).

Configurar o WSUS

Pode utilizar duas abordagens para configurar o servidor WSUS:

• se quiser configurar automaticamente um servidor preparado para lidar com cargas de trabalho comuns com um mínimo de administração necessária, pode utilizar o script de automatização do PowerShell.
• Se tiver de processar milhares de clientes a executar muitos sistemas operativos e idiomas diferentes, ou se quiser configurar o WSUS de um modo não possível com o script do PowerShell, pode configurá-lo manualmente. Ambas as abordagens são descritas mais à frente neste artigo.

Também pode combinar as duas abordagens ao utilizar o script de automatização para fazer a maior parte do trabalho e, em seguida, a consola administrativa do WSUS para ajustar as definições do servidor.

Configurar o WSUS usando um script de automação

O Configure-WSUSServer script permite configurar um servidor WSUS que sincronizará e aprovará automaticamente atualizações para um conjunto escolhido de produtos e idiomas.

A versão mais recente do script está disponível no GitHub.

Configura o script com um ficheiro JSON. Atualmente, pode configurar estas opções:

• Se os payloads de atualização devem ser armazenados localmente (e, nesse caso, onde) ou permanecer nos servidores da Microsoft.
• Que produtos, classificações de atualizações e idiomas devem estar disponíveis no servidor.
• Se o servidor deve aprovar automaticamente atualizações para instalação ou se permanecem por aprovar até que um administrador as aprove.
• Se o servidor deve obter automaticamente atualizações novas da Microsoft e, se sim, com que frequência.
• Se devem ser utilizados pacotes de atualização Expresso. (Os pacotes de atualização Expresso reduzem a largura de banda de servidor para o cliente à custa da utilização de CPU/disco do cliente e da largura de banda de servidor para servidor.)
• Se o script deve substituir as definições anteriores. (Regra geral, para evitar reconfigurações inadvertidas que possam interromper o funcionamento do servidor, o script só é executado uma vez num dado servidor.)

Copie o script e o ficheiro de configuração para o armazenamento local e edite o ficheiro de configuração de acordo com as suas necessidades.

Pode executar este script de duas formas:

• pode executar o script manualmente, a partir da VM do WSUS.

  O comando seguinte, executado a partir de uma janela da Linha de Comandos elevada, irá instalar e configurar o WSUS. Utilizará o script e o ficheiro de configuração no diretório atual.

  powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json

• Pode utilizar a Extensão de Script Personalizado para o Windows.

  Copie o script e o arquivo de configuração JSON para seu próprio contêiner de armazenamento que tenha linha de visão de rede privada para a VM do WSUS.

  Em configurações típicas de VMs e da Rede Virtual do Azure, a Extensão de Script Personalizado só precisa destes dois parâmetros para executar o script corretamente. (Tem de substituir os valores mostrados aqui pelos URLs das localizações de armazenamento.)

  settings: {
    fileUris: [
      'https://yourstorageaccount.blob.core.windows.net/wsus/Configure-WSUSServer.ps1'
      'https://yourstorageaccount.blob.core.windows.net/container/WSUS-Config.json'
    ]
    commandToExecute: 'powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json'
  }
  

O script iniciará a sincronização inicial necessária para disponibilizar as atualizações aos computadores cliente. No entanto, não esperará pela conclusão dessa sincronização. Consoante os produtos, classificações e idiomas que tiver selecionado, a sincronização inicial pode demorar várias horas. Todas as sincronizações subsequentes deverão ser mais rápidas.

Configurar o WSUS manualmente

Na VM do WSUS, siga as instruções encontradas em Instalar a função de servidor do WSUS

Durante a sincronização, o WSUS determina se foram disponibilizadas novas atualizações desde a última sincronização. Se estiver a sincronizar o WSUS pela primeira vez, os metadados são transferidos imediatamente. O payload só é transferido se o armazenamento local estiver ativado e a atualização estiver aprovada para, pelo menos, um grupo de computadores.

Configurar as redes virtuais para comunicarem com o WSUS

Em seguida, configure o peering de rede virtual do Azure ou o peering de rede virtual global para comunicar com o hub. Recomendamos que configure um servidor WSUS em cada região em que tenha implementado para minimizar a latência.

Em cada rede virtual Azure que seja spoke, tem de criar uma política de NSG com as seguintes regras:

• Uma regra NSG de entrada/saída para permitir o tráfego para a VM do WSUS na porta 8530 (padrão, a menos que configurada).
• Uma regra NSG de entrada/saída para negar tráfego para a Internet.

Em seguida, crie o peering de rede virtual do Azure do spoke para o hub.

Configurar as máquinas virtuais cliente

O WSUS pode ser usado para atualizar qualquer máquina virtual que execute o Windows. Para configurar clientes usando a diretiva de grupo, consulte Configurar computadores clientes para receber atualizações do servidor WSUS.

Se for um administrador que esteja a gerir uma rede grande, veja Configure automatic updates and update service location (Configurar atualizações automáticas e localização do serviço de atualização) para obter informações sobre como utilizar as definições da Política de Grupo e configurar os clientes automaticamente.

Gerenciador de atualizações do Azure

Você pode usar o Azure Update Manager para gerenciar e agendar atualizações do sistema operacional para VMs que estão sincronizando com o WSUS. O estado da aplicação de patches da VM (ou seja, patches que estejam em falta) é avaliado com base na origem com a qual a VM está configurada para se sincronizar. Se a VM do Windows estiver configurada para reportar para o WSUS, os resultados poderão ser diferentes face àquilo que o Microsoft Update mostra, consoante a última vez que o WSUS se sincronizou com o Microsoft Update. Depois de configurar o ambiente do WSUS, pode ativar a Gestão de Atualizações. Para obter mais informações, consulte a visão geral do Azure Update Manager.

Contribuidores

Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.

Autor principal:

• Paul Reed - Brasil | Azure Compliance Senior Program Manager

Próximos passos

• Para obter mais informações sobre o planeamento de uma implementação, veja Plan your WSUS deployment (Planear a implementação do WSUS).
• Para obter mais informações sobre como gerir o WSUS, configurar uma agenda de sincronização do WSUS, entre outras ações, veja WSUS administration (Administração do WSUS).

Recurso relacionado

• Executar uma VM do Windows no Azure