Hotpatch pour les machines virtuelles
La mise à jour corrective à chaud est une façon d’installer les mises à jour de sécurité du système d’exploitation sur les machines virtuelles Windows Server Datacenter: Azure Edition prises en charge qui ne nécessite pas de redémarrage après l’installation. Le principe est d’appliquer des correctifs au code en mémoire des processus en cours d’exécution sans avoir à redémarrer le processus. Cet article fournit les informations sur Hotpatch pour les machines virtuelles prises en charge, qui présente les avantages suivants :
- Diminution du nombre de fichiers binaires, accélération de l’installation des mises à jour et diminution de la consommation des ressources de disque et d’UC.
- Réduction de l’impact sur la charge de travail et diminution du nombre de redémarrages.
- Renforcement de la protection, car les packages de mise à jour Hotpatch sont étendus aux mises à jour de sécurité Windows qui s’installent plus rapidement sans redémarrage.
- Réduction du temps d’exposition aux risques de sécurité et aux fenêtres de modification et simplification de l’orchestration des correctifs avec Azure Update Manager.
Plateformes prises en charge
Hotpatch est pris en charge uniquement sur les machines virtuelles et les infrastructures Azure Stack HCI créées à partir d’images avec la combinaison exacte d’éditeur, d’offre et de référence SKU indiquée dans la liste d’images de système d’exploitation ci-dessous. Les images de base de conteneurs Windows Server, les images personnalisées ou toute autre combinaison d’éditeur, d’offre et de référence SKU ne sont pas prises en charge.
| Serveur de publication | Offre de système d’exploitation | Sku |
|---|---|---|
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Core |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Core-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Hotpatch |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Hotpatch-smalldisk |
Pour commencer à utiliser Hotpatch, utilisez votre méthode de préférence pour créer une machine virtuelle Azure ou Azure Stack HCI, puis sélectionnez l’une des images suivantes à utiliser. Hotpatch est sélectionné par défaut lors de la création d’une machine virtuelle Azure dans le portail Azure.
- Windows Server 2022 Datacenter: Azure Edition Hotpatch (Expérience utilisateur)
- Windows Server 2022 Datacenter: Azure Edition Core1
1 Hotpatch est activé par défaut sur les images Server Core.
Pour plus d’informations sur les images disponibles, consultez le produit Windows Server 2022 Datacenter disponible sur la Place de marché Azure.
Fonctionnement de Hotpatch
Hotpatch fonctionne en établissant d’abord un planning de référence avec la mise à jour cumulative actuelle pour Windows Server. Régulièrement (à compter de tous les trois mois), le planning de référence est actualisé avec la dernière mise à jour cumulative, puis les correctifs à chauds sont publiés pendant les deux mois qui suivent. Par exemple, si janvier est un mois de mise à jour cumulative, février et mars seraient des mois de publication de correctif à chaud. Pour connaître la planification de la publication des correctifs à chaud, consultez l’article Notes de publication pour Hotpatch dans Azure Automanage pour Windows Server 2022.
Les correctifs à chaud contiennent des mises à jour qui ne nécessitent pas de redémarrage. Étant donné que Hotpatch corrige le code en mémoire de processus en cours d’exécution sans avoir à redémarrer le processus, vos applications ne sont pas affectées par le processus de mise à jour corrective. Cette action est distincte de toutes les implications potentielles sur les performances et les fonctionnalités du correctif lui-même.
L’image suivante est un exemple de planification annuelle par trois mois (y compris des exemples de plannings de référence non planifiés en raison de correctifs zero-day).
Il existe deux types de plannings de référence : plannings de référence planifiés et plannings de référence non planifiés.
Les plannings de référence planifiés sont publiés à intervalle régulier, avec des publications de correctif à chaud entre eux. Les plannings de référence planifiés incluent toutes les mises à jour dans une dernière mise à jour cumulative comparable pour le mois concerné et nécessitent un redémarrage.
- L’exemple de planification illustre quatre publications de plannings de référence planifiés au cours d’une année civile (cinq au total dans le diagramme) et huit publications Hotpatch.
Les plannings de référence non planifiés sont publiés quand une mise à jour importante (par exemple, un correctif zero-day) est publié et que cette mise à jour ne peut pas être publiée en tant que correctif à chaud. Lors de la publication d’un planning de référence non planifié, une publication Hotpatch est remplacée par un planning de référence non planifié au cours du mois concerné. Les plannings de référence non planifiés incluent également toutes les mises à jour dans une dernière mise à jour cumulative comparable pour le mois concerné et nécessitent aussi un redémarrage.
- L’exemple de planification illustre deux plannings de référence non planifiés qui remplacent les publications Hotpatch pour les mois concernés (le nombre réel de plannings de référence non planifiés au cours d’une année n’est pas connu à l’avance).
Mises à jour prises en charge
Hotpatch couvre les mises à jour de sécurité Windows et gère la parité avec le contenu des mises à jour de sécurité publiées dans le canal de mise à jour Windows standard (non-Hotpatch).
Il existe des considérations importantes à prendre en compte lors de l’exécution d’une machine virtuelle Windows Server Azure Edition prise en charge sur laquelle Hotpatch est activé. Les redémarrages restent nécessaires pour installer les mises à jour qui ne sont pas incluses dans le programme Hotpatch. Les redémarrages sont également requis régulièrement après l’installation d’un nouveau planning de référence. Les redémarrages permettent de synchroniser la machine virtuelle avec les correctifs non liés à la sécurité inclus dans la dernière mise à jour cumulative.
- Les correctifs qui ne sont actuellement pas inclus dans le programme Hotpatch incluent les mises à jour non liées à la sécurité publiées pour Windows, les mises à jour .NET et les mises à jour non-Windows (telles que les pilotes, la mise à jour du microprogramme, etc.). Ces types de correctifs peuvent nécessiter un redémarrage pendant les mois Hotpatch.
Processus d’orchestration des correctifs
Hotpatch est une extension de Windows Update et des processus d’orchestration classiques. Les outils d’orchestration des correctifs varient en fonction de la plateforme utilisée. Pour orchestrer une Hotpatch :
Azure : par défaut, les machines virtuelles créées dans Azure sont activées pour la mise à jour corrective automatique d’invité pour les machines virtuelles avec une image Windows Server Datacenter: Azure Edition prise en charge. Mise à jour corrective automatique d’invité pour les machines virtuelles dans Azure :
Les correctifs classés comme Critiques ou Sécurité sont automatiquement téléchargés et appliqués sur la machine virtuelle.
Les correctifs sont appliqués pendant les heures creuses dans le fuseau horaire de la machine virtuelle.
Azure gère l’orchestration des correctifs, qui sont appliqués en fonction des principes de première disponibilité.
L’intégrité des machines virtuelles, telle que déterminée par les signaux d’intégrité de la plateforme, est surveillée pour détecter les défaillances de mise à jour corrective.
Notes
Vous ne pouvez pas créer de groupes de machines virtuelles identiques (VMSS) avec l’orchestration uniforme sur les images Azure Edition avec Hotpatch. Pour en savoir plus sur les fonctionnalités prises en charge par l’orchestration uniforme pour les groupes identiques, consultez Une comparaison des groupes flexibles, uniformes et à haute disponibilité.
Azure Stack HCI : les mises à jour Hotpatch pour les machines virtuelles créées sur Azure Stack HCI sont orchestrées à l’aide des éléments suivants :
Une stratégie de groupe pour configurer les paramètres du client Windows Update.
La configuration des paramètres du client Windows Update ou SCONFIG pour Server Core.
Une solution de gestion des correctifs tierce.
Comprendre l’état des correctifs pour votre machine virtuelle dans Azure
Pour afficher l’état des correctifs de votre machine virtuelle, accédez à la vue d’ensemble de la machine virtuelle dans le portail Azure, sous Opérations, sélectionnez Mises à jour. Dans la section Mises à jour recommandées, vous pouvez afficher les derniers correctifs et l’état Hotpatch de votre machine virtuelle.
Sur cet écran, vous voyez l’état Hotpatch de votre machine virtuelle. Vous pouvez également vérifier s’il existe des correctifs disponibles pour votre machine virtuelle qui n’ont pas été installés. Comme décrit dans la section précédente relative à l’installation des correctifs, toutes les mises à jour de sécurité et critiques sont automatiquement installées sur votre machine virtuelle à l’aide de la mise à jour corrective automatique d’invité pour les machines virtuelles, et aucune action supplémentaire n’est nécessaire. Les correctifs avec d’autres classifications de mises à jour ne sont pas installés automatiquement. En lieu et place, ils sont visibles dans la liste des correctifs disponibles sous l’onglet Update Compliance. Vous pouvez également afficher l’historique des déploiements de mises à jour sur votre machine virtuelle par le biais de l’historique des mises à jour. L’historique des mises à jour des 30 derniers jours s’affiche, ainsi que les détails de l’installation des correctifs.
Avec la mise à jour corrective automatique d’invité pour les machines virtuelles, votre machine virtuelle est régulièrement et automatiquement analysée pour déterminer si des mises à jour sont disponibles. Ces évaluations périodiques garantissent que les correctifs disponibles sont détectés. Vous pouvez afficher les résultats de l’évaluation sur l’écran Mises à jour dans l’image précédente, y compris l’heure de la dernière évaluation. Vous pouvez également choisir de déclencher à tout moment une évaluation des correctifs à la demande pour votre machine virtuelle à l’aide de l’option « Assess now » (Évaluer maintenant) et passer en revue les résultats une fois l’évaluation terminée.
Comme pour l’évaluation à la demande, vous pouvez également installer des correctifs à la demande pour votre machine virtuelle à l’aide de l’option « Installer les mises à jour maintenant ». Ici, vous pouvez choisir d’installer toutes les mises à jour dans des classifications de correctifs spécifiques. Vous pouvez également spécifier les mises à jour à inclure ou à exclure en fournissant une liste d’articles de la base de connaissances. Les correctifs installés à la demande ne sont pas installés en fonction des principes de première disponibilité et peuvent nécessiter davantage de redémarrages et de temps d’arrêt de machine virtuelle pour l’installation des mises à jour.
Vous pouvez également afficher les correctifs installés à l’aide de la commande PowerShell Get-HotFix ou de l’application Paramètres lors de l’utilisation de l’Expérience utilisateur.
Prise en charge de restauration sur mise à jour corrective à chaud
L’installation des mises à jour Hotpatch ou de base ne prend pas en charge la restauration automatique. Si une machine virtuelle rencontre un problème pendant ou après une mise à jour, vous devez désinstaller la dernière mise à jour et installer la dernière mise à jour de base correcte connue. Vous devez redémarrer la machine virtuelle après la restauration.