A Windows rendszerű virtuális gépek Azure-beli frissítéséhez kialakított környezet megtervezése

Ha az Azure-beli virtuális hálózatot elzárta az internettől, a Windows-frissítéseket továbbra is letöltheti a biztonság beáldozása és az internet-hozzáférés teljes megnyitása nélkül. Ez a cikk javaslatokat tartalmaz arra vonatkozóan, hogyan állíthat be egy szegélyhálózatot, más néven DMZ-t úgy, hogy üzemeltethesse rajta a Windows Server Update Service (WSUS) egy példányát a virtuális hálózatok internetkapcsolat nélküli, biztonságos frissítéséhez.

Ha Azure Firewallt használ, lehetősége van a Windows Update FQDN-címkéjének alkalmazásszabályokon belüli használatára, hogy engedélyezni tudja a szükséges kimenő hálózati forgalmat a tűzfalon keresztül. További információkért lásd az FQDN-címkéket áttekintő témakört.

A jelen cikk javaslatainak implementálásához ismernie kell az Azure-szolgáltatásokat. A következő szakaszok a javasolt küllős üzembehelyezési tervet ismertetik egy egyrégiós vagy többrégiós konfigurációban.

Azure Virtual Network küllős hálózati topológiája

Azt javasoljuk, hogy hozzon létre egy küllős modellen alapuló hálózati topológiát egy szegélyhálózat létrehozásával. A WSUS-kiszolgálót egy olyan Azure-beli virtuális gép üzemeltesse, amely az internet és a virtuális hálózatok közötti központként szolgál. A központnak nyitott portokkal kell rendelkeznie. A WSUS a 80-as portot használja a HTTP protokollhoz, és a 443-as portot a HTTPS protokollhoz a Microsoft-frissítések lekéréséhez. A küllők a virtuális hálózatok, amelyek mind a központtal fognak kommunikálni, és nem az internettel. Ezt úgy lehet megvalósítani, ha létrehoz egy alhálózatot és hálózati biztonsági csoportokat (NSG-ket), és Azure-beli virtuális társhálózatokat létesít, amelyek engedélyezik a WSUS típusú forgalmakat, miközben az internetes forgalmat blokkolják. A kép egy küllős topológiára hoz példát:

Töltse le az architektúra Visio-fájlját.

Ezen a képen:

• A WSUSSubnet a küllős modell központja.
• Az NSG_DS olyan hálózati biztonsági csoport, amely engedélyezi az adatforgalmat a WSUS-nek, míg az egyéb internetes forgalmat blokkolja.
• A WSUS VM a WSUS futtatására konfigurált Azure-beli virtuális gép.
• A MainSubnet virtuális gépeket tartalmazó virtuális hálózat, küllő.
• Az NSG_MS olyan hálózati biztonsági csoportszabály, amely engedélyezi az adatforgalmat a WSUS VM-nek, de letiltja az internetes forgalmat.

Felhasználhat egy már meglévő kiszolgálót, de egy újat is üzembe helyezhet WSUS-kiszolgálóként. A WSUS virtuális gépéhez legalább a következőket javasoljuk:

• Operációs rendszer: Windows Server 2016 vagy újabb.
• Processzor: Kétmagos, 2 GHz-es vagy gyorsabb.
• Memória: 2 GB RAM, a kiszolgáló és az összes többi futó szolgáltatás és szoftver által igényelt RAM mellett.
• Tárterület: 40 GB vagy több.
• Hozzáférés: A virtuális gép biztonságosabb elérése igény szerinti (JIT) használatával. Lásd: A virtuális gépekhez való hozzáférés kezelése igény szerinti hozzáféréssel.

A hálózaton több Azure-beli virtuális hálózat is lesz, amelyek ugyanabban és különböző régiókban is lehetnek. Alaposan át kell gondolni, hogy melyik Windows Servert futtató virtuális gép használható WSUS-kiszolgálóként. Ha több ezer virtuális gépet szeretne frissíteni, javasoljuk, hogy jelöljön ki egy Windows Servert futtató virtuális gépet külön a WSUS szerepre.

Ha az összes virtuális hálózat azonos régióban található, érdemes 18 000 virtuális gépenként egy WSUS-t létrehozni. Ez a javaslat a virtuális gépek igényeitől, a frissítendő ügyféloldali virtuális gépek számától és a virtuális hálózatok közötti kommunikáció költségeitől függ. A WSUS kapacitási követelményeire vonatkozó további információért tekintse át a WSUS üzembe helyezés megtervezését ismertető cikket.

A konfigurációk költségeinek meghatározásához használja az Azure díjkalkulátorát. Az alábbi információkat kell megadnia:

• Virtuális gép:
  • Régió: Az a régió, ahol az Azure-beli virtuális hálózat üzembe van helyezve.
  • Operációs rendszer: Windows
  • Szint: Standard
  • Példány: D4-konfiguráció
  • Felügyelt lemezek: Standard HDD, 64 GB
• Virtuális hálózat:
  • Írja be a következőt:
    • Ugyanaz a régió, ha az átvitel ugyanazon a régión belül marad.
    • Régiók közötti, ha az adatokat az egyik régióból egy másikba helyezi át.
  • Adatátvitel: 2 GB
  • Régió
    • Ha az átvitel ugyanabban a régióban marad, azt a régiót válassza ki, amelyben a WSUS-kiszolgáló és a virtuális hálózatok is vannak.
    • Ha az átvitel régiók között történik, a virtuális hálózat forrásrégiója az, ahol a WSUS-kiszolgáló található. A virtuális hálózat célrégiója az, ahová az adatok érkeznek.
  • Ha több régió között mozog, többször is ki kell választania a virtuális hálózatot.

Ne feledje, hogy az árak régiónként eltérőek lehetnek.

Manuális üzembe helyezés

Miután azonosította a központként használni kívánt Azure-beli virtuális hálózatot, vagy megállapította, hogy létre kell hoznia egy új Windows Server-példányt, létre kell hoznia egy NSG-szabályt. A szabály engedélyezi az internetes forgalmat, amely lehetővé teszi, hogy a Windows Update-metaadatok és -tartalmak szinkronizálva legyenek a létrehozandó WSUS-kiszolgálóval. Ezeket a szabályokat kell megadnia:

• Adjon meg egy bejövő/kimenő forgalomra vonatkozó NSG-szabályt, hogy engedélyezze az internetre/internetről érkező forgalmat a 80-as porton (a tartalmak számára).
• Adjon meg egy bejövő/kimenő forgalomra vonatkozó NSG-szabályt, hogy engedélyezze az internetre/internetről érkező forgalmat a 443-as porton (a metaadatok számára).
• Adjon meg egy bejövő/kimenő forgalomra vonatkozó NSG-szabályt, hogy engedélyezze az ügyféloldali virtuális gépről érkező forgalmat a 8530-as porton (ha nem konfigurálja, ez az alapértelmezett beállítás).

A WSUS beállítása

Kétféle módon állíthatja be a WSUS-kiszolgálót:

• Ha automatikusan úgy szeretné beállítani a kiszolgálót, hogy a jellemző számítási feladatokat minimális adminisztráció mellett kezelje, használja a PowerShell Automation-szkriptet.
• Ha több ezer ügyfelet kell kezelnie, amelyek különböző operációs rendszereket és nyelveket használnak, vagy ha a WSUS-t úgy szeretné konfigurálni, amelyre a PowerShell-szkript nem képes, a WSUS-t manuálisan kell beállítani. A két módszerről a cikk későbbi részében lesz szó.

A két módszert kombinálni is lehet: használhatja az Automation-szkriptet, hogy elvégezze a munka nagyját, majd a WSUS felügyeleti konzolján finomíthatja a kiszolgáló beállításait.

WSUS beállítása az Automation-szkripttel

A Configure-WSUSServer szkripttel gyorsan beállíthat egy WSUS-kiszolgálót, amely automatikusan szinkronizálja és jóváhagyja a kiválasztott termékek és nyelvek frissítéseit.

A szkript legújabb verziója elérhető a GitHubon.

JSON-fájllal konfigurálhatja a szkriptet. Jelenleg ezeket a beállításokat konfigurálhatja:

• A frissítési hasznos adatok helyileg tárolódjanak-e (és ha igen, hol), vagy inkább a Microsoft-kiszolgálókon maradjanak.
• Melyik termékek, frissítési besorolások és nyelvek legyenek elérhetők a kiszolgálón.
• A kiszolgáló automatikusan jóváhagyja-e a frissítések telepítését, vagy hagyja őket jóvá nem hagyott állapotban, amíg egy rendszergazda jóvá nem hagyja őket.
• A kiszolgáló automatikusan lekérje-e az új frissítéseket a Microsofttól, és ha igen, milyen gyakran.
• Használjon-e a rendszer expressz frissítési csomagokat. (Az expressz frissítési csomagok csökkentik a kiszolgáló és az ügyfél közötti sávszélességet az ügyfél processzor- vagy lemezhasználata és a kiszolgálók közötti sávszélesség rovására.)
• Felülírja-e a szkript a korábbi beállításait. (A kiszolgáló működését megzavaró véletlen újrakonfigurálás elkerülése érdekében a szkript általában csak egyszer fut egy adott kiszolgálón.)

Másolja a szkriptet és annak konfigurációs fájlját a helyi tárolóba, és szerkessze a konfigurációs fájlt az igényeinek megfelelően.

A szkriptet az alábbi két módszer egyikével futtathatja:

• A szkript manuális, a WSUS virtuális gépéről történő futtatásával.

  A következő, az emelt szintű parancsablakból futtatott parancs telepíti és konfigurálja a WSUS-t. Az aktuális címtárban lévő szkriptet és konfigurációs fájlt fogja használni.

  powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json

• Az Egyéniszkript-bővítmény Windows rendszerre című szakaszt használhatja.

  Másolja a szkriptet és a JSON konfigurációs fájlt a saját tárolójába.

  A virtuális gépek és Azure-beli virtuális hálózatok átlagos konfigurációja esetén az Egyéni szkript bővítményhez csak az alábbi két paraméterre van szükség a szkript megfelelő futtatásához. (Az itt látható értékeket a tároló helyének megfelelő URL-címekre kell lecserélni.)

  "fileUris": ["https://mystorage.blob.core.windows.net/mycontainer/Configure-WSUSServer.ps1","https://mystorage.blob.core.windows.net/container/WSUS-Config.json"],
  "commandToExecute": "powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json"
  
  

A szkript elindítja a frissítések ügyfélszámítógépek számára való elérhetővé tételéhez szükséges kezdeti szinkronizálást. A szkript azonban nem várja meg, hogy a szinkronizálás befejeződjön. A kiválasztott termékektől, besorolásoktól és nyelvektől függően a kezdeti szinkronizálás akár több órát is igénybe vehet. Az ezt követő szinkronizálások várhatóan mind gyorsabbak lesznek.

A WSUS manuális beállítása

1. A WSUS virtuális gépén nyissa meg a Kiszolgálókezelőt, és válassza a Szerepkörök és szolgáltatások hozzáadása lehetőséget.

2. Válassza a Tovább elem, amíg el nem ér a Kiszolgálói szerepkörök kiválasztása oldalra. Válassza a Windows Server Update Services lehetőséget. Amikor a rendszer felkéri, hogy adja hozzá a Windows Server Update Serviceshez szükséges szolgáltatásokat, kattintson a Szolgáltatások hozzáadása elemre.

3. Válassza a Tovább elemet, amíg el nem ér a Szerepkör-szolgáltatások kiválasztása oldalra.

   • Alapértelmezés szerint használhatja a Kapcsolat a belső Windows-adatbázissal beállítást.
   • Használja az SQL Server Csatlakozás ivity-t, ha támogatnia kell a Windows számos különböző verzióját (például Windows 11 és Windows 10) használó ügyfeleket.

4. Válassza a Tovább elemet, amíg el nem ér a Tartalom helyének kijelölése oldalra. Írja be, hol szeretné tárolni a frissítéseket.

5. Válassza a Tovább elemet, amíg el nem ér a Telepítendő összetevők megerősítése oldalra. Válassza a Telepítés lehetőséget.

6. Nyissa meg a telepített Windows Server Update Servicest, és válassza a Futtatás parancsot.

7. Válassza a Tovább elemet, amíg el nem ér a Kapcsolódás felsőbb rétegbeli kiszolgálóhoz oldalra. Válassza a Kapcsolódás indítása lehetőséget.

8. Válassza a Tovább elemet, amíg el nem ér a Nyelvek kiválasztása oldalra. Válassza ki a szükséges nyelveket.

9. Válassza a Tovább elemet, amíg el nem ér a Termékek kiválasztása oldalra. Válassza ki a szükséges termékeket.

10. Válassza a Tovább elemet, amíg el nem ér a Besorolások kiválasztása oldalra. Válassza ki a szükséges frissítéseket.

11. Válassza a Tovább elemet, amíg el nem ér a Szinkronizálási ütemezés beállítása oldalra. Válasszon ki egy szinkronizálási beállítást.

12. Válassza a Tovább elemet, amíg el nem ér a Befejezve oldalra. Válassza az Első szinkronizálás elindítása, majd a Tovább elemet.

13. Válassza a Tovább elemet, amíg el nem ér A következő lépések oldalra, majd válassza a Befejezés elemet.

14. Ha a navigációs ablaktáblán a WSUS nevét (például WsusVM) választja, azt kell látnia, hogy a Szinkronizálás állapotaTétlen, a Legutóbbi szinkronizálás eredménye pedig Sikeres.

15. A navigációs ablaktáblán válassza a Beállítások>Számítógépek>Csoportszabályzat- vagy beállításjegyzék-beállítások használata a számítógépeken elemet. Kattintson az OK gombra.

A szinkronizálás közben a WSUS megállapítja, hogy az utolsó szinkronizálás óta elérhető lett-e új frissítés. Ha most szinkronizálja először a WSUS-t, a metaadatok letöltése azonnal megtörténik. A hasznos adatok letöltése csak akkor történik meg, ha a helyi tárolás be van kapcsolva, és a frissítés legalább egy számítógépcsoporthoz jóvá van hagyva.

Virtuális hálózatok konfigurálása a WSUS-szel való kommunikációhoz

Ezután állítsa be az Azure-beli virtuális társhálózatokat vagy a globális virtuális társhálózatokat a központtal való kommunikációhoz. Javasoljuk, hogy a késés minimalizálása érdekében minden olyan régióban állítson be egy WSUS-kiszolgálót, ahol üzembe helyezést végzett.

Minden küllőként funkcionáló Azure-beli virtuális hálózat esetén létre kell hoznia egy NSG-szabályzatot a következő szabályokkal:

• Egy bejövő/kimenő NSG-szabály a WSUS virtuális gépéről a 8530-as porton (ha nem konfigurálja, ez az alapértelmezett) bejövő forgalom engedélyezéséhez.
• Egy bejövő/kimenő NSG-szabály az internetről bejövő forgalom letiltásához.

Ezt követően hozzon létre egy Azure-beli virtuális társhálózatot a küllő és a központ között.

Ügyféloldali virtuális gép

• A még nagyobb biztonság érdekében eltávolíthatja a virtuális géphez társított nyilvános IP-címet. További információért olvassa el a nyilvános IP-címek megtekintéséről, törléséről, illetve a beállításaik módosításáról szóló szakaszt.
• A virtuális gép JIT segítségével történő biztonságosabb elérésével kapcsolatban további információért olvassa el A virtuális gépekhez való hozzáférés kezelése igény szerinti hozzáféréssel című szakaszt.

Ügyféloldali virtuális gépek konfigurálása

A WSUS a Windows rendszert futtató összes virtuális gép frissítéséhez használható (a Home termékváltozat kivételével). Végezze el a következő lépéseket mindegyik ügyféloldali virtuális gépen a WSUS és az ügyfél közötti kommunikáció lehetővé tételéhez:

Az ügyféloldali virtuális gépen

1. Nyissa meg a Helyicsoportszabályzat-szerkesztőt (vagy a Csoportszabályzat-felügyeleti szerkesztőt).
2. Lépjen a Számítógép konfigurációja>Felügyeleti sablonok>Windows-összetevők>Windows Update területre.
3. Engedélyezze Az intranetes Microsoft Update szolgáltatás helyének megadása szabályzatot.
4. Írja be a http://\<WSUS name>:8530 URL-címet. (A WSUS nevét (például: WsusVM) a Frissítési szolgáltatások oldalon találja.) A beállítás hatásának érvénybe lépése hosszabb időbe (akár néhány órába is) telhet.
5. Lépjen a Beállítások>Frissítés és biztonság>Windows Update területre.
6. Válassza a Frissítések keresése lehetőséget.

A WSUS virtuális gépen

1. Nyissa meg a Windows Server Update Servicest. Az ügyféloldali virtuális gép megjelenik a Számítógépek>Minden számítógép területen.
2. Válassza a Frissítések>Minden frissítés lehetőséget.
3. Állítsa a Jóváhagyás beállítást Mind, kivéve az elutasítottakat értékre.
4. Állítsa az Állapot beállítást Szükséges értékre. Most már láthatja az ügyféloldali virtuális géphez szükséges összes frissítést.
5. Kattintson a jobb gombbal bármelyik frissítésre, és válassza a Jóváhagyás lehetőséget.

Ellenőrzés

1. Az ügyféloldali virtuális gépen lépjen a Beállítások>Frissítés és biztonság>Windows Update területre.
2. Válassza a Frissítések keresése lehetőséget. Megjelenik egy frissítés, amely ugyanazzal a tudásbáziscikkszámmal (például: 4480056) rendelkezik, mint amelyet jóváhagyott a WSUS virtuális gépen.

Ha Ön nagyobb méretű hálózatokat kezelő rendszergazda, olvassa el az automatikus frissítések és a frissítési szolgáltatás helyének konfigurálásáról szóló cikket az ügyfelek csoportszabályzat-beállításokkal történő automatikus konfigurálásával kapcsolatos információkért.

A WSUS üzembe helyezése több felhő esetén

Nyilvános és magánfelhők esetén nem létesíthető virtuális hálózatok közötti társviszony. A nyilvános és magánfelhőkben üzembe helyezett hálózatoknak minden egyes felhőben rendelkezniük kell legalább egy WSUS-kiszolgálóval.

Támogatási megjegyzések

A WSUS jelenleg nem támogatja a Windows Home termékváltozattal való szinkronizálást.

Azure-frissítéskezelés

A WSUS-szel szinkronizáló virtuális gépek operációsrendszer-frissítéseit az Azure frissítéskezelési megoldásával kezelheti és ütemezheti. A virtuális gép javítási állapotának (tehát a hiányzó javításoknak) a kiértékelése azon forrás alapján történik, amelyhez a virtuális gép konfigurálva van szinkronizálás céljából. Ha a Windows rendszerű virtuális gép a WSUS-nek való jelentésre van konfigurálva, az eredmények eltérőek lehetnek a Microsoft Update által megjelenített adatoktól attól függően, hogy a WSUS mikor szinkronizált utoljára a Microsoft Update-tel. Miután elkészült a WSUS-környezet konfigurálásával, engedélyezheti a frissítéskezelést. További információért tekintse meg a frissítéskezelés áttekintését és előkészítési lépéseit.

Közreműködők

Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.

Fő szerző:

• Paul Reed | Azure Compliance Senior Program Manager

További lépések

• Az üzembe helyezés megtervezéséről további információt a WSUS üzemelő példány megtervezéséről szóló szakaszban talál.
• A WSUS kezelésével, a WSUS szinkronizálási ütemezésének beállításával és egyebekkel kapcsolatos további információért tekintse meg a WSUS felügyeletéről szóló szakaszt.

Kapcsolódó erőforrások

• Windows rendszerű virtuális gép futtatása az Azure-ban
• Az Azure Automation frissítéskezelése
• Az SAP NetWeaver futtatása Windowsban az Azure-ban
• Hibrid Azure-számítási feladatok kezelése a Windows Rendszergazda Center használatával
• CI/CD Azure-beli virtuális gépekhez