Hotpatch untuk mesin virtual
Hotpatching adalah cara untuk menginstal pembaruan keamanan OS pada Pusat Data Windows Server yang didukung : Komputer virtual (VM) Azure Edition yang tidak memerlukan boot ulang setelah penginstalan. Ini bekerja dengan patch kode dalam memori proses yang berjalan tanpa perlu memulai kembali proses. Artikel ini membahas informasi tentang hotpatch untuk VM yang didukung, yang memiliki manfaat berikut:
- Lebih sedikit biner berarti pembaruan diinstal lebih cepat dan mengonsumsi lebih sedikit sumber daya disk dan CPU.
- Dampak beban kerja yang lebih rendah dengan reboot yang lebih sedikit.
- Perlindungan yang lebih baik, karena paket pembaruan hotpatch dicakup ke pembaruan keamanan Windows yang diinstal lebih cepat tanpa reboot.
- Mengurangi waktu yang terpapar risiko keamanan dan mengubah jendela, dan orkestrasi patch yang lebih mudah dengan Azure Update Manager.
Platform yang didukung
Hotpatch hanya didukung pada VM dan Azure Stack HCI yang dibuat dari gambar dengan kombinasi penerbit, penawaran, dan sku yang tepat dari daftar gambar OS di bawah ini. Gambar dasar kontainer Windows Server atau Gambar kustom atau penerbit lain, penawaran, kombinasi sku tidak didukung.
| Publisher | Penawaran OS | SKU |
|---|---|---|
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Core |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Core-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Hotpatch |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Hotpatch-smalldisk |
Untuk mulai menggunakan Hotpatch, gunakan metode pilihan Anda untuk membuat VM Azure atau Azure Stack HCI, dan pilih salah satu gambar berikut yang ingin Anda gunakan. Hotpatch dipilih secara default saat membuat Azure VM di portal Azure.
- Pusat Data Windows Server 2022: Azure Edition Hotpatch (Pengalaman Desktop)
- Pusat Data Windows Server 2022: Azure Edition Core1
1 Hotpatch diaktifkan secara default pada gambar Server Core.
Untuk informasi selengkapnya tentang gambar yang tersedia, lihat produk Marketplace Azure Pusat Data Windows Server 2022.
Cara kerja Hotpatch
Hotpatch bekerja dengan terlebih dahulu membuat garis besar dengan Pembaruan Kumulatif saat ini untuk Windows Server. Secara berkala (mulai setiap tiga bulan), garis besar di-refresh dengan Pembaruan Kumulatif terbaru, lalu hotpatch dirilis selama dua bulan setelahnya. Misalnya, jika Januari adalah Pembaruan Kumulatif, Februari dan Maret akan menjadi rilis hotpatch. Untuk jadwal rilis hotpatch, lihat Catatan rilis untuk Hotpatch di Azure Automanage untuk Windows Server 2022.
Hotpatch berisi pembaruan yang tidak memerlukan boot ulang. Karena Hotpatch menambal kode dalam memori proses yang berjalan tanpa perlu memulai ulang proses, aplikasi Anda tidak terpengaruh oleh proses patching. Tindakan ini terpisah dari implikasi performa dan fungsionalitas potensial dari patch itu sendiri.
Gambar berikut adalah contoh jadwal tiga bulan tahunan (termasuk contoh garis besar yang tidak direntangkan karena perbaikan nol hari).
Ada dua jenis garis besar: Garis besar terencana dan Garis besar yang tidak direncanakan.
Garis besar yang direncanakan dirilis pada irama biasa, dengan rilis hotpatch di antaranya. Garis besar yang direncanakan mencakup semua pembaruan dalam Pembaruan Kumulatif Terbaru yang sebanding untuk bulan itu, dan memerlukan reboot.
- Jadwal sampel mengilustrasikan empat rilis garis besar yang direncanakan dalam satu tahun kalender (total lima dalam diagram), dan delapan rilis hotpatch.
Garis besar yang tidak direnungkan dirilis ketika pembaruan penting (seperti perbaikan nol hari) dirilis, dan pembaruan tertentu tidak dapat dirilis sebagai hotpatch. Ketika garis besar yang tidak direncana dirilis, rilis hotpatch diganti dengan garis besar yang tidak direncana pada bulan tersebut. Garis besar yang tidak direncanakan juga mencakup semua pembaruan dalam Pembaruan Kumulatif Terbaru yang sebanding untuk bulan itu, dan juga memerlukan reboot.
- Jadwal sampel mengilustrasikan dua garis besar tidak terencana yang akan menggantikan rilis hotpatch untuk bulan-bulan tersebut (jumlah aktual garis besar yang tidak direncakan dalam setahun tidak diketahui sebelumnya).
Pembaruan yang didukung
Hotpatch mencakup pembaruan Keamanan Windows dan mempertahankan paritas dengan konten pembaruan keamanan yang dikeluarkan untuk di saluran pembaruan Windows reguler (nonhotpatch).
Ada beberapa pertimbangan penting untuk menjalankan VM Windows Server Azure Edition yang didukung dengan hotpatch diaktifkan. Boot ulang masih diperlukan untuk menginstal pembaruan yang tidak disertakan dalam program hotpatch. Reboot juga diperlukan secara berkala setelah garis besar baru telah diinstal. Reboot menjaga VM tetap sinkron dengan patch non-keamanan yang disertakan dalam pembaruan kumulatif terbaru.
- Patch yang saat ini tidak disertakan dalam program hotpatch mencakup pembaruan non keamanan yang dirilis untuk Pembaruan Windows, pembaruan .NET, dan pembaruan non-Windows (seperti driver, pembaruan firmware, dll.). Jenis patch ini mungkin memerlukan boot ulang selama bulan-bulan Hotpatch.
Proses orkestrasi patch
Hotpatch adalah ekstensi Windows Update dan proses orkestrasi umum. Alat orkestrasi patch bervariasi tergantung pada platform Anda. Untuk mengatur Hotpatch:
Azure: Komputer virtual yang dibuat di Azure diaktifkan untuk Patching Tamu VM Otomatis secara default dengan Pusat Data Windows Server yang didukung : Gambar Azure Edition . Patching tamu VM otomatis di Azure:
Patch yang diklasifikasikan sebagai Kritis atau Keamanan secara otomatis diunduh dan diterapkan pada VM.
Patch diterapkan di luar jam sibuk di zona waktu VM.
Azure mengelola orkestrasi patch dan patch diterapkan mengikuti prinsip ketersediaan-pertama.
Kesehatan komputer virtual, sebagaimana ditentukan melalui sinyal kesehatan platform, dipantau untuk mendeteksi kegagalan patch.
Catatan
Anda tidak dapat membuat set skala VM (VMSS) dengan orkestrasi Uniform pada gambar Azure Edition dengan Hotpatch. Untuk mempelajari selengkapnya tentang fitur mana yang didukung oleh orkestrasi Seragam untuk set skala, lihat Perbandingan Flexible, Uniform, dan set ketersediaan.
Azure Stack HCI: Pembaruan Hotpatch untuk komputer virtual yang dibuat di Azure Stack HCI diorkestrasi menggunakan:
Kebijakan Grup untuk mengonfigurasi pengaturan klien Windows Update.
Mengonfigurasi pengaturan klien Windows Update, atau SCONFIG untuk Server Core.
Solusi manajemen patch pihak ketiga.
Memahami status patch untuk VM Anda di Azure
Untuk melihat status patch untuk VM Anda, telusuri ke Gambaran Umum VM di portal Azure, di bawah Operasi, pilih Pembaruan. Di bawah bagian Pembaruan yang direkomendasikan, Anda dapat melihat patch terbaru dan status Hotpatch untuk VM Anda.
Di layar ini, Anda akan melihat status hotpatch untuk VM Anda. Anda juga dapat meninjau apakah ada patch yang tersedia untuk VM Anda yang belum diinstal. Seperti yang dijelaskan di bagian 'Penginstalan patch' sebelumnya, semua pembaruan keamanan dan kritis secara otomatis diinstal pada VM Anda menggunakan Patching Tamu VM Otomatis dan tidak ada tindakan tambahan yang diperlukan. Patch dengan klasifikasi pembaruan lainnya tidak diinstal secara otomatis. Sebagai gantinya, patch tersebut dapat dilihat dalam daftar patch yang tersedia di bawah tab Perbarui kepatuhan . Anda juga dapat melihat riwayat penyebaran pembaruan di VM Anda melalui riwayat Pembaruan. Riwayat pembaruan dari 30 hari terakhir ditampilkan, bersama dengan detail instalasi patch.
Dengan patch tamu VM otomatis, VM Anda dinilai secara berkala dan otomatis untuk pembaruan yang tersedia. Penilaian berkala ini memastikan bahwa patch yang tersedia terdeteksi. Anda dapat melihat hasil penilaian pada layar Pembaruan pada gambar sebelumnya, termasuk waktu penilaian terakhir. Anda juga dapat memilih untuk memicu penilaian patch sesuai permintaan untuk VM Anda kapan saja menggunakan opsi 'Nilai sekarang' dan meninjau hasil setelah penilaian selesai.
Mirip dengan penilaian sesuai permintaan, Anda juga dapat menginstal patch sesuai permintaan untuk VM Anda menggunakan opsi 'Instal pembaruan sekarang'. Di sini Anda dapat memilih untuk menginstal semua pembaruan di bawah klasifikasi patch tertentu. Anda juga dapat menentukan pembaruan untuk disertakan atau dikecualikan dengan memberikan daftar artikel basis pengetahuan individual. Patch yang diinstal sesuai permintaan tidak diinstal menggunakan prinsip-prinsip availability-first dan mungkin memerlukan lebih banyak reboot dan waktu henti VM untuk penginstalan pembaruan.
Anda juga dapat melihat patch yang diinstal menggunakan perintah Get-HotFix PowerShell atau menggunakan aplikasi Pengaturan saat menggunakan Pengalaman Desktop.
Dukungan putar kembali di Hotpatching
Penginstalan pembaruan Hotpatch atau Garis Besar tidak mendukung pemutaran kembali otomatis. Jika VM mengalami masalah selama atau setelah pembaruan, Anda harus menghapus instalan pembaruan terbaru dan menginstal pembaruan garis besar terakhir yang diketahui baik. Anda harus me-reboot VM setelah pemutaran kembali.