Patch a caldo per le nuove macchine virtuali

  • Articolo
  • 10 minuti per la lettura

Importante

Hotpatch è supportato in Windows Server 2022 Datacenter: Azure Edition (Server Core).

Hotpatching è un nuovo modo per installare gli aggiornamenti nelle macchine virtuali di Windows Server Azure Edition supportate che non richiedono un riavvio dopo l'installazione. Questo articolo illustra le informazioni su Hotpatch per le macchine virtuali di Windows Server Azure Edition supportate, con i vantaggi seguenti:

  • Impatto del carico di lavoro inferiore con meno riavvii
  • Distribuzione più rapida degli aggiornamenti perché i pacchetti sono più piccoli, installare più velocemente e avere un'orchestrazione più semplice delle patch con Azure Update Manager
  • Protezione migliore, poiché i pacchetti di aggiornamento Hotpatch sono inclusi nell'ambito degli aggiornamenti della sicurezza di Windows che installano più velocemente senza riavviare

Funzionamento dell'hotpatch

Hotpatch funziona per la prima volta creando una baseline con un aggiornamento cumulativo Windows Update più recente. Gli hotpatches vengono rilasciati periodicamente (ad esempio, il secondo martedì del mese) che si basano su tale baseline. Hotpatches conterrà gli aggiornamenti che non richiedono un riavvio. Periodicamente (a partire da ogni tre mesi), la baseline viene aggiornata con un nuovo aggiornamento cumulativo più recente.

Pianificazione dell'esempio hotpatch.

Esistono due tipi di baseline: baseline pianificate e baselinenon pianificate.

  • Le baseline pianificate vengono rilasciate in una frequenza regolare, con le versioni hotpatch tra. Le baseline pianificate includono tutti gli aggiornamenti in un aggiornamento cumulativo paragonabile per quel mese e richiedono un riavvio.
    • La pianificazione di esempio precedente illustra quattro versioni di base pianificate in un anno di calendario (cinque totali nel diagramma) e otto versioni hotpatch.
  • Le baseline non pianificate vengono rilasciate quando viene rilasciato un aggiornamento importante (ad esempio una correzione zero-day) e tale particolare aggiornamento non può essere rilasciato come hotpatch. Quando le baseline non pianificate vengono rilasciate, una versione hotpatch verrà sostituita con una baseline non pianificata in quel mese. Le baseline non pianificate includono anche tutti gli aggiornamenti in un aggiornamento cumulativo paragonabile per quel mese e richiedono anche un riavvio.
    • La pianificazione di esempio precedente illustra due baseline non pianificate che sostituirebbero le versioni hotpatch per questi mesi (il numero effettivo di baseline non pianificate in un anno non è noto in anticipo).

Disponibilità a livello di area

Hotpatch è disponibile in tutte le aree di Azure globali.

Attività iniziali

Nota

È possibile visualizzare in anteprima le procedure consigliate per l'onboarding automatico durante la creazione di macchine virtuali nel portale di Azure usando questo collegamento.

Per iniziare a usare Hotpatch in una nuova macchina virtuale, seguire questa procedura:

  1. Iniziare a creare una nuova macchina virtuale dal portale di Azure

    • È possibile visualizzare in anteprima le procedure consigliate per l'onboarding automatico durante la creazione di macchine virtuali nel portale di Azure usando questo collegamento.

  2. Specificare i dettagli durante la creazione di macchine virtuali

    • Assicurarsi che un'immagine di Windows Server Azure Edition supportata sia selezionata nell'elenco a discesa Immagine. Usare questa guida per determinare quali immagini sono supportate.
    • Nella scheda Gestione nella sezione "Aggiornamenti del sistema operativo guest" verrà selezionata la casella di controllo "Abilita hotpatch". Le opzioni di orchestrazione delle patch verranno impostate su 'Azure orchestrato'.
    • Se si crea una macchina virtuale usando questo collegamento, nella scheda Gestione nella sezione 'Gestione automatica di Azure', selezionare 'Dev/Test' o 'Production' per 'Azure Automanage environment' per valutare le procedure consigliate per la gestione automatica dei computer durante l'anteprima.

  3. Creare la nuova macchina virtuale

Installazione di patch

La patch guest della macchina virtuale automatica è abilitata automaticamente per tutte le macchine virtuali create con un'immagine di Windows Server Azure Edition supportata. Con l'applicazione automatica di patch guest della macchina virtuale abilitata:

  • Le patch classificate come critiche o sicurezza vengono scaricate e applicate automaticamente nella macchina virtuale.
  • Le patch vengono applicate durante le ore di punta nel fuso orario della macchina virtuale.
  • L'orchestrazione delle patch viene gestita da Azure e le patch vengono applicate seguendo i principi di disponibilità.Patch orchestration is managed by Azure and patches are applied following availability-first principles.
  • L'integrità della macchina virtuale, come determinato tramite i segnali di integrità della piattaforma, viene monitorata per rilevare gli errori di patch.

Come funziona l'applicazione automatica delle patch guest della macchina virtuale?

Quando l'applicazione automatica delle patch guest della macchina virtuale è abilitata in una macchina virtuale, le patch critiche e di sicurezza disponibili vengono scaricate e applicate automaticamente. Questo processo inizia automaticamente ogni mese quando vengono rilasciate nuove patch. La valutazione delle patch e l'installazione sono automatiche e il processo include il riavvio della macchina virtuale in base alle esigenze.

Con Hotpatch abilitato nelle macchine virtuali di Windows Server Azure Edition supportate, la maggior parte degli aggiornamenti di sicurezza mensili viene recapitata come hotpatches che non richiedono riavvii. La Aggiornamenti cumulativa più recente inviata nei mesi di base pianificati o non pianificati richiederà il riavvio della macchina virtuale. È anche possibile che siano disponibili patch critiche o di sicurezza aggiuntive che possono richiedere riavvii delle macchine virtuali.

La macchina virtuale viene valutata automaticamente ogni pochi giorni e più volte entro qualsiasi periodo di 30 giorni per determinare le patch applicabili per tale macchina virtuale. Questa valutazione automatica garantisce che tutte le patch mancanti vengano individuate al più presto possibile.

Le patch vengono installate entro 30 giorni dalle versioni delle patch mensili, seguendo i principi di disponibilità. Le patch vengono installate solo durante le ore di punta per la macchina virtuale, a seconda del fuso orario della macchina virtuale. La macchina virtuale deve essere in esecuzione durante le ore di punta per l'installazione automatica delle patch. Se una macchina virtuale viene disattivata durante una valutazione periodica, la macchina virtuale verrà valutata e le patch applicabili verranno installate automaticamente durante la valutazione periodica successiva quando la macchina virtuale è attivata. La valutazione periodica successiva avviene in genere entro pochi giorni.

Gli aggiornamenti delle definizioni e altre patch non classificate come critici o sicurezza non verranno installate tramite l'applicazione automatica di patch guest della macchina virtuale.

Informazioni sullo stato delle patch per la macchina virtuale

Per visualizzare lo stato della patch per la macchina virtuale, passare alla sezione Aggiornamenti guest + host per la macchina virtuale nel portale di Azure. Nella sezione Aggiornamenti del sistema operativo guest fare clic su "Vai a Hotpatch (anteprima)" per visualizzare lo stato della patch più recente per la macchina virtuale.

In questa schermata verrà visualizzato lo stato hotpatch per la macchina virtuale. È anche possibile esaminare se sono disponibili patch per la macchina virtuale che non sono state installate. Come descritto nella sezione "Installazione patch" precedente, tutti gli aggiornamenti di sicurezza e critici verranno installati automaticamente nella macchina virtuale usando l'applicazione automatica di patch guest della macchina virtuale e non sono necessarie azioni aggiuntive. Le patch con altre classificazioni di aggiornamento non vengono installate automaticamente. Sono invece visualizzabili nell'elenco delle patch disponibili nella scheda "Aggiorna conformità". È anche possibile visualizzare la cronologia delle distribuzioni di aggiornamenti nella macchina virtuale tramite la cronologia degli aggiornamenti. La cronologia degli aggiornamenti degli ultimi 30 giorni viene visualizzata, insieme ai dettagli dell'installazione delle patch.

Gestione hotpatch.

Con l'applicazione automatica di patch guest della macchina virtuale, la macchina virtuale viene valutata periodicamente e valutata automaticamente per gli aggiornamenti disponibili. Queste valutazioni periodiche garantiscono che vengano rilevate le patch disponibili. È possibile visualizzare i risultati della valutazione nella schermata Aggiornamenti precedente, inclusa l'ora dell'ultima valutazione. È anche possibile scegliere di attivare una valutazione delle patch su richiesta per la macchina virtuale in qualsiasi momento usando l'opzione "Valuta ora" e esaminare i risultati dopo il completamento della valutazione.

Analogamente alla valutazione su richiesta, è anche possibile installare patch su richiesta per la macchina virtuale usando l'opzione "Installa aggiornamenti ora". Qui è possibile scegliere di installare tutti gli aggiornamenti in classificazioni di patch specifiche. È anche possibile specificare gli aggiornamenti da includere o escludere fornendo un elenco di singoli articoli knowledge base. Le patch installate su richiesta non sono installate usando principi di disponibilità e possono richiedere più riavvii e tempi di inattività delle macchine virtuali per l'installazione degli aggiornamenti.

Aggiornamenti supportati

Hotpatch copre Sicurezza di Windows aggiornamenti e mantiene la parità con il contenuto degli aggiornamenti della sicurezza rilasciati nel canale di aggiornamento windows normale (non Hotpatch).

Esistono alcune considerazioni importanti per l'esecuzione di una macchina virtuale windows Server Azure Edition supportata con Hotpatch abilitata. I riavvii sono comunque necessari per installare gli aggiornamenti che non sono inclusi nel programma Hotpatch. I riavvii sono necessari periodicamente dopo l'installazione di una nuova baseline. Questi riavvii mantengono la macchina virtuale sincronizzata con patch non di sicurezza incluse nell'aggiornamento cumulativo più recente.

  • Le patch attualmente non incluse nel programma Hotpatch includono aggiornamenti non di sicurezza rilasciati per Windows e aggiornamenti non Windows, ad esempio patch .NET. Questi tipi di patch devono essere installati durante un mese di base e richiederanno un riavvio.

Domande frequenti

Che cos'è hotpatching?

  • Hotpatching è un nuovo modo per installare gli aggiornamenti in una macchina virtuale Windows Server Azure Edition supportata in Azure che non richiede un riavvio dopo l'installazione. Funziona applicando patch al codice in memoria dei processi in esecuzione senza la necessità di riavviare il processo.

Come funziona il hotpatching?

  • Hotpatching funziona creando una baseline con un aggiornamento cumulativo più recente di Windows Update, quindi si basa su tale baseline con gli aggiornamenti che non richiedono un riavvio per l'effetto. La baseline viene aggiornata periodicamente con un nuovo aggiornamento cumulativo. L'aggiornamento cumulativo include tutti gli aggiornamenti di sicurezza e qualità e richiede un riavvio.

Perché usare Hotpatch?

  • Quando si usa Hotpatch in un'immagine di Windows Server Azure Edition supportata, la macchina virtuale avrà una disponibilità maggiore (meno riavvii) e aggiornamenti più rapidi (pacchetti più piccoli installati più velocemente senza la necessità di riavviare i processi). Questo processo comporta una macchina virtuale sempre aggiornata e sicura.

Quali tipi di aggiornamenti sono coperti da Hotpatch?

  • Hotpatch copre attualmente gli aggiornamenti della sicurezza di Windows.

Quando riceverò il primo aggiornamento hotpatch?

  • Gli aggiornamenti hotpatch vengono in genere rilasciati il secondo martedì di ogni mese. Per altre informazioni, vedere sotto.

Qual è l'aspetto della pianificazione hotpatch?

  • Hotpatching funziona creando una baseline con un Windows Update aggiornamento cumulativo più recente, quindi si basa su quella baseline con gli aggiornamenti hotpatch rilasciati mensilmente. Le baseline verranno rilasciate ogni tre mesi. Per un esempio di pianificazione annuale di tre mesi, vedere l'immagine seguente, tra cui le baseline non pianificate a causa di correzioni di zero giorni.

    Pianificazione dell'esempio hotpatch.

I riavvii sono ancora necessari per una macchina virtuale registrata in Hotpatch?

  • I riavvii sono comunque necessari per installare gli aggiornamenti non inclusi nel programma Hotpatch e sono necessari periodicamente dopo l'installazione di una baseline (Windows Update aggiornamento cumulativo più recente). Questo riavvio mantiene la macchina virtuale sincronizzata con tutte le patch incluse nell'aggiornamento cumulativo. Le baseline (che richiedono un riavvio) inizieranno con una cadenza di tre mesi e aumentano nel tempo.

Le applicazioni sono interessate quando viene installato un aggiornamento Hotpatch?

  • Poiché Hotpatch esegue patch al codice in memoria dei processi in esecuzione senza la necessità di riavviare il processo, le applicazioni non saranno interessate dal processo di patch. Si noti che questo è separato da qualsiasi potenziale prestazioni e funzionalità implicazioni della patch stessa.

È possibile disattivare Hotpatch nella macchina virtuale?

  • È possibile disattivare Hotpatch in una macchina virtuale tramite il portale di Azure. La disattivazione di Hotpatch annulla la registrazione della macchina virtuale da Hotpatch, che ripristina il comportamento di aggiornamento tipico della macchina virtuale per Windows Server. Dopo aver annullato la registrazione da Hotpatch in una macchina virtuale, è possibile registrare nuovamente la macchina virtuale quando viene rilasciata la baseline hotpatch successiva.

È possibile eseguire l'aggiornamento dal sistema operativo Windows Server esistente?

  • Sì, l'aggiornamento da versioni esistenti di Windows Server (ad esempio Windows Server 2016 o Windows Server 2019) a Windows Server 2022 Datacenter: Azure Edition è supportato.

Come è possibile ottenere il supporto per la risoluzione dei problemi per Hotpatching?

  • È possibile presentare un ticket per il caso di supporto tecnico. Per l'opzione Servizio cercare e selezionare Macchina virtuale che esegue Windows in Calcolo. Selezionare Funzionalità di Azure per il tipo di problema e Patch guest della macchina virtuale automatica per il sottotipo di problema.

Passaggi successivi