Patch a caldo per macchine virtuali
L’hotpatching è un nuovo modo per installare aggiornamenti di sicurezza del sistema operativo nelle macchine virtuali (VM) di Windows Server Datacenter: Azure Edition supportate che non richiede un riavvio dopo l'installazione. Funziona applicando patch al codice in memoria dei processi in esecuzione senza dover riavviare il processo. Questo articolo illustra le informazioni sull'hotpatch per le macchine virtuali supportate, con i vantaggi seguenti:
- Meno file binari garantiscono un'installazione più veloce dell'aggiornamento e consumano meno risorse su disco e CPU.
- Minore impatto sul carico di lavoro con un minor numero di riavvii.
- Maggiore protezione, poiché i pacchetti di aggiornamento hotpatch hanno come ambito gli aggiornamenti della sicurezza di Windows che vengono installati più velocemente senza riavviare.
- Riduzione del tempo di esposizione ai rischi per la sicurezza e alle finestre di modifica e semplificazione dell'orchestrazione delle patch con Azure Update Manager.
Piattaforme supportate
Hotpatch è supportato solo nelle VM e Azure Stack HCI create da immagini con la combinazione esatta di publisher, offerta e sku dall'elenco di immagini del sistema operativo seguente. Le immagini di base dei contenitori di Windows Server o immagini personalizzate o qualsiasi altro editore, offerta, combinazione di SKU non sono supportate.
| Publisher | Offerta sistema operativo | Sku |
|---|---|---|
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Core |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Core-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Hotpatch |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Hotpatch-smalldisk |
Per iniziare a usare Hotpatch, usare il metodo preferito per creare una macchina virtuale Azure o Azure Stack HCI e selezionare una delle immagini seguenti da usare. Hotpatch è selezionato per impostazione predefinita durante la creazione di una macchina virtuale di Azure nel portale di Azure.
- Windows Server 2022 Datacenter: Azure Edition Hotpatch (Esperienza desktop)
- Windows Server 2022 Datacenter: Azure Edition Core1
1 Hotpatch è abilitato per impostazione predefinita nelle immagini Server Core.
Per altre informazioni sulle immagini disponibili, vedere il prodotto Windows Server 2022 Datacenter di Azure Marketplace.
Funzionamento di Hotpatch
Hotpatch funziona innanzitutto stabilendo una baseline con l'aggiornamento cumulativo corrente per Windows Server. Periodicamente (ogni tre mesi), la baseline viene aggiornata con l'aggiornamento cumulativo più recente, quindi gli hotpatch vengono rilasciati per i due mesi successivi. Ad esempio, se a gennaio c'è un aggiornamento cumulativo, febbraio e marzo saranno una versione hotpatch. Per la pianificazione della versione hotpatch, vedere Note sulla versione per Hotpatch in Gestione automatica di Azure per Windows Server 2022.
Gli hotpatch contengono aggiornamenti che non richiedono un riavvio. Poiché Hotpatch applica patch al codice in memoria dei processi in esecuzione senza la necessità di riavviare il processo, le applicazioni non sono interessate dal processo di applicazione di patch. Questa azione è separata dalle potenziali implicazioni di prestazioni e funzionalità della patch stessa.
L'immagine seguente è un esempio di pianificazione annuale di tre mesi (incluse le baseline non pianificate di esempio a causa di correzioni zero-day).
Esistono due tipi di baseline: baseline pianificate e baseline non pianificate.
Le baseline pianificate vengono rilasciate a cadenza regolare, con rilasci hotpatch tra di loro. Le baseline pianificate includono tutti gli aggiornamenti in un aggiornamento cumulativo più recente per quel mese e richiedono un riavvio.
- La pianificazione di esempio illustra quattro baseline pianificate in un anno solare (cinque totali nel diagramma) e otto versioni di hotpatch.
Le baseline non pianificate vengono rilasciate quando viene rilasciato un aggiornamento importante (ad esempio una correzione zero-day) e tale particolare aggiornamento non può essere rilasciato come hotpatch. Quando vengono rilasciate baseline non pianificate, una versione hotpatch viene sostituita con una baseline non pianificata in quel mese. Anche le baseline non pianificate includono tutti gli aggiornamenti in un aggiornamento cumulativo più recente per quel mese e richiedono un riavvio.
- La pianificazione di esempio illustra due baseline non pianificate che sostituirebbero le versioni hotpatch per tali mesi (il numero effettivo di baseline non pianificate in un anno non è noto in anticipo).
Aggiornamenti supportati
Hotpatch copre gli aggiornamenti della sicurezza di Windows e mantiene la parità con il contenuto degli aggiornamenti della sicurezza rilasciati nel normale canale di aggiornamento di Windows (nonhotpatch).
Esistono alcune considerazioni importanti sull'esecuzione di una macchina virtuale Windows Server Azure Edition supportata con hotpatch abilitato. I riavvii sono comunque necessari per installare gli aggiornamenti non inclusi nel programma hotpatch. I riavvii sono inoltre necessari periodicamente dopo l'installazione di una nuova baseline. I riavvii mantengono la macchina virtuale sincronizzata con le patch non di sicurezza incluse nell'aggiornamento cumulativo più recente.
- Le patch attualmente non incluse nel programma hotpatch includono aggiornamenti non relativi alla sicurezza rilasciati per Windows, aggiornamenti .NET e aggiornamenti non Windows (ad esempio driver, aggiornamento del firmware e così via). Questi tipi di patch potrebbero richiedere un riavvio durante i mesi di hotpatch.
Processo di orchestrazione patch
Hotpatch è un'estensione di Windows Update e processi di orchestrazione tipici. Gli strumenti di orchestrazione delle patch variano a seconda della piattaforma. Per orchestrare Hotpatch:
Azure: macchine virtuali create in Azure sono abilitate per applicazione automatica di patch guest alle macchine virtuali per impostazione predefinita con un'immagine supportata Windows Server Datacenter: Azure Edition. Applicazione automatica di patch guest alle macchine virtuali in Azure:
Le patch classificate come Critiche o Sicurezza vengono scaricate e applicate automaticamente alla macchina virtuale.
Le patch vengono applicate durante le ore di minore attività nel fuso orario della macchina virtuale.
Azure gestisce l'orchestrazione delle patch e le patch vengono applicate seguendo principi di disponibilità.
L'integrità della macchina virtuale, come determinato tramite i segnali di integrità della piattaforma, viene monitorata per rilevare gli errori di applicazione di patch.
Nota
Non è possibile creare set di scalabilità di macchine virtuali (VMSS) con orchestrazione uniforme nelle immagini di Azure Edition con Hotpatch. Per altre informazioni sulle funzionalità supportate dall'orchestrazione Uniforme per i set di scalabilità, vedere Confronto tra set di disponibilità flessibili e uniformi.
Azure Stack HCI: gli aggiornamenti hotpatch per le macchine virtuali create in Azure Stack HCI vengono orchestrati usando:
Criteri di gruppo per configurare le impostazioni client di Windows Update.
Configurazione delle impostazioni client di Windows Update o SCONFIG per Server Core.
Soluzione di gestione delle patch di terze parti.
Informazioni sullo stato della patch per la macchina virtuale in Azure
Per visualizzare lo stato della patch per la macchina virtuale, passare alla panoramica della macchina virtuale nel portale di Azure, in Operazioni selezionare Aggiornamenti. Nella sezione Aggiornamenti consigliati è possibile visualizzare le patch più recenti e lo stato di hotpatch per la macchina virtuale.
In questa schermata viene visualizzato lo stato di hotpatch per la macchina virtuale. È anche possibile verificare se sono presenti patch disponibili per la macchina virtuale che non sono state installate. Come descritto nella ‘ezione precedente, 'Installazione patch', tutti gli aggiornamenti di sicurezza e critici vengono installati automaticamente nella macchina virtuale usando applicazione automatica di patch guest alle macchine virtuali e non sono necessarie azioni aggiuntive. Le patch con altre classificazioni degli aggiornamenti non vengono installate automaticamente. Sono invece visualizzabili nell'elenco delle patch disponibili nella scheda Conformità aggiornamenti. È anche possibile visualizzare la cronologia delle distribuzioni di aggiornamenti nella macchina virtuale tramite la cronologia degli aggiornamenti. Viene visualizzata la cronologia degli aggiornamenti degli ultimi 30 giorni, insieme ai dettagli di installazione delle patch.
Con l'applicazione automatica di patch guest alle macchine virtuali, la macchina virtuale viene valutata periodicamente e automaticamente per gli aggiornamenti disponibili. Queste valutazioni periodiche assicurano che vengano rilevate patch disponibili. È possibile visualizzare i risultati della valutazione nella schermata Aggiornamenti dell'immagine precedente, inclusa l'ora dell'ultima valutazione. È anche possibile scegliere di attivare una valutazione delle patch su richiesta per la macchina virtuale in qualsiasi momento usando l'opzione 'Valuta ora' ed esaminare i risultati al termine della valutazione.
Analogamente alla valutazione su richiesta, è anche possibile installare patch su richiesta per la macchina virtuale usando l'opzione 'Installa aggiornamenti ora'. Qui è possibile scegliere di installare tutti gli aggiornamenti in classificazioni di patch specifiche. È anche possibile specificare gli aggiornamenti da includere o escludere fornendo un elenco di singoli articoli della Knowledge Base. Le patch installate su richiesta non vengono installate usando principi di disponibilità e possono richiedere più riavvii e tempi di inattività delle macchine virtuali per l'installazione degli aggiornamenti.
È anche possibile visualizzare le patch installate usando il comando Get-HotFix di PowerShell o l'app Impostazioni quando si usa Esperienza desktop.
Supporto del rollback in Hotpatching
L'installazione di aggiornamenti hotpatch o baseline non supporta il rollback automatico. Se una macchina virtuale riscontra un problema durante o dopo un aggiornamento, sarà necessario disinstallare l'aggiornamento più recente e installare l'ultimo aggiornamento di base valido noto. Sarà necessario riavviare la macchina virtuale dopo il rollback.