仮想マシンのホットパッチ
ホット パッチは、サポートされている Windows Server Datacenter: Azure Edition の仮想マシン (VM) に OS セキュリティ更新プログラムをインストールする方法で、インストール後に再起動を必要としません。 プロセスを再起動せずに、実行中のプロセスのメモリ内コードに修正プログラムを適用します。 この記事では、サポートされている VM のホットパッチについて説明します。これには次の利点があります。
- バイナリ ファイルの数が少ないため、更新プログラムのインストール時間が短縮され、ディスクと CPU リソースの消費量が少なくなります。
- 再起動の回数が少なくなるため、ワークロードへの影響が小さくなります。
- ホットパッチ更新プログラム パッケージは、再起動せずに高速にインストールされる Windows セキュリティ更新プログラムに限定されるため、保護が強化されます。
- セキュリティ リスクや変更ウィンドウに晒される時間を短縮し、Azure Update Manager を使用したパッチ オーケストレーションが容易になります。
サポートされているプラットフォーム
ホットパッチは、以下の OS イメージ リストの公開元、オファー、および SKU の正確な組み合わせを使用してイメージから作成された VM と Azure Stack HCI でのみサポートされます。 Windows Server コンテナーの基本イメージ、カスタム イメージ、またはその他の公開元、オファー、SKU の組み合わせはサポートされていません。
| Publisher | OS 製品 | Sku |
|---|---|---|
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Core |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Core-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Hotpatch |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Hotpatch-smalldisk |
ホットパッチの使用を開始するには、任意の方法を使用して Azure または Azure Stack HCI VM を作成し、次のイメージのいずれかを選択します。 ホットパッチは、Azure portal で Azure VM を作成するときに既定で選択されます。
- Windows Server 2022 Datacenter: Azure Edition ホットパッチ (デスクトップ エクスペリエンス)
- Windows Server 2022 Datacenter: Azure Edition Core1
1 Server Core イメージでは、ホットパッチが既定で有効になっています。
使用可能なイメージの詳細については、Windows Server 2022 Datacenter Azure Marketplace 製品を参照してください 。
ホットパッチのしくみ
ホットパッチでは、まず Windows Server 用の現在の累積的な更新プログラムを使用してベースラインが確立されます。 ベースラインは定期的 (3 か月ごと) に最新の累積的な更新プログラムで更新され、その後 2 か月間ホットパッチがリリースされます。 たとえば、累積的な更新プログラムが 1 月の場合、ホットパッチは 2 月と 3 月にリリースされます。 ホットパッチのリリース スケジュールについては、Windows Server 2022 用 Azure Automanage のホットパッチのリリース ノートを参照してください。
ホットパッチには、再起動を必要としない更新プログラムが含まれています。 ホットパッチはプロセスを再起動せずに実行中のプロセスのメモリ内コードにパッチを適用するため、アプリケーションはパッチ適用プロセスの影響を受けません。 これは、パッチ自体の潜在的なパフォーマンスや機能への影響とは別です。
次の図に、年間 3 か月間のスケジュールの例を示します (ゼロデイ修正による計画外ベースラインの例を含む)。
ベースラインには、計画ベースラインと計画外ベースラインの 2 種類があります。
計画ベースラインは定期的にリリースされ、その間にホットパッチがリリースされます。 計画ベースラインには、その月の相当する最新累積更新プログラムのすべての更新プログラムが含まれ、再起動が必要です。
- サンプル スケジュールでは、暦年に計画された 4 つのベースライン リリース (図では合計 5 つ) と 8 つのホットパッチ リリースを示しています。
計画外ベースライン は、重要な更新プログラム (ゼロデイ修正プログラムなど) がリリースされ、その更新プログラムをホットパッチとしてリリースできない場合にリリースされます。 計画外ベースラインがリリースされると、その月のホットパッチ リリースが計画外ベースラインに置き換えられます。 計画外ベースラインには、その月の相当する最新の累積的な更新プログラムのすべての更新プログラムも含まれ、再起動も必要です。
- サンプル スケジュールでは、2 つの計画外ベースラインがそれらの月のホットパッチ リリースを置き換えることを示しています。1 年間にリリースされる計画外ベースラインの実際の回数は、事前にはわかりません。
サポートされている更新プログラム
ホットパッチには Windows セキュリティ更新プログラムが含まれ、通常の (非ホットパッチ) Windows 更新プログラム チャネルで発行されたセキュリティ更新プログラムのコンテンツと同じパリティを維持しています。
サポートされている Windows Server Azure Edition VM をホットパッチを有効にして実行する場合、いくつかの重要な考慮事項があります。 ホットパッチ プログラムに含まれていない更新プログラムをインストールするには、再起動が必要です。 再起動は、新しいベースラインがインストールされた後にも定期的に必要となります。 再起動すると、最新の累積的な更新プログラムに含まれるセキュリティ以外のパッチと VM の同期が維持されます。
- 現在ホットパッチ プログラムに含まれていないパッチには、Windows 用にリリースされたセキュリティ以外の更新プログラム、.NET 更新プログラム、Windows 以外の更新プログラム (ドライバー、ファームウェアの更新プログラムなど) があります。 これらの種類のパッチでは、ホットパッチの月に再起動が必要となる場合があります。
パッチ オーケストレーション プロセス
ホットパッチは、Windows Update と一般的なオーケストレーション プロセスの拡張機能です。 パッチ オーケストレーション ツールは、プラットフォームによって異なります。 ホットパッチを調整するには:
Azure: Azure で作成された仮想マシンでは、サポートされている Windows Server Datacenter: Azure Edition イメージを使用した VM ゲストの自動パッチ適用が既定で有効 になっています。 Azure での VM ゲストの自動パッチ適用:
重大またはセキュリティと分類されたパッチは、VM に自動的にダウンロードされ、適用されます。
パッチは、VM のタイム ゾーンのピーク時以外の時間帯に適用されます。
Azure がパッチ オーケストレーションを管理し、パッチは可用性優先の原則に従って適用されます。
パッチ適用エラーを検出するため、仮想マシンの正常性を示すプラットフォームの正常性シグナルが監視されます。
注意
ホットパッチを使用して Azure Edition イメージで Uniform オーケストレーションを使用して VM スケール セット (VMSS) を作成することはできません。 スケール セットの Uniform オーケストレーションでサポートされる機能の詳細については、「フレキシブル セット、Uniform セット、可用性セットの比較」を参照してください。
Azure Stack HCI: Azure Stack HCI で作成された仮想マシンのホットパッチ更新プログラムは、次を使用して調整されます。
Windows Update クライアント設定を構成するグループ ポリシー。
Windows Update クライアント設定の構成、または Server Core 用の SCONFIG。
サード パーティのパッチ管理ソリューション。
Azure の VM のパッチの状態について
VM のパッチの状態を表示するには、Azure portal で VM の概要を開き、[操作] で [更新プログラム] を選択します。 [推奨される更新プログラム] セクションで、VM の最新のパッチとホットパッチの状態を確認できます。
この画面には、VM のホットパッチの状態が表示されます。 VM にインストールされていないパッチがあるかどうかも確認できます。 「パッチのインストール」セクションで説明したように、VM ゲストの自動パッチ適用を使用してすべてのセキュリティ更新プログラムと重要な更新プログラムが VM に自動的にインストールされるので、追加の操作は必要ありません。 その他の種類の更新プログラムを含むパッチは、自動的にはインストールされません。 これらのパッチは、[Update Compliance] タブの利用可能なパッチの一覧に表示されます。更新履歴で、VM の更新プログラムの展開履歴を確認することもできます。 過去 30 日間に適用された更新プログラムの履歴と、パッチ インストールの詳細が表示されます。
VM ゲストの自動パッチ適用を使用すると、VM に適用可能な更新プログラムがあるかどうかが定期的に自動評価されます。 これらの定期的な評価により、利用可能なパッチが確実に検出されます。 前のイメージの [更新] 画面で、評価の結果 (前回の評価の時刻を含む) を確認できます。 また、[今すぐ評価] オプションを使用して、いつでも VM のオンデマンド パッチ評価を開始し、評価の完了後に結果を確認できます。
オンデマンド評価と同様に、[今すぐ更新プログラムをインストールする] オプションを使用して、VM のパッチをオンデマンドでインストールすることもできます。 このオプションでは、特定のパッチ分類の更新プログラムすべてをインストールすることを選択できます。 個々のナレッジ ベース記事の一覧を指定して、含める更新プログラムまたは除外する更新プログラムを指定することもできます。 オンデマンドでインストールされたパッチは、可用性優先の原則を使用してインストールされるわけではないので、更新プログラムのインストール時に必要な再起動の回数や VM のダウンタイムが増加する可能性があります。
また、Get-HotFix PowerShell コマンドを使用するか、デスクトップ エクスペリエンスを使用している場合は設定アプリを使用して、インストールされているパッチを表示することもできます。
ホットパッチ上でのロールバック サポート
ホットパッチまたはベースライン更新のインストールは、自動ロールバックをサポートしていません。 更新中または更新後に VM に問題が発生した場合は、最新の更新プログラムをアンインストールして、最終の良好なベースライン更新をインストールする必要があります。 ロールバック後に VM を再起動する必要があります。