ビジネス継続性のために Azure VM にスケジュールパッチ適用を構成する

[アーティクル]
02/26/2024

適用対象: ✔️ Windows VM ✔️ Linux VM ✔️ Azure VM。

この記事では、ビジネス継続性を確保するために新しい前提条件を使用して、Azure VM 上でスケジュールパッチ適用とゲスト仮想マシン (VM) の自動パッチ適用を構成する方法の概要について説明します。 Azure Arc VM 上で両方のパッチ適用オプションを構成する手順は変わりません。

現時点では、Azure portal でパッチモードを [Azure-orchestrated] または REST API で [AutomaticByPlatform] に設定することで、ゲスト VM の自動パッチ適用 (自動パッチ) を有効にできます。この場合、パッチはピーク外の時間帯に自動的に適用されます。

修正プログラムのインストールの制御をカスタマイズするために、スケジュールパッチ適用を使用してメンテナンス期間を定義できます。 Azure portal でパッチモードを [Azure-orchestrated]に設定するか、REST API で [AutomaticByPlatform] に設定し、Azure VM スケジュールをアタッチすることで、スケジュールパッチ適用を有効にできます。そのため、VM のプロパティは両方のパッチモードが [Azure-orchestrated] に設定されているため、スケジュールパッチ適用とゲスト VM の自動パッチ適用を区別できませんでした。

場合によっては、VM からスケジュールを削除すると、VM の自動パッチが適用されて再起動される可能性があります。この制限を解決するために、新しい前提条件が導入されました。この前提条件 ByPassPlatformSafetyChecksOnUserSchedule を true に設定することで、スケジュールパッチ適用を使用して VM を識別できるようになりました。これにより、このプロパティが true に設定されている VM は、関連付けられたメンテナンス構成がない場合、自動パッチ適用されなくなります。

重要

スケジュールパッチ適用を継続するには、2023 年 6 月 30 日までにスケジュールがアタッチされているすべての Azure VM (既存または新規) で、新しい VM プロパティである BypassPlatformSafetyChecksOnUserSchedule が有効になっていることを確認する必要があります。この設定により、自動パッチ適用ではなく、構成したスケジュールを使用してマシンにパッチが適用されます。 2023 年 6 月 30 日までに有効にしないと、前提条件が満たされていないというエラーが発生します。

可用性セットでのパッチ適用をスケジュールする

共通の可用性セット内のすべての VM が同時に更新されることはありません。

共通の可用性セット内の VM は、更新ドメインの境界内で更新されます。複数の更新ドメインにまたがる VM が同時に更新されることはありません。

同じ可用性セットのマシンに異なるスケジュールで同時にパッチが適用されるシナリオでは、メンテナンス期間を超えた場合にパッチが適用されないか、障害が発生する可能性が高くなります。これを回避するには、メンテナンス期間を長くするか、同じ可用性セットに属するマシンを異なる時間の複数のスケジュールに分割することをお勧めします。

Azure VM でパッチ適用のスケジュールを有効にする

Azure VM でスケジュールパッチ適用を有効にするには、次の手順に従います。

前提条件

パッチオーケストレーション = カスタマーマネージドスケジュール

パッチオーケストレーションオプションを[カスタマーマネージドスケジュール]として選択します。新しいパッチオーケストレーションオプションを使用すると、お客様からの同意後、お客様に代わって次の VM プロパティを有効にします。

パッチモード = Azure-orchestrated
BypassPlatformSafetyChecksOnUserSchedule = TRUE

新しい VM に対して有効にする

スケジュールに関連付けられる新しい VM のパッチオーケストレーションオプションを選択できます。

パッチモードを更新するには、次の手順を実施ください。

Azure portal にサインインします。
[仮想マシン] に移動し、[作成] を選択して [仮想マシンの作成] ページを開きます。
[基本] タブで、すべての必須フィールドを入力します。
[管理] タブの [ゲスト OS の更新プログラム] の [パッチオーケストレーションオプション] で、[Azure-orchestrated]を選択します。
[監視]、[詳細設定]、[タグ] タブでエントリを入力します。
[確認および作成] を選択します。 [作成] を選択して、適切なパッチオーケストレーションオプションを使用して新しい VM を作成します。

新しく作成された VM にパッチを適用するスケジュールを設定するには、次のセクション「既存の VM に対して有効にする」の手順 2 に従います。

既存の VM に対して有効にする

既にスケジュールに関連付けられている、または新たにスケジュールに関連付けられる予定の既存の VM に対して、パッチオーケストレーションオプションを更新できます。

パッチオーケストレーション が [Azure-orchestrated] または [Azure マネージド - 安全なデプロイ (AutomaticByPlatform)] として設定されていて、BypassPlatformSafetyChecksOnUserSchedule が false に設定され、スケジュールが関連付けられていない場合、VM は自動パッチ適用されます。

パッチモードを更新するには、次の手順を実施ください。

Azure portal にサインインします。
Azure Update Manager に移動し、[更新設定] を選択します。
[更新設定の変更] で、[マシンの追加] を選びます。
[リソースの選択] で VM を選び、[追加] を選びます。
[更新設定の変更] ウィンドウの [パッチオーケストレーション] で、[カスタマーマネージドスケジュール] を選び、[保存] を選びます。

上記手順実施後、スケジュールをアタッチします。

BypassPlatformSafetyChecksOnUserSchedule が有効になっているかどうかを確認するには、[仮想マシン] ホームページに移動し、[概要]>[JSON ビュー] を選択します。

前提条件

パッチモード = AutomaticByPlatform
BypassPlatformSafetyChecksOnUserSchedule = TRUE

Windows VM で有効にする

PATCH on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2023-03-01`

{ 
  "location":"<location>", 
  "properties": { 
    "osProfile": { 
      "windowsConfiguration": { 
        "provisionVMAgent": true, 
        "enableAutomaticUpdates": true, 
        "patchSettings": { 
          "patchMode": "AutomaticByPlatform", 
          "automaticByPlatformSettings":{ 
            "bypassPlatformSafetyChecksOnUserSchedule":true 
          } 
        } 
      } 
    } 
  } 
}

Linux VM で有効にする

PATCH on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2023-03-01`

{ 

  "location":"<location>", 
  "properties": { 
    "osProfile": { 
      "linuxConfiguration": { 
        "provisionVMAgent": true, 
         "patchSettings": { 
           "patchMode": "AutomaticByPlatform", 
           "automaticByPlatformSettings":{ 
             "bypassPlatformSafetyChecksOnUserSchedule":true 
            } 
         } 
      } 
    } 
  } 
}

前提条件

パッチモード = AutomaticByPlatform
BypassPlatformSafetyChecksOnUserSchedule = TRUE

Windows VM で有効にする

$VirtualMachine = Get-AzVM -ResourceGroupName "<resourceGroup>" -Name "<vmName>"
Set-AzVMOperatingSystem -VM $VirtualMachine -Windows -PatchMode "AutomaticByPlatform"
$AutomaticByPlatformSettings = $VirtualMachine.OSProfile.WindowsConfiguration.PatchSettings.AutomaticByPlatformSettings
 
if ($null -eq $AutomaticByPlatformSettings) {
   $VirtualMachine.OSProfile.WindowsConfiguration.PatchSettings.AutomaticByPlatformSettings = New-Object -TypeName Microsoft.Azure.Management.Compute.Models.WindowsVMGuestPatchAutomaticByPlatformSettings -Property @{BypassPlatformSafetyChecksOnUserSchedule = $true}
} else {
   $AutomaticByPlatformSettings.BypassPlatformSafetyChecksOnUserSchedule = $true
}
 
Update-AzVM -VM $VirtualMachine -ResourceGroupName "<resourceGroup>"

Linux VM で有効にする

$VirtualMachine = Get-AzVM -ResourceGroupName "<resourceGroup>" -Name "<vmName>"
Set-AzVMOperatingSystem -VM $VirtualMachine -Linux -PatchMode "AutomaticByPlatform"
$AutomaticByPlatformSettings = $VirtualMachine.OSProfile.LinuxConfiguration.PatchSettings.AutomaticByPlatformSettings
 
if ($null -eq $AutomaticByPlatformSettings) {
   $VirtualMachine.OSProfile.LinuxConfiguration.PatchSettings.AutomaticByPlatformSettings = New-Object -TypeName Microsoft.Azure.Management.Compute.Models.LinuxVMGuestPatchAutomaticByPlatformSettings -Property @{BypassPlatformSafetyChecksOnUserSchedule = $true}
} else {
   $AutomaticByPlatformSettings.BypassPlatformSafetyChecksOnUserSchedule = $true
}
 
Update-AzVM -VM $VirtualMachine -ResourceGroupName "<resourceGroup>"

Note

現時点では、Azure portal、REST API、PowerShell を使っている場合のみ、スケジュールパッチ適用の新しい前提条件を有効にできます。 Azure CLI を使って有効にすることはできません。

Azure VM でゲスト VM の自動修正プログラムの適用を有効にする

現時点でAzure VM でゲスト VM の自動修正プログラムの適用を有効にするには、次の手順に従います。

Azure Portal
REST API

前提条件

パッチモード = Azure-orchestrated

新しい VM に対して有効にする

スケジュールに関連付けられる新しい VM のパッチオーケストレーションオプションを選択できます。

パッチモードを更新するには、次の手順を実施ください。

Azure portal にサインインします。
[仮想マシン] に移動し、[作成] を選択して [仮想マシンの作成] ページを開きます。
[基本] タブで、すべての必須フィールドを入力します。
[管理] タブの [ゲスト OS の更新プログラム] の [パッチオーケストレーションオプション] で、[Azure-orchestrated]を選択します。
[監視]、[詳細設定]、[タグ] タブでエントリを入力します。
[確認および作成] を選択します。 [作成] を選択して、適切なパッチオーケストレーションオプションを使用して新しい VM を作成します。

既存の VM に対して有効にする

パッチモードを更新するには、次の手順を実施ください。

Azure portal にサインインします。
[Update Manager] に移動し、[更新設定] を選択します。
[更新設定の変更] ウィンドウで、[マシンの追加] を選択します。
[リソースの選択] ウィンドウで VM を選び、[追加] 選択します。
[更新設定の変更] ウィンドウの [パッチオーケストレーション] で、[Azure マネージド - 安全なデプロイ] を選び、[保存] を選択します。

前提条件

パッチモード = AutomaticByPlatform
BypassPlatformSafetyChecksOnUserSchedule = FALSE

Windows VM で有効にする

PATCH on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2023-03-01`

{ 

  "location":"<location>", 
  "properties": { 
    "osProfile": { 
      "windowsConfiguration": { 
        "provisionVMAgent": true, 
        "enableAutomaticUpdates": true, 
        "patchSettings": { 
          "patchMode": "AutomaticByPlatform", 
          "automaticByPlatformSettings":{ 
            "bypassPlatformSafetyChecksOnUserSchedule":false 
          } 
        } 
      } 
    } 
  } 
}

Linux VM で有効にする

PATCH on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2023-03-01`

{ 
  "location":"<location>", 
  "properties": { 
    "osProfile": { 
      "linuxConfiguration": { 
        "provisionVMAgent": true,  
        "patchSettings": { 
          "patchMode": "AutomaticByPlatform", 
          "automaticByPlatformSettings":{ 
            "bypassPlatformSafetyChecksOnUserSchedule":false 
          } 
        } 
      } 
    } 
  } 
}

ユーザーシナリオ

シナリオ	Azure で調整	BypassPlatformSafetyChecksOnUserSchedule	関連付けられているスケジュール	Azure での想定される動作
シナリオ 1	はい	正	はい	スケジュールパッチは、ユーザーの定義に従って実行されます。
シナリオ 2	はい	正	いいえ	自動パッチとスケジュールパッチは実行されません。
シナリオ 3	はい	False	はい	自動パッチとスケジュールパッチは実行されません。スケジュールパッチの前提条件が満たされていないというエラーが表示されます。
シナリオ 4	はい	False	いいえ	VM に自動パッチが適用されます。
シナリオ 5	いいえ	True	はい	自動パッチとスケジュールパッチは実行されません。スケジュールパッチの前提条件が満たされていないというエラーが表示されます。
シナリオ 6	いいえ	True	いいえ	自動パッチとスケジュールパッチは実行されません。
シナリオ 7	いいえ	False	はい	自動パッチとスケジュールパッチは実行されません。スケジュールパッチの前提条件が満たされていないというエラーが表示されます。
シナリオ 8	いいえ	False	いいえ	自動パッチとスケジュールパッチは実行されません。

次のステップ

スケジュールパッチ適用の高度な機能である動的スコープについて学習します。
動的スコープのさまざまな操作を管理する方法の手順に従います
1 つの VM と大規模な VM の両方に対して作成されたスケジュールに従って、更新プログラムを自動的にインストールする方法を学習します。
スケジュールされたメンテナンス構成の前後にタスクを自動的に実行するための事前および事後イベントについて学習します。

ビジネス継続性のために Azure VM にスケジュールパッチ適用を構成する

可用性セットでのパッチ適用をスケジュールする

関連付けられたスケジュールを持つ VM を検索する

Azure VM でパッチ適用のスケジュールを有効にする

前提条件

新しい VM に対して有効にする

既存の VM に対して有効にする

前提条件

Windows VM で有効にする

Linux VM で有効にする

前提条件

Windows VM で有効にする

Linux VM で有効にする

Azure VM でゲスト VM の自動修正プログラムの適用を有効にする

前提条件

新しい VM に対して有効にする

既存の VM に対して有効にする

前提条件

Windows VM で有効にする

Linux VM で有効にする

ユーザーシナリオ

次のステップ

その他のリソース

ビジネス継続性のために Azure VM にスケジュール パッチ適用を構成する

可用性セットでのパッチ適用をスケジュールする

関連付けられたスケジュールを持つ VM を検索する

Azure VM でパッチ適用のスケジュールを有効にする

前提条件

新しい VM に対して有効にする

既存の VM に対して有効にする

Azure VM でゲスト VM の自動修正プログラムの適用を有効にする

前提条件

新しい VM に対して有効にする

既存の VM に対して有効にする

ユーザー シナリオ

次のステップ

その他のリソース

ビジネス継続性のために Azure VM にスケジュールパッチ適用を構成する

ユーザーシナリオ