Patches voor besturingssysteem en runtime in Azure-app Service
In dit artikel leest u hoe u bepaalde versie-informatie over het besturingssysteem of de software in App Service kunt ophalen.
App Service is een Platform-as-a-Service, wat betekent dat het besturingssysteem en de toepassingsstack voor u worden beheerd door Azure; u beheert alleen uw toepassing en de bijbehorende gegevens. Meer controle over het besturingssysteem en de toepassingsstack is beschikbaar voor u in Azure Virtual Machines. Met dat in gedachten is het toch nuttig voor u als App Service-gebruiker om meer informatie te weten, zoals:
- Hoe en wanneer worden besturingssysteemupdates toegepast?
- Hoe wordt App Service gepatcht tegen aanzienlijke beveiligingsproblemen (zoals zero-day)?
- Met welke versies van het besturingssysteem en de runtime worden uw apps uitgevoerd?
Om veiligheidsredenen worden bepaalde details van beveiligingsgegevens niet gepubliceerd. Het artikel is echter bedoeld om zorgen te verlichten door de transparantie van het proces te maximaliseren en hoe u up-to-date kunt blijven op beveiligingsaankondigingen of runtime-updates.
Hoe en wanneer worden besturingssysteemupdates toegepast?
Azure beheert het patchen van het besturingssysteem op twee niveaus: de fysieke servers en de virtuele gastmachines (VM's) waarop de App Service-resources worden uitgevoerd. Beide worden maandelijks bijgewerkt, wat overeenkomt met de maandelijkse Patch Tuesday-planning. Deze updates worden automatisch toegepast, op een manier die de SLA met hoge beschikbaarheid van Azure-services garandeert.
Zie Demystifying the magic behind App Service OS updates voor gedetailleerde informatie over hoe updates worden toegepast.
Hoe gaat Azure om met aanzienlijke beveiligingsproblemen?
Wanneer ernstige beveiligingsproblemen onmiddellijke patches vereisen, zoals zero-day-beveiligingsproblemen, worden de updates met hoge prioriteit op basis van case-by-case verwerkt.
Blijf op de hoogte met kritieke beveiligingsaankondigingen in Azure door naar de Azure-beveiligingsblog te gaan.
Wanneer worden ondersteunde taalruntimes bijgewerkt, toegevoegd of afgeschaft?
Nieuwe stabiele versies van ondersteunde taalruntimes (primaire, secundaire of patch) worden periodiek toegevoegd aan App Service-exemplaren. Sommige updates overschrijven de bestaande installatie, terwijl andere naast bestaande versies worden geïnstalleerd. Een overschrijfinstallatie betekent dat uw app automatisch wordt uitgevoerd op de bijgewerkte runtime. Een side-by-side installatie betekent dat u uw app handmatig moet migreren om te profiteren van een nieuwe runtimeversie. Zie een van de subsecties voor meer informatie.
Notitie
De informatie hier is van toepassing op taalruntimes die zijn ingebouwd in een App Service-app. Een aangepaste runtime die u bijvoorbeeld uploadt naar App Service, blijft ongewijzigd, tenzij u deze handmatig bijwerkt.
Nieuwe patchupdates
Patchupdates voor .NET, PHP, Java SDK of Tomcat-versie worden automatisch toegepast door de bestaande installatie te overschrijven met de nieuwste versie. Node.js patchupdates worden naast de bestaande versies geïnstalleerd (vergelijkbaar met primaire en secundaire versies in de volgende sectie). Nieuwe Python-patchversies kunnen handmatig worden geïnstalleerd via site-extensies, naast de ingebouwde Python-installaties.
Nieuwe primaire en secundaire versies
Wanneer een nieuwe primaire of secundaire versie wordt toegevoegd, wordt deze naast de bestaande versies geïnstalleerd. U kunt uw app handmatig upgraden naar de nieuwe versie. Als u de runtimeversie hebt geconfigureerd in een configuratiebestand (zoals web.config en package.json), moet u een upgrade uitvoeren met dezelfde methode. Als u een App Service-instelling hebt gebruikt om uw runtimeversie te configureren, kunt u deze wijzigen in Azure Portal of door een Azure CLI-opdracht uit te voeren in Cloud Shell, zoals wordt weergegeven in de volgende voorbeelden:
az webapp config set --net-framework-version v4.7 --resource-group <groupname> --name <appname>
az webapp config set --php-version 7.0 --resource-group <groupname> --name <appname>
az webapp config appsettings set --settings WEBSITE_NODE_DEFAULT_VERSION=~14 --resource-group <groupname> --name <appname>
az webapp config set --python-version 3.8 --resource-group <groupname> --name <appname>
az webapp config set --java-version 1.8 --java-container Tomcat --java-container-version 9.0 --resource-group <groupname> --name <appname>
Notitie
In dit voorbeeld wordt de aanbevolen tilde-syntaxis gebruikt om de meest recente beschikbare versie van Node.js 16 runtime in Windows App Service te gebruiken.
Hoe kan ik de updatestatus van het besturingssysteem en de runtime op mijn exemplaren opvragen?
Hoewel kritieke informatie over het besturingssysteem is vergrendeld voor toegang (zie besturingssysteemfunctionaliteit op Azure-app Service), kunt u met de Kudu-console een query uitvoeren op uw App Service-exemplaar met betrekking tot de versie van het besturingssysteem en de runtimeversies.
In de volgende tabel ziet u hoe u de versies van Windows en de taalruntime gebruikt waarop uw apps worden uitgevoerd:
| Gegevens | Waar vind ik het? |
|---|---|
| Windows-versie | Zie https://<appname>.scm.azurewebsites.net/Env.cshtml (onder Systeemgegevens) |
| .NET-versie | Voer https://<appname>.scm.azurewebsites.net/DebugConsolede volgende opdracht uit in de opdrachtprompt: reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\NET Framework Setup\NDP\v4\Full" |
| .NET Core-versie | Voer https://<appname>.scm.azurewebsites.net/DebugConsolede volgende opdracht uit in de opdrachtprompt: dotnet --version |
| PHP-versie | Voer https://<appname>.scm.azurewebsites.net/DebugConsolede volgende opdracht uit in de opdrachtprompt: php --version |
| Standaardversie van Node.js | Voer in Cloud Shell de volgende opdracht uit: az webapp config appsettings list --resource-group <groupname> --name <appname> --query "[?name=='WEBSITE_NODE_DEFAULT_VERSION']" |
| Python-versie | Voer https://<appname>.scm.azurewebsites.net/DebugConsolede volgende opdracht uit in de opdrachtprompt: python --version |
| Java-versie | Voer https://<appname>.scm.azurewebsites.net/DebugConsolede volgende opdracht uit in de opdrachtprompt: java -version |
Notitie
Toegang tot registerlocatie HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\Packages, waar informatie over 'KB'-patches wordt opgeslagen, is vergrendeld.
Meer resources
Vertrouwenscentrum: Beveiliging
64-bits ASP.NET Core in Azure-app Service