Edytuj

Share via

Planowanie wdrożenia na potrzeby aktualizacji maszyn wirtualnych z systemem Windows na platformie Azure

Azure
Azure Firewall
Azure Virtual Machines
Azure Virtual Network

W przypadku odizolowania sieci wirtualnej platformy Azure od Internetu nadal możesz pobierać aktualizacje systemu Windows bez naruszania zabezpieczeń i otwierania dostępu do całego Internetu. Ten artykuł zawiera zalecenia dotyczące sposobu konfigurowania sieci obwodowej, zwanej również strefą DMZ, pod kątem hostowania wystąpienia usługi Windows Server Update Services (WSUS) w celu bezpiecznego aktualizowania sieci wirtualnych bez połączenia z Internetem.

Jeśli korzystasz z usługi Azure Firewall, możesz używać tagów FQDN usługi Windows Update w regułach aplikacji, aby zezwalać na wymagany wychodzący ruch sieciowy przez zaporę. Aby uzyskać więcej informacji, zobacz Omówienie tagów FQDN.

Aby zaimplementować zalecenia z tego artykułu, należy dysponować wiedzą na temat usług platformy Azure. W poniższych sekcjach opisano zalecany projekt wdrożenia używający konfiguracji topologii piasty i szprych dla jednego lub wielu regionów.

Topologia piasty i szprych w sieci wirtualnej platformy Azure

Zalecamy skonfigurowanie topologii sieci w modelu piasty i szprych przez utworzenie sieci obwodowej. Hostuj serwer WSUS na maszynie wirtualnej platformy Azure znajdującej się w piaście między Internetem i sieciami wirtualnymi. Piasta powinna mieć otwarte porty. Usługa WSUS używa portu 80 dla protokołu HTTP i portu 443 dla protokołu HTTPS w celu uzyskiwania aktualizacji od firmy Microsoft. Szprychy to wszystkie inne sieci wirtualne, które będą komunikować się z piastą, a nie z Internetem. W tym celu można utworzyć podsieć, sieciowe grupy zabezpieczeń i komunikację równorzędną sieci wirtualnych platformy Azure, które zezwolą na ruch usługi WSUS, jednocześnie blokując inny ruch internetowy. Ten obraz przedstawia przykład topologii piasty i szprych:

Hub-and-spoke topology architecture diagram.

Pobierz plik programu Visio z tą architekturą.

Elementy na tym obrazie:

  • WSUSSubnet to piasta w topologii piasty i szprych.
  • NSG_DS to reguła sieciowej grupy zabezpieczeń, która zezwala na ruch usługi WSUS przy jednoczesnej blokadzie innego ruchu internetowego.
  • WSUS VM to maszyna wirtualna platformy Azure skonfigurowana do uruchamiania usługi WSUS.
  • MainSubnet to sieć wirtualna, szprycha, zawierająca maszyny wirtualne.
  • NSG_MS to zasady sieciowej grupy zabezpieczeń, które zezwalają na ruch z maszyny wirtualnej WSUS, ale uniemożliwiają ruch internetowy.

Jako serwer WSUS można ponownie użyć istniejącego serwera lub wdrożyć nowy serwer. Na potrzeby maszyny wirtualnej WSUS zalecamy maszynę spełniającą następujące minimalne wymagania:

  • System operacyjny: Windows Server 2016 lub nowszy.
  • Procesor: dwurdzeniowy, 2 GHz lub szybszy.
  • Pamięć: 2 GB pamięci RAM, oprócz pamięci RAM wymaganej przez serwer i wszystkie inne uruchomione usługi i oprogramowanie.
  • Magazyn: 40 GB lub więcej.
  • Dostęp: dostęp do tej maszyny wirtualnej jest bezpieczniejszy przy użyciu funkcji just in time (JIT). Zobacz Zarządzanie dostępem maszyny wirtualnej przy użyciu dostępu just in time.

W Twojej sieci będzie istnieć więcej niż jedna sieć wirtualna platformy Azure, która może znajdować się w tym samym lub różnych regionach. Należy ocenić wszystkie maszyny wirtualne z systemem Windows Server, aby sprawdzić, czy mogą być używane jako serwer WSUS. Jeśli masz tysiące maszyn wirtualnych do zaktualizowania, zalecamy skorzystanie z maszyny wirtualnej z systemem Windows Server mającej wyłącznie rolę serwera WSUS.

Jeśli wszystkie Twoje sieci wirtualne znajdują się w tym samym regionie, sugerujemy zastosowanie jednego serwera WSUS na 18 000 maszyn wirtualnych. Ta sugestia jest oparta na kombinacji wymagań maszyny wirtualnej i liczby aktualizowanych maszyn wirtualnych klienta oraz kosztów komunikacji między sieciami wirtualnymi. Aby uzyskać więcej informacji na temat wymagań dotyczących pojemności usługi WSUS, zobacz Planowanie wdrożenia usługi WSUS.

Koszt tych konfiguracji można określić za pomocą kalkulatora cen platformy Azure. Musisz podać następujące informacje:

  • Maszyna wirtualna:
    • Region: region, w którym wdrożono sieć wirtualną platformy Azure.
    • System operacyjny: Windows
    • Warstwa: Standardowa
    • Wystąpienie: konfiguracja D4
    • Dyski zarządzane: hdd w warstwie Standardowa, 64 GB
  • Sieć wirtualna:
    • Wpisz
      • Ten sam region, jeśli transfer odbywa się w tym samym regionie.
      • Między regionami, jeśli przenosisz dane z jednego regionu do innego.
    • Transfer danych: 2 GB
    • Region
      • Jeśli transfer odbywa się w jednym regionie, wybierz region, w którym znajduje się serwer WSUS i sieci wirtualne.
      • W przypadku transferu między regionami region źródłowej sieci wirtualnej to region, w którym znajduje się serwer WSUS. Region docelowej sieci wirtualnej to region, do którego dane są wysyłane.
    • Jeśli masz wiele regionów, należy wybrać wartość Sieć wirtualna wiele razy.

Pamiętaj, że ceny różnią się w zależności od regionu.

Wdrożenie ręczne

Po zidentyfikowaniu sieci wirtualnej platformy Azure, która ma być używana jako piasta, lub określeniu, że należy utworzyć nowe wystąpienie serwera Windows Server, musisz utworzyć regułę sieciowej grupy zabezpieczeń. Reguła zezwoli na ruch internetowy umożliwiający synchronizację metadanych i zawartości usługi Windows Update z serwerem WSUS, który zostanie utworzony. Poniżej przedstawiono reguły, które należy dodać:

  • Reguła sieciowej grupy zabezpieczeń dla ruchu przychodzącego/wychodzącego w celu zezwolenia na ruch do/z Internetu na porcie 80 (dla zawartości).
  • Reguła sieciowej grupy zabezpieczeń dla ruchu przychodzącego/wychodzącego w celu zezwolenia na ruch do/z Internetu na porcie 443 (dla metadanych).
  • Reguła sieciowej grupy zabezpieczeń dla ruchu przychodzącego/wychodzącego w celu zezwolenia na ruch z maszyn wirtualnych klienta na porcie 8530 (wartość domyślna, jeśli nie zostanie skonfigurowana inaczej).

Konfigurowanie serwera WSUS

Istnieją dwa podejścia, których można użyć do skonfigurowania serwera WSUS:

  • Jeśli chcesz automatycznie skonfigurować serwer przeznaczony do obsługi typowego obciążenia przy minimalnym narzucie prac administracyjnych, możesz użyć skryptu automatyzacji programu PowerShell.
  • Jeśli musisz obsługiwać tysiące klientów z wieloma różnymi systemami operacyjnymi i językami lub jeśli chcesz skonfigurować serwer WSUS w sposób, który nie jest obsługiwany przez skrypt programu PowerShell, możesz skonfigurować serwer WSUS ręcznie. Oba podejścia są opisane w dalszej części tego artykułu.

Te dwa podejścia możesz również połączyć, używając skryptu automatyzacji do wykonania większości zadań, a następnie dostosowując ustawienia serwera przy użyciu konsoli administracyjnej WSUS.

Konfigurowanie serwera WSUS przy użyciu skryptu automatyzacji

Skrypt Configure-WSUSServer umożliwia szybkie skonfigurowanie serwera WSUS, który będzie automatycznie synchronizować i zatwierdzać aktualizacje dla wybranego zestawu produktów i języków.

Uwaga

Skrypt zawsze konfiguruje serwer WSUS do używania wewnętrznej bazy danych systemu Windows w celu przechowywania danych aktualizacji. Przyspiesza to instalację i zmniejsza stopień skomplikowania administracji. Jeśli jednak serwer będzie obsługiwał tysiące komputerów klienckich, zwłaszcza jeśli konieczne będzie również obsługiwanie szerokiej gamy produktów i języków, należy najpierw ręcznie skonfigurować serwer WSUS w taki sposób, aby można było używać programu SQL Server jako bazy danych.

Najnowsza wersja tego skryptu jest dostępna w witrynie GitHub.

Skrypt można skonfigurować przy użyciu pliku JSON. Obecnie można skonfigurować następujące opcje:

  • Czy ładunki aktualizacji powinny być przechowywane lokalnie (i, jeśli tak, gdzie powinny być przechowywane), czy pozostawione na serwerach firmy Microsoft.
  • Które produkty, klasyfikacje aktualizacji i języki powinny być dostępne na serwerze.
  • Czy serwer powinien automatycznie zatwierdzać aktualizacje na potrzeby instalacji, czy pozostawić aktualizacje niezatwierdzone, chyba że zatwierdzi je administrator.
  • Czy serwer powinien automatycznie pobierać nowe aktualizacje firmy Microsoft, a jeśli tak, to jak często.
  • Czy mają być używane ekspresowe pakiety aktualizacji. Ekspresowe pakiety aktualizacji ograniczają przepustowość serwer-klient kosztem użycia procesora CPU/dysku klienta i przepustowości serwer-serwer.
  • Czy skrypt powinien nadpisywać swoje poprzednie ustawienia. Zwykle w celu uniknięcia wykonania niezamierzonych czynności związanych z ponowną konfiguracją, które mogą zakłócić działanie serwera, skrypt zostanie uruchomiony tylko raz na danym serwerze.

Skopiuj skrypt i jego plik konfiguracji do magazynu lokalnego, a następnie zmodyfikuj plik konfiguracji zgodnie z potrzebami.

Ostrzeżenie

Podczas edytowania pliku konfiguracji należy zachować ostrożność. Składnia używana w plikach konfiguracji JSON jest rygorystyczna. Jeśli przypadkowo zmienisz strukturę pliku, a nie tylko wartości parametrów, plik konfiguracji nie zostanie załadowany.

Skrypt można uruchomić na jeden z dwóch sposobów:

  • Skrypt można uruchomić ręcznie z maszyny wirtualnej WSUS.

    Następujące polecenie uruchomione w oknie wiersza polecenia z podwyższonym poziomem uprawnień spowoduje zainstalowanie i skonfigurowanie serwera WSUS. Użyje ono skryptu i pliku konfiguracji w bieżącym katalogu.

    powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json

  • Użyć możesz rozszerzenia niestandardowego skryptu dla systemu Windows.

    Skopiuj skrypt i plik konfiguracji JSON do własnego kontenera magazynu.

    W typowych konfiguracjach maszyn wirtualnych i sieci Azure Virtual Network rozszerzenie niestandardowego skryptu wymaga tylko następujących dwóch parametrów do prawidłowego uruchomienia skryptu. (Pokazane tutaj wartości należy zastąpić adresami URL swoich lokalizacji przechowywania).

    "fileUris": ["https://mystorage.blob.core.windows.net/mycontainer/Configure-WSUSServer.ps1","https://mystorage.blob.core.windows.net/container/WSUS-Config.json"],
"commandToExecute": "powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json"

Skrypt uruchomi synchronizację początkową wymaganą do udostępnienia aktualizacji na komputerach klienckich. Skrypt nie czeka jednak na ukończenie tej synchronizacji. W zależności od wybranych produktów, klasyfikacji i języków synchronizacja początkowa może potrwać kilka godzin. Wszystkie późniejsze synchronizacje powinny być szybsze.

Ręczne konfigurowanie serwera WSUS

  1. Z poziomu maszyny wirtualnej WSUS otwórz Menedżer serwera i wybierz pozycję Dodaj role i funkcje.

  2. Wybieraj przycisk Dalej, dopóki nie zostanie wyświetlona strona Wybieranie ról serwera. Wybierz pozycję Windows Server Update Services. Wybierz pozycję Dodaj funkcje po wyświetleniu monitu Czy dodać funkcje wymagane przez funkcję Windows Server Update Services?.

  3. Wybieraj przycisk Dalej, dopóki nie zostanie wyświetlona strona Wybieranie usług ról.

    • Domyślnie możesz użyć łączności WID.
    • Użyj Połączenie ivity programu SQL Server, jeśli musisz obsługiwać klientów korzystających z wielu różnych wersji systemu Windows (na przykład Windows 11 i Windows 10).

  4. Wybieraj przycisk Dalej, dopóki nie zostanie wyświetlona strona Wybór lokalizacji zawartości. Podaj lokalizację, w której mają być przechowywane aktualizacje.

  5. Wybieraj przycisk Dalej, dopóki nie zostanie wyświetlona strona Potwierdzanie opcji instalacji. Wybierz Zainstaluj.

  6. Otwórz zainstalowaną usługę Windows Server Update Services i wybierz pozycję Uruchom.

  7. Wybieraj przycisk Dalej, dopóki nie zostanie wyświetlona strona Łączenie z serwerem nadrzędnym. Wybierz pozycję Rozpocznij połączenie.

  8. Wybieraj przycisk Dalej, dopóki nie zostanie wyświetlona strona Wybór języków. Wybierz wymagane języki.

  9. Wybieraj przycisk Dalej, dopóki nie zostanie wyświetlona strona Wybór produktów. Wybierz wymagane produkty.

  10. Wybieraj przycisk Dalej, dopóki nie zostanie wyświetlona strona Wybór klasyfikacji. Wybierz wymagane aktualizacje.

  11. Wybieraj przycisk Dalej, dopóki nie zostanie wyświetlona strona Ustawianie harmonogramu synchronizacji. Wybierz preferencję synchronizacji.

  12. Wybieraj przycisk Dalej, dopóki nie zostanie wyświetlona strona Zakończono. Wybierz pozycję Rozpocznij synchronizację początkową, a następnie przycisk Dalej.

  13. Wybieraj przycisk Dalej, dopóki nie zostanie wyświetlona strona Co dalej, a następnie wybierz przycisk Zakończ.

  14. Jeśli wybierzesz nazwę serwera WSUS (np. WsusVM) w okienku nawigacji, pole Stan synchronizacji powinno mieć wartość Bezczynne, a pole Wynik ostatniej synchronizacji wartość Powodzenie.

  15. W okienku nawigacji wybierz pozycję Opcje>Komputery>Użyj zasad grupy lub ustawień rejestru na komputerach. Wybierz przycisk OK.

Podczas synchronizacji usługi WSUS ustalają, czy od czasu ostatniej synchronizacji udostępniono nowe aktualizacje. Jeśli synchronizacja serwera WSUS odbywa się po raz pierwszy, metadane są pobierane od razu. Ładunek zostanie pobrany tylko wtedy, gdy lokalny magazyn jest włączony i aktualizacja zostanie zatwierdzona dla co najmniej jednej grupy komputerów.

Uwaga

Synchronizacja początkowa może zająć ponad godzinę. Wszystkie późniejsze synchronizacje powinny przebiegać znacznie szybciej.

Konfigurowanie sieci wirtualnych do komunikowania się z serwerem WSUS

Następnie skonfiguruj komunikację równorzędną sieci wirtualnych platformy Azure lub komunikację równorzędną globalnych sieci wirtualnych, aby komunikować się z piastą. Zalecamy skonfigurowanie serwera WSUS w każdym regionie, który został wdrożony, w celu zminimalizowania opóźnień.

W każdej sieci wirtualnej platformy Azure, która jest szprychą, należy utworzyć zasady sieciowej grupy zabezpieczeń z następującymi regułami:

  • Reguła sieciowej grupy zabezpieczeń dla ruchu przychodzącego/wychodzącego w celu zezwolenia na ruch z maszyny wirtualnej WSUS na porcie 8530 (wartość domyślna, jeśli nie zostanie skonfigurowana inaczej).
  • Reguła sieciowej grupy zabezpieczeń dla ruchu przychodzącego/wychodzącego w celu zablokowania ruchu z Internetu.

Następnie utwórz komunikację równorzędną sieci wirtualnych platformy Azure od szprychy do piasty.

Maszyna wirtualna klienta

Konfigurowanie maszyn wirtualnych klienta

Za pomocą usługi WSUS można aktualizować dowolną maszynę wirtualną z systemem Windows (z wyjątkiem jednostki SKU Home). Wykonaj następujące kroki na każdej maszynie wirtualnej klienta, aby umożliwić komunikację między serwerem WSUS i klientem:

Z poziomu maszyny wirtualnej klienta

  1. Otwórz Edytor lokalnych zasad grupy (lub Edytor zarządzania zasadami grupy).
  2. Wybierz pozycję Konfiguracja komputera>Szablony administracyjne>Składniki systemu Windows>Windows Update.
  3. Włącz ustawienie Określ lokalizację intranetową usługi aktualizującej firmy Microsoft.
  4. Wprowadź adres URL http://\<WSUS name>:8530. Nazwę serwera WSUS (np. WsusVM) można znaleźć na stronie Usługi aktualizacji. Aby to ustawienie zostało odzwierciedlone, może upłynąć trochę czasu (do kilku godzin).
  5. Wybierz pozycję Ustawienia>Aktualizacje i zabezpieczenia>Windows Update.
  6. Wybierz Sprawdź, czy są aktualizacje.

Z maszyny wirtualnej WSUS

  1. Otwórz usługę Windows Server Update Services. Maszyna wirtualna klienta powinna być wyświetlana w obszarze Komputery>Wszystkie komputery.
  2. Wybierz pozycję Aktualizacje>Wszystkie aktualizacje.
  3. Ustaw wartość pola Zatwierdzanie na Dowolne z wyjątkiem odrzuconych.
  4. Ustaw wartość pola Stan na Wymagana. Teraz możesz zobaczyć wszystkie aktualizacje, które są wymagane dla maszyny wirtualnej klienta.
  5. Kliknij prawym przyciskiem myszy dowolną aktualizację i wybierz pozycję Zatwierdź.

Weryfikacja

  1. Na maszynie wirtualnej klienta wybierz pozycję Ustawienia>Aktualizacje i zabezpieczenia>Windows Update.
  2. Wybierz Sprawdź, czy są aktualizacje. Powinna zostać wyświetlona aktualizacja z takim samym numerem KB (np. 4480056), co w przypadku aktualizacji zatwierdzonej z maszyny wirtualnej WSUS.

Jeśli jesteś administratorem zarządzającym dużą siecią, zobacz Konfigurowanie aktualizacji automatycznych i aktualizowanie lokalizacji usługi, aby uzyskać informacje na temat używania ustawień zasad grupy do automatycznego konfigurowania klientów.

Wdrażanie usług WSUS dla wielu chmur

Nie jest możliwe skonfigurowanie komunikacji równorzędnej sieci wirtualnych między chmurami publiczną i prywatną. Sieci wdrożone w chmurach publicznych i prywatnych muszą mieć co najmniej jeden serwer WSUS w każdej chmurze.

Uwagi dotyczące pomocy technicznej

Obecnie serwer WSUS nie obsługuje synchronizacji z jednostką SKU Windows Home.

Zarządzanie aktualizacjami platformy Azure

Możesz użyć rozwiązania Update Management na platformie Azure do zarządzania aktualizacjami systemu operacyjnego i planowania ich dla maszyn wirtualnych, które są synchronizowane z serwerem WSUS. Stan poprawek maszyny wirtualnej (określający brakujące poprawki) jest oceniany na podstawie źródła, z którym skonfigurowano synchronizację maszyny wirtualnej. Jeśli maszyna wirtualna z systemem Windows jest skonfigurowana do raportowania do serwera WSUS, wyniki mogą się różnić od tych pokazywanych w witrynie Microsoft Update w zależności od tego, kiedy usługa WSUS była ostatnio synchronizowana z usługą Microsoft Update. Po skonfigurowaniu środowiska WSUS możesz włączyć rozwiązanie Update Management. Aby uzyskać więcej informacji, zobacz Omówienie rozwiązania Update Management i kroki dołączania.

Współautorzy

Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.

Główny autor:

  • Paweł Reed | Starszy menedżer programu zgodności platformy Azure

Następne kroki