Hotpatch para máquinas virtuais
Hotpatching é uma forma de instalar as atualizações de segurança do sistema operacional em máquinas virtuais (VMs) Windows Server Datacenter: Azure Edition com suporte, que não exigem reinicialização após a instalação. Ele funciona corrigindo o código na memória dos processos em execução sem a necessidade de reiniciar o processo. Este artigo aborda informações sobre o hotpatch para VMs com suporte, que tem os seguintes benefícios:
- Menos binários significam que a atualização será instalada mais rapidamente e consumirá menos recursos de disco e CPU.
- Menor impacto na carga de trabalho com menos reinicializações.
- Melhor proteção, pois os pacotes de atualização do hotpatch têm como escopo as atualizações de segurança do Windows que são instaladas mais rapidamente sem reinicialização.
- Reduz o tempo exposto a riscos de segurança e janelas de alteração, além de facilitar a orquestração de patches com o Gerenciador de Atualizações do Azure.
Plataformas suportadas
O Hotpatch tem suporte apenas em VMs e no Azure Stack HCI criados a partir de imagens com a combinação exata de editor, oferta e sku da lista de imagens de sistema operacional abaixo. Não há suporte para imagens base de contêiner do Windows Server, imagens personalizadas ou qualquer outra combinação de editor, oferta e sku.
| Publisher | Oferta de sistema operacional | Sku |
|---|---|---|
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Core |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Core-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Hotpatch |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Hotpatch-smalldisk |
Para começar a usar o Hotpatch, use seu método preferido para criar uma VM do Azure ou do Azure Stack HCI e selecione uma das seguintes imagens que você deseja usar. O hotpatch é selecionado por padrão ao criar uma VM do Azure no portal do Azure.
- Centro de dados do Windows Server 2022: Hotpatch da Edição Azure (Experiência Desktop)
- Windows Server 2022 Datacenter: Azure Edition Core1
1 O hotpatch está habilitado por padrão nas imagens do Server Core.
Para obter mais informações sobre as imagens disponíveis, consulte o produto Windows Server 2022 Datacenter no Azure Marketplace.
Como o Hotpatch funciona
O Hotpatch funciona estabelecendo primeiro uma linha de base com a Atualização Cumulativa atual para o Windows Server. Periodicamente (a partir de cada três meses), a linha de base é atualizada com a última Atualização Cumulativa e, em seguida, os hotpatches são lançados nos dois meses seguintes. Por exemplo, se janeiro for uma atualização cumulativa, fevereiro e março serão uma versão de hotpatch. Para ver o agendamento da versão do hotpatch, consulte Notas sobre a versão do Hotpatch no Gerenciamento Automatizado do Azure para Windows Server 2022.
Os Hotpatches contém atualizações que não requerem reinicialização. Como o Hotpatch corrige o código na memória dos processos em execução sem a necessidade de reiniciar o processo, seus aplicativos não são afetados pelo processo de aplicação de patches. Essa ação é separada de quaisquer implicações potenciais de desempenho e funcionalidade do próprio patch.
A imagem a seguir é um exemplo de um agendamento anual de três meses (incluindo exemplos de linhas de base não planejadas devido a correções de dia zero).
Existem dois tipos de linhas de base: Linhas de base planejadas e Linhas de base não planejadas.
As linhas de base planejadas são lançadas em uma cadência regular, com lançamentos de hotpatch entre elas. As linhas de base planejadas incluem todas as atualizações em um Atualização Cumulativa Mais Recente comparável para aquele mês e exigem uma reinicialização.
- O agendamento de amostras ilustra quatro versões de linha de base planejadas em um ano civil (cinco no total no diagrama) e oito versões de hotpatch.
As linhas de base não planejadas são lançadas quando uma atualização importante (como uma correção de dia zero) é lançada, e essa atualização específica não pode ser lançada como um hotpatch. Quando são lançadas linhas de base não planejadas, uma versão do hotpatch é substituída por uma linha de base não planejada naquele mês. As linhas de base não planejadas também incluem todas as atualizações em um Atualização Cumulativa Mais Recente comparável para aquele mês e também exigem uma reinicialização.
- O agendamento de amostras ilustra duas linhas de base não planejadas que substituiriam as versões do hotpatch para esses meses (o número real de linhas de base não planejadas em um ano não é conhecido antecipadamente).
Atualizações suportadas
O Hotpatch abrange as atualizações de segurança do Windows e mantém a paridade com o conteúdo das atualizações de segurança emitidas no canal de atualização regular (nãohotpatch) do Windows.
Há algumas considerações importantes sobre a execução de uma VM com suporte Windows Server Azure Edition com hotpatch habilitado. As reinicializações ainda são necessárias para instalar as atualizações que não estão incluídas no programa de hotpatch. As reinicializações também são necessárias periodicamente após a instalação de uma nova linha de base. As reinicializações mantêm a VM em sincronia com patches não relacionados à segurança incluídos na atualização cumulativa mais recente.
- Os patches que atualmente não estão incluídos no programa hotpatch incluem as atualizações que não são de segurança lançadas para o Windows, atualizações .NET e atualizações que não são do Windows (como drivers, atualizações de firmware etc.). Esses tipos de patches podem precisar de uma reinicialização durante os meses do Hotpatch.
O processo de orquestração de patches
O Hotpatch é uma extensão do Windows Update e dos processos típicos de orquestração. As ferramentas de orquestração de patches variam de acordo com sua plataforma. Para orquestrar o Hotpatch:
Azure: as máquinas virtuais criadas no Azure são habilitadas para Aplicação Automática de Patches do Convidado da VM por padrão com uma imagem do Windows Server Datacenter: Azure Edition com suporte. Correção automática do convidado da VM no Azure:
Os patches classificados como Críticos ou de Segurança são baixados e aplicados automaticamente na VM.
Os patches são aplicados fora do horário de pico no fuso horário da VM.
O Azure gerencia a orquestração de patches e esses são aplicados seguindo os princípios de disponibilidade em primeiro lugar.
A integridade da máquina virtual, conforme determinado por meio de sinais de integridade da plataforma, é monitorada para detectar falhas na aplicação de patches.
Observação
Não é possível criar VMSS (conjuntos de dimensionamento de VM) com orquestração uniforme em imagens do Azure Edition com Hotpatch. Para saber mais sobre quais recursos são compatíveis com a orquestração uniforme para conjuntos de dimensionamento, confira Uma comparação de conjuntos flexíveis, uniformes e de disponibilidade.
Azure Stack HCI: as atualizações hotpatch para máquinas virtuais criadas no Azure Stack HCI são orquestradas usando:
Política de Grupo para definir as configurações do cliente do Windows Update.
Definição das configurações do cliente Windows Update ou SCONFIG para Server Core.
Uma solução de gerenciamento de patches de terceiros.
Compreenda o status do patch da sua VM no Azure
Para exibir o status do patch da sua VM, navegue até a Visão geral da VM no portal do Azure, em Operações, selecione Atualizações. Na seção Atualizações recomendadas , você pode visualizar os patches mais recentes e o status do Hotpatch da sua VM.
Nessa tela, você verá o status do hotpatch da sua VM. Você também pode verificar se há algum patch disponível para sua VM que não tenha sido instalado. Conforme descrito na seção anterior "Instalação de patches", todas as atualizações críticas e de segurança são instaladas automaticamente na sua VM usando a Aplicação Automática de Patches do Convidado da VM e nenhuma ação extra é necessária. Os patches com outras classificações de atualização não são instalados automaticamente. Em vez disso, eles podem ser visualizados na lista de patches disponíveis na guia Conformidade da Atualização. Você também pode exibir o histórico de implantações de atualizações na sua VM por meio do Histórico de Atualizações. O histórico de atualizações dos últimos 30 dias é exibido, juntamente com os detalhes da instalação do patch.
Com a aplicação automática de patches do convidado da VM, sua VM é avaliada periódica e automaticamente quanto às atualizações disponíveis. Essas avaliações periódicas garantem que os patches disponíveis sejam detectados. Você pode exibir os resultados da avaliação na tela Atualizações na imagem anterior, incluindo a hora da última avaliação. Você também pode optar por acionar uma avaliação de patch sob demanda para sua VM a qualquer momento usando a opção ‘Avaliar agora’ e revisar os resultados após a conclusão da avaliação.
Semelhante à avaliação sob demanda, você também pode instalar patches sob demanda em sua VM usando a opção ‘Instalar atualizações agora’. Aqui você pode optar por instalar todas as atualizações em classificações de patches específicas. Você também pode especificar as atualizações a serem incluídas ou excluídas, fornecendo uma lista de artigos individuais da base de conhecimento. Os patches instalados sob demanda não são instalados usando os princípios de disponibilidade em primeiro lugar e podem exigir mais reinicializações e tempo de inatividade da VM para a instalação da atualização.
Você também pode exibir os patches instalados usando o comando Get-HotFix do PowerShell ou usando o aplicativo Configurações ao usar a Experiência de Área de Trabalho.
Suporte à reversão no Hotpatching
A instalação de atualizações do Hotpatch ou da Linha de Base não é compatível com a reversão automática. Se uma VM tiver um problema durante ou após uma atualização, será necessário desinstalar a atualização mais recente e instalar a última atualização de linha de base conhecida. Você precisará reinicializar a VM após a reversão.