Azure’da Windows VM’lerini güncelleştirmek için dağıtımı planlama

Azure sanal ağınızı İnternet’e kapattıysanız güvenliği tehlikeye atmadan ve tüm İnternet’e erişimi açmadan Windows güncelleştirmelerini almaya devam edebilirsiniz. Bu makale, İnternet bağlantısı olmadan sanal ağları güvenli bir şekilde güncelleştirmek için Windows Server Update Services (WSUS) örneğini barındırmak üzere DMZ olarak da bilinen bir çevre ağını ayarlama hakkında öneriler içerir.

Azure Güvenlik Duvarı kullanıyorsanız, güvenlik duvarınız aracılığıyla gerekli giden ağ trafiğine izin vermek için uygulama kurallarında Windows Update FQDN etiketini kullanabilirsiniz. Daha fazla bilgi için bkz. FQDN etiketlerine genel bakış.

Bu makaledeki önerileri uygulamak için Azure hizmetleri hakkında bilgi sahibi olmanız gerekir. Aşağıdaki bölümlerde, tek veya çok bölgeli bir yapılandırmada merkez-uç yapılandırması kullanan önerilen dağıtım tasarımı açıklanır.

Azure Sanal Ağ merkez-uç ağ topolojisi

Çevre ağı oluşturarak bir merkez-uç modeli ağ topolojisi ayarlamanızı öneririz. WSUS sunucusunu İnternet ve sanal ağlar arasındaki merkezde bulunan bir Azure sanal makinesinde barındırın. Merkezde açık bağlantı noktaları bulunmalıdır. WSUS, Microsoft’tan güncelleştirme almak üzere HTTP protokolü için bağlantı noktası 80’i ve HTTPS protokolü için bağlantı noktası 443’ü kullanır. Uçlar, İnternet ile değil, merkez ile iletişim kuracak olan diğer tüm sanal ağlardan oluşur. Bu işlemi, diğer İnternet trafiğini engellerken WSUS trafiğine izin veren bir alt ağ, ağ güvenlik grubu (NSG) ve Azure sanal ağ eşlemesi oluşturarak gerçekleştirebilirsiniz. Bu görüntüde, bir merkez-uç topolojisi örneği gösterilmektedir:

Bu mimarinin bir Visio dosyasını indirin.

Bu görüntüde:

• WSUSSubnet, merkez-uçtaki merkezdir.
• NSG_DS, diğer İnternet trafiğini engellerken WSUS trafiğine izin veren bir ağ güvenlik grubu kuralıdır.
• WSUS VM, WSUS’yi çalıştırmak için yapılandırılmış Azure sanal makinesidir.
• MainSubnet, sanal makineler içeren bir sanal ağdır (uç).
• NSG_MS, WSUS VM’sinden gelen trafiğe izin veren, ancak İnternet trafiğini engelleyen bir ağ güvenlik grubu ilkesidir.

Mevcut bir sunucuyu yeniden kullanabilir veya WSUS sunucusu olacak yeni bir sunucu dağıtabilirsiniz. WSUS VM’si için en azından şunları öneririz:

• İşletim sistemi: Windows Server 2016 veya üzeri.
• İşlemci: Çift çekirdekli, 2 GHz veya daha hızlı.
• Bellek: Sunucu ve diğer tüm çalışan hizmetler ve yazılımlar için gereken RAM'e ek olarak 2 GB RAM.
• Depolama: 40 GB veya daha fazla.
• Erişim: Tam zamanında (JIT) kullanarak bu sanal makineye daha güvenli bir şekilde erişin. Bkz. Tam zamanında özelliğini kullanarak sanal makine erişimini yönetme.

Ağınız aynı veya farklı bölgelerde olabilen birden fazla Azure sanal ağına sahip olacaktır. Bir WSUS sunucusu olarak kullanılabilir olup olmadığını görmek için tüm Windows Server VM’lerini değerlendirmeniz gerekir. Güncelleştirilecek binlerce VM’niz varsa WSUS rolüne ayrılmış bir Windows Server VM’nizin olması önerilir.

Tüm sanal ağlarınız aynı bölgedeyse her 18.000 sanal makine için bir WSUS olmasını öneririz. Bu öneri, güncelleştirilmekte olan istemci VM sayısına ve sanal ağlar arasındaki iletişim ücretlerine bağlı olarak VM gereksinimlerinin bir birleşimini temel alır. WSUS kapasite gereksinimleri hakkında daha fazla bilgi için bkz. WSUS dağıtımınızı planlama.

Azure fiyatlandırma hesaplayıcısını kullanarak bu yapılandırmaların maliyetini belirleyebilirsiniz. Şu bilgileri sağlamanız gerekir:

• Sanal makine:
  • Bölge: Azure sanal ağınızın dağıtıldığı bölge.
  • İşletim sistemi: Windows
  • Katman: Standart
  • Örnek: D4 yapılandırması
  • Yönetilen diskler: Standart HDD, 64 GB
• Sanal ağ:
  • yazın
    • Aktarım aynı bölgedeyse Aynı Bölge.
    • Verileri bir bölgeden diğerine taşıyorsanız Bölgeler Arası.
  • Veri Aktarımı: 2 GB
  • Bölge
    • Aktarım bir bölge içindeyse, WSUS sunucusunun ve sanal ağların bulunduğu bölgeyi seçin.
    • Aktarım bölgeler arasındaysa, kaynak sanal ağ bölgesi WSUS sunucusunun olduğu yerdir. Hedef sanal ağ bölgesi, verilerin gittiği hedeftir.
  • Birden çok bölgeniz varsa, Sanal Ağ’ı birden çok kez seçmeniz gerekir.

Fiyatların bölgeye göre değiştiğine dikkat edin.

El ile dağıtım

Merkez olarak kullanılacak Azure sanal ağını tanımladıktan veya yeni bir Windows Server örneği oluşturmanız gerektiğini belirledikten sonra, bir NSG kuralı oluşturmanız gerekir. Bu kural, Windows Update meta verileri ve içeriğinin oluşturacağınız WSUS sunucusuyla eşitlenmesine olanak sağlayan İnternet trafiğine izin verir. Eklemeniz gereken kurallar şunlardır:

• 80 numaralı bağlantı noktasında İnternet’ten gelen ve giden trafiğe izin vermek için gelen/giden NSG kuralı (içerik için).
• 443 numaralı bağlantı noktasında İnternet’ten gelen ve giden trafiğe izin vermek için gelen/giden NSG kuralı (meta veriler için).
• Bağlantı noktası 8530 üzerinde İstemci VM’lerinden gelen trafiğe izin vermek için gelen/giden NSG kuralı (yapılandırılmadığı müddetçe varsayılan).

WSUS ayarlama

WSUS sunucunuzu ayarlamak için kullanabileceğiniz iki yaklaşım vardır:

• En az yönetim gerektiren tipik bir iş yükünü işleyecek şekilde yapılandırılmış bir sunucuyu otomatik olarak ayarlamak istiyorsanız PowerShell otomasyon betiğini kullanabilirsiniz.
• Birçok farklı işletim sistemini ve dili çalıştıran binlerce istemciyi işlemeniz gerekiyorsa veya WSUS’yi PowerShell betiğinin işleyemeyeceği bir biçimde yapılandırmak istiyorsanız WSUS’yi kendiniz ayarlayabilirsiniz. İki yaklaşım da bu makalenin ilerleyen kısımlarında tanımlanmaktadır.

Ayrıca, çalışmanın çoğunu yapmak üzere otomasyon betiğini kullanarak ve daha sonra sunucu ayarlarında ince ayar yapmak için WSUS yönetim konsolunu kullanarak iki yaklaşımı birleştirebilirsiniz.

Otomasyon betiğini kullanarak WSUS ayarlama

Configure-WSUSServer betiği, seçilen bir ürün ve dil kümesi için güncelleştirmeleri otomatik olarak eşitleyen ve onaylayan bir WSUS sunucusunu hızlı bir şekilde ayarlamanıza olanak sağlar.

Bu betiğin en son sürümü GitHub’da bulunabilir.

Betiği bir JSON dosyası kullanarak yapılandırırsınız. Şu anda şu seçenekleri yapılandırabilirsiniz:

• Güncelleştirme yüklerinin yerel olarak depolanması gerekip gerekmediği (ve depolanacaksa, nerede depolanması gerektiği) veya Microsoft sunucularında bırakılıp bırakılmaması gerektiği.
• Sunucuda hangi ürünlerin, güncelleştirme sınıflandırmalarının ve dillerin kullanılabilir olması gerektiği.
• Sunucunun yüklenmek üzere güncelleştirmeleri otomatik olarak onaylaması gerekip gerekmediği veya bir yönetici tarafından onaylanmadığı takdirde güncelleştirmelerin onaylanmamış olarak bırakılıp bırakılmayacağı.
• Sunucunun Microsoft’tan yeni güncelleştirmeleri otomatik olarak alması gerekip gerekmediği ve alıyorsa ne sıklıkta alması gerektiği.
• Hızlı güncelleştirme paketlerinin kullanılmasının gerekip gerekmediği. (Hızlı güncelleştirme paketleri, istemci CPU/disk kullanımı ve sunucudan sunucuya bant genişliği karşılığında sunucudan istemciye bant genişliğini azaltır.)
• Betiğin önceki ayarlarının üzerine yazılıp yazılmayacağı. (Normalde, sunucu işlemini kesintiye uğratan bir yanlışlıkla yeniden yapılandırma yapmaktan kaçınmak için, komut dosyası belirli bir sunucuda yalnızca bir kez çalışır.)

Betiği ve yapılandırma dosyasını yerel depolama alanına kopyalayın ve yapılandırma dosyasını gereksinimlerinize uyacak şekilde düzenleyin.

Bu betiği iki şekilde çalıştırabilirsiniz:

• Betiği WSUS VM’sinden kendiniz çalıştırabilirsiniz.

  Aşağıdaki komut, yükseltilmiş bir Komut İstemi penceresinde çalıştırıldığında, WSUS’yi yükler ve yapılandırır. Geçerli dizindeki betiği ve yapılandırma dosyasını kullanır.

  powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json

• Windows için Özel Betik Uzantısı’nı kullanabilirsiniz.

  Betiği ve JSON yapılandırma dosyasını kendi depolama kapsayıcınıza kopyalayın.

  Tipik VM ve Azure Sanal Ağ yapılandırmalarında, Özel Betik Uzantısının betiği doğru bir şekilde çalıştırması için yalnızca bu iki parametre gerekir. (Burada gösterilen değerleri, depolama konumlarınızın URL’leriyle değiştirmeniz gerekir.)

  "fileUris": ["https://mystorage.blob.core.windows.net/mycontainer/Configure-WSUSServer.ps1","https://mystorage.blob.core.windows.net/container/WSUS-Config.json"],
  "commandToExecute": "powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json"
  
  

Betik, güncelleştirmeleri istemci bilgisayarlar için kullanılabilir hale getirmek için gereken ilk eşitlemeyi başlatır. Ancak, bu eşitlemenin tamamlanmasını beklemez. Seçtiğiniz ürünlere, sınıflandırmalara ve dillere bağlı olarak, ilk eşitleme birkaç saat sürebilir. Bundan sonraki tüm eşitlemeler daha hızlı gerçekleştirilir.

WSUS’yi el ile ayarlama

1. WSUS VM’nizden, Sunucu Yöneticisi’ni açın ve Rol ve özellik ekle’yi seçin.

2. Sunucu rollerini seçin sayfasına gelene kadar İleri’ye tıklayın. Windows Server Update Services’ı seçin. Windows Server Update Services için gerekli özellikler eklensin mi? komut istemini aldığınızda Özellikleri Ekle’yi seçin.

3. Rol Hizmetlerini Seçin sayfasına gelene kadar İleri’yi seçin.

   • Varsayılan olarak, WID Bağlantısı’nı kullanabilirsiniz.
   • Windows'un birçok farklı sürümünü (örneğin, Windows 11 ve Windows 10) kullanan istemcileri desteklemeniz gerekiyorsa SQL Server Bağlan ivity kullanın.

4. İçerik konumu seçimi sayfasına ulaşana kadar İleri’yi seçin. Güncelleştirmeleri nerede depolamak istediğinizi belirtin.

5. Yükleme seçimlerini onaylayın sayfasına ulaşana kadar İleri’yi seçin. Yükle'yi seçin.

6. Yüklü Windows Server Update Services’ı açın ve Çalıştır’ı seçin.

7. Yukarı Akış Sunucusuna Bağlan sayfasına ulaşana kadar İleri’yi seçin. Bağlanmayı Başlat’ı seçin.

8. Dilleri Seçin sayfasına ulaşana kadar İleri’yi seçin. İhtiyacınız olan dilleri seçin.

9. Ürünleri Seçin sayfasına ulaşana kadar İleri’yi seçin. İhtiyacınız olan ürünleri seçin.

10. Sınıflandırmaları Seçin sayfasına ulaşana kadar İleri’yi seçin. İhtiyacınız olan güncelleştirmeleri seçin.

11. Eşitleme Zamanlamasını Ayarlayın sayfasına ulaşana kadar İleri’yi seçin. Eşitleme tercihinizi seçin.

12. Tamamlandı sayfasına ulaşana kadar İleri’yi seçin. İlk eşitlemeyi başlat’ı seçin ve ardından İleri’yi seçin.

13. Sırada Ne Var? sayfasında ulaşana kadar İleri’yi seçin ve ardından Son’u seçin.

14. Gezinti bölmesinde WSUS adınızı (örneğin, WsusVM) seçtiğinizde Eşitleme Durumu’nun Boşta olduğunu ve Son eşitleme sonucu’nun Başarılıolduğunu görmeniz gerekir.

15. Gezinti bölmesinde, Seçenekler>Bilgisayarlar>Bilgisayarlarda Grup İlkesi veya kayıt defteri ayarlarını kullan seçeneğini belirleyin. Tamam seçeneğini işaretleyin.

Eşitleme sırasında, WSUS, son eşitleme işleminden bu yana yeni bir güncelleştirmenin kullanıma sunulup sunulmadığını belirler. WSUS’yi ilk kez eşitliyorsanız, meta veriler hemen indirilir. Yük, yalnızca yerel depolama açıksa ve güncelleştirme en az bir bilgisayar grubu için onaylandıysa indirilir.

Sanal ağları WSUS ile iletişim kuracak şekilde yapılandırma

Ardından, merkez ile iletişim kurmak için Azure sanal ağ eşlemesi veya küresel sanal ağ eşlemesini ayarlayın. Gecikme süresini en aza indirmek için dağıttığınız her bölgede bir WSUS sunucusu ayarlamanızı öneririz.

Bir uç olan her Azure sanal ağında, bu kurallara sahip bir NSG ilkesi oluşturmanız gerekir:

• Bağlantı noktası 8530 üzerinde WSUS VM’sinden gelen trafiğe izin vermek için gelen/giden NSG kuralı (yapılandırılmadığı müddetçe varsayılan).
• İnternet’ten gelen trafiği reddetmek için gelen/giden NSG kuralı.

Daha sonra, uçtan merkeze Azure sanal ağ eşlemesi oluşturun.

İstemci VM’si

• Ek güvenlik için, VM’nin ilişkili genel IP adresini kaldırabilirsiniz. Daha fazla bilgi için bkz. Genel IP adresini görüntüleme, ayarlarını değiştirme veya silme.
• Sanal Makinenize JIT kullanarak daha güvenli bir şekilde erişme hakkında daha fazla bilgi için bkz. Tam zamanında erişim kullanarak sanal makine erişimini yönetme.

İstemci sanal makinelerini yapılandırma

WSUS, Windows çalıştıran bir sanal makineyi güncelleştirmek için kullanılabilir (Home SKU hariç). WSUS ile istemci arasındaki iletişimi etkinleştirmek için her istemci sanal makinesinde aşağıdaki adımları tamamlayın:

İstemci VM’nizden

1. Yerel Grup İlkesi Düzenleyicisi’ni (veya Grup İlkesi Yönetimi Düzenleyicisi) açın.
2. Bilgisayar Yapılandırması>Yönetim Şablonları>Windows Bileşenleri>Windows Update’e gidin.
3. İntranet Microsoft Update hizmet konumunu belirt seçeneğini etkinleştirin.
4. http://\<WSUS name>:8530 URL'sini girin. (WSUS adınızı (örneğin, WsusVM) Güncelleştirme Hizmetleri sayfasında bulabilirsiniz.) Bu ayarın yansıtılması biraz zaman alabilir (birkaç saate kadar).
5. Ayarlar>Güncelleştirme ve Güvenlik>Windows Update’e gidin.
6. Güncelleştirmeleri denetle'yi seçin.

WSUS VM’nizden

1. Windows Server Update Services’ı açın. İstemci VM’nizin Bilgisayarlar>Tüm Bilgisayarlar altında listelendiğini görmeniz gerekir.
2. Güncelleştirmeler>Tüm Güncelleştirmeler’i seçin.
3. Onay’ı Reddedilenler Hariç Herhangi Biri olarak ayarlayın.
4. Durum’u Gerekli olarak ayarlayın. Şimdi, istemci VM’niz için gereken tüm güncelleştirmeleri görebilirsiniz.
5. Güncelleştirmelerden birine sağ tıklayın ve Onayla’yı seçin.

Doğrulama

1. İstemci VM’de Ayarlar>Güncelleştirme ve Güvenlik>Windows Update’e gidin.
2. Güncelleştirmeleri denetle'yi seçin. WSUS VM’sinden onayladığınız KB makale numarasına (örneğin 4480056) sahip bir güncelleştirme görmeniz gerekir.

Büyük bir ağı yöneten bir yöneticiyseniz, istemcileri otomatik olarak yapılandırmak için Grup İlkesi ayarlarını kullanma hakkında daha fazla bilgi için bkz. Otomatik güncelleştirmeleri yapılandırma ve hizmet konumunu güncelleştirme.

Birden çok bulut için WSUS dağıtımı

Genel ve özel bulutlar arasında sanal ağ eşlemesi ayarlamak mümkün değildir. Genel ve özel bulutlar arasında dağıtılan ağlarda, her bulutta en az bir WSUS sunucusunun ayarlanmış olması gerekir.

Destek notları

Şu anda WSUS, Windows Home SKU ile eşitlemeyi desteklemez.

Azure Güncelleştirme Yönetimi

WSUS’yle eşitlenen VM’ler için işletim sistemi güncelleştirmelerini yönetmek ve zamanlamak üzere Azure’daki Güncelleştirme Yönetimi çözümünü kullanabilirsiniz. VM’nin düzeltme eki durumu (yani, hangi düzeltme eklerinin eksik olduğu), VM’nin eşitlenecek şekilde yapılandırıldığı kaynağa göre değerlendirilir. Windows VM’si WSUS’ye raporlayacak şekilde yapılandırıldıysa, WSUS’nin Microsoft Update ile en son ne zaman eşitlendiğine bağlı olarak, sonuçlar Microsoft Update tarafından gösterilenlerden farklı olabilir. WSUS ortamınızı yapılandırdıktan sonra Güncelleştirme Yönetimi’ni etkinleştirebilirsiniz. Daha fazla bilgi için bkz. Güncelleştirme Yönetimi’ne genel bakış ve ekleme adımları.

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazar:

• Paul Reed | Azure Uyumluluk Kıdemli Program Yöneticisi

Sonraki adımlar

• Dağıtım planlama hakkında daha fazla bilgi için bkz. WSUS dağıtımınızı planlama.
• WSUS’yi yönetme, WSUS eşitleme zamanlaması ayarlama ve daha fazlası hakkında daha fazla bilgi için bkz. WSUS yönetimi.

İlgili kaynaklar

• Azure’da Windows VM çalıştırma
• güncelleştirme yönetimini Azure Otomasyonu
• Azure'da Windows'ta SAP NetWeaver'ı çalıştırma
• Windows Yönetici Center kullanarak hibrit Azure iş yüklerini yönetme
• Azure VM'leri için CI/CD