虚拟机的热补丁
热修补是在受支持的 Windows Server 数据中心:Azure Edition 虚拟机 (VM) 上安装 OS 安全更新的一种新方式,安装后无需重启。 热补丁的工作方式是修补正在运行的进程的内存中代码,而无需重启进程。 本文介绍有关受支持的 VM 的热补丁的信息,热补丁具有以下优势:
- 二进制文件减少会使更新安装速度更快,使用的磁盘空间和 CPU 资源更少。
- 随着重启次数的减少,工作负载影响降低。
- 提供更好的保护,因为热补丁更新包的范围限定为 Windows 安全更新,无需重启即可更快地安装更新。
- 减少暴露于安全风险和更换窗口的时间,并使用 Azure 更新管理器简化补丁编排。
支持的平台
热补丁仅在 VM 和 Azure Stack HCI 上受支持,这些 VM 和 Azure Stack HCI 是根据精确组合了以下 OS 映像列表中的发布者、产品/服务和 SKU 的映像创建的。 不支持 Windows Server 容器基础映像或自定义映像或任何其他发布者、产品/服务、SKU 组合。
| 发布者 | OS 产品/服务 | Sku |
|---|---|---|
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Core |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Core-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Hotpatch |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Hotpatch-smalldisk |
要开始使用热补丁,请使用首选方法创建 Azure 或 Azure Stack HCI VM,然后选择要使用的以下映像之一。 在 Azure 门户中创建 Azure VM 时,将默认选择热补丁。
- Windows Server 2022 数据中心:Azure Edition 热补丁(桌面体验)
- Windows Server 2022 数据中心:Azure Edition 核心1
1 默认情况下,热补丁在服务器核心映像中处于启用状态。
有关可用映像的详细信息,请参阅 Windows Server 2022 数据中心 Azure 市场产品。
热补丁的工作方式
热补丁的工作方式是首先使用 Windows Server 的当前累积更新建立基线。 定期(从每三个月开始)使用最新的累积更新刷新基线,然后在接下来的两个月内发布热补丁。 例如,如果 1 月是累积更新,则 2 月和 3 月将发布热补丁。 有关热补丁发布计划,请参阅适用于 Windows Server 2022 的 Azure Automanage 中的热补丁发行说明。
热补丁包含不需要重启的更新。 由于热补丁会修补正在运行的进程的内存中代码,而无需重启进程,因此应用程序不受修补过程影响。 此操作独立于补丁本身的任何潜在性能和功能影响。
下图是一年中每一季度的计划示例(包括由于零时差漏洞修复而导致的计划外基线示例)。
有两种类型的基线:计划内基线和计划外基线。
计划内基线按常规节奏发布,并在两次发布之间发布热补丁。 计划内基线包括当月可比较最新累积更新中的所有更新,并且需要重启。
- 示例计划演示了一个日历年中的四个计划内基线发布(图中共五个)和八个热补丁发布。
计划外基线将在发布重要更新(如零时差漏洞修复)并且无法将特定更新发布为热补丁时发布。 发布计划外基线后,该月会将热补丁发布替换为计划外基线。 计划外基线也包括当月可比较最新累积更新中的所有更新,并且也需要重启。
- 示例计划演示了两个计划外基线,它们将取代这些月份的热补丁发布(一年内的实际计划外基线数量尚不清楚)。
支持的更新
热补丁涵盖 Windows 安全更新,并与在常规(非热补丁)Windows 更新通道中发布的安全更新内容保持一致。
运行支持的启用了热补丁的 Windows Server Azure Edition VM 时,需要考虑一些重要事项。 仍需要重启才能安装热补丁程序中未包含的更新。 安装新基线后,还需要定期重启。 重启可以使 VM 与最新累积更新中包含的非安全补丁保持同步。
- 目前不包含在热补丁程序中的补丁包括针对 Windows 发布的非安全更新、.NET 更新和非 Windows 更新(如驱动程序、固件更新等)。 这些类型的补丁可能要求在热补丁月份重启。
补丁编排过程
热补丁是 Windows 更新和典型编排过程的扩展。 补丁编排工具因平台而异。 若要编排热补丁,请执行以下操作:
Azure:默认情况下,在 Azure 中创建的虚拟机会启用自动虚拟机来宾修补,并具有受支持的 Windows Server 数据中心:Azure Edition 映像。 Azure 中的自动 VM 来宾修补:
分类为“关键”或“安全”的补丁会自动下载并应用于 VM。
补丁会在 VM 时区的非高峰时段应用。
Azure 管理补丁编排,并遵循可用性优先原则应用补丁。
通过平台运行状况信号确定的虚拟机运行状况会受到监视,以检测修补故障。
注意
无法使用热补丁在 Azure Edition 映像上创建具有统一编排的 VM 规模集 (VMSS)。 若要详细了解规模集统一编排支持哪些功能,请参阅灵活、统一和可用性集的比较。
Azure Stack HCI:Azure Stack HCI 上创建的虚拟机的热补丁更新是使用以下方法进行编排的:
用于配置 Windows 更新客户端设置的组策略。
配置 Windows 更新客户端设置,或为服务器核心配置 SCONFIG。
第三方补丁管理解决方案。
了解 Azure 中 VM 的补丁状态
若要查看 VM 的补丁状态,请在 Azure 门户中导航至“虚拟机概述”,选择“操作”下的“更新”。 在“建议的更新”部分下,可以查看 VM 的最新补丁和热补丁状态。
在此屏幕上,会看到 VM 的热补丁状态。 还可以查看是否已安装 VM 的任何可用补丁。 如上一部分的“补丁安装”中所述,所有安全和关键更新都会使用自动虚拟机来宾修补在 VM 上自动安装,无需执行额外的操作。 具有其他更新分类的补丁无法自动安装。 这些补丁可以在“更新合规性”选项卡下的可用补丁列表中查看。还可以通过“更新历史记录”查看 VM 上的更新部署历史记录。 其中会显示过去 30 天的更新历史记录以及补丁安装详细信息。
使用自动 VM 来宾修补时,会定期自动评估 VM 以获取可用更新。 这些定期评估可确保检测到可用的补丁。 可以在上图的“更新”屏幕上查看评估结果,包括上次评估的时间。 还可以选择随时使用“立即评估”选项为 VM 触发按需补丁评估,并在评估完成后查看结果。
与按需评估类似,还可以使用“立即安装更新”选项为 VM 按需安装补丁。 可以在特定补丁分类下选择安装所有更新。 还可以通过提供单个知识库文章的列表来指定要包含或排除的更新。 按需安装的补丁未使用可用性优先原则进行安装,可能需要更多重启和 VM 停机时间才能进行更新安装。
还可以使用 Get-HotFix PowerShell 命令或使用“设置”应用(使用桌面体验时)查看已安装的补丁。
热修补上的回滚支持
安装热补丁或基线更新不支持自动回滚。 如果 VM 在更新期间或更新后遇到问题,必须卸载最新更新并安装最后一个已知良好的基线更新。 回滚后需要重新启动 VM。