虚拟机的热补丁
热修补是在 Windows Server 上安装 OS 安全更新的一种方法,无需重启计算机。 热修补修补正在运行的进程的内存中代码,而无需重启进程。 热修补还提供以下优势:
二进制文件减少意味着更新的安装速度更快,消耗的磁盘和 CPU 资源更少。
工作负荷影响较低,不需要重启计算机。
更好的保护,因为 Hotpatch 更新包的范围限定为 Windows 安全更新,安装速度更快,无需重启计算机。
减少暴露于安全风险和更换窗口的时间,并使用 Azure 更新管理器简化补丁编排。
支持的平台
Azure 和 Azure Stack HCI 虚拟机
下表列出了支持 Azure 上 Windows Server 2022 和 Windows Server 2025 热修补的发布者、OS 产品/服务和 SKU 的确切组合。 使用这些组合在 Azure Stack HCI 上创建的虚拟机(VM)也支持热修补。
注意
不支持 Windows Server 容器基础映像、自定义映像或任何其他发布者、套餐和 SKU 组合。
| 发布者 | OS 产品/服务 | SKU |
|---|---|---|
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Core |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Core-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Hotpatch |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Hotpatch-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2025-Datacenter-Azure-Edition |
| MicrosoftWindowsServer | WindowsServer | 2025-Datacenter-Azure-Edition-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2025-Datacenter-Azure-Edition-Core |
| MicrosoftWindowsServer | WindowsServer | 2025-Datacenter-Azure-Edition-Core-smalldisk |
有关可用映像的详细信息,请参阅 Azure 市场 上的 Windows Server。
连接 Azure Arc 的计算机(预览版)
重要
已启用 Azure Arc 的 Hotpatch 目前以预览版提供。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅 Microsoft Azure 预览版的补充使用条款。
如果在 Azure Arc 门户中启用该功能,则连接 Azure Arc 的 Windows Server 2025 计算机可以接收 Hotpatche。 若要开始使用已启用 Azure Arc 的 Hotpatch,请使用以下版本之一将 Azure Arc 连接到计算机:
Windows Server 2025 Datacenter Edition
Windows Server 2025 标准版
热补丁的工作方式
Hotpatch 首先使用 Windows Server 的当前累积更新建立基线。 每三个月,基线会定期使用最新的累积更新进行刷新。 然后,在累积更新之后的两个月内收到 Hotpatch 版本。 例如,如果 1 月是累积更新,则 2 月和 3 月会有热修补版本。 有关 Hotpatch 发行计划的详细信息,请参阅 适用于 Windows Server 2022 的 Azure Automanage 中的 Hotpatch 发行说明。
有两种类型的基线:计划内基线和计划外基线。
计划的基线 按常规节奏发布,在两者之间发布 Hotpatch 版本。 计划基线包括当月可比较的最新累积更新中的所有更新,并要求重启计算机。
- 例如,计划的一年发布期可能包括日历年中的四个计划基线版本和 8 个 Hotpatch 版本。
计划外的重要更新(如零日修复)期间会发布计划外基线 ,当该特定更新无法作为热修补发布时。 当计划外基线发布时,热修补版本将替换为该月的计划外基线。 计划外基线还包括当月可比较的最新累积更新中的所有更新,因此需要重新启动计算机。
- 由于这些事件是计划外事件,因此开发人员无法提前预测计划外基线。
热修补更新不需要重启计算机。 由于 Hotpatche 修补正在运行的进程的内存中代码,而无需重启它们,因此应用程序不会受到影响。 这种缺少重启不会影响修补程序本身的性能或功能影响。
支持的更新
热修补涵盖Windows 安全更新,并与在常规非热修补 Windows 更新通道中颁发的安全更新内容保持奇偶校验。
在受支持的 Windows Server 版本上启用 Hotpatch 时,需要考虑一些重要事项。 仍需重启计算机以安装热修补程序中未包含的更新。 安装新基线后,还需要定期重启。 重启可使 VM 与最新累积更新中包含的非安全修补程序保持同步。
以下修补程序当前不包括在 Hotpatch 程序中,并要求你在 Hotpatch 发布月份期间更新计算机:
适用于 Windows 的非安全更新
.NET 更新
非 Windows 更新,例如驱动程序、固件更新等。
补丁编排过程
热修补是Windows 更新和典型管理过程的扩展。 但是,Hotpatch 用于修补程序管理的工具类型因所使用的平台而异。
Azure
使用受支持的 Windows Server 映像 在 Azure 中创建的 VM 默认已启用自动 VM 来宾修补 。
热修补会自动下载并应用分类为“严重”或“安全性”的修补程序。
热修补在 VM 时区的非高峰时段应用修补程序。
Azure 会为你管理修补程序,并根据 可用性优先原则应用修补程序。
Azure 通过平台运行状况信号监视 VM 运行状况,以检测修补故障。
注意
无法使用热补丁在 Azure Edition 映像上创建具有统一编排的 VM 规模集 (VMSS)。 若要详细了解规模集统一编排支持哪些功能,请参阅灵活、统一和可用性集的比较。
Azure Stack HCI
Azure Stack HCI 可以使用以下工具协调 VM 的热修补更新:
组策略配置Windows 更新客户端设置。
SCONFIG 为 Server Core 配置Windows 更新客户端设置。
第三方修补程序管理解决方案。
已连接 Azure Arc 的计算机
连接到 Azure Arc 的计算机可以使用以下工具使用热修补更新:
Azure 更新管理器
组策略配置Windows 更新客户端设置。
SCONFIG 为 Server Core 配置Windows 更新客户端设置。
第三方修补程序管理解决方案。
有关热修补使用的工具的详细信息,请查看我们的 Azure 更新管理器 文档。
了解 Azure 中 VM 的补丁状态
若要查看 VM 的修补程序状态,请在Azure 门户中打开 VM 的“概述”页。 在此处,在“操作”下,选择“更新”。 建议的更新下应会显示修补程序状态和最近安装的修补程序。
在 “建议的更新 ”页中,可以看到 VM 的热修补状态,以及 VM 是否有可用的修补程序。 正如我们在 Hotpatch 的工作原理中所述,自动 VM 来宾修补会自动在 VM 上安装所有关键和安全修补程序。
这两个类别之外的修补程序不会自动安装,而是作为可用修补程序列表显示在 “更新符合性 ”选项卡中。 还可以查看 “更新历史记录 ”选项卡,查看过去 30 天内 VM 上更新部署的修补程序安装详细信息。
自动 VM 来宾修补定期运行可用修补程序的评估,可在“ 更新 ”选项卡中查看这些修补程序。可以通过选择“ 立即 评估”按钮手动启动评估。 还可以通过选择“立即安装更新”按钮按需安装修补程序。 通过此选项,可以选择是在特定修补程序分类下安装所有更新,还是通过提供知识库文章列表来包括或排除各个更新。 但是,请记住,手动安装的修补程序不遵循可用性优先原则,并且可能需要重启 VM。
还可以通过在 PowerShell 中运行 Get-HotFix cmdlet 或通过在桌面体验中查看“设置”菜单来查看已安装的修补程序。
对热修补的回滚支持
热修补更新不支持自动回滚。 如果在更新期间或之后遇到问题,则必须卸载最新更新并安装最后一个功能基线更新。 此过程要求重启 VM。