虛擬機器的熱修補
熱修補方法讓您可以在受支援的 Windows Server Datacenter:Azure Edition 虛擬機器 (VM) 上安裝作業系統安全性更新,且安裝後不需要重新啟動。 該方法的運作方式為修補執行中處理程序的記憶體內部程式碼,且不需要重新啟動處理程序。 本文涵蓋受支援 VM 的熱修補相關資訊,具有以下優點:
- 二進位檔較少表示更新安裝會更快,耗用的磁碟空間和 CPU 資源會更少。
- 透過減少重新啟動的次數來降低對工作負載的影響。
- 更好的保護,由於熱修補更新程式封裝範圍限定為 Windows 安全性更新,因此可以在不需要重新啟動的情況下更快速安裝。
- 減少暴露在安全性風險和變更時段的時間,並且使用 Azure 更新管理員更輕鬆地修補協調流程。
支援的平台
只有在 VM 和 Azure Stack HCI 是以具備下列作業系統映像清單所提供之發行者、供應項目和 SKU 組合的映像建立,這些 VM 和 Azure Stack HCI 才支援熱修補。 不支援 Windows Server 容器基礎映像或自訂映像,或任何其他發行者、供應項目和 SKU 組合。
| 發行者 | OS 供應項目 | Sku |
|---|---|---|
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Core |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Core-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Hotpatch |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Hotpatch-smalldisk |
若要開始使用熱修補,請使用您慣用的方法建立 Azure 或 Azure Stack HCI VM,然後選取您想要使用的下列其中一個映像。 在 Azure 入口網站建立 Azure VM 時,預設會選取熱修補。
- Windows Server 2022 Datacenter:Azure Edition 熱修補 (桌面體驗)
- Windows Server 2022 Datacenter:Azure Edition Core1
1 Server Core 映像預設會啟用熱修補。
如需可用映像的詳細資訊,請參閱 Windows Server 2022 Datacenter Azure Marketplace 產品。
熱修補的運作方式
熱修補的運作方式為先使用 Windows Server 的目前累積更新來建立基準。 定期運作 (每三個月執行一次),使用最新的累積更新重新整理基準,然後在之後的兩個月發行熱修補。 例如,如果在 1 月累積更新,則 2 月和 3 月將會發行熱修補版本。 關於熱修補版本排程,請參閱 Windows Server 2022 的 Azure Automanage 中的熱修補版本資訊。
熱修補包含不需要重新啟動的更新。 由於熱修補在修補執行中處理程序的記憶體內部程式碼時不需要重新啟動處理程序,因此您的應用程式不會受到修補程序的影響。 此動作與修補程式本身的任何潛在效能和功能影響無關。
下圖是一年中每三個月一次的排程範例 (包括因零時差修正而造成的非計畫基準範例)。
基準類型有以下兩種:計畫基準和非計畫基準。
計畫基準會定期發行,且中間會發行熱修補版本。 計畫基準包含該月份類似最新累積更新中的所有更新,並且需要重新啟動。
- 此範例排程說明一個日曆年度中有四個計畫基準版本 (圖表中共有五個),以及八個熱修補版本。
非計畫基準則是在發行重要更新 (例如零時差修正) 時發行,且該特定更新不能作為熱修補發行。 發行非計畫基準時,熱修補版本將取代為該月份的非計畫基準。 非計畫基準還包括該月份類似最新累積更新中的所有更新,並且需要重新啟動。
- 此範例排程說明這兩個非計畫基準將取代這幾個月的熱修補版本 (事先並不清楚一年內非計畫基準的實際數量)。
支援的更新
熱修補中涵蓋 Windows 安全性更新,且與一般 (非熱修補) Windows 更新頻道中發行的安全性更新內容保持一致。
在執行已啟用熱修補的受支援 Windows Server Azure Edition VM 時,有一些重要的注意事項。 仍然需要重新啟動,才能安裝熱修補程式中未包含的更新。 安裝新的基準後,還是需要定期重新啟動。 重新啟動可使 VM 與最新累積更新中包含的非安全性修補程式保持同步。
- 目前未包含在熱修補程式中的修補程式,包括有:針對 Windows 發行的非安全性更新、.NET 更新和非 Windows 更新 (例如驅動程式、韌體更新等)。 這些類型的修補程式需要在熱修補發行月份期間重新啟動。
修補程式協調程序
熱修補是 Windows Update 和一般協調程序的延伸模組。 修補程式協調流程工具因平台而異。 協調熱修補的注意事項:
Azure:在 Azure 中建立的虛擬機器預設會啟用 [自動 VM 客體修補],且具有受支援的 Windows Server Datacenter:Azure Edition 映像。 Azure 中的自動 VM 客體修補:
自動下載分類為「重大」或「安全性」的修補程式,並套用在 VM 上。
在 VM 所在時區的離峰時段套用修補程式。
Azure 會依照可用性優先原則來管理修補程式協調流程並套用修補程式。
監視透過平台健康情況訊號確定的虛擬機器健康情況,以偵測修補失敗。
注意
您無法使用熱修補在 Azure Edition 映像上透過一致的協調流程來建立 VM 擴展集 (VMSS)。 若要進一步了擴展集的一致協調流程支援哪些功能,請參閱比較彈性、一致和可用性設定組。
Azure Stack HCI:Azure Stack HCI 上建立之虛擬機器的熱修補更新使用以下項目進行協調:
群組原則:用來設定 Windows Update 用戶端設定。
設定 Windows Update 用戶端設定,或 Server Core 的 SCONFIG。
協力廠商修補程式管理解決方案。
了解 Azure 中 VM 的修補程式狀態
若要檢視 VM 的修補程式狀態,請瀏覽至 Azure 入口網站中的 [VM 概觀],在 [作業] 底下,選取 [更新]。 在 [建議更新] 區段底下,您可以檢視 VM 的最新修補程式和熱修補狀態。
在此畫面上,您會看到 VM 的熱修補狀態。 您也可以檢閱 VM 是否還有任何尚未安裝的可用修補程式。 如上一節「修補程式安裝」中所述,所有安全性和重大更新都會使用 [自動 VM 客體修補] 自動安裝在您的 VM 上,而且不需要執行任何額外的動作。 其他更新分類的修補程式則不會自動安裝。 反之,您可以在 [更新合規性] 索引標籤底下的可用修補程式清單中進行檢視。您也可以透過 [更新歷程記錄] 來檢視 VM 上更新部署的歷程記錄。 [更新歷程記錄] 會顯示過去 30 天的更新歷程記錄,以及修補程式安裝詳細資料。
使用自動 VM 客體修補,系統會定期自動評定 VM 的可用更新。 這些定期評定可確保偵測到可用的修補程式。 您可以在上圖的 [更新] 畫面上檢視評定結果,包括上次評定的時間。 您也可以選擇使用 [立即評定] 選項,隨時觸發 VM 的隨選修補程式評定,並在評定完成後檢閱結果。
與隨選評定類似,您也可以使用 [立即安裝更新] 選項,視需要為 VM 安裝修補程式。 在這裡,您可以選擇安裝特定修補程式分類下的所有更新。 您也可以透過提供個別知識庫文章的清單,來指定要包含或排除的更新。 視需要安裝的修補程式並非使用可用性優先原則進行安裝,因此可能需要經過多次的重新啟動和 VM 停機,才能安裝更新。
您也可以使用 Get-HotFix PowerShell 命令,或在使用桌面體驗時使用 [設定] 應用程式,來檢視已安裝的修補程式。
熱修補的復原支援
熱修補或基準更新安裝不支援自動復原。 如果 VM 在更新期間或更新之後遇到問題,您必須解除安裝最新的更新,並安裝最後一個已知的良好基準更新。 復原之後,您必須重新啟動 VM。