Hotpatch für VMs
Hotpatching ist eine neue Methode zur Installation von Sicherheitsupdates für Betriebssysteme auf unterstützten Windows Server Datacenter: Azure Edition-VMs, die keinen Neustart nach der Installation erfordert. Dieses Feature funktioniert, indem der Code der gerade ausgeführten Prozesse im Arbeitsspeicher gepatcht wird, ohne dass der Prozess neu gestartet werden muss. In diesem Artikel werden Informationen zu Hotpatch für unterstützte VMs behandelt. Diese Lösung bietet folgende Vorteile:
- Weniger Binärdateien bedeuten eine schnellere Installation und weniger Verbrauch von Datenträger- und CPU-Ressourcen.
- Geringere Auswirkungen auf den Workload mit weniger Neustarts.
- Besserer Schutz, da die Hotpatch-Updatepakete auf Windows-Sicherheitsupdates angewendet werden, die schneller und ohne Neustart installiert werden.
- Reduziert die Zeit, in der Sicherheitsrisiken bestehen sowie die Zeitfenster, in denen Änderungen vorgenommen werden, und vereinfacht die Patch-Orchestrierung mit Azure Update Manager.
Unterstützte Plattformen
Hotpatches werden nur auf VMs und in Azure Stack HCI unterstützt, wenn für die Erstellung Images mit einer genau identischen Kombination aus Herausgeber, Angebot und SKU aus der nachstehenden Liste der Betriebssystemimages verwendet wurden. Windows Server-Containerbasisimages, benutzerdefinierte Images oder andere Kombinationen aus Herausgeber, Angebot und SKU werden nicht unterstützt.
| Herausgeber | Betriebssystemangebot | Sku |
|---|---|---|
| MicrosoftWindowsServer | Windows Server | 2022-Datacenter-Azure-Edition-Core |
| MicrosoftWindowsServer | Windows Server | 2022-Datacenter-Azure-Edition-Core-smalldisk |
| MicrosoftWindowsServer | Windows Server | 2022-Datacenter-Azure-Edition-Hotpatch |
| MicrosoftWindowsServer | Windows Server | 2022-Datacenter-Azure-Edition-Hotpatch-smalldisk |
Um mit Hotpatch zu starten, verwenden Sie Ihre bevorzugte Methode, um eine Azure- oder Azure Stack HCI-VM zu erstellen, und wählen Sie dabei eines der folgenden Images aus, das Sie verwenden möchten. Hotpatch ist beim Erstellen einer Azure-VM im Azure-Portal standardmäßig aktiviert.
- Windows Server 2022 Datacenter. Azure Edition-Hotpatch (Desktopdarstellung)
- Windows Server 2022 Datacenter: Azure Edition Core1
1-Hotpatch ist standardmäßig für Server Core-Images aktiviert.
Weitere Informationen zu den verfügbaren Images finden Sie im Azure Marketplace-Produkt Windows Server 2022 Datacenter.
Funktionsweise von Hotpatch
Hotpatch funktioniert, indem zuerst ein Basisplan mit dem aktuellen kumulativen Update für Windows Server eingerichtet wird. In regelmäßigen Abständen (beginnend alle drei Monate) wird der Basisplan mit dem neuesten kumulativen Update aktualisiert. Danach werden in den beiden Folgemonaten Hotpatchess veröffentlicht. Wenn beispielsweise im Januar ein kumulatives Update bereitgestellt wird, gäbe es im Februar und März jeweils ein Hotpatch-Release. Den Zeitplan für das Hotpatch-Release finden Sie unter Versionshinweise für Hotpatch in Azure Automanage für Windows Server 2022.
Hotpatches enthalten Updates, die keinen Neustart erfordern. Da Hotpatch den Code der gerade im Arbeitsspeicher ausgeführten Prozesse repariert, ohne den Prozess neu starten zu müssen, sind Ihre Anwendungen vom Reparaturprozess nicht betroffen. Diese Aktion unterscheidet sich von potenziellen Leistungs- und Funktionalitätsauswirkungen des Patches selbst.
Die folgende Abbildung ist ein Beispiel für einen jährlichen dreimonatigen Zeitplan (einschließlich eines Beispiels für nicht geplante Basispläne aufgrund von Zero-Day-Fixes).
Es gibt zwei Arten von Basisplänen: Geplante Basispläne und nicht geplanten Basispläne.
Geplante Basispläne werden in regelmäßigen Abständen mit Hotpatch-Releases veröffentlicht. Geplante Basispläne umfassen alle Updates in einem vergleichbaren neuesten kumulativen Update für den jeweiligen Monat und erfordern einen Neustart.
- Der beispielhafte Zeitplan veranschaulicht vier geplante Basisplanveröffentlichungen in einem Kalenderjahr (insgesamt fünf im Diagramm) und acht Hotpatch-Releases.
Ungeplante Basispläne werden veröffentlicht, wenn ein wichtiges Update (z. B. ein Zero-Day-Fix) veröffentlicht wird und dieses bestimmte Update nicht als Hotpatch bereitgestellt werden kann. Wenn ungeplante Basispläne veröffentlicht werden, wird ein Hotpatch-Release im jeweiligen Monat durch einen ungeplanten Basisplan ersetzt. Ungplante Basispläne umfassen auch alle Updates in einem vergleichbaren neuesten kumulativen Update für den jeweiligen Monat und erfordern ebenfalls einen Neustart.
- Der beispielhafte Zeitplan zeigt zwei ungeplante Basispläne, die die Hotpatch-Releases für diese Monate ersetzen würden (die tatsächliche Anzahl der ungeplanten Basispläne in einem Jahr ist im Vorfeld nicht bekannt).
Unterstützte Updates
Hotpatch deckt Windows-Sicherheitsupdates ab und ist auf Augenhöhe mit dem Inhalt von Sicherheitsupdates, die im regulären (Nicht-Hotpatch-)Windows Update-Kanal veröffentlicht wurden.
Es gibt einige wichtige Überlegungen zum Ausführen einer unterstützten Windows Server Azure Edition-VM mit aktiviertem Hotpatch. Neustarts sind weiterhin erforderlich, um Updates zu installieren, die nicht im Hotpatch-Programm enthalten sind. Neustarts sind ebenso in regelmäßigen Abständen erforderlich, nachdem ein neuer Basisplan installiert wurde. Neustarts sorgen dafür, dass die VM die nicht sicherheitsrelevanten Patches erhält, die im neuesten kumulativen Update enthalten sind.
- Patches, die derzeit nicht im Hotpatch-Programm enthalten sind, umfassen nicht sicherheitsrelevante Updates, die für Windows-, .NET-Updates und Nicht-Windows-Updates (z. B. Treiber, Firmwareupdate usw.) veröffentlicht werden. Diese Arten von Patches erfordern möglicherweise einen Neustart während der Hotpatch-Monate.
Patchorchestrierungsprozess
Hotpatch ist eine Erweiterung von Windows Update und ein typischer Orchestrierungsprozess. Patch-Orchestrierungstools variieren je nach Plattform. So orchestrieren Sie Hotpatch:
Azure: VMs, die in Azure erstellt wurden, sind standardmäßig für automatisches VM-Gastpatchen mit einem unterstützten Windows Server Datacenter: Azure Edition-Image aktiviert. Automatisches VM-Gastpatchen in Azure:
Patches, die als kritisch oder als Sicherheitspatches klassifiziert sind, werden automatisch heruntergeladen und auf die VM angewendet.
Patches werden außerhalb der Spitzenzeiten in der Zeitzone der VM angewendet.
Azure verwaltet die Patchorchestrierung, und Patches werden nach Prinzipien der Erstverfügbarkeitangewendet.
Die Integrität virtueller Computer, die durch Plattformintegritätssignale bestimmt wird, wird überwacht, um Fehler beim Patchen zu erkennen.
Hinweis
Sie können VM Scale Sets (VMSS) nicht mit Uniform-Orchestrierung in Azure Edition-Images mit Hotpatch erstellen. Weitere Informationen dazu, welche Features von der Uniform-Orchestrierung für Scale Sets unterstützt werden, finden Sie unter Vergleich von flexiblen, Uniform- und Verfügbarkeitsgruppen.
Azure Stack HCI: Hotpatch-Updates für VMs, die auf Azure Stack HCI erstellt wurden, werden mithilfe folgender Tools orchestriert:
Gruppenrichtlinie zum Konfigurieren der Windows Update-Clienteinstellungen.
Konfigurieren von Windows Update-Clienteinstellungen oder SCONFIG für Server Core.
Eine Lösung zur Patchverwaltung von Drittanbietern.
Grundlegendes zum Patchstatus für Ihre VM in Azure
Um den Patchstatus für Ihre VM anzuzeigen, navigieren Sie im Azure-Portal zur VM-Übersicht unter „Vorgänge“ und wählen dort Updatesaus. Im Abschnitt Empfohlenen Updates können Sie die neuesten Patches und den Hotpatch-Status für Ihre VM anzeigen.
Auf diesem Bildschirm wird der Hotpatch-Status für Ihre VM angezeigt. Sie können auch überprüfen, ob verfügbare Patches für Ihre VM verfügbar sind, die noch nicht installiert wurden. Wie im ‘vorherigen Abschnitt unter „Patchinstallation“ beschrieben, werden alle sicherheitsrelevanten und kritischen Updates automatisch mithilfe des automatischen VM-Gastpatchens auf Ihrer VM installiert, und es sind keine zusätzlichen Aktionen erforderlich. Patches mit anderen Updateklassifizierungen werden nicht automatisch installiert. Stattdessen können sie in der Liste der verfügbaren Patches auf der Registerkarte Updatekonformität angezeigt werden. Sie können den Verlauf der Updatebereitstellungen auf Ihrer VM auch mithilfe des Updateverlaufsanzeigen. Der Updateverlauf der letzten 30 Tage wird zusammen mit Details zu den Patchinstallationen angezeigt.
Bei automatischem VM-Gastpatchen wird Ihre VM regelmäßig und automatisch im Hinblick auf verfügbare Updates bewertet. Diese regelmäßigen Bewertungen stellen sicher, dass verfügbare Patches erkannt werden. Sie können die Ergebnisse einschließlich des Zeitpunkts der letzten Bewertung auf dem „Updates“-Bildschirm in der vorherigen Abbildung sehen. Sie können auch mithilfe der ‘Option „Jetzt’ bewerten“ jederzeit eine bedarfsweise Patchbewertung für Ihre VM auslösen und die Ergebnisse nach Abschluss der Bewertung überprüfen.
Ähnlich wie bei der bedarfsweisen Bewertung können Sie Patches auch bei Bedarf für Ihre VM installieren, indem Sie die Option „Updates jetzt installieren“ nutzen. Hier können Sie festlegen, dass alle Updates mit bestimmten Patchklassifizierungen installiert werden. Sie können auch Updates angeben, die eingeschlossen oder ausgeschlossen werden sollen, indem Sie eine Liste einzelner Wissensdatenbankartikel bereitstellen. Patches, die bedarfsweise installiert werden, werden nicht nach den Prinzipien der ersten Verfügbarkeit installiert und erfordern möglicherweise mehr Neustarts und führen bei der Installation der Updates zu Downtime.
Sie können die installierten Patches auch mithilfe des PowerShell-Befehls Get-HotFix oder der Einstellungs-App anzeigen, wenn Sie die Desktopdarstellung verwenden.
Rollbackunterstützung für Hotpatching
Die Installation von Hotpatch- oder Baseline-Updates unterstützt kein automatisches Rollback. Wenn bei einem virtuellen Computer während oder nach einem Update ein Problem auftritt, müssen Sie das neueste Update deinstallieren und das letzte bekannte funktionierende Basisplanupdate installieren. Sie müssen den virtuellen Computer nach dem Rollback neu starten.