Hotpatch para máquinas virtuales
La aplicación de revisiones en caliente es una manera de instalar actualizaciones de seguridad del sistema operativo en máquinas virtuales (VM) de Windows Server Datacenter: Azure Edition admitidas que no requieren reiniciar después de la instalación. Funciona aplicando parches en el código en memoria de los procesos en ejecución sin necesidad de reiniciar el proceso. En este artículo se describe la información sobre la revisión en caliente de las máquinas virtuales compatibles, que tiene las siguientes ventajas:
- Menos archivos binarios significa que la actualización se instala más rápido y consume menos recursos de disco y CPU.
- Menor impacto en la carga de trabajo con menos reinicios.
- Mejor protección, ya que los paquetes de actualización de revisión en caliente están en el ámbito de las actualizaciones de seguridad de Windows que se instalan más rápido sin reiniciar.
- Reduce el tiempo expuesto a riesgos de seguridad y ventanas de cambio, y facilita la orquestación de revisiones con Azure Update Manager.
Plataformas compatibles
Hotpatch solo se admite en las máquinas virtuales e instancias de Azure Stack HCI creadas a partir de imágenes con la combinación exacta de publicador, oferta y SKU de la lista de imágenes del sistema operativo siguiente. No se admiten imágenes base de contenedores de Windows Server ni imágenes personalizadas ni cualquier otra combinación de publicador, oferta y SKU.
| Publicador | Sistema operativo | SKU |
|---|---|---|
| Microsoft Windows Server | Windows Server | 2022-Datacenter-Azure-Edition-Core |
| Microsoft Windows Server | Windows Server | 2022-Datacenter-Azure-Edition-Core-smalldisk |
| Microsoft Windows Server | Windows Server | 2022-Datacenter-Azure-Edition-Hotpatch |
| Microsoft Windows Server | Windows Server | 2022-Datacenter-Azure-Edition-Hotpatch-smalldisk |
Para empezar a usar Hotpatch, use el método preferido para crear una máquina virtual de Azure o Azure Stack HCI y seleccione una de las siguientes imágenes que desea usar. La opción Hotpatch se selecciona de forma predeterminada al crear una máquina virtual de Azure en Azure Portal.
- Windows Server 2022 Datacenter: Azure Edition Hotpatch (Experiencia de escritorio)
- Windows Server 2022 Datacenter: Azure Edition Core1
1 Hotpatch está habilitado de forma predeterminada en imágenes de Server Core.
Para obtener más información sobre las imágenes disponibles, consulte el producto de Azure Marketplace Windows Server 2022 Datacenter.
Funcionamiento de Hotpatch
La revisión en caliente funciona estableciendo primero una línea base con la actualización acumulativa actual para Windows Server. Periódicamente (a partir de cada tres meses), la línea base se actualiza con la actualización acumulativa más reciente y, a continuación, se publican las revisiones en caliente durante dos meses después. Por ejemplo, si en enero hay una actualización acumulativa, en febrero y marzo habría una revisión en caliente. Para obtener la programación de lanzamiento de revisiones en caliente, consulte Notas de la versión de Hotpatch en Azure Automanage para Windows Server 2022.
Las revisiones en caliente contienen actualizaciones que no requieren un reinicio. Dado que Hotpatch aplica parches en el código en memoria de los procesos en ejecución sin necesidad de reiniciar el proceso, las aplicaciones no se ven afectadas por el proceso de aplicación de parches. Esta acción es independiente de las posibles implicaciones de rendimiento y funcionalidad de la propia revisión.
La imagen siguiente es un ejemplo de una programación anual de tres meses (incluidas las líneas base no planeadas de ejemplo debido a correcciones de día cero).
Hay dos tipos de líneas base: líneas base planeadas y líneas base no planeadas.
Las líneas base planeadas se liberan con una cadencia regular, con versiones de revisión en caliente entre ellas. Las líneas base planeadas incluyen todas las actualizaciones en una actualización acumulativa más reciente comparable para ese mes y requieren un reinicio.
- La programación de ejemplo muestra cuatro versiones de línea base planeadas en un año natural (cinco totales en el diagrama) y ocho versiones de revisión en caliente.
Las líneas base no planeadas se liberan cuando se publica una actualización importante (por ejemplo, una corrección de día cero) y esa actualización concreta no se puede publicar como una revisión en caliente. Cuando se liberan líneas base no planeadas, se reemplaza una versión de revisión en caliente por una línea base no planeada en ese mes. Las líneas base no planeadas también incluyen todas las actualizaciones en una actualización acumulativa más reciente comparable para ese mes y también requieren un reinicio.
- La programación de ejemplo muestra dos líneas base no planeadas que reemplazarían las versiones de revisión en caliente durante esos meses (el número real de líneas base no planeadas en un año no se conoce de antemano).
Actualizaciones admitidas
Hotpatch cubre las actualizaciones de seguridad de Windows y mantiene la paridad con el contenido de las actualizaciones de seguridad emitidas en el canal de actualizaciones de Windows normal (no revisiones en caliente).
Hay algunas consideraciones importantes para ejecutar una máquina virtual de Windows Server Azure Edition compatible con la revisión en caliente habilitada. Los reinicios siguen siendo necesarios para instalar actualizaciones que no se incluyen en el programa de revisiones en caliente. Los reinicios también son necesarios periódicamente después de instalar una nueva línea base. Los reinicios mantienen la máquina virtual sincronizada con las revisiones de no seguridad incluidas en la actualización acumulativa más reciente.
- Las revisiones que no están incluidas actualmente en el programa de revisiones en caliente incluyen actualizaciones que no son de seguridad publicadas para Windows, actualizaciones de .NET y actualizaciones que no son de Windows (como controladores, actualización de firmware, etc.). Estos tipos de revisiones pueden necesitar un reinicio durante los meses de revisión en caliente.
Proceso de orquestación de revisiones
Hotpatch es una extensión de Windows Update y procesos de orquestación típicos. Las herramientas de orquestación de revisiones varían en función de la plataforma. Para orquestar Hotpatch:
Azure: las máquinas virtuales creadas en Azure están habilitadas para la aplicación automática de revisiones de invitado de máquina virtual de forma predeterminada con una imagen compatible de Windows Server Datacenter: Azure Edition . Aplicación automática de revisiones de invitados de máquina virtual en Azure:
Las revisiones clasificadas como críticas o de seguridad se descargan y se aplican automáticamente en la máquina virtual.
Las revisiones se aplican durante las horas de poca actividad en la zona horaria de la máquina virtual.
Azure administra la orquestación de revisiones y las revisiones se aplican siguiendo los principios de disponibilidad.
El estado de la máquina virtual, según se determina a través de señales de estado de la plataforma, se supervisa para detectar errores de aplicación de revisiones.
Nota
No se pueden crear conjuntos de escalado de máquinas virtuales (VMSS) con orquestación uniforme en imágenes de Azure Edition con Hotpatch. Para obtener más información sobre qué características son compatibles con la orquestación uniforme para conjuntos de escalado, consulte Comparación del modo uniforme, el modo flexible y los conjuntos de disponibilidad.
Azure Stack HCI: las actualizaciones de Hotpatch para las máquinas virtuales creadas en Azure Stack HCI se orquestan mediante:
Directiva de grupo para configurar las opciones de cliente de Windows Update.
Configuración de la configuración del cliente de Windows Update o SCONFIG para Server Core.
Una solución de administración de revisiones de terceros.
Descripción del estado de revisión de la máquina virtual en Azure
Para ver el estado de revisión de la máquina virtual, vaya a la información general de la máquina virtual en Azure Portal, en Operaciones, seleccione Actualizaciones. En la sección Actualizaciones recomendadas , puede ver las revisiones más recientes y el estado de revisión en caliente de la máquina virtual.
En esta pantalla, verá el estado de la revisión en caliente de la máquina virtual. También puede revisar si hay revisiones disponibles para la máquina virtual que no se han instalado. Como se describe en la sección anterior "Instalación de revisiones", todas las actualizaciones críticas y de seguridad se instalan automáticamente en la máquina virtual mediante la aplicación automática de revisiones de invitado de máquina virtual y no se requieren acciones adicionales. Las revisiones con otras clasificaciones de actualización no se instalan automáticamente. En su lugar, se pueden ver en la lista de revisiones disponibles en la pestaña Actualizar cumplimiento . También puede ver el historial de implementaciones de actualizaciones en la máquina virtual a través del historial de actualizaciones. Se muestra el historial de actualizaciones de los últimos 30 días, junto con los detalles de instalación de revisiones.
Con la aplicación automática de revisiones de invitado de máquina virtual, la máquina virtual se evalúa periódicamente y automáticamente para las actualizaciones disponibles. Estas evaluaciones periódicas garantizan que se detecten revisiones disponibles. Puede ver los resultados de la evaluación en la pantalla Actualizaciones de la imagen anterior, incluida la hora de la última evaluación. También puede optar por desencadenar una evaluación de revisiones a petición para la máquina virtual en cualquier momento mediante la opción "Evaluar ahora" y revisar los resultados una vez completada la evaluación.
De forma similar a la evaluación a petición, también puede instalar revisiones a petición para la máquina virtual mediante la opción "Instalar actualizaciones ahora". Aquí puede elegir instalar todas las actualizaciones en clasificaciones de revisiones específicas. También puede especificar actualizaciones para incluir o excluir proporcionando una lista de artículos individuales de knowledge base. Las revisiones instaladas a petición no se instalan mediante principios de disponibilidad y pueden requerir más reinicios y tiempo de inactividad de la máquina virtual para la instalación de actualizaciones.
También puede ver las revisiones instaladas mediante el comando Get-HotFix de PowerShell o mediante la aplicación Configuración al usar la Experiencia de escritorio.
Compatibilidad con reversión en la aplicación de revisión en caliente
La instalación de actualizaciones de revisión en caliente o de línea base no admite una reversión automática. En caso de que una máquina virtual experimente un problema durante o después de una actualización, tendrá que desinstalar la actualización más reciente e instalar la última actualización de línea base correcta conocida. Tendrá que reiniciar la máquina virtual después de la reversión.