Merencanakan penyebaran untuk memperbarui VM Windows di Azure

Jika Anda telah mengunci jaringan virtual Azure dari internet, Anda masih bisa mendapatkan pembaruan Windows tanpa membahayakan keamanan dan membuka akses ke internet secara keseluruhan. Artikel ini berisi rekomendasi tentang cara menyiapkan jaringan sekitar, juga disebut DMZ, untuk meng-hosting instans Windows Server Update Service (WSUS) guna memperbarui jaringan virtual dengan aman tanpa konektivitas internet.

Jika menggunakan Azure Firewall, Anda dapat menggunakan tag FQDN Windows Update dalam aturan aplikasi untuk memungkinkan lalu lintas keluar yang diperlukan melalui firewall Anda. Untuk informasi selengkapnya, lihat Gambaran umum tag FQDN.

Untuk menerapkan rekomendasi dalam artikel ini, Anda harus terbiasa dengan layanan Azure. Bagian berikut menjelaskan desain penyebaran yang direkomendasikan, yang menggunakan konfigurasi hub dan spoke dalam konfigurasi wilayah tunggal atau multiwilayah.

Topologi jaringan hubdan spoke Azure Virtual Network

Sebaiknya siapkan topologi jaringan model hub dan spoke dengan membuat jaringan sekitar. Host server WSUS pada mesin virtual Azure yang berada di hub antara internet dan jaringan virtual. Hub harus memiliki port terbuka. WSUS menggunakan port 80 untuk protokol HTTP dan port 443 untuk protokol HTTPS guna mendapatkan pembaruan dari Microsoft. Spoke adalah semua jaringan virtual lainnya, yang akan berkomunikasi dengan hub dan bukan dengan internet. Anda dapat melakukannya dengan membuat subnet, kelompok keamanan jaringan (NSG), dan peering jaringan virtual Azure yang mengizinkan lalu lintas WSUS sambil memblokir lalu lintas internet lainnya. Gambar ini mengilustrasikan contoh topologi hub dan spoke:

Unduh file Visio arsitektur ini.

Dalam gambar ini:

• WSUSSubnet adalah hub dari hub dan spoke.
• NSG_DS adalah aturan kelompok keamanan jaringan yang mengizinkan lalu lintas untuk WSUS sambil memblokir lalu lintas internet lainnya.
• VM WSUS adalah mesin virtual Azure yang dikonfigurasi untuk menjalankan WSUS.
• MainSubnet adalah jaringan virtual, spoke, yang berisi mesin virtual.
• NSG_MS adalah kebijakan kelompok keamanan jaringan yang mengizinkan lalu lintas dari VM WSUS tetapi menolak lalu lintas internet.

Anda dapat menggunakan kembali server yang sudah ada atau menyebarkan yang baru yang akan menjadi server WSUS. Untuk VM WSUS, kami merekomendasikan hal berikut:

• Sistem operasi: Windows Server 2016 atau yang lebih baru.
• Prosesor: Dual core, 2 GHz atau lebih cepat.
• Memori: 2 GB RAM, selain RAM yang dibutuhkan oleh server dan semua layanan dan perangkat lunak lain yang berjalan.
• Penyimpanan: 40 GB atau lebih.
• Akses: Akses mesin virtual ini dengan lebih aman menggunakan just-in-time (JIT). Lihat Mengelola akses mesin virtual menggunakan just-in-time.

Jaringan Anda akan memiliki lebih dari satu jaringan virtual Azure, yang dapat berada di wilayah yang sama atau di wilayah yang berbeda. Anda harus mengevaluasi semua VM Windows Server untuk mengetahui apakah ada yang dapat digunakan sebagai server WSUS. Jika Anda memiliki ribuan VM yang akan diperbarui, sebaiknya Anda mendedikasikan VM Windows Server ke peran WSUS.

Jika semua jaringan virtual Anda berada di wilayah yang sama, sebaiknya Anda memiliki satu WSUS untuk setiap 18.000 VM. Saran ini didasarkan pada kombinasi persyaratan VM, jumlah VM klien yang diperbarui, dan biaya komunikasi antara jaringan virtual. Untuk informasi selengkapnya tentang persyaratan kapasitas WSUS, lihat Merencanakan penyebaran WSUS.

Anda dapat menentukan biaya konfigurasi ini dengan menggunakan kalkulator harga Azure. Anda harus memberikan informasi berikut:

• Komputer virtual:
  • Wilayah: Wilayah tempat jaringan virtual Azure Anda disebarkan.
  • Sistem operasi: Windows
  • Tingkat: Standar
  • Instans: Konfigurasi D4
  • Disk terkelola: HDD standar, 64 GB
• Jaringan virtual:
  • Ketikkan
    • Wilayah yang sama jika transfer berada di wilayah yang sama.
    • Di seluruh Wilayah jika Anda memindahkan data dari satu wilayah ke wilayah lainnya.
  • Transfer Data: 2 GB
  • Wilayah
    • Jika transfer berada dalam satu wilayah, pilih wilayah tempat server WSUS dan jaringan virtual berada.
    • Jika transfer melintasi wilayah, wilayah jaringan virtual sumber adalah tempat server WSUS berada. Wilayah jaringan virtual tujuan adalah tempat tujuan data.
  • Jika memiliki beberapa wilayah, Anda harus memilih Virtual Network beberapa kali.

Perhatikan bahwa harga akan bervariasi menurut wilayah.

Penyebaran manual

Setelah Anda mengidentifikasi jaringan virtual Azure untuk digunakan sebagai hub atau menentukan bahwa Anda perlu membuat instans Windows Server baru, Anda perlu membuat aturan NSG. Aturan ini akan memungkinkan lalu lintas internet, yang memungkinkan Windows Memperbarui metadata dan konten untuk disinkronkan dengan server WSUS yang akan dibuat. Berikut adalah aturan yang perlu Anda tambahkan:

• Aturan NSG masuk/keluar untuk memungkinkan lalu lintas ke dan dari internet di port 80 (untuk konten).
• Aturan NSG masuk/keluar untuk memungkinkan lalu lintas ke dan dari internet di port 443 (untuk metadata).
• Aturan NSG masuk/keluar untuk memungkinkan lalu lintas dari VM klien di port 8530 (default kecuali dikonfigurasi).

Menyiapkan WSUS

Ada dua pendekatan yang dapat Anda gunakan untuk menyiapkan server WSUS:

• Jika Anda ingin menyiapkan secara otomatis server yang dikonfigurasi untuk menangani beban kerja yang khas dengan administrasi minimal yang diperlukan, Anda dapat menggunakan skrip automasi PowerShell.
• Jika Anda perlu menangani ribuan klien yang menjalankan berbagai sistem operasi dan bahasa, atau jika Anda ingin mengonfigurasi WSUS dengan cara yang tidak dapat ditangani oleh skrip PowerShell, Anda dapat menyiapkan WSUS secara manual. Kedua pendekatan tersebut akan dijelaskan dalam artikel ini nantinya.

Anda juga dapat menggabungkan dua pendekatan dengan menggunakan skrip automasi untuk melakukan sebagian besar pekerjaan dan kemudian menggunakan konsol administratif WSUS untuk menyempurnakan pengaturan server.

Menyiapkan WSUS dengan menggunakan skrip automasi

Skrip Configure-WSUSServer memungkinkan Anda untuk dengan cepat mengatur server WSUS yang otomatis akan menyinkronkan dan menyetujui pembaruan untuk serangkaian produk dan bahasa yang dipilih.

Versi terbaru dari skrip ini tersedia di GitHub.

Anda mengonfigurasi skrip dengan menggunakan file JSON. Saat ini Anda dapat mengonfigurasi opsi ini:

• Apakah payload pembaruan harus disimpan secara lokal (dan, jika demikian, payload pembaruan akan disimpan di mana), atau dibiarkan di server Microsoft.
• Produk, klasifikasi pembaruan, dan bahasa apa yang harus tersedia di server.
• Apakah server akan secara otomatis menyetujui pembaruan untuk penginstalan atau membiarkan pembaruan tidak disetujui kecuali administrator menyetujuinya.
• Apakah server akan otomatis mengambil pembaruan baru dari Microsoft, dan, jika demikian, seberapa sering.
• Apakah paket pembaruan Ekspres akan digunakan. (Paket pembaruan Ekspres mengurangi bandwidth server-ke-klien dengan mengorbankan penggunaan CPU/disk klien dan bandwidth server-ke-server.)
• Apakah skrip harus menimpa pengaturan sebelumnya. (Biasanya, untuk menghindari konfigurasi ulang yang tidak disengaja yang mungkin mengganggu operasi server, skrip hanya akan berjalan sekali pada server tertentu.)

Salin skrip dan file konfigurasinya ke penyimpanan lokal, dan edit file konfigurasi yang sesuai dengan kebutuhan Anda.

Anda dapat menjalankan skrip ini dengan salah satu dari dua cara:

• Anda dapat menjalankan skrip secara manual, dari VM WSUS.

  Perintah berikut, dijalankan dari Jendela perintah yang ditinggikan, akan menginstal dan mengonfigurasi WSUS. Skrip dan file konfigurasi di direktori saat ini akan digunakan.

  powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json

• Anda dapat menggunakan Ekstensi Skrip Kustom untuk Windows.

  Salin skrip dan file konfigurasi JSON ke kontainer penyimpanan Anda sendiri.

  Dalam konfigurasi khas VM dan Azure Virtual Network, Ekstensi Skrip Kustom hanya memerlukan dua parameter berikut untuk menjalankan skrip dengan benar. (Anda perlu mengganti nilai yang ditampilkan di sini dengan URL untuk lokasi penyimpanan Anda.)

  "fileUris": ["https://mystorage.blob.core.windows.net/mycontainer/Configure-WSUSServer.ps1","https://mystorage.blob.core.windows.net/container/WSUS-Config.json"],
  "commandToExecute": "powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json"
  
  

Skrip akan memulai sinkronisasi awal yang diperlukan agar pembaruan dapat tersedia bagi komputer klien. Tapi itu tidak akan menunggu hingga sinkronisasi selesai. Bergantung pada produk, klasifikasi, dan bahasa yang Anda pilih, sinkronisasi awal mungkin memakan waktu beberapa jam. Setelah itu, semua sinkronisasi akan lebih cepat.

Menyiapkan WSUS secara manual

1. Dari VM WSUS Anda, buka Pengelola Server dan pilih Tambahkan peran dan fitur.

2. Pilih Berikutnya hingga Anda sampai ke halaman Pilih peran server. Pilih Windows Server Update Services. Pilih Tambahkan Fitur saat Anda diminta dengan Tambahkan fitur yang diperlukan untuk Windows Server Update Services?

3. Pilih Berikutnya hingga Anda sampai ke halaman Pilih layanan peran.

   • Secara default, Anda dapat menggunakan Konektivitas WID.
   • Gunakan Koneksi ivitas SQL Server jika Anda perlu mendukung klien yang menggunakan banyak versi Windows yang berbeda (misalnya, Windows 11 dan Windows 10).

4. Pilih Berikutnya hingga Anda sampai ke halaman Pilihan lokasi konten. Masukkan lokasi tempat Anda ingin menyimpan pembaruan.

5. Pilih Berikutnya hingga Anda sampai ke halaman Konfirmasi pilihan penginstalan. Pilih Instal.

6. Buka Windows Server Update Services yang diinstal dan pilih Jalankan.

7. Pilih Berikutnya hingga Anda sampai ke halaman Sambungkan ke Server Upstram. Pilih Mulai Menyambungkan.

8. Pilih Berikutnya hingga Anda sampai ke halaman Pilih Bahasa. Pilih bahasa yang Anda butuhkan.

9. Pilih Berikutnya hingga Anda sampai ke halaman Pilih Produk. Pilih produk yang Anda butuhkan.

10. Pilih Berikutnya hingga Anda sampai ke halaman Pilih Klasifikasi. Pilih pembaruan yang Anda butuhkan.

11. Pilih Berikutnya hingga Anda sampai ke halaman Atur Jadwal Sinkronisasi. Pilih preferensi sinkronisasi Anda.

12. Pilih Berikutnya hingga Anda sampai ke halaman Selesai. Pilih Mulai sinkronisasi awal lalu pilih Berikutnya.

13. Pilih Berikutnya hingga Anda sampai ke halaman Apa Berikutnya lalu pilih Selesai.

14. Jika memilih nama WSUS (misalnya, WsusVM) di panel navigasi, Anda akan melihat bahwa Status Sinkronisasi adalah Idle dan Hasil sinkronisasi terakhirBerhasil.

15. Di panel navigasi, pilih Opsi>Komputer>Gunakan Kebijakan Grup atau pengaturan registri di komputer. Pilih OK.

Selama sinkronisasi, WSUS menentukan apakah pembaruan baru telah tersedia sejak terakhir kali Anda menyinkronkan. Jika ini adalah pertama kalinya Anda menyinkronkan WSUS, metadata akan segera diunduh. Payload hanya diunduh jika penyimpanan lokal diaktifkan dan pembaruan disetujui setidaknya satu grup komputer.

Mengonfigurasi jaringan virtual untuk berkomunikasi dengan WSUS

Berikutnya, siapkan peering jaringan virtual Azure atau peering jaringan virtual global untuk berkomunikasi dengan hub. Sebaiknya siapkan server WSUS di setiap wilayah yang telah Anda gunakan untuk meminimalkan latensi.

Di setiap jaringan virtual Azure yang merupakan spoke, Anda harus membuat kebijakan NSG yang memiliki aturan berikut:

• Aturan NSG masuk/keluar untuk memungkinkan lalu lintas dari VM WSUS di port 8530 (default kecuali dikonfigurasi).
• Aturan NSG masuk/keluar untuk menolak lalu lintas dari internet.

Berikutnya, buat peering jaringan virtual Azure dari spoke ke hub.

VM Klien

• Untuk keamanan tambahan, Anda dapat menghapus alamat IP publik terkait VM. Untuk informasi selengkapnya, lihat Melihat, mengubah pengaturan, atau menghapus alamat IP publik.
• Untuk informasi tentang cara mengakses mesin virtual secara lebih aman dengan menggunakan JIT, lihat Mengelola akses mesin virtual menggunakan just-in-time.

Mengonfigurasi mesin virtual klien

WSUS dapat digunakan untuk memperbarui mesin virtual apa pun yang menjalankan Windows (kecuali untuk SKU Beranda). Selesaikan langkah-langkah berikut pada setiap mesin virtual klien untuk mengaktifkan komunikasi antara WSUS dan klien:

Dari VM klien Anda

1. Buka Editor Kebijakan Grup Lokal (atau Editor Manajemen Kebijakan Grup).
2. Buka Konfigurasi Komputer>Template Administratif>Komponen Windows>Pembaruan Windows.
3. Aktifkan Tentukan lokasi layanan pembaruan Microsoft intranet.
4. Masukkan URL http://\<WSUS name>:8530. (Anda dapat menemukan nama WSUS Anda (misalnya, WsusVM) di halaman Layanan Pembaruan.) Mungkin perlu beberapa saat (hingga beberapa jam) agar pengaturan ini terlihat.
5. Buka Pengaturan> Perbarui & Keamanan>Windows Update.
6. Pilih Periksa pembaruan.

Dari VM WSUS Anda

1. Buka Windows Server Update Services. Anda akan dapat melihat VM klien Anda tercantum di Komputer>Semua Komputer.
2. PerbaruiPembaruan>Semua Pembaruan.
3. Tetapkan Persetujuan ke Apa Pun Kecuali Ditolak.
4. Tetapkan Status ke Diperlukan. Sekarang Anda dapat melihat semua pembaruan yang diperlukan untuk VM klien Anda.
5. Klik kanan salah satu pembaruan dan pilih Setujui.

Verifikasi

1. Pada komputer virtual klien, buka Pengaturan> Perbarui & Keamanan>Windows Update.
2. Pilih Periksa pembaruan. Anda akan melihat pembaruan dengan nomor artikel KB yang sama (misalnya, 4480056) yang Anda setujui dari VM WSUS.

Jika Anda adalah administrator yang mengelola jaringan besar, lihat Mengonfigurasi pembaruan otomatis dan memperbarui lokasi layanan untuk informasi tentang cara menggunakan pengaturan Kebijakan Grup untuk mengonfigurasi klien secara otomatis.

Penyebaran WSUS untuk beberapa cloud

Penyiapan peering jaringan virtual di cloud publik dan privat tidak dapat dilakukan. Jaringan yang disebarkan di cloud publik dan privat harus memiliki setidaknya satu server WSUS di setiap cloud.

Catatan dukungan

Saat ini, WSUS tidak mendukung sinkronisasi dengan SKU Beranda Windows.

Manajemen Pembaruan Azure

Anda dapat menggunakan solusi Manajemen Pembaruan di Azure untuk mengelola dan menjadwalkan pembaruan sistem operasi untuk VM yang disinkronkan pada WSUS. Status patch VM (yaitu, patch mana yang tidak ada) dinilai berdasarkan sumber yang VM-nya dikonfigurasi untuk disinkronkan. Jika VM Windows dikonfigurasi untuk melaporkan ke WSUS, hasilnya mungkin berbeda dari yang diperlihatkan Microsoft Update, tergantung kapan WSUS terakhir disinkronkan dengan Microsoft Update. Setelah mengonfigurasi lingkungan WSUS, Anda dapat mengaktifkan Manajemen Pembaruan. Untuk informasi selengkapnya, lihat Gambaran umum Manajemen Pembaruan dan langkah-langkah onboarding.

Kontributor

Artikel ini dikelola oleh Microsoft. Ini awalnya ditulis oleh kontributor berikut.

Penulis utama:

• Paul Reed | Manajer Program Senior Kepatuhan Azure

Langkah berikutnya

• Untuk informasi selengkapnya tentang perencanaan penyebaran, lihat Merencanakan penyebaran WSUS.
• Untuk informasi selengkapnya tentang mengelola WSUS, menyiapkan jadwal sinkronisasi WSUS, dan lainnya, lihat Administrasi WSUS.

Sumber daya terkait

• Menjalankan Windows VM di Azure
• Manajemen pembaruan Azure Automation
• Menjalankan SAP NetWeaver di Windows di Azure
• Mengelola beban kerja Azure hibrid menggunakan Windows Admin Center
• CI/CD untuk VM Azure