Pianificare la distribuzione per l'aggiornamento di macchine virtuali Windows in Azure

Se la rete virtuale di Azure è stata bloccata su Internet, è comunque possibile ottenere gli aggiornamenti di Windows Update senza compromettere la sicurezza e senza aprire completamente l'accesso a Internet. Questo articolo contiene raccomandazioni su come configurare una rete perimetrale per ospitare un'istanza di WSUS (Windows Server Update Services) e aggiornare in modo sicuro le reti virtuali senza connettività Internet.

Se si usa Firewall di Azure, è possibile usare il tag FQDN di Windows Update nelle regole delle applicazioni per consentire il necessario passaggio del traffico in uscita attraverso il firewall. Per altre informazioni, vedere Panoramica dei tag FQDN.

Per implementare le raccomandazioni di questo articolo, è necessario avere familiarità con i servizi di Azure. Le sezioni seguenti descrivono la progettazione della distribuzione consigliata con una topologia hub-spoke in una configurazione con una o più aree.

Topologia di rete hub-spoke della rete virtuale di Azure

È consigliabile configurare una topologia di rete sul modello hub-spoke creando una rete perimetrale. Ospitare il server WSUS in una macchina virtuale di Azure che si trova nell'hub tra Internet e le reti virtuali. L'hub deve avere porte aperte. WSUS usa la porta 80 per il protocollo HTTP e la porta 443 per il protocollo HTTPS per ottenere gli aggiornamenti da Microsoft. Gli spoke sono costituiti da tutte le altre reti virtuali, che comunicheranno con l'hub e non con Internet. Questa configurazione verrà realizzata creando una subnet, i gruppi di sicurezza di rete e il peering di reti virtuali di Azure, che consente il passaggio del traffico WSUS bloccando al tempo stesso l'altro traffico Internet. Questa immagine illustra un esempio di topologia hub-spoke:

Scaricare un file di Visio di questa architettura.

In questa immagine:

• WSUSSubnet è l'hub della topologia hub-spoke.
• NSG_DS è la regola dei gruppi di sicurezza di rete che consente il traffico per WSUS bloccando al tempo stesso l'altro traffico Internet.
• WSUS VM è la macchina virtuale di Azure configurata per l'esecuzione di WSUS.
• MainSubnet è una rete virtuale, uno spoke, contenente macchine virtuali.
• NSG_MS è un criterio dei gruppi di sicurezza di rete che consente il traffico proveniente dalla VM WSUS, ma nega il traffico Internet.

È possibile riutilizzare un server esistente o distribuirne uno nuovo che costituirà il server WSUS. Per la macchina virtuale WSUS, è consigliabile soddisfare almeno i requisiti seguenti:

• Sistema operativo: Windows Server 2016 o versione successiva.
• Processore: dual core, 2 GHz o superiore.
• Memoria: 2 GB di RAM, oltre alla RAM richiesta dal server e a tutti gli altri servizi e software in esecuzione.
• Archiviazione: 40 GB o più.
• Accesso: accedere a questa macchina virtuale in modo più sicuro usando JIT (Just-In-Time). Vedere Gestire l'accesso alle macchine virtuali con la funzionalità JIT (Just-in-Time).

La rete avrà più di una rete virtuale di Azure, che può trovarsi nella stessa area o in aree diverse. Sarà necessario valutare tutte le VM Windows Server per verificare se è possibile usarne una come WSUS. Se sono disponibili migliaia di VM da aggiornare, è consigliabile dedicare una VM Windows Server al ruolo WSUS.

Se tutte le reti virtuali si trovano nella stessa area, è consigliabile avere un'istanza di WSUS per ogni 18.000 VM. Questo suggerimento si basa su una combinazione dei requisiti delle VM, del numero di VM client da aggiornare e del costo della comunicazione tra reti virtuali. Per altre informazioni sui requisiti di capacità di WSUS, vedere Pianificare la distribuzione di WSUS.

Per determinare il costo di queste configurazioni, usare il calcolatore dei prezzi di Azure. Sarà necessario specificare le informazioni seguenti:

• Macchina virtuale:
  • Area: area in cui viene distribuita la rete virtuale di Azure.
  • Sistema operativo: Windows
  • Livello: Standard
  • Istanza: configurazione D4
  • Managed Disks: HDD Standard, 64 GB
• Rete virtuale:
  • Digitare
    • Stessa area se il trasferimento avviene nella stessa area.
    • Tra aree se i dati vengono spostati da un'area all'altra.
  • Trasferimento dati: 2 GB
  • Regione
    • Se il trasferimento avviene all'interno di un'unica area, scegliere l'area in cui si trovano il server WSUS e le reti virtuali.
    • Se il trasferimento avviene tra aree, l'area della rete virtuale di origine è quella in cui si trova il server WSUS. L'area della rete virtuale di destinazione è quella in cui vengono trasferiti i dati.
  • Nel caso di più aree, è necessario selezionare più volte la rete virtuale.

Si noti che i prezzi variano in base all'area.

Distribuzione manuale

Dopo aver identificato la rete virtuale di Azure da usare come hub o aver stabilito che è necessario creare una nuova istanza di Windows Server, creare una regola per i gruppi di sicurezza di rete. La regola autorizzerà il traffico Internet, che consente di sincronizzare i metadati e il contenuto di Windows Update con il server WSUS che verrà creato. Ecco le regole da aggiungere:

• Regola per i gruppi di sicurezza di rete in ingresso/in uscita per consentire il traffico da/verso Internet sulla porta 80 (per il contenuto).
• Regola per i gruppi di sicurezza di rete in ingresso/in uscita per consentire il traffico da/verso Internet sulla porta 443 (per i metadati).
• Regola per i gruppi di sicurezza di rete in ingresso/in uscita per consentire il traffico proveniente dalle VM client sulla porta 8530 (impostazione predefinita, se non diversamente configurata).

Configurare WSUS

Per configurare il server WSUS, sono disponibili due approcci:

• Se si vuole configurare automaticamente un server per la gestione di un carico di lavoro tipico con l'amministrazione minima necessaria, è possibile usare lo script di automazione di PowerShell.
• Se è necessario gestire migliaia di client che eseguono molti sistemi operativi diversi in lingue diverse o se si vuole configurare WSUS in un modo non gestibile con lo script di PowerShell, è possibile configurare WSUS manualmente. Entrambi gli approcci vengono descritti più avanti in questo articolo.

È anche possibile combinare i due approcci, usando lo script di automazione per eseguire la maggior parte delle operazioni e quindi la console di amministrazione di WSUS per ottimizzare le impostazioni del server.

Configurare WSUS con lo script di automazione

Lo script Configure-WSUSServer consente di configurare rapidamente un server WSUS che sincronizzerà e approverà automaticamente gli aggiornamenti per un set selezionato di prodotti e lingue.

La versione più recente di questo script è disponibile in GitHub.

Per configurare lo script, usare un file JSON. È attualmente possibile configurare queste opzioni:

• Se i payload degli aggiornamenti devono essere archiviati localmente (e, in tal caso, dove) o lasciati nei server Microsoft.
• Quali prodotti, classificazioni degli aggiornamenti e lingue devono essere disponibili nel server.
• Se il server deve approvare automaticamente gli aggiornamenti per l'installazione o lasciarli non approvati, a meno che non vengano approvati da un amministratore.
• Se il server deve recuperare automaticamente nuovi aggiornamenti da Microsoft e, in caso affermativo, con quale frequenza.
• Se è necessario usare i pacchetti di aggiornamento rapido. I pacchetti di aggiornamento rapido riducono la larghezza di banda da server a client, a scapito dell'utilizzo di CPU/disco e della larghezza di banda da server a server.
• Se lo script deve sovrascrivere le impostazioni precedenti. In genere, per evitare una riconfigurazione accidentale che potrebbe interrompere l'operatività del server, lo script viene eseguito una sola volta in un determinato server.

Copiare lo script e il relativo file di configurazione nella risorsa di archiviazione locale, quindi modificare il file di configurazione in base alle esigenze.

Questo script può essere eseguito in uno dei due modi seguenti:

• È possibile eseguire lo script manualmente nella VM WSUS.

  Il comando seguente, eseguito da una finestra del prompt dei comandi con privilegi elevati, installerà e configurerà WSUS. Userà lo script e il file di configurazione nella directory corrente.

  powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json

• È possibile usare l'estensione per script personalizzati per Windows.

  Copiare lo script e il file di configurazione JSON nel contenitore di archiviazione.

  Nelle configurazioni tipiche di VM e rete virtuale di Azure, l'estensione per script personalizzati richiede solo i due parametri seguenti per l'esecuzione corretta. È necessario sostituire i valori riportati di seguito con gli URL delle posizioni di archiviazione.

  "fileUris": ["https://mystorage.blob.core.windows.net/mycontainer/Configure-WSUSServer.ps1","https://mystorage.blob.core.windows.net/container/WSUS-Config.json"],
  "commandToExecute": "powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json"
  
  

Lo script avvierà la sincronizzazione iniziale necessaria per rendere disponibili gli aggiornamenti nei computer client. Tuttavia, non attende il completamento di tale sincronizzazione. A seconda dei prodotti, delle classificazioni e delle lingue che si selezionano, la sincronizzazione iniziale può richiedere diverse ore. Tutte le sincronizzazioni successive dovrebbero essere più veloci.

Configurare WSUS manualmente

1. Nella VM WSUS aprire Server Manager e selezionare Aggiungi ruoli e funzionalità.

2. Selezionare Avanti fino a visualizzare la pagina Selezione ruoli server. Selezionare Windows Server Update Services. Alla richiesta Aggiungere le funzionalità necessarie per Windows Server Update Services selezionare Aggiungi funzionalità.

3. Selezionare Avanti fino a visualizzare la pagina Selezione servizi ruolo.

   • Per impostazione predefinita, è possibile usare WID Connectivity.
   • Usare SQL Server Connessione ivity se è necessario supportare i client che usano molte versioni diverse di Windows ,ad esempio Windows 11 e Windows 10.

4. Selezionare Avanti fino a visualizzare la pagina Selezione percorso del contenuto. Immettere la posizione in cui archiviare gli aggiornamenti.

5. Selezionare Avanti fino a visualizzare la pagina Conferma selezioni per l'installazione. Selezionare Installa.

6. Aprire l'istanza di Windows server Update Services installata e selezionare Esegui.

7. Selezionare Avanti fino a visualizzare la pagina Connessione al server upstream. Selezionare Avvia connessione.

8. Selezionare Avanti fino a visualizzare la pagina Scelta lingue. Scegliere le lingue necessarie.

9. Selezionare Avanti fino a visualizzare la pagina Scelta prodotti. Scegliere i prodotti necessari.

10. Selezionare Avanti fino a visualizzare la pagina Scelta classificazioni. Scegliere gli aggiornamenti necessari.

11. Selezionare Avanti fino a visualizzare la pagina Imposta pianificazione della sincronizzazione. Scegliere le preferenze di sincronizzazione.

12. Selezionare Avanti fino a visualizzare la pagina Operazione completata. Selezionare Avvia sincronizzazione iniziale e quindi Avanti.

13. Selezionare Avanti fino a visualizzare la pagina Passaggi successivi, quindi selezionare Fine.

14. Se si seleziona il nome di WSUS (ad esempio WsusVM) nel riquadro di spostamento, si noterà che Stato sincronizzazione è Inattivo e Risultato ultima sincronizzazione indica Operazione riuscita.

15. Nel riquadro di spostamento selezionare Opzioni>Computer>Usa Criteri di gruppo o impostazioni del Registro di sistema nei computer. Seleziona OK.

Durante la sincronizzazione, WSUS determina se sono stati resi disponibili aggiornamenti dall'ultima sincronizzazione effettuata. Se è la prima volta che si sincronizza WSUS, i metadati vengono scaricati immediatamente. Il payload viene scaricato solo se è stata attivata l'archiviazione locale e l'aggiornamento è stato approvato per almeno un gruppo di computer.

Configurare le reti virtuali per la comunicazione con WSUS

Successivamente, configurare il peering di reti virtuali di Azure oppure il peering globale di reti virtuali per la comunicazione con l'hub. È consigliabile configurare un server WSUS in ogni area in cui è stata eseguita la distribuzione per ridurre al minimo la latenza.

In ogni rete virtuale di Azure che corrisponde a uno spoke è necessario creare un criterio per i gruppi di sicurezza di rete con le regole seguenti:

• Una regola per i gruppi di sicurezza di rete ingresso/in uscita per consentire il traffico proveniente dalle VM WSUS sulla porta 8530 (impostazione predefinita, se non diversamente configurata).
• Una regola per i gruppi di sicurezza di rete per negare il traffico proveniente da Internet.

Successivamente, creare il peering di reti virtuali di Azure dallo spoke all'hub.

VM client

• Per una maggiore sicurezza, è possibile eliminare l'indirizzo IP pubblico associato della macchina virtuale. Per altre informazioni, vedere Visualizzare un indirizzo IP pubblico, modificarne le impostazioni o eliminarlo.
• Per informazioni su come accedere in modo più sicuro alla macchina virtuale tramite JIT, vedere Gestire l'accesso alle macchine virtuali con la funzionalità JIT (Just-in-Time).

Configurare le macchine virtuali client

È possibile usare WSUS per aggiornare qualsiasi macchina virtuale che esegue Windows, ad eccezione dello SKU Home. Per abilitare la comunicazione tra WSUS e il client, completare la procedura seguente in ogni macchina virtuale client:

Nella VM client

1. Aprire Editor Criteri di gruppo locali (o Editor Gestione Criteri di gruppo).
2. Passare a Configurazione computer>Modelli amministrativi>Componenti di Windows>Windows Update.
3. Abilitare l'opzione Specifica il percorso del servizio di aggiornamento Microsoft nella rete Intranet.
4. Immettere l'URL http://\<WSUS name>:8530. È possibile trovare il nome di WSUS (ad esempio, WsusVM) nella pagina Servizi di aggiornamento. Può essere necessario del tempo, fino ad alcune ore, prima che l'impostazione diventi effettiva.
5. Passare a Impostazioni>Aggiornamento e sicurezza>Windows Update.
6. Selezionare Verifica disponibilità aggiornamenti.

Nella VM WSUS

1. Aprire Windows Server Update Services. Dovrebbe essere possibile visualizzare la VM client in Computer>Tutti i computer.
2. Selezionare Aggiornamenti>Tutti gli aggiornamenti.
3. Impostare Approvazione su Tutti tranne i rifiutati.
4. Impostare Stato su Necessari. A questo punto, è possibile visualizzare tutti gli aggiornamenti necessari per la VM client.
5. Fare clic con il pulsante destro del mouse su uno degli aggiornamenti e scegliere Approva.

Verifica

1. Nella VM client passare a Impostazioni>Aggiornamento e sicurezza>Windows Update.
2. Selezionare Verifica disponibilità aggiornamenti. Verrà visualizzato un aggiornamento con lo stesso numero di articolo della KB (ad esempio 4480056) approvato dalla VM WSUS.

Per gli amministratori che gestiscono una rete di grandi dimensioni, è consigliabile leggere l'articolo Configurare gli aggiornamenti automatici e il percorso del servizio di aggiornamento per informazioni su come usare le impostazioni di Criteri di gruppo per configurare automaticamente i client.

Distribuzione di WSUS per più cloud

Non è possibile configurare il peering di reti virtuali tra cloud pubblici e privati. Le reti distribuite tra cloud pubblici e privati dovranno avere almeno un server WSUS in ogni cloud.

Note sul supporto

Attualmente WSUS non supporta la sincronizzazione con lo SKU Windows Home.

Gestione aggiornamenti di Azure

È possibile usare la soluzione Gestione aggiornamenti in Azure per gestire e pianificare gli aggiornamenti del sistema operativo per le VM che non è possibile sincronizzare con WSUS. Lo stato della patch della VM (ovvero le patch mancanti) viene valutato in base all'origine con cui la macchina virtuale è configurata per la sincronizzazione. Se la VM Windows è configurata per l'invio di report a WSUS, i risultati possono differire da quanto visualizzato da Microsoft Update in base a quando WSUS ha eseguito l'ultima sincronizzazione con Microsoft Update. Dopo aver configurato l'ambiente WSUS, è possibile abilitare Gestione aggiornamenti. Per altre informazioni, vedere Panoramica di Gestione aggiornamenti e procedura di onboarding.

Collaboratori

Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.

Autore principale:

• Paul Reed | Senior Program Manager di Conformità di Azure

Passaggi successivi

• Per altre informazioni sulla pianificazione di una distribuzione, vedere Pianificare la distribuzione di WSUS.
• Per altre informazioni sulla gestione di WSUS, su come configurare la pianificazione della sincronizzazione con WSUS e altro ancora, vedere Amministrazione di WSUS.

Risorse correlate

• Eseguire una VM Windows in Azure
• Gestione degli aggiornamenti di Automazione di Azure
• Eseguire SAP NetWeaver in Windows in Azure
• Gestire i carichi di lavoro ibridi di Azure con Windows Admin Center
• CI/CD per macchine virtuali di Azure