Горячее исправление для виртуальных машин

  • Статья

Исправление — это способ установки обновлений безопасности ОС в поддерживаемом центре обработки данных Windows Server: виртуальные машины Azure Edition , которые не требуют перезагрузки после установки. Горячее исправление работает путем исправления кода запущенных процессов в памяти без необходимости перезапуска процесса. В этой статье рассматриваются сведения о горячем подключении для поддерживаемых виртуальных машин, которые имеют следующие преимущества:

  • Меньше двоичных файлов означает, что обновление устанавливается быстрее и потребляет меньше дисков и ресурсов ЦП.
  • Снижение влияния рабочей нагрузки с меньшим количеством перезагрузок.
  • Более эффективная защита, так как пакеты обновлений hotpatch область в обновления системы безопасности Windows, которые устанавливаются быстрее без перезагрузки.
  • Сокращает время, предоставляемое рисками безопасности и окнами изменений, и упрощает оркестрацию исправлений с помощью Диспетчера обновлений Azure.

Поддерживаемые платформы

Hotpatch поддерживается только на виртуальных машинах и Azure Stack HCI, созданных на основе образов с точным сочетанием издателя, предложения и SKU из списка образов ОС ниже. Базовые образы контейнеров Windows Server или пользовательские образы или любые другие издатели, предложения, сочетания SKU не поддерживаются.

Publisher Предложение ОС Sku
MicrosoftWindowsServer WindowsServer 2022-Datacenter-Azure-Edition-Core
MicrosoftWindowsServer WindowsServer 2022-Datacenter-Azure-Edition-Core-smalldisk
MicrosoftWindowsServer WindowsServer 2022-Datacenter-Azure-Edition-Hotpatch
MicrosoftWindowsServer WindowsServer 2022-Datacenter-Azure-Edition-Hotpatch-smalldisk

Чтобы приступить к работе с Hotpatch, используйте предпочтительный метод для создания виртуальной машины Azure или Azure Stack HCI и выберите один из следующих образов, которые вы хотите использовать. Исправление по умолчанию выбрано при создании виртуальной машины Azure в портал Azure.

  • Windows Server 2022 Datacenter: Azure Edition Hotpatch (классический интерфейс)
  • Windows Server 2022 Datacenter: Azure Edition Core1

1 Hotpatch включен по умолчанию на образах основных серверных ядер.

Дополнительные сведения о доступных образах см. в продукте Windows Server 2022 Datacenter Azure Marketplace.

Как работает hotpatch

Hotpatch работает, сначала создав базовые показатели с текущим накопительным обновлением для Windows Server. Периодически (начиная с трех месяцев), базовые показатели обновляются с помощью последнего накопительного обновления, после чего исправления выпускаются в течение двух месяцев. Например, если январь является накопительным обновлением, февраль и март будет горячим выпуском. Сведения о расписании выпуска hotpatch см. в заметках о выпуске Hotpatch в Службе автоматического управления Azure для Windows Server 2022.

Hotpatches содержит обновления, которые не требуют перезагрузки. Так как Hotpatch исправляет код в памяти запущенных процессов без необходимости перезапуска процесса, приложения не влияют на процесс исправления. Это действие отличается от потенциальных последствий производительности и функциональности самого исправления.

На следующем рисунке представлен пример ежегодного трехмесячного расписания (включая пример незапланированных базовых показателей из-за исправлений нулевого дня).

A diagram showing a Hotpatch sample schedule.

Существует два типа базовых показателей: запланированные базовые показатели и незапланированные базовые показатели.

  • Запланированные выпускаются регулярно с горячими исправлениями. Запланированные выпуски включают все обновления в сравнимом последнем накопительном обновлении для месяца и требуют перезагрузки.

    • Пример расписания иллюстрирует четыре запланированных базовых выпуска в календарном году (пять в общей сложности на схеме) и восемь выпусков hotpatch.

  • Незапланированные базовые показатели выпускаются при выпуске важного обновления (например, исправления нулевого дня), и это конкретное обновление не может быть выпущено как горячее исправление. При выпуске незапланированных базовых показателей в этом месяце будет заменено горячее исправление на незапланированный базовый план. Незапланированные выпуски включают также все обновления в сравнимом последнем накопительном обновлении для месяца и также требуют перезагрузки.

    • Пример расписания иллюстрирует два незапланированных базовых плана, которые заменят выпуски hotpatch в течение этих месяцев (фактическое количество незапланированных базовых показателей в год не известно заранее).

Поддерживаемые обновления

Hotpatch охватывает Безопасность Windows обновления и поддерживает четность с содержимым обновлений системы безопасности, выданных в обычном канале обновления Windows (nonhotpatch).

Существуют некоторые важные рекомендации по запуску поддерживаемой виртуальной машины Windows Server Azure Edition с поддержкой hotpatch. Перезагрузки по-прежнему необходимы для установки обновлений, которые не включены в программу горячего исправления. Перезагрузка также требуется периодически после установки нового базового выпуска. Перезагрузки сохраняют синхронизацию виртуальной машины с исправлениями, небезопасными, включенными в последнее накопительное обновление.

  • Исправления, которые в настоящее время не включены в программу hotpatch, включают обновления безопасности, выпущенные для Windows, обновления .NET и обновления, отличные от Windows (например, драйверы, обновление встроенного ПО и т. д.). Эти типы исправлений могут потребовать перезагрузки в течение месяцев Hotpatch.

Процесс оркестрации исправлений

Hotpatch — это расширение Обновл. Windows и типичных процессов оркестрации. Средства оркестрации исправлений зависят от платформы. Для оркестрации Hotpatch:

  • Azure: виртуальные машины, созданные в Azure, включены для автоматического исправления гостевой виртуальной машины по умолчанию с поддерживаемым центром обработки данных Windows Server: образом Выпуска Azure. Автоматическое исправление гостевой виртуальной машины в Azure:

    • Исправления, классифицированные как критические или безопасность, автоматически скачиваются и применяются к виртуальной машине.

    • Исправления применяются в часы наименьшей нагрузки согласно часовому поясу виртуальной машины.

    • Azure управляет оркестрацией исправлений и исправлениями применяются в соответствии с принципами доступности.

    • Работоспособность виртуальной машины, которая определяется с помощью сигналов работоспособности платформы, отслеживается для обнаружения сбоев исправления.

    Примечание.

    Невозможно создать масштабируемые наборы виртуальных машин (VMSS) с использованием единого оркестрации в образах Выпуска Azure с помощью Hotpatch. Дополнительные сведения о функциях, поддерживаемых единой оркестрацией для масштабируемых наборов, см. в статье сравнение гибких, универсальных и доступности наборов доступности.

  • Azure Stack HCI: обновления hotpatch для виртуальных машин, созданных в Azure Stack HCI, оркестрируются с помощью:

    • Групповая политика для настройки параметров клиента Обновл. Windows.

    • Настройка параметров клиента Обновл. Windows или SCONFIG для основных серверных компонентов.

    • Стороннее решение для управления исправлениями.

Общие сведения о состоянии исправления для виртуальной машины в Azure

Чтобы просмотреть состояние исправления для виртуальной машины, перейдите к обзору виртуальной машины в портал Azure в разделе "Операции" выберите Обновления. В разделе "Рекомендуемые обновления" можно просмотреть последние исправления и состояние hotpatch для виртуальной машины.

На этом экране отображается состояние горячей патчи для виртуальной машины. Также можно узнать, есть ли доступные исправления для виртуальной машины, которые не были установлены. Как описано в предыдущем разделе "Установка исправлений", все критические обновления безопасности и критически важные обновления устанавливаются на виртуальной машине с помощью автоматического исправления гостевой виртуальной машины, и никаких дополнительных действий не требуется. Исправления с обновлениями другого типа не устанавливаются автоматически. Вместо этого они доступны в списке доступных исправлений на вкладке "Обновление соответствия ". Вы также можете просмотреть журнал развертываний обновлений на виртуальной машине с помощью журнала обновлений. Отображаются записи за последние 30 дней, а также сведения об установке исправлений.

A screenshot showing Hotpatch management from the Azure portal.

При автоматическом обновлении гостевых виртуальных машин виртуальная машина периодически обновляется и автоматически оценивается на наличие доступных обновлений. Эти периодические оценки гарантируют, что будут обнаружены доступные исправления. Результаты оценки можно просмотреть на экране Обновления на предыдущем изображении, включая время последней оценки. Вы также можете включить выполнение оценки исправлений по запросу с помощью параметра Assess now (Оценить сейчас) и просмотреть результаты после завершения оценки.

Как и при оценке по запросу, вы можете также устанавливать исправления по запросу с помощью параметра Install updates now (Установить обновления сейчас). Здесь можно выбрать установку всех обновлений в соответствии с конкретным типом исправлений. Можно также указать обновления для включения или исключения, предоставив список отдельных статей базы знаний. Исправления, установленные по запросу, не устанавливаются по мере доступности и могут потребовать дополнительных перезагрузок и простоя виртуальной машины.

Вы также можете просмотреть установленные исправления с помощью команды Get-HotFix PowerShell или с помощью приложения Параметры при использовании рабочего стола.

Поддержка отката в Hotpatching

Установка обновлений Hotpatch или Базовых показателей не поддерживает автоматический откат. Если виртуальная машина возникает с проблемой во время обновления или после него, необходимо удалить последнее обновление и установить последнее известное хорошее базовое обновление. После отката необходимо перезагрузить виртуальную машину.

Следующие шаги