編輯

規劃在 Azure 中更新 Windows VM 的部署

Azure
Azure 防火牆
Azure 虛擬機器
Azure 虛擬網路

如果您已從因特網鎖定 Azure 虛擬網路,您仍然可以取得 Windows 更新,而不會危及安全性並開啟整個因特網的存取權。 本文包含如何設定周邊網路,也稱為 DMZ 的建議,以裝載 Windows Server Update Service (WSUS) 實例,以安全地更新沒有因特網聯機的虛擬網路。

如果您使用 Azure 防火牆,則可以在應用程式規則中使用 Windows Update FQDN 標籤,以允許透過防火牆所需的輸出網路流量。 如需詳細資訊,請參閱 FQDN 標籤觀觀

若要實作本文中的建議,您應該熟悉 Azure 服務。 下列各節說明建議的部署設計,其會在單一區域或多區域組態中使用中樞和輪輻組態。

Azure 虛擬網絡 中樞和輪輻網路拓撲

建議您建立周邊網路來設定中樞和輪輻模型網路拓撲。 在因特網與虛擬網路之間中樞的 Azure 虛擬機上裝載 WSUS 伺服器。 中樞應該有開啟的埠。 WSUS 會針對 HTTP 通訊協定使用埠 80,而 HTTPS 通訊協定的埠 443 則使用埠 443 從 Microsoft 取得更新。 輪輻是所有其他虛擬網路,其會與中樞通訊,而不是與因特網通訊。 您可以建立子網、網路安全組 (NSG) 和 Azure 虛擬網路對等互連,以允許 WSUS 流量,同時封鎖其他因特網流量,以達成此目的。 下圖說明中樞和輪輻拓撲的範例:

Hub-and-spoke topology architecture diagram.

下載此架構的 Visio 檔案

在此影像中:

  • WSUSSubnet 是中樞和輪輻的中樞。
  • NSG_DS是網路安全組規則,可允許WSUS流量,同時封鎖其他因特網流量。
  • WSUS VM 是設定為執行 WSUS 的 Azure 虛擬機。
  • MainSubnet 是包含虛擬機的虛擬網路、輪輻。
  • NSG_MS是網路安全組原則,允許來自 WSUS VM 但拒絕因特網流量的流量。

您可以重複使用現有的伺服器,或部署將成為 WSUS 伺服器的新伺服器。 針對 WSUS VM,我們建議至少執行下列動作:

  • 操作系統: Windows Server 2016 或更新版本。
  • 處理器: 雙核心、2 GHz 或更快。
  • 記憶體: 除了伺服器和其他所有執行中服務和軟體所需的 RAM 之外,還有 2 GB 的 RAM。
  • 儲存體:40 GB 以上。
  • 存取:使用 Just-In-Time (JIT) 更安全地存取此虛擬機。 請參閱 使用 Just-In-Time 管理虛擬機存取。

您的網路將有多個 Azure 虛擬網路,其可以位於相同區域或不同區域中。 您必須評估所有 Windows Server VM,才能查看是否可以將 VM 當成 WSUS 伺服器使用。 如果您有數千部要更新的 VM,建議您將 Windows Server VM 獻給 WSUS 角色。

如果您的所有虛擬網路都位於相同的區域,我們建議每 18,000 部 VM 都有一個 WSUS。 這項建議是以 VM 需求、要更新的用戶端 VM 數目,以及虛擬網路之間通訊的成本為基礎。 如需 WSUS 容量需求的詳細資訊,請參閱 規劃 WSUS 部署

您可以使用 Azure 定價計算機來判斷這些設定的成本。 您必須提供下列資訊:

  • 虛擬機器:
    • 區域:部署 Azure 虛擬網路的區域。
    • 操作系統: Windows
    • 階層: 標準
    • 實例: D4 組態
    • 受控磁碟: 標準 HDD64 GB
  • 虛擬網路:
    • 輸入
      • 如果傳輸位於相同區域中,則為相同的區域
      • 如果您要將數據從某個區域移至另一個區域,則跨區域
    • 數據傳輸: 2 GB
    • 地區
      • 如果傳輸位於一個區域內,請選擇 WSUS 伺服器和虛擬網路位於的區域。
      • 如果傳輸跨越區域,來源虛擬網路區域就是WSUS 伺服器所在的位置。 目的地虛擬網路區域是數據所在的位置。
    • 如果您有多個區域,您必須選取 虛擬網絡 多次。

請注意,價格會因區域而異。

手動部署

在您識別要作為中樞的 Azure 虛擬網路,或判斷您需要建立新的 Windows Server 實例之後,您必須建立 NSG 規則。 此規則將允許因特網流量,讓 Windows Update 元數據和內容與您將建立的 WSUS 伺服器同步。 以下是您需要新增的規則:

  • 輸入/輸出 NSG 規則,允許埠 80 上的因特網流量(適用於內容)。
  • 輸入/輸出 NSG 規則,以允許埠 443 上因特網的流量(適用於元數據)。
  • 輸入/輸出 NSG 規則,以允許埠 8530 上來自用戶端 VM 的流量(除非設定預設值)。

設定 WSUS

有兩種方法可用來設定 WSUS 伺服器:

  • 如果您想要自動設定伺服器,該伺服器已設定為處理一般工作負載,且需要最少的管理,您可以使用 PowerShell 自動化腳本。
  • 如果您需要處理數千個執行許多不同的操作系統和語言的用戶端,或者如果您想要以 PowerShell 腳本無法處理的方式設定 WSUS,您可以手動設定 WSUS。 本文稍後會說明這兩種方法。

您也可以使用自動化腳本來合併這兩種方法,以執行大部分的工作,然後使用WSUS管理控制台來微調伺服器設定。

使用自動化腳本設定 WSUS

Configure-WSUSServer 腳本可讓您快速設定 WSUS 伺服器,以自動同步處理和核准所選一組產品和語言的更新。

注意

腳本一律會設定 WSUS,以使用 Windows 內部資料庫 來儲存其更新數據。 這可加速設定並減少系統管理的複雜性。 但是,如果您的伺服器將支援數千部用戶端計算機,特別是如果您需要支援各種不同的產品和語言,您應該改為手動設定 WSUS,以便使用 SQL Server 作為資料庫。

GitHub 上提供此腳本的最新版本。

您可以使用 JSON 檔案來設定文稿。 您目前可以設定這些選項:

  • 更新承載是否應該儲存在本機(如果是的話,應該儲存在何處),還是保留於 Microsoft 伺服器上。
  • 伺服器上應該提供哪些產品、更新分類和語言。
  • 除非系統管理員核准更新,否則伺服器是否應該自動核准安裝更新,或讓更新保持未經核准。
  • 伺服器是否應該自動從 Microsoft 擷取新的更新,如果是的話,該更新的頻率。
  • 是否應該使用 Express 更新套件。 (快速更新套件會以犧牲用戶端 CPU/磁碟使用量和伺服器對伺服器頻寬為代價來減少伺服器對用戶端頻寬。
  • 腳本是否應該覆寫其先前的設定。 (通常,為了避免意外重新設定可能會中斷伺服器作業,腳本只會在指定的伺服器上執行一次。

將文稿及其組態檔複製到本機記憶體,並編輯組態檔以符合您的需求。

警告

編輯組態檔時請小心。 JSON 組態檔所使用的語法嚴格。 如果您不小心變更檔案的結構,而不只是參數值,組態檔將不會載入。

您可以使用下列兩種方式之一來執行此文稿:

  • 您可以從 WSUS VM 手動執行文稿。

    下列命令會從提升許可權的命令提示字元窗口執行,將會安裝及設定WSUS。 它會使用目前目錄中的文稿和組態檔。

    powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json

  • 您可以使用適用於 Windows自訂腳本擴充功能。

    將文稿和 JSON 設定檔複製到您自己的記憶體容器。

    在一般 VM 和 Azure 虛擬網絡 組態中,自定義腳本擴充功能只需要下列兩個參數才能正確執行腳本。 (您需要以儲存位置的 URL 取代此處顯示的值。

    "fileUris": ["https://mystorage.blob.core.windows.net/mycontainer/Configure-WSUSServer.ps1","https://mystorage.blob.core.windows.net/container/WSUS-Config.json"],
"commandToExecute": "powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json"

文本會啟動讓用戶端電腦可以使用更新所需的初始同步處理。 但它不會等待該同步處理完成。 根據您選取的產品、分類和語言而定,初始同步處理可能需要數小時的時間。 之後的所有同步處理應該會更快。

手動設定 WSUS

  1. 從您的 WSUS VM,開啟 [伺服器管理員],然後選取 [新增角色和功能]。

  2. 選取 [下一步 ],直到您進入 [ 選取伺服器角色] 頁面為止。 選取 [Windows Server Update Services]。 當系統提示您新增 Windows Server Update Services 所需的功能時,請選取 [新增功能] ?

  3. 選取 [下一步 ],直到您進入 [ 選取角色服務 ] 頁面為止。

    • 根據預設,您可以使用 WID 連線 ivity
    • 如果您需要支援使用許多不同 Windows 版本的用戶端,請使用 SQL Server 連線 ivity(例如 Windows 11 和 Windows 10)。

  4. 選取 [下一步 ],直到您進入 [ 內容位置] 選取 頁面為止。 輸入您要儲存更新的位置。

  5. 選取 [下一步 ],直到您進入 [ 確認安裝選取專案 ] 頁面為止。 選取安裝

  6. 開啟已安裝的 Windows Server Update Services,然後選取 [ 執行]。

  7. 選取 [下一步],直到您進入 [連線 至上游伺服器] 頁面為止。 選取 [開始 連線]。

  8. 選取 [下一步 ],直到您進入 [ 選擇語言] 頁面為止。 選擇您需要的語言。

  9. 選取 [下一步 ],直到您進入 [ 選擇產品] 頁面為止。 選擇您需要的產品。

  10. 選取 [下一步 ],直到您進入 [ 選擇分類 ] 頁面為止。 選擇您需要的更新。

  11. 選取 [下一步 ],直到您進入 [ 設定同步排程] 頁面為止。 選擇您的同步喜好設定。

  12. 選取 [下一步 ],直到您進入 [完成] 頁面為止。 選取 [ 開始初始同步處理 ],然後選取 [ 下一步]。

  13. 選取 [下一步 ],直到您進入 [下一步] 頁面,然後選取 [ 完成]。

  14. 如果您在瀏覽窗格中選取 WSUS 名稱(例如 WsusVM),您應該會看到 [同步處理狀態閑置],而 [上次同步處理結果] 為 [成功]。

  15. 在瀏覽窗格中,選取 [選項>計算機>使用組策略] 或計算機上的登錄設定。 選取 [確定]。

在同步處理期間,WSUS 會判斷上次同步處理後是否有任何新的更新。 如果您是第一次同步處理 WSUS,則會立即下載元數據。 只有在本機記憶體開啟且至少一個計算機群組核准更新時,承載才會下載。

注意

初始同步處理可能需要一個多小時的時間。 之後的所有同步處理應該會大幅加快。

設定虛擬網路以與 WSUS 通訊

接下來,設定 Azure 虛擬網路對等互連或全域虛擬網路對等互連,以與中樞通訊。 建議您在部署的每個區域中設定WSUS伺服器,以將延遲降到最低。

在輪輻的每個 Azure 虛擬網路上,您必須建立具有下列規則的 NSG 原則:

  • 輸入/輸出 NSG 規則,允許埠 8530 上的 WSUS VM 流量(除非設定預設值)。
  • 輸入/輸出 NSG 規則,以拒絕來自因特網的流量。

接下來,從輪輻到中樞建立 Azure 虛擬網路對等互連。

用戶端 VM

  • 如需額外的安全性,您可以移除 VM 相關聯的公用 IP 位址。 如需詳細資訊,請參閱 檢視、變更公用IP位址的設定或刪除。
  • 如需現在使用 JIT 更安全地存取虛擬機的相關信息,請參閱 使用 Just-In-Time 管理虛擬機存取。

設定用戶端虛擬機

WSUS 可用來更新執行 Windows 的任何虛擬機(除了家用 SKU 除外)。 在每個用戶端虛擬機上完成下列步驟,以啟用 WSUS 與用戶端之間的通訊:

從您的用戶端 VM

  1. 開啟 [本地組原則編輯器] (或 [組策略管理編輯器]。
  2. 移至 [計算機設定> 管理員 Windows>元件>Windows Update 範本]。
  3. 啟用 [指定內部網络 Microsoft 更新服務位置]。
  4. 輸入 URL http://\<WSUS name>:8530。 (您可以在 [更新服務] 頁面上找到您的 WSUS 名稱(例如 WsusVM)。 可能需要一些時間(最多幾個小時)才能反映此設定。
  5. 移至 設定> Update & Security>Windows Update。
  6. 選取 [檢查更新]

從 WSUS VM

  1. 開啟 Windows Server Update Services。 您應該能夠看到用戶端 VM 列在 [電腦所有電腦>] 底下。
  2. 選取 [更新>][所有 更新]。
  3. 將 [核准] 設定[拒絕] 以外的任何核准。
  4. 將 [狀態] 設定[必要]。 現在您可以看到用戶端 VM 所需的所有更新。
  5. 以滑鼠右鍵按兩下任何更新,然後選取 [ 核准]。

驗證

  1. 在用戶端 VM 上,移至 設定> Update & Security>Windows Update。
  2. 選取 [檢查更新]。 您應該會看到與您從 WSUS VM 核准的相同 KB 發行項編號 (例如,4480056) 的更新。

如果您是管理大型網路的系統管理員,請參閱 設定自動更新和更新服務位置 ,以取得如何使用組策略設定自動設定客戶端的相關信息。

多個雲端的 WSUS 部署

您無法跨公用和私人雲端設定虛擬網路對等互連。 跨公用和私人雲端部署的網路必須在每個雲端中至少有一個 WSUS 伺服器。

支援附注

目前,WSUS 不支援與 Windows 家用版 SKU 同步處理。

Azure 更新管理

您可以使用 Azure 中的更新管理解決方案,針對與 WSUS 同步的 VM 管理及排程作業系統更新。 VM 的修補程序狀態(也就是遺漏哪些修補程式)會根據 VM 設定為同步的來源進行評估。 如果 Windows VM 已設定為向 WSUS 報告,則結果可能會與 Microsoft Update 顯示的內容不同,視 WSUS 上次與 Microsoft Update 同步的時間而定。 設定 WSUS 環境之後,您可以啟用更新管理。 如需詳細資訊,請參閱 更新管理概觀和上線步驟

參與者

本文由 Microsoft 維護。 原始投稿人如下。

主體作者:

下一步

  • 如需規劃部署的詳細資訊,請參閱 規劃 WSUS 部署
  • 如需管理 WSUS、設定 WSUS 同步處理排程等等的詳細資訊,請參閱 WSUS 管理