Microsoft Azure: implementare Update Management

Microsoft Azure

Tenere aggiornati i propri server è una delle procedure più importanti che tutti gli IT admin dovrebbero adottare. Nelle PMI lo strumento principe è sicuramente WSUS mentre in quelle più grandi è System Center Configuration Manager; questo, però, è lo stato in cui abbiamo i nostri server on-premises ma cosa succede quando la nostra infrastruttura si sposta sul cloud?

Non è impossibile pensare di avere un server WSUS, così come non è impossibile pensare ad un Secondary Site di SCCM su Azure ma questo significa avere un effort maggiore ed una complessità che potrebbe anche risultare inutile.

Proprio per questo, Microsoft ha deciso di introdurre un nuovo servizio chiamato Update Management che ha lo scopo di genere aggiornate le macchine in modo automatizzato. Avevo già trattato l’argomento (Operations Management Suite: Update Management) ma all’epoca il prodotto si trovava all’interno di OMS, prima della fusione con il portale di Azure, e non disponeva delle stesse funzionalità.

In questo articolo vedremo come utilizzare Update Management per aggiornare le macchine virtuali su Azure.

Patch Single VM

Il servizio di Update Management deve essere attivato e nella fase iniziale può essere fatto sia per singola VM oppure per tutte le VM presenti nella Subscription – figura 1.

Figura 1 – Attivazione Update Management

Come si può notare, per utilizzare questo servizio, è necessario avere Log Analytics Workspace ed anche un Automation Account (tutte cose attivabili in modalità free).

Dopo qualche minuto, sarà possibile vedere lo stato della macchina virtuale, figura 2, con l’elenco degli aggiornamenti mancanti e la data di rilascio.

Figura 2 – Aggiornamenti Mancanti

Per creare un plan di aggiornamento automatico, è necessario cliccare sul pulsante Schedule Update Deployment, per accedere al blade dedicato alla sezione di patching – figura 3.

Figura 3 – Creazione Plan

Assegnate un nome al processo di update, usando una naming convention che possa aiutarvi a capire, a distanza di tempo, di cosa si tratta. Successivamente scegliere quali aggiornamenti applicare: la figura 4 mostra l’elenco delle attuali classi presenti; per esempio si può scegliere di applicare solo le Definition Updates, che riguardano Defender, in modo da avere la macchina sempre aggiornata sotto il punto di vista del motore antivirus/antimalware.

Figura 4 – Scelta Classi

Grazie alla funzione di Exclude, è possibile decidere di non installare una particolare patch (magari per non compatibile con il vostro software installato o perché non ritenuta stabile).

Il passo successivo sarà impostare la schedulazione, figura 5, su quando installare gli aggiornamenti, che possono essere one-shot, oppure ricorrenti e grazie alla granularità nell’impostazione del timing, abbiamo la possibilità di applicare un aggiornamento anche ogni ora (proprio nel caso delle firme Defender).

Figura 5 – Schedulazione

Ultimo step per due parametri importanti, figura 6, ovvero il periodo della Maintenance Window e le opzioni di riavvio. È importante definire correttamente il periodo di applicazioni update, perché se troppo basso c’è il rischio che la macchina si aggiorni ma non si riavii. Il consigliato è sempre 60 minuti.

Figura 6 – Opzioni Riavvio

Stato Schedulazione

L’elenco dei cicli di aggiornamento saranno riportati nella sezione Update Deployments, figura 7, con una panoramica dettagliata di quanto successo nel corso del tempo.

Figura 7 – Report Schedulazione

Facendo drill-down sulla singola riga, sarà possibile visionare il dettaglio di quanto fatto da parte di Update Management – figura 8.

Figura 8 – Dettaglio Operazione

Come si può notare, in questo caso la Maintenance Windows è stata superata e quindi gli aggiornamenti sono stati applicati ma il riavvio della VM è stato bloccato per evitare fermi di produttività. Per risolvere la cosa è necessario andare a modificare il parametro minuti, come già visto in precedenza.

Patch Multi VM

La procedura di aggiornamento multiplo non è molto diversa da quella per singola VM, con la differenza che abbiamo l’elenco di tutte le macchine all’interno del pool, con il relativo stato di aggiornamento – figura 9.

Figura 9 – Gestione Multi VM

L’altra differenza sta nella creazione del piano di aggiornamento, che consente di selezionare per quali macchine applicare gli aggiornamenti, figura 10, avendo la possibilità di selezionare anche oggetti provenienti da Active Directory, grazie all’integrazione con Log Analytics.

Figura 10 – Selezione Macchine

La reportistica non cambia sotto il punto di vista generico, ma facendo drill-down abbiamo un dettaglio maggiore dato dallo stato delle singole macchine che hanno, o meno, installato l’update – figura 11.

Figura 11 – Dettaglio Aggiornamento

Aggiungere VM Azure

Nel caso vogliate aggiungere altre VM Azure all’interno del plan globale, non dovete fare altro che cliccare sul pulsante Add Azure VMs e verrete reindirizzati nella sezione dedicata, figura 12, che vi permetterà di inserire nuovi oggetti.

Figura 12 – Aggiunta Nuove VM Azure

Conclusione

Come si è potuto vedere, Update Management è sicuramente uno strumento di grande utilità, perché consente di sgravare le attività di patching che normalmente dovrebbero essere svolte manualmente. È vero che non tutto può essere fatto automaticamente, ma ci sono alcune classi che possono essere installate senza problemi e questa cosa può mettere in sicurezza i vostri server.