• Cloud, Guide, Sicurezza, Sistemi Operativi
• 20 Settembre 2023

Azure Update Manager è un servizio unificato che consente di gestire gli aggiornamenti per tutti i computer, sia Windows che Linux. È possibile monitorare la conformità degli aggiornamenti di Windows e Linux nelle distribuzioni in Azure, in locale e nelle altre piattaforme cloud da una singola dashboard.

È possibile usare Azure Update Manager per:

• Supervisionare la conformità degli aggiornamenti per l’intera flotta di computer in Azure, in locale e in altri ambienti cloud.
• Distribuire immediatamente gli aggiornamenti critici per proteggere i computer.
• Sfruttare opzioni di applicazione di patch flessibili, ad esempio automatic VM guest patching in Azure, l’applicazione di hotpatch e le pianificazioni di manutenzione definite dal cliente.

Per quanti di voi volessero approfondire i concetti di automanage e hotpatching vi rimando alla lettura degli articoli:

• Azure Automanage: gestione automatica delle macchine virtuali in Azure – ICT Power
• Disponibili Windows Server 2022: Azure Edition (general availability), hotpatch (preview), automanage (preview) e configuration management (preview) in Microsoft Azure – ICT Power
• Hotpatch per Windows Server 2022 Azure Edition con Desktop Experience – ICT Power

Azure Update Manager si basa su una nuova estensione di Azure progettata per fornire tutte le funzionalità necessarie per interagire con il sistema operativo per gestire la valutazione e l’applicazione degli aggiornamenti. Questa estensione viene installata automaticamente e non è necessario alcun intervento manuale affinchè funzioni l’agente per le Azure VM o l’agente server abilitato per Azure Arc.

Questa estensione effettua due operazioni:

• Recupera le informazioni di valutazione sullo stato degli aggiornamenti di sistema specificati dal client Windows Update o dallo strumento di gestione pacchetti Linux.
• Avvia il download e l’installazione degli aggiornamenti approvati con Windows Update o con Linux package manager.

Il diagramma seguente illustra come Azure Update Manager valuta e applica gli aggiornamenti di tutti i computer di Azure e dei server abilitati per Azure Arc per Windows e Linux.

Figura 1: Azure Update Manager valuta e applica gli aggiornamenti per Windows e Linux

Nella figura sotto è mostrata l’interfaccia di Azure Update Manager con l’elenco delle macchine gestite da Azure Update Manager e con le loro configurazioni.

Figura 2: Overview di Azure Update Manager

Cliccando sul nodo Machines è possibile ottenere un dettaglio delle macchine e del relativo stato di aggiornamento.

Figura 3: Macchine Azure e on-premises (connesse con Azure Arc) gestite da Azure Update Manager

Cliccando sul link della colonna Update Status per una singola macchina è possibile verificare gli aggiornamenti mancanti e procedere alla loro installazione.

Figura 4: Dettaglio degli aggiornamenti mancanti in una VM gestita da Azure Update Manager

Selezionando la macchina sarà possibile procedere ad un controllo manuale degli aggiornamenti facendo clic su Check for updates oppure abilitare un controllo periodico utilizzando il collegamento Enable now del Periodic assessment.

Figura 5: Controllo manuale degli aggiornamenti per una macchina Linux

Figura 6: Configurazione del Periodic assessment per una VM

Ovviamente il controllo degli aggiornamenti può essere lanciato per tutte le macchine gestite da Azure Update Manager in qualsiasi momento.

Figura 7: Controllo manuale degli aggiornamenti per tutte le macchine gestire da Azure Update Manager

Figura 8: Controllo degli aggiornamenti in corso

Terminati i controlli nella console saranno visibili le informazioni relative agli aggiornamenti.

Figura 9: Assessment delle macchine gestite da Azure Update Manager

Le macchine con l’update status Unsupported sono macchine che hanno un sistema operativo non supportato. La lista dei sistemi operativi supportati da Azure Automatic VM guest patching è disponibile alla pagina Automatic VM Guest Patching for Azure VMs – Azure Virtual Machines | Microsoft Learn

Figura 10: NOn tutti i sistemi operativi sono uspportati da Azure Automatic VM guest patching

Applicazione degli aggiornamenti

Gli aggiornamenti possono essere applicati manualmente o automaticamente tramite una programmazione. È anche possibile configurare la modalità di aggiornamento per ogni singola macchina.

Selezionate le macchine da configurare e fate clic su Settings > Update Settings. Cliccate quindi sul pulsante Update Settings.

Figura 11:Configurazione della modalità di aggiornamento per un set di macchine

Nella finestra che si aprirà vedrete solo le macchine da configurare (vengono escluse quelle già configurate o che non si possono configurare). Abilitate il Periodic Assessment e scegliete la Patch orchestration tra quelle disponibili. Fate clic su Save per confermare la vostra scelta.

Figura 12: Gestione della patch orchestration per le VM da configurare

Figura 13: Configurazione della modalità di aggiornamento

Potete lanciare in qualsiasi momento l’installazione degli aggiornamenti utilizzando il tasto One-Time update e facendo cli su Install now.

Figura 14: Installazione manuale degli aggiornamenti

Aggiungete manualmente la macchine da aggiornare facendo clic sul pulsante Add machine.

Figura 15: Aggiunta della macchine da aggiornare

Scegliete gli aggiornamenti da distribuire, eventualmente includendo o escludendo delle Knowledge base (KB), indicando direttamente il loro ID.

Figura 16: Scelta degli aggiornamenti da installare

Scegliete se volete effettuare il reboot delle macchine e la durata massima (espressa in minuti) che Azure potrà utilizzare per effettuare gli aggiornamenti.

Figura 17: Configurazione della reboot option e della maintenance window

Fate clic su install per completare il wizard.

Figura 18: Completamento del wizard di configurazione dei one-time updates

A questo punto non vi resta che aspettare che gli aggiornamenti vengano installati. Potete visualizzare dal nodo History quello che sta succedendo nel vostro ambiente.

Figura 19: Aggiornamento delle VM selezionate in corso

A seconda del numero degli aggiornamenti e della velocità delle macchine, l’operazione potrebbe durare diversi minuti. Al termine dell’operazione potrete controllare l’effettiva esecuzione degli aggiornamenti.

Figura 20: Aggiornamento manuale completato con successo

Creazione di una maintenance configuration per la programmazione degli aggiornamenti

Con Azure Update Manager è possibile creare una configurazione per poter programmare gli aggiornamenti. Dalla pagina di Overview potete cliccare sul pulsante Schedule update per far partire il wizard di configurazione.

Figura 21: Avvio del wizard per la programmazione degli aggiornamenti

Inserite le informazioni richieste e decidete la modalità di manutenzione e la programmazione.

Figura 22: Scelta della programmazione degli aggiornamenti

Nella scheda Dynamic Scope del wizard procedete alla selezione delle macchine da aggiornare, utilizzando i filtri a disposizione. Io ho scelto di aggiornare tutte le macchine di un particolare Resource Group.

Figura 23: Utilizzo dei filtri per la scelta delle macchine da aggiornare

Non tutte le macchine potrebbero supportare gli aggiornamenti orchestrati da Azure Update Manager e il wizard vi permette di selezionare solo quelle che potranno essere aggiornate. Come si può vedere dalal figura sotto, un avviso mi fa notare che non tutte le macchine supportano gli aggiornamenti programmati.

Figura 24: Scelta delle macchine da aggiornare

Figura 25: Scheda Dynamic Scope del wizard

Scegliete quindi il tipo di aggiornamenti che intendete programmare, distinguendoli per classificazione (critical updates e security updates) o anche inserendo delle KB specifiche.

Figura 26: Scelta degli aggiornamenti da programmare

Completate il wizard facendo clic su Create.

Figura 27: Completamento del wizard di programmazione degli aggiornamenti

Al termine della configurazione verrà creata la risorsa Maintenance Configuration nel Resource Group che avete indicato. Sarà possibile quindi applicare eventuali modifiche alle configurazioni che avete scelto anche in un secondo momento.

Figura 28: Maintenance configuration creata

Conclusioni

Grazie ad Azure Update Manager abbiamo la possibilità di utilizzare una soluzione SaaS per gestire e governare gli aggiornamenti software per macchine Windows e Linux in ambienti Azure, locali e multi-cloud. Si tratta di un’evoluzione della soluzione of Azure Automation Update con nuove caratteristiche e funzionalità, per la valutazione e la distribuzione degli aggiornamenti software su una singola macchina o su più macchine su larga scala, indipendentemente che si trovino nel cloud o on-premises.