Nicola FerriniHotpatch per Windows Server 2022 Azure Edition con Desktop Experience
L’hotpatching è un nuovo modo per installare gli aggiornamenti nelle macchine virtuali di Azure Edition di Windows Server che non richiede un riavvio dopo l’installazione. Ne avevamo già parlato nell’articolo Disponibili Windows Server 2022: Azure Edition (general availability), hotpatch (preview), automanage (preview) e configuration management (preview) in Microsoft Azure – ICT Power
I vantaggi di Hotpatch sono:
- Riduzione dell’impatto del carico di lavoro con un minor numero di riavvii
- Distribuzione più rapida degli aggiornamenti poiché i pacchetti sono più piccoli, l’installazione più veloce e l’orchestrazione delle patch con Gestione aggiornamenti di Azure è più semplice
- Protezione migliore, poiché l’ambito dei pacchetti di aggiornamento di Hotpatch è Windows aggiornamenti della sicurezza che vengono installati più velocemente senza riavviare
Mentre finora Hotpatch era disponibile solo per la versione Windows Server 2022: Azure Edition core, da pochi giorni la funzionalità è disponibile anche per Windows Server 2022: Azure Edition con la Desktop Experience.
Funzionamento di Hotpatch
Hotpatch funziona innanzitutto creando una baseline con l’aggiornamento cumulativo corrente per Windows Server. Periodicamente (inizialmente ogni tre mesi), la baseline viene aggiornata con l’aggiornamento cumulativo più recente, quindi le hotpatches vengono rilasciate due mesi dopo. Ad esempio, se gennaio è un aggiornamento cumulativo, febbraio e marzo sarà una versione hotpatch.
Poiché Hotpatch applica patch al codice dei processi in esecuzione in memoria senza la necessità di riavviare il processo, le applicazioni non sono interessate dal processo di applicazione di patch. Questa azione è separata dalle potenziali implicazioni di prestazioni e funzionalità della patch stessa.
l’applicazione automatica delle patch alle macchine virtuali viene abilitata automaticamente per tutte le macchine virtuali create con un’immagine Windows Server Azure Edition supportata.
- Le patch classificate come Critiche o di Sicurezza vengono scaricate e applicate automaticamente nella macchina virtuale.
- Le patch vengono applicate durante le ore di minore attività nel fuso orario della macchina virtuale.
- L’orchestrazione delle patch viene gestita da Azure e le patch vengono applicate in base ai principi di prima disponibilità
- L’integrità della macchina virtuale, come determinato tramite i segnali di integrità della piattaforma, viene monitorata per rilevare gli errori di applicazione di patch.
Figura 1: Funzionamento di Hotpatch
Esistono due tipi di baseline: baseline pianificate e baseline non pianificate.
- Le baseline pianificate vengono rilasciate a cadenza regolare, con versioni di hotpatch tra di loro, includendo tutti gli aggiornamenti in un aggiornamento cumulativo e richiedono un riavvio.
- Le baseline non pianificate vengono rilasciate quando viene rilasciato un aggiornamento importante (ad esempio una correzione zero-day) e tale particolare aggiornamento non può essere rilasciato come hotpatch. Quando vengono rilasciate baseline non pianificate, una versione hotpatch viene sostituita con una baseline non pianificata in quel mese. Le baseline non pianificate includono anche tutti gli aggiornamenti in un aggiornamento cumulativo per quel mese e richiedono anche un riavvio.
NOTA: I riavvii sono ancora necessari per installare gli aggiornamenti non inclusi nel programma hotpatch.
Per creare una Azure VM che supporti Hotpatch con Windows Server 2022 Azure Edition potete utilizzare il collegamento diretto https://aka.ms/hotpatchondesktopnewimage. Io ho scelto di creare una VM con Windows Server 2022 Datacenter Azure Edition con Desktop Experience.
Figura 2: Creazione di una VM con Windows Server 2022 Datacenter: Azure Edition Hotpatch
Nella scheda Management del wizard di creazione controllate l’area Guest OS updates e verificate che sia abilitata la voce Enable hotpatch.
Figura 3: Hotpatch abilitato per la VM
Come si può vedere dalla figura sotto, l’immagine utilizzata per la creazione della VM viene visualizzata come 2022-datacenter-azure-edition-hotpatch nella schermata Overview della VM appena creata.
Figura 4: Immagine utilizzata per la creazione della VM, con il supporto ad hotpatch
Figura 5: Versione di Windows Server 2022 installata
Informazioni sullo stato delle patch per la macchina virtuale in Azure
Per visualizzare lo stato della patch per la macchina virtuale selezionate il nodo Updates e potrete visualizzare le patch più recenti e lo stato di hotpatch per la VM.
In questa schermata viene visualizzato lo stato di hotpatch e vengono visualizzate le patch disponibili che non sono state installate.
Un banner vi avviserà di modificare la modalità di gestione e di orchestrazione delle patch. Procedete alle configurazioni richieste, come mostrato nelle figure sotto:
Figura 6: modifica della gestione e orchestrazione delle patch
Figura 7: Abilitazione dell’assessment continuo
Con l’applicazione automatica di patch alle macchine virtuali, la macchina virtuale viene valutata periodicamente e automaticamente per controllare se ci sono degli aggiornamenti disponibili. È possibile visualizzare i risultati della valutazione nella schermata Updates, inclusa l’ora dell’ultima valutazione. È anche possibile scegliere di attivare una valutazione della patch su richiesta per la macchina virtuale in qualsiasi momento usando l’opzione Check for Updates ed esaminare i risultati al termine della valutazione, come mostrato nella figura sotto:
Figura 8: Gestione degli aggiornamenti della VM
Analogamente alla valutazione su richiesta, è anche possibile installare patch su richiesta per la macchina virtuale usando l’opzione One-Time update. Qui è possibile scegliere di installare tutti gli aggiornamenti in classificazioni di patch specifiche. È anche possibile specificare gli aggiornamenti da includere o escludere fornendo un elenco di singoli articoli della Knowledge Base.
Figura 9: One-time updates per la VM
Figura 10: Selezione degli aggiornamenti da installare e della loro classificazione
Figura 11: Scelta delle opzioni di riavvio
Figura 12: Revisione e installazione degli aggiornamenti secondo i parametri scelti
Figura 13: Installazione degli aggiornamenti
Figura 14: Installazione degli aggiornamenti completata
Conclusioni
Grazie ad Windows Server 2022 Azure Edition Hotpatch è possibile ridurre il numero di riavvi necessari dopo l’installazione degli aggiornamenti e quindi di fatto eliminare i downtime non necessari. Un minore impatto sul carico di lavoro con un minor numero di riavvii permettono di ridurre il tempo esposto ai rischi per la sicurezza e alle finestre di modifica e semplifica l’orchestrazione delle patch.