Gestire gli aggiornamenti dei server ibridi di Azure Arc con Azure Update Manager
La gestione degli aggiornamenti è un elemento cruciale per garantire la sicurezza e la stabilità dei sistemi aziendali, specialmente in un contesto IT sempre più eterogeneo che include ambienti on-premises, cloud e multi-cloud. Azure Arc, la piattaforma di gestione ibrida di Microsoft, estende le capacità di gestione di Azure anche ai server esterni all’infrastruttura Azure. Unendo Azure Arc con Azure Update Manager, le aziende possono monitorare e automatizzare gli aggiornamenti dei loro server, siano essi ospitati su Azure, on-premises o in altri ambienti cloud.
Azure Update Manager consente di centralizzare la gestione delle patch, riducendo al minimo il rischio di vulnerabilità e migliorando la conformità alle politiche di sicurezza. Grazie a funzionalità come la valutazione periodica e la pianificazione automatizzata, le aziende possono garantire che i loro sistemi siano sempre aggiornati, senza interrompere le attività quotidiane. Questa soluzione si rivela particolarmente utile per le aziende che gestiscono infrastrutture ibride, consentendo di mantenere tutti i server sincronizzati e sicuri tramite un’unica interfaccia.
Requisiti per la gestione di server ibridi con Azure Arc
Per effettuare l’onboarding delle macchine Windows in Azure Arc è necessario seguire una serie di passaggi che permettono di registrare e gestire i server fisici o virtuali attraverso il portale di Azure. Innanzitutto, assicurarsi di avere un account Azure con le autorizzazioni necessarie e che le macchine Windows da aggiungere eseguano una versione supportata del sistema operativo, come Windows Server 2012 R2 o successivo. È fondamentale che queste macchine abbiano accesso a Internet per comunicare con i servizi Azure; in caso contrario, bisogna configurare un proxy o considerare l’onboarding offline. Vi rimando quindi alla lettura della mia guida Gestire Windows Server 2025 con Microsoft Azure Arc – ICT Power per conoscere le modalità di onboarding di Windows Server 2025.
Figura 1: Macchina con Windows Server 2025 gestita da Azure Arc
Una volta che la vostra macchina sarà aggiunta ad Azure Arc avrete la possibilità di gestire gli aggiornamenti direttamente dal portale di Azure.
Gestione degli aggiornamento dei server ibridi di Azure Arc con Azure Update Manager
Per poter gestire gli aggiornamenti dei server ibridi di Azure Arc, selezionate la macchina e dalla scheda Overview cliccate sul riquadro Updates per abilitare un assessment periodico degli aggiornamenti.
Figura 2: Abilitazione dell’assessment periodico
Scegliete per quali macchine volete abilitare l’assessment, scegliendo dal menù a tendina.
Figura 3: Abilitazione dell’assessment per le macchine scelte
Il Periodic assessment in Azure Update Manager viene eseguito ogni 24 ore, una volta abilitato. Il tempo effettivo che impiega il processo di valutazione può variare a seconda del numero di aggiornamenti da controllare e delle specifiche del server, ma solitamente è completato in pochi minuti per ciascuna macchina.
Il processo di valutazione include il controllo di aggiornamenti mancanti e la verifica della conformità alle politiche di sicurezza, fornendo un report che identifica eventuali aggiornamenti critici o facoltativi necessari per mantenere la sicurezza del sistema.
Dalla schermata del portale di Azure, selezionando ogni singola macchina, sarà possibile verificare se ci sono degli aggiornanti in sospeso.
Figura 4: La macchina selezionata ha un aggiornamento in sospeso
Potete controllare in qualsiasi momento gli aggiornamenti necessari effettuando un assessment manuale. Fate clic su Check for updates e attendete circa 5 minuti per verificare se il vostro server Windows o Linux necessita di aggiornamenti.
Figura 5: Controllo manuale degli aggiornamenti necessari
Creazione di una configurazione di manutenzione (maintenance configuration)
La maintenance configuration (configurazione di manutenzione) in Azure Update Manager viene utilizzata per definire periodi specifici in cui eseguire aggiornamenti sui server, riducendo l’impatto operativo e garantendo che gli aggiornamenti vengano applicati in finestre temporali predeterminate.
Grazie alla pianificazione degli aggiornamenti potete specificare orari e giorni durante i quali gli aggiornamenti possono essere eseguiti, evitando interruzioni durante orari di lavoro critici. È possibile definire finestre di manutenzione che tengano conto dei tempi di inattività pianificati o dei periodi a basso utilizzo delle risorse, garantendo che gli aggiornamenti vengano eseguiti in modo efficiente. La configurazione permette di automatizzare l’applicazione delle patch senza bisogno di un intervento manuale continuo, integrando le operazioni di gestione.
Quella che verrà creata sarà una vera e propria risorsa in Azure, che potremo modificare in qualsia momento.
Fate clic su Schedule Updates per lanciare il wizard di configurazione della maintenance configuration.
Figura 6: Creazione della pianificazione degli aggiornamenti
Nella scheda Basics del wizard della maintenance configuration troverete i seguenti campi principali da configurare. Nella sezione Schedule potrete definire i dettagli relativi alla pianificazione degli aggiornamenti:
- Orario e data di inizio (Start on): Specificate la data e l’ora esatta in cui desiderate che gli aggiornamenti abbiano inizio. Questo è particolarmente utile per pianificare le attività di manutenzione durante le ore non lavorative o le finestre di manutenzione.
- Finestra di manutenzione (Maintenance window): Definite una finestra temporale durante la quale gli aggiornamenti devono essere completati. Questo assicura che gli aggiornamenti vengano eseguiti entro un limite di tempo preciso, minimizzando l’impatto sulle operazioni quotidiane.
- Frequenza (Repeats): Impostate la frequenza con cui la configurazione di manutenzione deve ripetersi. Le opzioni includono frequenze giornaliere, settimanali, mensili o personalizzate, consentendovi di adattare il ciclo di aggiornamenti alle esigenze specifiche della vostra organizzazione.
- Data di fine (Add end date): Questa opzione vi consente di specificare una data finale per la configurazione di manutenzione, definendo l’ultimo giorno in cui gli aggiornamenti pianificati verranno eseguiti. È utile per creare configurazioni a termine, ad esempio per test di breve durata o per periodi di manutenzione definiti
Figura 7: Scheda Basics del wizard di creazione della configurazione di manutenzione
Figura 8: Informazioni di base per la creazione della configurazione di manutenzione
Nella scheda Resources del wizard potete specificare a quali risorse verrà applicata la configurazione di manutenzione. In questa sezione potete scegliere le risorse, ossia i server abilitati ad Azure Arc o le macchine virtuali Azure, che verranno gestite tramite questa configurazione.
Figura 9: Scelta delle risorse che verranno gestite tramite questa configurazione
Nella scheda Dynamic scope avete la possibilità di applicare la configurazione in modo più ampio a livello di gruppi di risorse o sottoscrizioni, facilitando la gestione su larga scala. Questa scheda vi consente di definire con precisione su quali macchine o gruppi di risorse eseguire la manutenzione pianificata, permettendo un controllo granulare o esteso a seconda delle esigenze della vostra infrastruttura.
Figura 10: Dynamic Scope della configurazione
Nella scheda Updates è possibile definire i dettagli relativi agli aggiornamenti che verranno applicati alle risorse selezionate. Potrete selezionare le categorie di aggiornamenti da applicare, come aggiornamenti critici, aggiornamenti della sicurezza, aggiornamenti facoltativi, o aggiornamenti cumulativi. Questo vi permette di decidere quali tipi di patch devono essere installati sulle macchine gestite, sia Windows che Linux.
Molto interessante la possibilità di escludere specifici aggiornamenti o Knowledge Base (KB). Questo è utile quando ci sono aggiornamenti che potrebbero non essere compatibili con alcune applicazioni o sistemi da gestire.
Figura 11: Scelta delle categorie di aggiornamenti da applicare
Nella scheda Events trovate l’opzione Add Event Subscription, che consente di configurare notifiche basate su eventi relativi alla manutenzione. Questa funzionalità vi permette di sottoscrivere eventi specifici che si verificano durante la finestra di manutenzione, come il completamento di un aggiornamento, eventuali errori durante l’applicazione delle patch o altre notifiche rilevanti. Potete collegare l’evento a Azure Event Grid, che facilita la distribuzione di notifiche o azioni automatiche in risposta a questi eventi. Ad esempio, potete inviare notifiche e-mail, innescare funzioni di Azure, o eseguire altre automazioni in base agli eventi generati durante il processo di aggiornamento.
In breve, configurando una Event Subscription, potete ricevere aggiornamenti in tempo reale su cosa accade durante la manutenzione, aiutandovi a monitorare l’intero processo e a intervenire tempestivamente in caso di problemi.
Figura 12: Configurazione del controllo avanzato sulle notifiche e sugli eventi legati alla manutenzione
Nella scheda Tags avete la possibilità di aggiungere tag per organizzare e gestire meglio le risorse coinvolte nella configurazione di manutenzione. Potete assegnare tag alle risorse per categorizzarle in base a criteri specifici, come reparto, ambiente (ad esempio, produzione, test, sviluppo), o altre informazioni aziendali rilevanti. Questo aiuta a organizzare le risorse, specialmente quando gestite molte macchine. I tag, infatti, permettono un filtraggio più semplice durante la gestione delle risorse, facilitando il raggruppamento e la visualizzazione delle macchine che condividono attributi simili. Ad esempio, potete filtrare i report di conformità degli aggiornamenti o pianificare la manutenzione per un insieme di macchine taggate in modo specifico
Figura 13: Assegnazione dei tag alla risorsa che verrà creata
Controllate le informazioni inserite e fate clic su Create per procedere alla creazione della risorsa.
Figura 14: Schermata finale del wizard di configurazione della maintenance configuration
La configurazione di manutenzione creata tramite il wizard di Azure Update Manager è una risorsa di Azure che può essere modificata successivamente. Una volta configurata, avrete la possibilità di tornare in qualsiasi momento e apportare modifiche in base alle necessità della vostra infrastruttura. Potrete, ad esempio, aggiornare la pianificazione, modificando le finestre di manutenzione o la frequenza con cui gli aggiornamenti vengono eseguiti. Inoltre, è possibile aggiungere o rimuovere le risorse coinvolte, come le macchine virtuali o i server abilitati ad Azure Arc. Se necessario, potrete anche intervenire sui criteri di aggiornamento, cambiando le categorie di patch applicabili, escludendo nuovi aggiornamenti KB, o modificando le opzioni di riavvio.
Questa flessibilità vi consente di adattare continuamente la configurazione per rispondere a mutate esigenze operative, senza dover creare una nuova configurazione ogni volta.
Figura 15: La configurazione è una risorsa di Azure che può essere successivamente modificata
One-time Update
Il One-time update in Azure Update Manager consente di applicare aggiornamenti manualmente su un server o gruppo di server abilitati ad Azure Arc, senza attendere la finestra di manutenzione pianificata. Questa funzionalità è utile per affrontare situazioni in cui è necessario applicare aggiornamenti immediati o critici al di fuori della programmazione regolare. Cliccando sul pulsate One-time update verrà lanciato un wizard per la distribuzione immediata degli aggiornamenti. Come si può vedere dalla figura sotto, c’è un aggiornamento in attesa di essere installato. Con il One-time update potrete installarlo immediatamente.
Figura 16: One-time update per applicare aggiornamenti manualmente su un server o gruppo di server abilitati ad Azure Arc
Nella scheda Machines selezionate le macchine su cui eseguire l’aggiornamento. Potete scegliere una o più macchine abilitando la selezione per i server gestiti e anche vedere lo stato attuale di aggiornamento delle macchine e la loro conformità agli aggiornamenti.
Figura 17: Selezione delle macchine su cui eseguire l’aggiornamento
Nella scheda Updates scegliete le impostazioni relative agli aggiornamenti. Potete selezionare le categorie di aggiornamenti da installare (ad esempio, aggiornamenti critici, di sicurezza o facoltativi) oppure aggiungere o escludere singoli pacchetti o aggiornamenti tramite il loro codice KB (Knowledge Base).
Figura 18: Scelta degli aggiornamenti da installare
Nella scheda Properties potete configurare le opzioni di riavvio e la finestra di manutenzione. Durante la configurazione, potete specificare una finestra temporale in minuti. Per esempio, potreste scegliere una finestra di 60, 120, o 240 minuti a seconda della quantità di aggiornamenti previsti e del tempo necessario per completarli. La durata della finestra in minuti è un aspetto chiave della gestione degli aggiornamenti, in quanto vi permette di controllare il tempo massimo dedicato alla manutenzione, garantendo che le operazioni vengano completate nel minor tempo possibile senza compromettere la stabilità del sistema.
Figura 19: Configurazione delle opzioni di riavvio e della finestra di manutenzione
Controllate le informazioni inserite e fate clic su Install per procedere all’installazione degli aggiornamenti selezionati sulle macchine che avete scelto di aggiornare.
Figura 20: Schermata finale e lancio dell’installazione degli aggiornamenti
Figura 21: Lancio dell’installazione degli aggiornamenti
La funzionalità Track on History in Azure Update Manager consente di monitorare lo storico degli aggiornamenti applicati alle macchine gestite, inclusi i server abilitati ad Azure Arc. Utilizzando questa opzione è possibile accedere a una cronologia completa che mostra gli aggiornamenti eseguiti su ciascuna macchina, incluse le date, gli orari e lo stato finale dell’aggiornamento, come completato, fallito o in attesa. Per ogni aggiornamento eseguito, è disponibile una serie di informazioni dettagliate, tra cui il tipo di aggiornamento (ad esempio, aggiornamenti di sicurezza, critici o facoltativi) e i codici KB associati agli aggiornamenti installati.
In caso di errori o fallimenti durante gli aggiornamenti, il sistema fornisce dettagli specifici su cosa è andato storto, offrendo log e suggerimenti per la risoluzione dei problemi. Questo permette di identificare rapidamente le problematiche e risolverle, migliorando l’efficienza della gestione. Inoltre, la cronologia degli aggiornamenti consente di monitorare lo stato di conformità delle macchine nel tempo, garantendo che tutte siano aggiornate secondo le politiche aziendali stabilite.
Figura 22: Installazione degli aggiornamenti scelti in corso
Figura 23: Installazione degli aggiornamenti completata
La dashboard di Azure Update Manager fornisce una panoramica centralizzata dello stato di aggiornamento delle macchine, incluse macchine virtuali Azure e server abilitati ad Azure Arc. Potete
cercare direttamente la risorsa Azure Update Manager nel portale oppure utilizzare il pulsante presente nella scheda degli aggiornamenti delle macchine.
Nella parte superiore, è possibile vedere lo stato delle macchine gestite, con un riepilogo del numero totale di macchine e il loro stato rispetto agli aggiornamenti in sospeso, con un focus particolare sulle macchine che non sono state valutate di recente o che hanno aggiornamenti pendenti. La sezione dedicata alla configurazione dell’orchestrazione delle patch evidenzia come gli aggiornamenti vengano gestiti, mostrando se vengono orchestrati manualmente o tramite schemi gestiti automaticamente da Azure.
La dashboard permette inoltre di monitorare lo stato delle installazioni degli aggiornamenti negli ultimi 30 giorni, inclusi aggiornamenti completati, falliti o che hanno generato avvisi. Nelle sezioni dedicate agli aggiornamenti di Windows e Linux, è possibile vedere il numero di aggiornamenti in sospeso per ciascuna categoria, come aggiornamenti di sicurezza o critici, per garantire la conformità del sistema e ridurre le vulnerabilità.
Nel complesso questa schermata fornisce una visione chiara e centralizzata del processo di aggiornamento, semplificando la gestione delle patch sia per i sistemi on-premises che cloud.
Figura 24: Dashboard di Azure Update Manager
Conclusioni
La gestione degli aggiornamenti tramite Azure Update Manager per i server abilitati ad Azure Arc offre un controllo centralizzato e altamente flessibile per garantire la sicurezza e la conformità del vostro ambiente IT. Dalla configurazione iniziale del server fino alla pianificazione delle finestre di manutenzione, ogni fase può essere personalizzata per soddisfare le esigenze specifiche della vostra infrastruttura, riducendo al minimo l’impatto operativo. La possibilità di eseguire One-Time Update e di monitorare la conformità attraverso la funzione Track on History vi permette di mantenere un controllo rigoroso e proattivo sugli aggiornamenti.
La configurazione e l’automazione degli aggiornamenti diventano così un processo snello e gestibile, senza la necessità di interventi manuali continui, garantendo che i vostri server siano sempre aggiornati e protetti. L’integrazione con Azure Arc permette inoltre di estendere queste funzionalità anche a server non Azure, consolidando la gestione in ambienti ibridi e multi-cloud. In definitiva, Azure Update Manager offre una soluzione potente e scalabile per la gestione degli aggiornamenti in qualsiasi infrastruttura