Update Manager のしくみ
Update Manager は、Windows と Linux の両方について、すべての Azure マシンと Azure Arc 対応サーバーを評価し、それらに更新プログラムを適用します。
Update Manager の VM 拡張機能
Azure Update Manager (AUM) 操作が Azure または Arc 対応サーバーで有効化またはトリガーされると、AUM は更新プログラムを管理するために、Azure 拡張機能 または Arc 対応サーバー拡張機能 をお使いのマシンにそれぞれインストールします。
この拡張機能は、更新プログラムの確認、1 回限りの更新プログラムのインストール、定期的な評価など、何らかの Update Manager 操作をお使いのマシンで初めて開始したとき、またはスケジュールされた更新プログラムの展開が初めてマシンで実行されたときに、自動的にマシンにインストールされます。
顧客は拡張機能とそのライフサイクルを明示的にインストールする必要はありません。インストールや構成を含め、Azure Update Manager によって管理されるためです。 Update Manager 拡張機能は、以下のエージェントを使用してインストールおよび管理されます。これらのエージェントは、Update Manager がマシン上で動作するために必要になります。
- Azure VM 用の、Azure VM Windows エージェントまたは Azure VM Linux エージェント。
- Azure Arc 対応サーバー エージェント
Note
Arc 接続は、Update Manager、Arc 対応 VMWare や SCVMM などの Azure 以外のマシンの前提条件です。
Azure マシンの場合は 1 つの拡張機能がインストールされ、Azure Arc 対応マシンの場合は 2 つの拡張機能がインストールされます。 以下に、インストールされる拡張機能の詳細を示します。
オペレーティング システム | 拡張機能 |
---|---|
Windows | Microsoft.CPlat.Core.WindowsPatchExtension |
Linux | Microsoft.CPlat.Core.LinuxPatchExtension |
更新ソース
Azure Update Manager は、マシン上の更新ソースの設定を受け入れ、それに応じて更新プログラムをフェッチします。 AUM は、更新プログラムの発行や提供は行いません。
Windows Update エージェント (WUA) が、Windows Update リポジトリ、Microsoft Update リポジトリ、または Windows Server Update Services (WSUS) から更新プログラムをフェッチするように構成されている場合、AUM はこれらの設定を優先します。 詳細については、Windows Update クライアントを構成する方法に関する記事を参照してください。 既定では、Windows Updates リポジトリから更新プログラムをフェッチするように構成されています。
AUM は次の手順を実行します。
- Windows Update クライアントまたは Linux パッケージ マネージャーによって指定された、システム更新プログラムの状態に関する評価情報を取得します。
- Windows Update クライアントまたは Linux パッケージ マネージャーを使用して、更新プログラムのダウンロードおよびインストールを開始します。
Note
- マシンは、同期するように構成されているソースに基づいて更新の状態を報告します。 WSUS へレポートするように Windows Update サービスが構成されている場合、WSUS が Microsoft Update と最後に同期したタイミングによって、Update Manager の結果と Microsoft Update の表示内容が異なる場合があります。 パブリック パッケージ リポジトリではなくローカル リポジトリに報告するように構成されている Linux マシンでも同様です。
- Update Manager は、ユーザーがローカル Windows システムでローカルの [更新プログラムの確認] ボタンを選択したときに Windows Update サービスで検出される更新プログラムのみを検出します。 Linux システムでは、ローカル リポジトリにある更新プログラムのみが検出されます。
Azure Resource Graph への更新データの格納
Update Manager 拡張機能は、保留中のすべての更新情報と更新プログラムのインストール結果を Azure Resource Graph にプッシュし、データはそこで以下の期間保持されます。
データ | Azure Resource Graph での保持期間 |
---|---|
保留中の更新プログラム (ARG テーブル名: patchassessmentresources) | 7 日間 |
更新プログラムのインストール結果 (ARG テーブル名: patchinstallationresources) | 30 日 |
詳細については、Azure Resource Graph のログ構造に関する記事、および「サンプル クエリ」を参照してください。
Azure Update Manager にパッチをインストールする方法
Azure Update Manager では、パッチは次の方法でインストールされます。
最初に、VM で利用可能な更新プログラムが新たに評価されます。
評価に続いて、更新プログラムのインストールが行われます。
- Windows では、顧客の条件を満たす選択された更新プログラムが 1 つずつインストールされます。
- Linux では、それらはバッチでインストールされます。
更新プログラムのインストール中に、複数の手順でメンテナンス期間の使用がチェックされます。 Windows と Linux では、いつでも再起動できるように、それぞれ 10 分間と 15 分間のメンテナンス期間が予約されています。 残りの更新プログラムのインストールを続行する前に、予想される再起動時間と (次の更新プログラムまたは次のセットの更新プログラムに必要な) 更新プログラムの平均インストール時間がメンテナンス期間を超えていないかどうかがチェックされます。 Windows の場合、Service Pack の更新プログラムを除くすべての種類の更新プログラムについて、更新プログラムの平均インストール時間は 10 分です。 Service Pack の更新プログラムの場合は、15 分です。
進行中の更新プログラムのインストールは (上記の計算に基づいて開始されると)、マシンが未確定の状態になる可能性を避けるため、メンテナンス期間を超えても強制的に停止されないことに注意してください。 ただし、いったんメンテナンス期間を超過すると、残りの更新プログラムのインストールは続行されません。このような場合、メンテナンス期間超過エラーがスローされます。
修正プログラムの適用/更新プログラムのインストールは、選択したすべての更新プログラムがインストールされ、関連するすべての操作 (再起動と評価を含む) が成功した場合にのみ成功とマークされます。 それ以外の場合は、[失敗] または [完了 (警告あり)] としてマークされます。 たとえば、 にします。
シナリオ 更新プログラムのインストール状態 選択した更新プログラムの 1 つをインストールできない。 Failed 何らかの理由で再起動が行われず、再起動の待機時間がタイムアウトする。 Failed 再起動中にマシンの起動に失敗する。 Failed 最初または最後の評価に失敗した。 Failed 更新プログラムでは再起動が必要だが、[再起動しない] オプションが選択されている。 完了 (警告あり) Ubuntu pro ライセンスが存在しない場合、ESM パッケージで ubuntu 18 以下での修正プログラムの適用がスキップされた。 完了 (警告あり) 最後に評価が行われます。 更新プログラムのインストールの最後に行われる再起動と評価は、場合によっては実施されないことがあるため注意してください。たとえば、メンテナンス期間が既に超過している場合や、何らかの理由で更新プログラムのインストールが失敗した場合などです。