Microsoft のクラウドービス Azure のサービスの1つである Azure Automation Update Management について整理したいと思います。
Azure Automation Update Management とは
Azure Automation Update Management は Azure Log Analytics と Azure Automation を組み合わせたサービスらしく
- Azure Log Analytics で対象のサーバーの状態監視
- Azure Automation でアップデートのタイミングを管理
といった感じみたい
ここで注目ポイントは
- クラウドサービスを使用するので組織ネットワーク外への通信が必要
- アップデート自体は WSUS や Windows Update の力を借りること
- Linux サーバーも守備範囲にはいっていること
です。
ネックになりそうなこと
もちろん Azure 上の VM との連携はできるので、オンプレミスの話に焦点を当てると、
サーバー自体は組織外との通信をしないことが前提のものがほとんどのなか、Azure Automation Update Management はご法度ともいえるそれをする必要があるのがネックだといえるかもしれない。
しかし、そこは対応策が用意されているのでそれで解決できれば便利なサービスだと思われる。
対応策① プロキシサーバー
そもそもサーバーが組織の外と通信を行うときに使う常套手段で、これがそのまま使えるならこれに越したことはない。
一方で、社内のファイルサーバーなどで、外との通信を普段からしていないサーバーに関しては Log Analytics ゲートウェイ を用意することで一度そこを経由して Azure と通信をすることができる。
対応策② 閉域網
Azure との通信のセキュリティをあげる手段として、Express Route を使用した閉域網の接続方法がある。
これを使えば Azure Automation Update Management でもセキュアな方法で通信をすることができる。
Express Route を使用した通信方法にはPrivate Peering と Microsoft Peering があり、これを使うと通信がインターネットに出ることを防ぐことが可能。
この二つの機能については別記事でまとめる予定。
しかし、Azure Automation Update Management はパブリック IP アドレスを持つサービスなので Private Link などのサービスと組み合わせないとPrivate Peering は使用できず、Azure Automation の Private Link はプレビューなので実用段階ではない。
一方、Microfoft Peering の方はパブリック IP でそのまま使用可能であるので今すぐ使いたい場合はこっちを選択することになるだろう。
まとめ
以上が駆け出しのインフラエンジニア的立場から見た Azure Automation Update Management であった。
ネガティブな面をたくさん書いてしまったが、オンプレミスや Linux のサーバーを対象にできるのは相当な強みだといえるだろう。