Azure には、Update Management という機能があります。
Update Management を使うと、Windows だけでなく Linux も含めて パッチ適用を一元管理できる点が特長として挙げられると思います。
さらには、Azure VM だけでなく オンプレミス環境や AWSなどの他社クラウド上のパッチも一元管理可能です。
この記事では、Windows Server の更新プログラム適用において、Azure VM をデプロイする際に影響するパラメーターである、「パッチオーケストレーションオプション」のベストプラクティスについて触れたいと思います。
パッチオーケストレーションオプションとは
Azure VM を展開する時の設定値なのですが、以下の設定値があります。
(1) OSによる自動処理(Windowsの自動更新) = (English : AutomaticByOS)
(2) Azure オーケストレーション(プレビュー)= (English : AutomaticByPlatform)
(3) 手動で更新 = (English : Manual)
(4) イメージの規定値 = (English : ImageDefault)
パッチオーケストレーションオプションの詳細は、以下の私の記事にまとめましたので参照ください。
Update Management を利用する上での注意点
パッチを自動管理するので、Azure VM を展開する際に パッチオーケストレーションオプションは、規定値でもある「OSによる自動処理(Windowsの自動更新)」を選んでしまいそうですが、これば適切ではありません。
Update Management でスケジュールや 適用するパッチの指定を行ったとしても、それ以外のタイミングで、OS自身がパッチを適用してしまい、意図しない結果になってしまいます。
これについては、以下の公開情報に 問題点についての記載があります。
【問題】
Update Management に Windows マシンを登録すると、展開なしで更新プログラムがインストールされます。
【原因】
Windows では、更新プログラムは、使用可能になるとすぐに自動的にインストールされます。 この動作が原因で、更新プログラムをマシンに展開するスケジュールを設定しなかった場合、混乱が生じる可能性があります。
【解決方法】
レジストリ キー HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU の既定値は、4: auto download and install に設定されています。
Update Management クライアントの場合は、このキーを 3: auto download but do not auto install に設定することをお勧めします。
まとめ
ここまで記事を読んで頂ければ、おのずと結論は見えてきますが、Azure VM を展開する際の パッチオーケストレーション の選択肢は、「手動で更新」が正解です。
これについては、私も 実環境で 「手動で更新」と Update Management の組み合わせで検証を行って、問題無くパッチ適用されたことも確認していますので、ご安心ください。
もし、「OSによる自動処理(Windowsの自動更新)」で VM を展開してしまった後で Update Management を利用する場合には、以下の公開情報のコマンドを利用して 構成変更すると良いようです。
$WUSettings = (New-Object -com "Microsoft.Update.AutoUpdate").Settings
$WUSettings.NotificationLevel = 3
$WUSettings.Save()
関連URL