構築時に自動パッチ適用オプションを構成する
デフォルトで自動パッチ適用されるような設定になっているためそのままにしている方もいらっしゃるかもしれませんが、Azure VMのパッチを自動適用させるか、マニュアルにするかを設定することができます。(これ後から変更できないので意外と大事な設定です。)
Azure CLIで確認してみると、以下のように設定されていることが確認できます。
az vm get-instance-view --resource-group myResourceGroup --name myVM
どのパッチがいつ、どのように適用されるのか
重大、セキュリティのパッチがVMのタイムゾーンのピーク外の時間帯に自動で適用されます。このパッチ自動適用はAzureによってオーケストレートさせることができ可用性を優先しながら適用させるということが可能です。その場合はpatchModeの値がAutomaticByPlatformに設定されている(Azure Portalでの設定ではAzure-Orchestrated)必要があります。
VM で VM ゲストの自動パッチ適用が有効になっている場合、使用可能な [重大] および [セキュリティ] パッチが自動的にダウンロードされて VM に適用されます。 このプロセスは、毎月新しいパッチがリリースされるたびに自動的に開始されます。 パッチの評価とインストールは自動的に実行され、このプロセスでは必要に応じて VM の再起動が行われます。
https://learn.microsoft.com/ja-jp/azure/virtual-machines/automatic-vm-guest-patching
どのOS、バージョンがサポートされるのか
Microsoftのドキュメントをご確認ください。Windows Server、LinuxのOSが含まれます。
マニュアル適用に戻したい
Windows VMの場合osProfile.windowsConfiguration.enableAutomaticUpdatesをfalseに変えるとpatchModeをmanualに変更することができるのですが、enableAutomaticUpdatesはVM作成時のみ設定可能なプロパティであり後から変更することが今のところできなさそうです。
スケジュール実行はできる
ただAzure VMの更新メニューを触ってみると以下のページへのバナーが出ていました。マニュアルに変更しようとすると怒られましたが、スケジュールはカスタムすることがPreviewでできるようになっています(Azure Arc VMは未対応)。
実際にスケジュール実行がうまく動いているところまで検証できておらず恐縮ですが、一応スケジュールを設定できたと思います。
これで間違えてパッチ自動適用にしてしまって勝手に望まない時間に更新が実行されてしまうけどどうにもできないみたいな話が解消できそうです。
Microsoftドキュメントはこちら。