Azure AutomationとLog Analyticsを使って、Azure VMで適用されていない更新プログラムを管理できそうなので試してみました。
設定
Log Analyticsワークスペース作成
- 新たに作成するか、既存のものがあれがそれでよいです。手順は割愛します。
Automationアカウント設定
Automationアカウントを開き、[更新プログラムの管理]を選択します。
事前に準備したLog Analyticsワークスペースを選択し、[有効化]を選択します。
Azure VM追加
しばらくすると有効化されるので、[Azure VM の追加]を選択します。
対象のVMを選択します。
しばらくすると更新プログラムが表示されます(表示されるまでかなり時間掛かりました)
Azure以外のサーバー追加
AWS EC2で試しましたが、Log Analyticsワークスペースにインターネット経由もしくはExpressRoute PublicPeering経由で接続できれば問題ないはずです。
対象のLog Analyticsを選んで[詳細設定]を選択します。
エージェントをダウンロードし、ワークスペースIDと主キーをコピーしておきます。
今回はLinuxで試します。Linuxの場合、対象サーバーで以下のコマンドを実行します。
wget https://raw.githubusercontent.com/Microsoft/OMS-Agent-for-Linux/master/installer/scripts/onboard_agent.sh \
&& sh onboard_agent.sh -w [ワークスペースID] -s [主キー]
- しばらく時間を置いて、Automationアカウントの更新プログラムの管理にアクセスします。
対象になっていないというメッセージが出るのでクリックします。
対象サーバーを有効化します。
しばらくすると表示されます。
更新プログラム確認
Windows
- フィルタリングして更新プログラムだけを確認することも可能です
Linux
- Linuxも確認可能です
更新プログラム適用
[Automationアカウント]→[更新プログラムの管理]から[更新プログラムの展開のスケジュール]を選択します。
-
以下のような画面になるので各種設定していきます。
- 適用対象VMを選択します。
- 例えば[重要な更新プログラム]のみを対象にすることも可能です。
- スケジュールは例えば毎月月末といった指定もでき、
- 毎月第3土曜日といった指定も可能です。
- 但し最長が月単位なので、2ヶ月に1回とか4半期に1回とかは難しそうです。
- 適用対象VMを選択します。
事前事後スクリプトを実行することができます。大抵は適用の前にバックアップ取りたいはずなので、事前スクリプトでAzure Backup実行とかもできそうですね。別途試してみたいと思います。
更新プログラムの管理ページに戻り、[スケジュールされた更新プログラムの展開]タブに先程作成したスケジュールが追加されていればOKです。
メンテナンス中はこんな表示になります。
完了しました。コンプライアンスのチェックも正常になってますね。
※ポータルへの反映には時間が掛かりますが、実際にOSにログインして確認してみると最新化されていて、リブートも走っていました。