Планирование развертывания для обновления виртуальных машин Windows в Azure
Если вы заблокировали доступ из Интернета к виртуальной сети Azure из Интернета, вы по-прежнему сможете получать обновления Windows, не жертвуя безопасностью и не открывая доступ ко всему Интернету. Эта статья содержит рекомендации по настройке сети периметра, также называемой промежуточной подсетью, для размещения экземпляра Windows Server Update Service (WSUS), позволяющего безопасно обновлять виртуальные сети без подключения к Интернету.
Если вы используете брандмауэр Azure, вы используете WindowsUpdate тег FQDN в правилах приложения, чтобы разрешить необходимый исходящий сетевой трафик через брандмауэр. Дополнительные сведения см. в разделе "Общие сведения о тегах FQDN " и "Планирование обновлений программного обеспечения" — настройка брандмауэров.
Для реализации рекомендаций, описанных в этой статье, необходимо ознакомиться со службами Azure. В следующих разделах описывается рекомендуемая схема развертывания, которая использует конфигурацию концентратора в одном регионе или многорегионной конфигурации.
Топология сети концентратора виртуальной сети Azure
Рекомендуется настроить топологию сети центральной модели, создав сеть периметра. Разместите сервер WSUS на виртуальной машине Azure, которая находится в Центре между Интернетом и виртуальными сетями. Центр должен иметь открытые порты. Для получения обновлений от Майкрософт на этом сервере WSUS используются порт 80 для протокола HTTP и порт 443 для протокола HTTPS. Периферийными считаются все остальные виртуальные сети, которые будут обмениваться данными только с концентратором, но не с Интернетом. Это можно сделать, создав подсеть, группы безопасности сети (группы безопасности сети) и пиринг между виртуальными сетями Azure, который обеспечивает трафик WSUS при блокировании другого Интернет-трафика. На этом изображении показан пример топологии с концентраторами:
Скачайте файл Visio для этой архитектуры.
На этом рисунке:
- snet-wsus — это подсеть в центре концентратора и периферийной топологии, содержащей сервер WSUS.
- nsg-ds — это правило группы безопасности сети, которое разрешает трафик для WSUS, блокируя другой интернет-трафик.
- Виртуальная машина службы обновления Windows Server — это виртуальная машина Azure, настроенная для запуска WSUS.
- Snet-workload — это пример подсети в пиринговой виртуальной сети, содержащей виртуальные машины Windows.
- nsg-ms — это групповая политика безопасности сети, которая разрешает трафик на виртуальную машину WSUS, но запрещает другой интернет-трафик.
Вы можете применить в этой топологии существующий сервер или развернуть новый, чтобы настроить на нем сервер WSUS. Виртуальная машина WSUS должна соответствовать документированных системным требованиям. Так как это конфиденциальная возможность безопасности, необходимо запланировать доступ к этой виртуальной машине с помощью JIT.) См. статью Manage virtual machine access using Just-in-time (Управление доступом к виртуальным машинам с помощью JIT).
В вашей сети будет несколько виртуальных сетей Azure, которые могут размещаться в том же или в разных регионах. Вам следует проверить все виртуальные машины Windows Server на предмет пригодности к использованию для сервера WSUS. Если вы будете обновлять несколько тысяч виртуальных машин, мы рекомендуем выделить для роли WSUS отдельную ВМ Windows Server. Мы также рекомендуем, чтобы виртуальные машины не использовали сервер WSUS в другом регионе в качестве основного источника.
Если все виртуальные сети находятся в одном регионе, мы предлагаем выделить отдельный сервер WSUS на каждые 18 000 виртуальных машин. Это предложение основано на сочетании требований к виртуальной машине, количеству обновляемых клиентских виртуальных машин и стоимости связи между виртуальными сетями. Дополнительные сведения о требованиях к емкости WSUS см. в разделе Planing a WSUS Deployment (Планирование развертывания WSUS).
Для расчета затрат на применение этих конфигураций воспользуйтесь калькулятором цен Azure. Вам потребуется указать спецификации виртуальных машин WSUS и ваших сетевых ожиданий; один и тот же регион в разных регионах. Для передачи данных начните с 3 ГБ. Обратите внимание, что цены будут зависеть от региона.
Ручное развертывание
После идентификации виртуальной сети Azure или определения необходимости создания нового экземпляра Windows Server необходимо создать правило NSG. Это правило будет разрешать интернет-трафик для синхронизации метаданных и содержимого из Центра обновления Windows с создаваемым сервером WSUS. Ниже приведены правила, которые необходимо добавить.
- Правило NSG для входящего и исходящего интернет-трафика через порт 80 (для передачи содержимого).
- Правило NSG для входящего и исходящего интернет-трафика через порт 443 (для передачи метаданных).
- Правило NSG для входящего и исходящего трафика с клиентских виртуальных машин через порт 8530 (если вы не изменяли конфигурацию по умолчанию).
Настройка WSUS
Для настройки сервера WSUS можно использовать один из двух подходов:
- Если вы хотите автоматически настроить сервер для обработки типичной рабочей нагрузки, не отвлекаясь на администрирование, можно использовать скрипт автоматизации PowerShell.
- Если вам нужно обслуживать несколько тысяч клиентов с разными языками и операционными системами или если скрипт PowerShell не поддерживает нужную конфигурацию WSUS, можно настроить сервер WSUS вручную. Оба подхода описаны в этой статье далее.
Вы даже можете сочетать эти два подхода, например использовать скрипт автоматизации для выполнения основной работы, а затем через консоль администрирования WSUS добавить или изменить нужные параметры сервера.
Настройка WSUS с помощью скрипта автоматизации
Скрипт Configure-WSUSServer позволяет настроить сервер WSUS, который автоматически синхронизирует и утверждает обновления для выбранного набора продуктов и языков.
Примечание.
Этот скрипт всегда настраивает для WSUS использование внутренней базы Windows для хранения данных об обновлении. Это ускоряет настройку и упрощает администрирование. Но если ваш сервер будет работать с несколькими тысячами клиентских компьютеров, особенно при большом разнообразии продуктов и языков, вам лучше вручную настроить для WSUS использование SQL Server в качестве базы данных.
Последняя версия этого скрипта доступна на сайте GitHub.
Скрипт настраивается с помощью файла JSON. Доступные для настройки в настоящее время параметры перечислены ниже.
- Будут ли полезные данные обновления храниться локально (и если да, то где именно) или останутся на серверах корпорации Майкрософт.
- Какие продукты, классификации обновления и языки будут доступны на сервере.
- Будет ли сервер автоматически утверждать установку обновлений или оставлять их неутвержденными до вмешательства администратора.
- Будет ли сервер автоматически получать новые обновления от корпорации Майкрософт (и если да, то как часто).
- Будут ли использоваться пакеты экспресс-обновления. (Пакеты экспресс-обновления снижают нагрузку на сеть при взаимодействии сервера с клиентом, но при этом повышают потребление ресурсов ЦП и диска на клиенте и объем передаваемых между серверами данных.)
- Будет ли скрипт изменять созданные ранее настройки. (Обычно этот скрипт выполняется только один раз для каждого сервера, чтобы избежать случайного изменения конфигурации, приводящего к нарушению работы.)
Скопируйте скрипт и файл конфигурации в локальное хранилище, а затем внесите в файл конфигурации все нужные настройки.
Предупреждение
Будьте внимательны при изменении файла конфигурации. В файлах конфигурации JSON очень строгий синтаксис. Если случайно изменить структуру файла, а не значения параметров, файл конфигурации не будет загружаться.
Этот скрипт можно запустить одним из двух способов:
Его можно запустить вручную на виртуальной машине WSUS.
Следующая команда, выполняемая из окна командной строки с повышенными привилегиями, установит и настроит службы WSUS. Он будет использовать скрипт и файл конфигурации в текущем каталоге.
powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.jsonВы можете использовать Расширение пользовательского сценария для Windows.
Скопируйте скрипт и файл конфигурации JSON в собственный контейнер хранилища с частной сетью в виртуальную машину WSUS.
Для правильной работы сценария в типичных конфигурациях виртуальной машины и виртуальной сети Azure Расширению пользовательского сценария требуются только два следующих параметра. (Следует заменить значения, приведенные здесь, URL-адресами для расположения хранилища.)
settings: { fileUris: [ 'https://yourstorageaccount.blob.core.windows.net/wsus/Configure-WSUSServer.ps1' 'https://yourstorageaccount.blob.core.windows.net/container/WSUS-Config.json' ] commandToExecute: 'powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json' }
Этот скрипт запустит начальную синхронизацию, которая требуется для предоставления обновлений клиентским компьютерам. Но скрипт не будет ожидать завершения этой синхронизации. В зависимости от выбранного набора продуктов, классификаций и языков, начальная синхронизация может длиться несколько часов. Все последующие синхронизации будут выполняться быстрее.
Настройка WSUS вручную
На виртуальной машине WSUS следуйте инструкциям, приведенным в разделе "Установка роли сервера WSUS"
Во время синхронизации WSUS определяет, появились ли новые обновления с момента последней синхронизации. Если это первая синхронизация для сервера WSUS, метаданные скачиваются немедленно. Полезные данные скачиваются, только если включено локальное хранилище и обновление утверждено хотя бы для одной группы компьютеров.
Примечание.
Начальная синхронизация может занять больше часа. Все последующие синхронизации будут выполняться намного быстрее.
Настройка виртуальных сетей для обмена данными с WSUS
Затем настройте пиринг между виртуальными сетями Azure или пиринг между глобальными виртуальными сетями для взаимодействия с центром. Мы рекомендуем создать отдельный сервер WSUS в каждом регионе развертывания, чтобы добиться минимальной задержки.
В каждой периферийной виртуальной сети Azure необходимо создать политику NSG с перечисленными ниже правилами.
- Правило NSG для входящего и исходящего трафика, разрешающее трафик виртуальной машине WSUS через порт 8530 (по умолчанию, если он не настроен).
- Правило NSG для входящего и исходящего трафика для запрета трафика в Интернет.
Теперь создайте пиринг между виртуальными сетями Azure от периферийной сети до сети концентратора.
Настройка клиентских виртуальных машин
Службы WSUS можно использовать для обновления любой виртуальной машины под управлением Windows. Сведения о настройке клиентов с помощью групповой политики см. в статье "Настройка клиентских компьютеров для получения обновлений с сервера WSUS".
Если вы администратор, управляющий большой сетью, ознакомьтесь со статьей Настройка автоматических обновлений и обновления расположения служб, чтобы узнать как применять параметры групповой политики для автоматической настройки клиентов.
Диспетчер обновлений Azure
С помощью Диспетчера обновлений Azure можно управлять обновлениями операционной системы и планировать их синхронизацию с WSUS. Состояние обновления для виртуальной машины (т. е. сведения о недостающих обновлениях) вычисляется на основе того источника, с которым синхронизируется эта виртуальная машина. Если виртуальная машина под управлением Windows настроена на взаимодействие с WSUS, то в зависимости от времени последней синхронизации WSUS с Центром обновления Майкрософт состояние в Центре обновления Майкрософт может быть недостоверным. После настройки среды WSUS можно включить управление обновлениями. Дополнительные сведения см . в обзоре Диспетчера обновлений Azure.
Соавторы
Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участниками.
Автор субъекта:
- Пол Рид | Старший менеджер по программе соответствия требованиям Azure
Следующие шаги
- Дополнительные сведения о планировании развертывания см. в статье Планирование развертывания WSUS.
- См. сведения об управлении WSUS, настройке графика синхронизации WSUS и других возможностях.