Если вы заблокировали доступ из Интернета к виртуальной сети Azure из Интернета, вы по-прежнему сможете получать обновления Windows, не жертвуя безопасностью и не открывая доступ ко всему Интернету. Эта статья содержит рекомендации по настройке сети периметра, также называемой промежуточной подсетью, для размещения экземпляра Windows Server Update Service (WSUS), позволяющего безопасно обновлять виртуальные сети без подключения к Интернету.
При использовании Брандмауэра Azure в правилах приложений можно применять теги Windows Update FQDN, чтобы разрешить нужный исходящий сетевой трафик через брандмауэр. См. сведения о тегах FQDN.
Для реализации рекомендаций, описанных в этой статье, необходимо ознакомиться со службами Azure. В следующих разделах описывается рекомендуемая структура развертывания со звездообразной конфигурацией в одном или нескольких регионах.
Звездообразная сетевая топология для виртуальной сети Azure
Мы рекомендуем настроить звездообразную сетевую топологию, создав сеть периметра. Разместите сервер WSUS на виртуальной машине Azure, которая находится в Центре между Интернетом и виртуальными сетями. Центр должен иметь открытые порты. Для получения обновлений от Майкрософт на этом сервере WSUS используются порт 80 для протокола HTTP и порт 443 для протокола HTTPS. Периферийными считаются все остальные виртуальные сети, которые будут обмениваться данными только с концентратором, но не с Интернетом. Это можно сделать, создав подсеть, группы безопасности сети (группы безопасности сети) и пиринг между виртуальными сетями Azure, который обеспечивает трафик WSUS при блокировании другого Интернет-трафика. На этом рисунке показан пример звездообразной сетевой топологии.
Скачайте файл Visio для этой архитектуры.
На этом рисунке:
- WSUSSubnet — является центром в звездообразной сетевой топологии.
- NSG_DS — это группа безопасности сети, которая разрешает трафик WSUS и блокирует весь остальной Интернет-трафик.
- WSUS VM — это виртуальная машина Azure, настроенная для запуска WSUS.
- MainSubnet — это виртуальная сеть (периферийная), содержащая виртуальные машины.
- NSG_MS — это политика группы безопасности сети, которая разрешает трафик от виртуальной машины WSUS и блокирует остальной интернет-трафик.
Вы можете применить в этой топологии существующий сервер или развернуть новый, чтобы настроить на нем сервер WSUS. Для виртуальной машины WSUS рекомендуется, как минимум, следующая конфигурация.
- Операционная система: Windows Server 2016 или более поздней версии.
- Процессор: двойной ядер, 2 ГГц или быстрее.
- Память: 2 ГБ ОЗУ, в дополнение к ОЗУ, требуемой сервером, и всеми другими работающими службами и программным обеспечением.
- Хранилище: 40 ГБ или более.
- Доступ. Доступ к этой виртуальной машине более безопасно с помощью JIT. См. статью Manage virtual machine access using Just-in-time (Управление доступом к виртуальным машинам с помощью JIT).
В вашей сети будет несколько виртуальных сетей Azure, которые могут размещаться в том же или в разных регионах. Вам следует проверить все виртуальные машины Windows Server на предмет пригодности к использованию для сервера WSUS. Если вы будете обновлять несколько тысяч виртуальных машин, мы рекомендуем выделить для роли WSUS отдельную ВМ Windows Server.
Если все виртуальные сети находятся в одном регионе, мы предлагаем выделить отдельный сервер WSUS на каждые 18 000 виртуальных машин. Это предложение основано на сочетании требований к виртуальной машине, количеству обновляемых клиентских виртуальных машин и стоимости связи между виртуальными сетями. Дополнительные сведения о требованиях к емкости WSUS см. в разделе Planing a WSUS Deployment (Планирование развертывания WSUS).
Для расчета затрат на применение этих конфигураций воспользуйтесь калькулятором цен Azure. Здесь необходимо будет указать следующие сведения:
- Виртуальная машина:
- Регион: регион, в котором развернута виртуальная сеть Azure.
- Операционная система: Windows
- Уровень: Стандартный
- Экземпляр: конфигурация D4
- Управляемые диски: HDD уровня "Стандартный", 64 ГБ
- Виртуальная сеть:
- Введите .
- В одном регионе, если передача выполняется в пределах региона.
- Между регионами, если данные перемещаются между регионами.
- Передача данных: 2 ГБ
- Область
- Если передача выполняется в пределах одного региона, выберите регион, в котором находится сервер WSUS и виртуальные сети.
- Если передача происходит между разными регионами, в качестве исходного региона виртуальной сети используется регион сервера WSUS. Регион целевой виртуальной сети — это место, куда направляются данные.
- Если вы используете несколько регионов, вам нужно будет несколько раз выбрать виртуальные сети.
- Введите .
Обратите внимание, что цены будут зависеть от региона.
Ручное развертывание
После того как вы определите виртуальную сеть Azure для использования в качестве центра или определите, что вам нужно создать новый экземпляр Windows Server, необходимо создать правило группы безопасности сети. Это правило будет разрешать интернет-трафик для синхронизации метаданных и содержимого из Центра обновления Windows с создаваемым сервером WSUS. Ниже приведены правила, которые необходимо добавить.
- Правило NSG для входящего и исходящего интернет-трафика через порт 80 (для передачи содержимого).
- Правило NSG для входящего и исходящего интернет-трафика через порт 443 (для передачи метаданных).
- Правило NSG для входящего и исходящего трафика с клиентских виртуальных машин через порт 8530 (если вы не изменяли конфигурацию по умолчанию).
Настройка WSUS
Для настройки сервера WSUS можно использовать один из двух подходов:
- Если вы хотите автоматически настроить сервер для обработки типичной рабочей нагрузки, не отвлекаясь на администрирование, можно использовать скрипт автоматизации PowerShell.
- Если вам нужно обслуживать несколько тысяч клиентов с разными языками и операционными системами или если скрипт PowerShell не поддерживает нужную конфигурацию WSUS, можно настроить сервер WSUS вручную. Оба подхода описаны в этой статье далее.
Вы даже можете сочетать эти два подхода, например использовать скрипт автоматизации для выполнения основной работы, а затем через консоль администрирования WSUS добавить или изменить нужные параметры сервера.
Настройка WSUS с помощью скрипта автоматизации
Скрипт Configure-WSUSServer позволяет быстро настроить сервер WSUS, который будет автоматически синхронизировать и утверждать обновления для ограниченного набора продуктов и языков.
Примечание.
Этот скрипт всегда настраивает для WSUS использование внутренней базы Windows для хранения данных об обновлении. Это ускоряет настройку и упрощает администрирование. Но если ваш сервер будет работать с несколькими тысячами клиентских компьютеров, особенно при большом разнообразии продуктов и языков, вам лучше вручную настроить для WSUS использование SQL Server в качестве базы данных.
Последняя версия этого скрипта доступна на сайте GitHub.
Скрипт настраивается с помощью файла JSON. Доступные для настройки в настоящее время параметры перечислены ниже.
- Будут ли полезные данные обновления храниться локально (и если да, то где именно) или останутся на серверах корпорации Майкрософт.
- Какие продукты, классификации обновления и языки будут доступны на сервере.
- Будет ли сервер автоматически утверждать установку обновлений или оставлять их неутвержденными до вмешательства администратора.
- Будет ли сервер автоматически получать новые обновления от корпорации Майкрософт (и если да, то как часто).
- Будут ли использоваться пакеты экспресс-обновления. (Пакеты экспресс-обновления снижают нагрузку на сеть при взаимодействии сервера с клиентом, но при этом повышают потребление ресурсов ЦП и диска на клиенте и объем передаваемых между серверами данных.)
- Будет ли скрипт изменять созданные ранее настройки. (Обычно этот скрипт выполняется только один раз для каждого сервера, чтобы избежать случайного изменения конфигурации, приводящего к нарушению работы.)
Скопируйте скрипт и файл конфигурации в локальное хранилище, а затем внесите в файл конфигурации все нужные настройки.
Предупреждение
Будьте внимательны при изменении файла конфигурации. В файлах конфигурации JSON очень строгий синтаксис. Если случайно изменить структуру файла, а не значения параметров, файл конфигурации не будет загружаться.
Этот скрипт можно запустить одним из двух способов:
Его можно запустить вручную на виртуальной машине WSUS.
Следующая команда, выполняемая из окна командной строки с повышенными привилегиями, установит и настроит службы WSUS. Он будет использовать скрипт и файл конфигурации в текущем каталоге.
powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json
Вы можете использовать Расширение пользовательского сценария для Windows.
Скопируйте скрипт и файл конфигурации JSON в собственный контейнер хранилища.
Для правильной работы сценария в типичных конфигурациях виртуальной машины и виртуальной сети Azure Расширению пользовательского сценария требуются только два следующих параметра. (Следует заменить значения, приведенные здесь, URL-адресами для расположения хранилища.)
"fileUris": ["https://mystorage.blob.core.windows.net/mycontainer/Configure-WSUSServer.ps1","https://mystorage.blob.core.windows.net/container/WSUS-Config.json"], "commandToExecute": "powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json"
Этот скрипт запустит начальную синхронизацию, которая требуется для предоставления обновлений клиентским компьютерам. Но скрипт не будет ожидать завершения этой синхронизации. В зависимости от выбранного набора продуктов, классификаций и языков, начальная синхронизация может длиться несколько часов. Все последующие синхронизации будут выполняться быстрее.
Настройка WSUS вручную
На виртуальной машине WSUS откройте диспетчер сервера и щелкните Добавить роли и компоненты.
Нажимайте кнопку Далее, пока не откроется страница Выбор роли сервера. Откройте Службы обновления Windows Server. Щелкните Добавить компоненты на странице с запросом Добавить компоненты, требуемые для работы служб Windows Server Update Services?.
Нажимайте кнопку Далее, пока не откроется страница Выбор служб ролей.
- По умолчанию лучше использовать параметр Подключение WID.
- Используйте подключение SQL Server, если необходимо поддерживать клиенты, использующие множество различных версий Windows (например, Windows 11 и Windows 10).
Нажимайте кнопку Далее, пока не откроется страница Выбор расположения содержимого. Введите расположение, в котором будут храниться обновления.
Нажимайте кнопку Далее, пока не откроется страница Подтверждение выбранных элементов для установки. Выберите Установить.
Откройте установленные службы Windows Server Update Services и щелкните Запустить.
Нажимайте кнопку Далее, пока не откроется страница Подключение к вышестоящему серверу. Выберите элемент Начать подключение.
Нажимайте кнопку Далее, пока не откроется страница Выбор языков. Выберите нужные языки.
Нажимайте кнопку Далее, пока не откроется страница Выбор продуктов. Выберите нужные продукты.
Нажимайте кнопку Далее, пока не откроется страница Выбор классификаций. Выберите необходимые обновления.
Нажимайте кнопку Далее, пока не откроется страница Настройка расписания синхронизации. Выберите удобное расписание для синхронизации.
Нажимайте кнопку Далее, пока не откроется страница Готово. Выберите Запустить начальную синхронизацию, а затем нажмите кнопку Далее.
Нажимайте кнопку Далее, пока не откроется страница Что дальше, а затем нажмите кнопку Готово.
Щелкнув имя WSUS (например, WsusVM) на панели навигации, вы увидите, что параметр Состояние синхронизации имеет значение Неактивно, а параметр Результаты последней синхронизации — значение Успешно.
В области навигации выберите Параметры>Компьютеры>Использовать групповую политику или параметры реестра на компьютерах. Нажмите ОК.
Во время синхронизации WSUS определяет, появились ли новые обновления с момента последней синхронизации. Если это первая синхронизация для сервера WSUS, метаданные скачиваются немедленно. Полезные данные скачиваются, только если включено локальное хранилище и обновление утверждено хотя бы для одной группы компьютеров.
Примечание.
Начальная синхронизация может занять больше часа. Все последующие синхронизации будут выполняться намного быстрее.
Настройка виртуальных сетей для обмена данными с WSUS
Затем настройте пиринг между виртуальными сетями Azure или пиринг между глобальными виртуальными сетями для взаимодействия с центром. Мы рекомендуем создать отдельный сервер WSUS в каждом регионе развертывания, чтобы добиться минимальной задержки.
В каждой периферийной виртуальной сети Azure необходимо создать политику NSG с перечисленными ниже правилами.
- Правило NSG для входящего и исходящего трафика с виртуальной машины WSUS через порт 8530 (если вы не изменяли конфигурацию по умолчанию).
- Правило NSG для запрета входящего и исходящего интернет-трафика.
Теперь создайте пиринг между виртуальными сетями Azure от периферийной сети до сети концентратора.
Клиентская VM
- Для обеспечения дополнительной безопасности можно удалить связанный с виртуальной машиной общедоступный IP-адрес. Дополнительные сведения см. в статье Просмотр, изменение параметров или удаление общедоступного IP-адреса.
- Дополнительные сведения о более безопасном доступе к виртуальной машине с помощью JIT-компилятора см. в статье Manage virtual machine access using Just-in-time (Управление доступом к виртуальным машинам с помощью JIT).
Настройка клиентских виртуальных машин
WSUS можно использовать для обновления любой виртуальной машины под управлением Windows (за исключением ценовой категории "Домашняя"). Выполните следующие действия на каждой виртуальной машине клиента, чтобы обеспечить связь между WSUS и клиентом.
Действия на клиентской виртуальной машине
- Откройте редактор групповых политик (или редактор управления групповыми политиками).
- Выберите элемент Конфигурация компьютера>Административные шаблоны>Компоненты Windows>Центр обновления Windows.
- Включите политику Указать размещение службы обновлений Майкрософт в интрасети.
- Введите URL-адрес
http://\<WSUS name>:8530
. (Имя сервера WSUS (например, WsusVM) можно найти на странице "Службы обновления".) Применение этого параметра может занять несколько часов. - Последовательно выберите Параметры>Обновления и безопасность>Центр обновления Windows.
- Выберите Проверить наличие обновлений.
Действия на виртуальной машине WSUS
- Откройте Windows Server Update Services.. Здесь в списке Компьютеры>Все компьютеры должна появиться новая клиентская виртуальная машина.
- Выберите элемент Обновления>Все обновления.
- Для параметра Утверждение установите значение Все, кроме отклоненных.
- Для параметра Состояние установите значение Требуется. Теперь вы увидите все требуемые обновления для клиентской виртуальной машины.
- Щелкните правой кнопкой мыши любое из обновлений и выберите Утвердить.
Проверка
- На клиентской виртуальной машине перейдите в раздел Параметры>Обновления и безопасность>Центр обновления Windows.
- Выберите Проверить наличие обновлений. Здесь вы увидите обновление с тем же номером статьи базы знаний (например, 4480056), которое вы утвердили на виртуальной машине WSUS.
Если вы администратор, управляющий большой сетью, ознакомьтесь со статьей Настройка автоматических обновлений и обновления расположения служб, чтобы узнать как применять параметры групповой политики для автоматической настройки клиентов.
Развертывание WSUS для нескольких облаков
Вы не сможете настроить пиринг между виртуальными сетями сразу в нескольких частных или общедоступных облаках. Для сетей, которые развернуты в нескольких частных или общедоступных облаках, потребуется хотя бы один сервер WSUS в каждом из этих облаков.
Примечания о поддержке
В настоящее время сервер WSUS не поддерживает синхронизацию с Windows ценовой категории "Домашняя".
Управление обновлениями Azure
Вы можете применить Управление обновлениями в Azure для управления графиком обновлений ОС для тех виртуальных машин, которые синхронизируются с сервером WSUS. Состояние обновления для виртуальной машины (т. е. сведения о недостающих обновлениях) вычисляется на основе того источника, с которым синхронизируется эта виртуальная машина. Если виртуальная машина под управлением Windows настроена на взаимодействие с WSUS, то в зависимости от времени последней синхронизации WSUS с Центром обновления Майкрософт состояние в Центре обновления Майкрософт может быть недостоверным. После настройки среды WSUS можно включить управление обновлениями. См. сведения об Управлении обновлениями и процедуре подключения.
Соавторы
Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участниками.
Автор субъекта:
- Пол Рид | Старший менеджер по программе соответствия требованиям Azure
Следующие шаги
- Дополнительные сведения о планировании развертывания см. в статье Планирование развертывания WSUS.
- См. сведения об управлении WSUS, настройке графика синхронизации WSUS и других возможностях.