ビジネス継続性のために Azure VM にスケジュールされたパッチ適用を構成する

[アーティクル]
12/20/2024

適用対象: ✔️ Windows VM ✔️ Linux VM ✔️ Azure VM。

この記事は、ビジネス継続性を確保するために新しい前提条件を使用して、Azure VM に対してスケジュールされたパッチ適用とゲスト仮想マシン (VM) の自動パッチ適用を構成する方法の概要です。 Azure Arc VM 上で両方のパッチ適用オプションを構成する手順は変わりません。

現時点では、Azure portal でパッチモードを [Azure-orchestrated] または REST API で [AutomaticByPlatform] に設定することで、ゲスト VM の自動パッチ適用 (自動パッチ) を有効にできます。この場合、パッチはピーク外の時間帯に自動的に適用されます。

パッチのインストールの制御をカスタマイズするために、スケジュールされたパッチ適用を使用してメンテナンス期間を定義できます。 Azure portal でパッチモードを [Azure-orchestrated] に設定するか、REST API で [AutomaticByPlatform] に設定し、Azure VM にスケジュールをアタッチすることで、スケジュールされたパッチ適用を有効にできます。そのため、VM のプロパティは、両方のパッチモードが [Azure-orchestrated] に設定されているため、スケジュールされたパッチ適用とゲスト VM の自動パッチ適用を区別できませんでした。

場合によっては、VM からスケジュールを削除すると、VM の自動パッチが適用されて再起動される可能性があります。この制限を克服するために、新しい前提条件が導入されました。この前提条件 ByPassPlatformSafetyChecksOnUserSchedule を true に設定することで、スケジュールされたパッチ適用を使用して VM を識別できるようになりました。これにより、このプロパティが true に設定されている VM は、関連付けられたメンテナンス構成がない場合、自動パッチ適用されなくなります。

重要

スケジュールパッチ適用を継続するには、2023 年 6 月 30 日までにスケジュールがアタッチされているすべての Azure VM (既存または新規) で、新しい VM プロパティである BypassPlatformSafetyChecksOnUserSchedule が有効になっていることを確認する必要があります。この設定により、自動パッチ適用ではなく、構成したスケジュールを使用してマシンにパッチが適用されます。 2023 年 6 月 30 日までに有効にしないと、前提条件が満たされていないというエラーが発生します。

可用性セットでのスケジュールされたパッチ適用

共通の可用性セット内のすべての VM が同時に更新されることはありません。

共通の可用性セット内の VM は、更新ドメインの境界内で更新されます。複数の更新ドメインにまたがる VM が同時に更新されることはありません。

同じ可用性セットのマシンに異なるスケジュールで同時にパッチが適用されるシナリオでは、メンテナンス期間を超えた場合にパッチが適用されないか、障害が発生する可能性が高くなります。これを回避するには、メンテナンス期間を長くするか、同じ可用性セットに属するマシンを異なる時間の複数のスケジュールに分割することをお勧めします。

Azure VM でスケジュールされたパッチ適用を有効にする

Azure VM でスケジュールされたパッチ適用を有効にするには、次の手順に従います。

前提条件

パッチオーケストレーション = カスタマーマネージドスケジュール

パッチオーケストレーションオプションを[カスタマーマネージドスケジュール]として選択します。新しいパッチオーケストレーションオプションを使用すると、お客様からの同意後、お客様に代わって次の VM プロパティを有効にします。

パッチモード = Azure-orchestrated
BypassPlatformSafetyChecksOnUserSchedule = TRUE

新しい VM に対して有効にする

スケジュールに関連付けられる新しい VM のパッチオーケストレーションオプションを選択できます。

パッチモードを更新するには、次の手順を実施ください。

Azure portal にサインインします。
[仮想マシン] に移動し、[作成] を選択して [仮想マシンの作成] ページを開きます。
[基本] タブで、すべての必須フィールドを入力します。
[管理] タブの [ゲスト OS の更新プログラム] の [パッチオーケストレーションオプション] で、[Azure-orchestrated]を選択します。
[監視]、[詳細設定]、[タグ] タブでエントリを入力します。
[確認および作成] を選択します。 [作成] を選択して、適切なパッチオーケストレーションオプションを使用して新しい VM を作成します。

新しく作成された VM にパッチを適用するスケジュールを設定するには、次のセクション「既存の VM に対して有効にする」の手順 2 に従います。

既存の VM に対して有効にする

既にスケジュールに関連付けられている、または新たにスケジュールに関連付けられる予定の既存の VM に対して、パッチオーケストレーションオプションを更新できます。

パッチオーケストレーション が [Azure-orchestrated] または [Azure マネージド - 安全なデプロイ (AutomaticByPlatform)] として設定されていて、BypassPlatformSafetyChecksOnUserSchedule が false に設定され、スケジュールが関連付けられていない場合、VM は自動パッチ適用されます。

パッチモードを更新するには、次の手順を実施ください。

Azure portal にサインインします。
Azure Update Manager に移動し、[更新設定] を選択します。
[更新設定の変更] で、[マシンの追加] を選びます。
[リソースの選択] で VM を選び、[追加] を選びます。
[更新設定の変更] ウィンドウの [パッチオーケストレーション] で、[カスタマーマネージドスケジュール] を選び、[保存] を選びます。

上記手順実施後、スケジュールをアタッチします。

BypassPlatformSafetyChecksOnUserSchedule が有効になっているかどうかを確認するには、[仮想マシン] ホームページに移動し、[概要]>[JSON ビュー] を選択します。

前提条件

パッチモード = AutomaticByPlatform
BypassPlatformSafetyChecksOnUserSchedule = TRUE

Windows VM で有効にする

PATCH on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2023-03-01`

{ 
  "location":"<location>", 
  "properties": { 
    "osProfile": { 
      "windowsConfiguration": { 
        "provisionVMAgent": true, 
        "enableAutomaticUpdates": true, 
        "patchSettings": { 
          "patchMode": "AutomaticByPlatform", 
          "automaticByPlatformSettings":{ 
            "bypassPlatformSafetyChecksOnUserSchedule":true 
          } 
        } 
      } 
    } 
  } 
}

Linux VM で有効にする

PATCH on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2023-03-01`

{ 

  "location":"<location>", 
  "properties": { 
    "osProfile": { 
      "linuxConfiguration": { 
        "provisionVMAgent": true, 
         "patchSettings": { 
           "patchMode": "AutomaticByPlatform", 
           "automaticByPlatformSettings":{ 
             "bypassPlatformSafetyChecksOnUserSchedule":true 
            } 
         } 
      } 
    } 
  } 
}

前提条件

パッチモード = AutomaticByPlatform
BypassPlatformSafetyChecksOnUserSchedule = TRUE

Windows VM で有効にする

$VirtualMachine = Get-AzVM -ResourceGroupName "<resourceGroup>" -Name "<vmName>"
Set-AzVMOperatingSystem -VM $VirtualMachine -Windows -PatchMode "AutomaticByPlatform"
$AutomaticByPlatformSettings = $VirtualMachine.OSProfile.WindowsConfiguration.PatchSettings.AutomaticByPlatformSettings
 
if ($null -eq $AutomaticByPlatformSettings) {
   $VirtualMachine.OSProfile.WindowsConfiguration.PatchSettings.AutomaticByPlatformSettings = New-Object -TypeName Microsoft.Azure.Management.Compute.Models.WindowsVMGuestPatchAutomaticByPlatformSettings -Property @{BypassPlatformSafetyChecksOnUserSchedule = $true}
} else {
   $AutomaticByPlatformSettings.BypassPlatformSafetyChecksOnUserSchedule = $true
}
 
Update-AzVM -VM $VirtualMachine -ResourceGroupName "<resourceGroup>"

Linux VM で有効にする

$VirtualMachine = Get-AzVM -ResourceGroupName "<resourceGroup>" -Name "<vmName>"
Set-AzVMOperatingSystem -VM $VirtualMachine -Linux -PatchMode "AutomaticByPlatform"
$AutomaticByPlatformSettings = $VirtualMachine.OSProfile.LinuxConfiguration.PatchSettings.AutomaticByPlatformSettings
 
if ($null -eq $AutomaticByPlatformSettings) {
   $VirtualMachine.OSProfile.LinuxConfiguration.PatchSettings.AutomaticByPlatformSettings = New-Object -TypeName Microsoft.Azure.Management.Compute.Models.LinuxVMGuestPatchAutomaticByPlatformSettings -Property @{BypassPlatformSafetyChecksOnUserSchedule = $true}
} else {
   $AutomaticByPlatformSettings.BypassPlatformSafetyChecksOnUserSchedule = $true
}
 
Update-AzVM -VM $VirtualMachine -ResourceGroupName "<resourceGroup>"

Note

Azure portal、REST API、PowerShell、Azure CLI を使って、スケジュールされたパッチ適用の新しい前提条件を有効にできるようになりました。

Azure VM でゲスト VM の自動修正プログラムの適用を有効にする

現時点でAzure VM でゲスト VM の自動修正プログラムの適用を有効にするには、次の手順に従います。

Azure Portal
REST API

前提条件

パッチモード = Azure-orchestrated

新しい VM に対して有効にする

スケジュールに関連付けられる新しい VM のパッチオーケストレーションオプションを選択できます。

パッチモードを更新するには、次の手順を実施ください。

Azure portal にサインインします。
[仮想マシン] に移動し、[作成] を選択して [仮想マシンの作成] ページを開きます。
[基本] タブで、すべての必須フィールドを入力します。
[管理] タブの [ゲスト OS の更新プログラム] の [パッチオーケストレーションオプション] で、[Azure-orchestrated]を選択します。
[監視]、[詳細設定]、[タグ] タブでエントリを入力します。
[確認および作成] を選択します。 [作成] を選択して、適切なパッチオーケストレーションオプションを使用して新しい VM を作成します。

既存の VM に対して有効にする

パッチモードを更新するには、次の手順を実施ください。

Azure portal にサインインします。
[Update Manager] に移動し、[更新設定] を選択します。
[更新設定の変更] ウィンドウで、[マシンの追加] を選択します。
[リソースの選択] ウィンドウで VM を選び、[追加] 選択します。
[更新設定の変更] ウィンドウの [パッチオーケストレーション] で、[Azure マネージド - 安全なデプロイ] を選び、[保存] を選択します。

前提条件

パッチモード = AutomaticByPlatform
BypassPlatformSafetyChecksOnUserSchedule = FALSE

Windows VM で有効にする

PATCH on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2023-03-01`

{ 

  "location":"<location>", 
  "properties": { 
    "osProfile": { 
      "windowsConfiguration": { 
        "provisionVMAgent": true, 
        "enableAutomaticUpdates": true, 
        "patchSettings": { 
          "patchMode": "AutomaticByPlatform", 
          "automaticByPlatformSettings":{ 
            "bypassPlatformSafetyChecksOnUserSchedule":false 
          } 
        } 
      } 
    } 
  } 
}

Linux VM で有効にする

PATCH on `/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVirtualMachine?api-version=2023-03-01`

{ 
  "location":"<location>", 
  "properties": { 
    "osProfile": { 
      "linuxConfiguration": { 
        "provisionVMAgent": true,  
        "patchSettings": { 
          "patchMode": "AutomaticByPlatform", 
          "automaticByPlatformSettings":{ 
            "bypassPlatformSafetyChecksOnUserSchedule":false 
          } 
        } 
      } 
    } 
  } 
}

ユーザーシナリオ

シナリオ	Azure で調整	BypassPlatformSafetyChecksOnUserSchedule	関連付けられているスケジュール	Azure での想定される動作
シナリオ 1	はい	正	はい	スケジュールされたパッチは、ユーザーの定義に従って実行されます。
シナリオ 2	はい	正	いいえ	自動パッチとスケジュールされたパッチは実行されません。
シナリオ 3	はい	False	はい	自動パッチとスケジュールされたパッチは実行されません。スケジュールされたパッチの前提条件が満たされていないというエラーが表示されます。
シナリオ 4	はい	False	いいえ	VM に自動パッチが適用されます。
シナリオ 5	いいえ	True	はい	自動パッチとスケジュールパッチは実行されません。スケジュールされたパッチの前提条件が満たされていないというエラーが表示されます。
シナリオ 6	いいえ	True	いいえ	自動パッチとスケジュールされたパッチは実行されません。
シナリオ 7	いいえ	False	はい	自動パッチとスケジュールされたパッチは実行されません。スケジュールされたパッチの前提条件が満たされていないというエラーが表示されます。
シナリオ 8	いいえ	False	いいえ	自動パッチとスケジュールされたパッチは実行されません。

次のステップ

スケジュールされたパッチ適用の高度な機能である動的スコープについて学習します。
動的スコープのさまざまな操作を管理する方法の手順に従います
1 つの VM と大規模な VM の両方に対して作成されたスケジュールに従って、更新プログラムを自動的にインストールする方法を学習します。
スケジュールされたメンテナンス構成の前後にタスクを自動的に実行するための事前および事後イベントについて学習します。

次の方法で共有

ビジネス継続性のために Azure VM にスケジュールされたパッチ適用を構成する

可用性セットでのスケジュールされたパッチ適用

関連付けられたスケジュールを持つ VM を検索する

Azure VM でスケジュールされたパッチ適用を有効にする

前提条件

新しい VM に対して有効にする

既存の VM に対して有効にする

前提条件

Windows VM で有効にする

Linux VM で有効にする

前提条件

Windows VM で有効にする

Linux VM で有効にする

Azure VM でゲスト VM の自動修正プログラムの適用を有効にする

前提条件

新しい VM に対して有効にする

既存の VM に対して有効にする

前提条件

Windows VM で有効にする

Linux VM で有効にする

ユーザーシナリオ

次のステップ

フィードバック

その他のリソース

次の方法で共有

ビジネス継続性のために Azure VM にスケジュールされたパッチ適用を構成する

可用性セットでのスケジュールされたパッチ適用

関連付けられたスケジュールを持つ VM を検索する

Azure VM でスケジュールされたパッチ適用を有効にする

前提条件

新しい VM に対して有効にする

既存の VM に対して有効にする

Azure VM でゲスト VM の自動修正プログラムの適用を有効にする

前提条件

新しい VM に対して有効にする

既存の VM に対して有効にする

ユーザー シナリオ

次のステップ

フィードバック

その他のリソース

ユーザーシナリオ