数カ月間“再起動なし”のセキュリティ更新を実現するAzure仮想マシンの新機能「ホットパッチ」とは？：Microsoft Azure最新機能フォローアップ（138）

Microsoftは2021年3月初め、2020年9月からパブリックプレビューとして提供している「VMゲストの自動パッチ適用」機能に、新たに「ホットパッチ」を追加しました。ホットパッチを利用すると、最大で6カ月間、仮想マシンの再起動なしでセキュリティパッチを適用できるようになります。

[山市良，テクニカルライター]

Microsoft Azure最新機能フォローアップ

可用性を優先しながらできるだけ早く更新できる「VMゲストの自動パッチ適用」

　オフピークの時間帯にAzure仮想マシン（Azure VM）のゲストOSを自動更新する「VMゲストの自動パッチ適用（Automatic VM guest patching）」機能が、Windows仮想マシンには2020年9月から、Linux仮想マシンには2021年3月からパブリックプレビューとして提供されています（画面1）。これらの機能は、「Azure Automanage」というプレビューサービスの一部です。

• プレビュー：Azure VMでのVMゲストの自動パッチ適用（Microsoft Docs）

画面1　「VMゲストの自動パッチ適用」を利用するには、サポートされるゲストOSの仮想マシン作成時に「ゲストOSの更新プログラム」オプションで「Azure-orchestrated（Preview）」を選択する

　この機能では「重要（Critical）」および「セキュリティ（Security）」に分類される更新プログラムが利用可能になると、自動的に更新プログラムの評価とインストールが行われます。再起動が必要な場合は、仮想マシンのオフピークの時間帯に再起動することで、ダウンタイムを最小限に抑えながら、不足している更新プログラムをできるだけ早く、検出、インストールできます。

　また、Microsoft Azureで提供されるさまざまな可用性オプションに基づき、リージョン間、リージョン内、可用性セット内で可用性を優先するように更新がオーケストレーションされます。サポートされるWindows仮想マシンのゲストOSは、「Windows Server 2012 R2」以降の長期サービスチャネル（LTSC）のDatacenterエディション（デスクトップエクスペリエンスおよびServer Core）、Linux仮想マシンのゲストOSは「Ubuntu Server 18.04 LTS」と「Red Hat Enterprise Linux 7.x」です。

　なお、「VMゲストの自動パッチ適用」および次に説明する「ホットパッチ」のプレビュー機能を利用するには、Azure PowerShellやAzure CLIで機能を有効化する必要があります。

Azure専用のWindows Server 2019で利用可能な「ホットパッチ」とは？

　Microsoftは2021年3月から、Windows仮想マシン向けの「VMゲストの自動パッチ適用」機能に、新たに「ホットパッチ」を追加し、パブリックプレビューを開始しました。

• 新しい仮想マシンのホットパッチ（プレビュー）（Microsoft Docs）

　ホットパッチは現在、「Microsoft Server Operating Systems Preview」オファーの「Windows Server 2019 Datacenter：Azure Edition」プランから新規作成されたAzure仮想マシンでのみ利用できます（※1）。

（※1）正式にサポートされることになるのかどうか定かではありませんが、同じOSビルドベースのAzure Stack HCIについても、Windows UpdateやWindowsServer Update Services（WSUS）経由でAzure Editionと共通のホットパッチが利用可能でした。

［2021年5月13日訂正］累積更新プログラムはAzure Stack HCIとAzure Editionで共通ですが、ホットパッチを利用できるのはAzure仮想マシンとして実行されるAzure Editionのみです。現在、3カ月に一度のベースラインの更新にはAzure Stack HCIと共通のWindowsおよび.NET Frameworkの累積更新プログラムが使用されます。

　通常版の「Windows Server 2019」以前では利用できません。将来的にも、Azure仮想マシン専用の「Azure Edition」の新バージョンに対して提供されることになりそうです。

　ホットパッチ対応の「Windows Server 2019 Datacenter：Azure Edition」は、Windows Server 2019のServer Coreをベースに構築されたAzure仮想マシン専用OSです。Windows Server 2019のOSビルドは「10.0.17763」ですが、Azure EditionのOSビルドは「10.0.17784」でした（画面2）。

画面2　ホットパッチに対応しているのは「Windows Server 2019 Datacenter：Azure Edition」のAzure仮想マシンのみ

　このOSビルドは、2020年12月にリリースされた「Azure Stack HCI」専用OSと同じですが、HCI（ハイパーコンバージドインフラ）用にカスタマイズされたAzure Stack HCIとは異なり、搭載している「サーバーの役割と機能」はWindows Server 2019のServer Coreと同じようです（画面3）。

画面3　「Windows Server 2019 Datacenter: Azure Edition」は、Windows Server 2019 のServer Coreと同じ「サーバーの役割と機能」をサポート

　ホットパッチ用の更新プログラムは毎月第2火曜日（米国時間）にリリースされ、ゲストOSに適用されている最新の累積更新プログラムをベースラインとして、新たなセキュリティパッチが再起動を必要としない更新プログラムとして提供されます。更新が必要なベースラインの更新はプレビュー期間中、3カ月のサイクルで行われ、このサイクルは最大6カ月に延長される予定です。

　2021年3月初めに新規作成したAzure仮想マシンで、3月10日（日本時間）にリリースされたホットパッチのインストールは次のように行われました。

　Azure仮想マシンの「更新プログラム（プレビュー）」のページを開き、「今すぐ評価」をクリックしてしばらくすると、不足しているセキュリティ更新プログラムの一覧が表示されます。この一覧にある「2021-03 Cumulative security Hotpatch for Windows Server 2019：Azure Edition（KB5001080）」が、再起動を必要としないセキュリティ更新用のホットパッチです（画面4）。

画面4　不足している更新プログラムの一覧

　「VMゲストの自動パッチ適用」で「ホットパッチ」機能が有効になっている場合は、Azureのオーケストレーションによって評価やオフピークでのインストールは自動で行われます。すぐにインストールしたい場合は、「今すぐ更新プログラムをインストール」をクリックし、再起動の可能性がある.NET Frameworkのオプションの更新プログラム（セキュリティ更新を含まない）を除外してインストールを開始します（画面5）。ホットパッチのインストールは、「Microsoft Defender」の定義の更新を含め、10分程度で完了しました（画面5）。

画面5　再起動を必要としないホットパッチとMicrosoft Defenderの定義の更新を選択してインストールを開始する

画面6　10分程度で3月の更新は完了

　Windows Serverのセキュリティ更新を含む毎月の累積更新プログラムは、再起動が必要です。ホットパッチによるセキュリティ更新は、セキュリティを維持しながら、長期間、ダウンタイムなしで運用できるということです。

　なお、ホットパッチ用の更新プログラムは、「Windows Update」「Microsoft Update」「Windows Server Update Services（WSUS）」から提供されます。WSUSに同期された更新プログラムのサイズは、Windows Server 2019の2021年3月の累積更新プログラムが約391MBであったのに対し、Azure Edition用のホットパッチの更新プログラムは約140MBでした。そのため、ダウンロードとインストールにかかる時間も短縮されるというメリットもあります。

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Cloud and Datacenter Management（2020-2021）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows版Docker＆Windowsコンテナーテクノロジ入門』（日経BP社）、『ITプロフェッショナル向けWindowsトラブル解決 コマンド＆テクニック集』（日経BP社）。