Azure仮想マシンのパッチ管理を大幅に省力化する「Update Management」：Microsoft Azure最新機能フォローアップ（47）

クラウドサービスプロバイダーが提供するハイパーバイザー上に仮想マシンを展開し、実行できるIaaSでは、仮想マシンのゲストOSから上層を利用者が管理します。ゲストOSのパッチ管理は、仮想マシンインスタンスの安定稼働とセキュリティ維持に特に重要です。Azure仮想マシンの「Update Management」機能を利用すると、Azureポータルから不足しているOSのパッチを確認し、パッチをスケジュールに基づいて自動展開できます。

[山市良，テクニカルライター]

連載目次

OMS由来のパッチ管理機能、Azure仮想マシンなら数クリックで簡単に開始

　2018年2月初旬現在、プレビュー提供中のAzure仮想マシンの「Update Management」機能は、もともとは「Microsoft Operations Management Suite（OMS）」のソリューション「更新の管理（Update Management）」として登場しました。

　OMSは、オンプレミスとクラウドの両方をカバーするクラウドベースの運用管理サービスで、オンプレミス、Azure仮想マシン、他社クラウド上で稼働するWindows Server／Linux仮想マシンのパッチ管理（不足している更新プログラムの評価と更新の展開スケジュール）に対応しています（画面1）。

画面1　OMSの「更新の管理」ソリューションを利用したオンプレミスのパッチ管理

　Microsoft AzureのUpdate Management機能は、OMSの「Log Analytics」と「Automation」サービス、そして管理対象に展開する「Microsoft Monitoring Agent」で実現され、Windows ServerとLinux仮想マシンに対して更新プログラムの適用状況の評価とスケジュール展開が可能です。Windows Serverは、Windows Server 2008／2008 R2 Service Pack 1（SP1）以降の更新管理が可能です。Linuxは、CentOS、Red Hat Enterprise Linux（RHEL）、SUSE Linux Enterprise Server（SLES）、Ubuntuに対応しています。詳細な要件は、以下のOMSのドキュメントで確認してください。

• OMSの更新管理ソリューション（Microsoft Azure）

　Log AnalyticsおよびAutomationサービスは、Microsoft Azureにも統合されています。「Azureリソースマネージャー（ARM）」対応のAzure仮想マシンでは、これらのサービスを利用して「Update Management（プレビュー）」を直接構成し、利用することができます。この際、OMSへのサインアップは必要ありません。Update Management機能は、2017年10月からプレビュー提供が開始されており、仮想マシンの「Update Management（プレビュー）」ブレードから開始できます（画面2）。

画面2　ARM対応のAzure仮想マシンでは、OMSを使用せずに単体でUpdate Managementを簡単に有効化できる

　なお、OMSの「更新の管理」ソリューションを利用したパッチ管理は、AzureポータルのAutomationアカウントの「Update Management（プレビュー）」ブレードから行うこともできます。Microsoft Monitoring AgentはAzure仮想マシンに組み込み済みであるため、既にOMSを利用中の場合は、仮想マシンのタイプ（ARMまたはクラシック）に関係なく、パッチ管理をOMSのサービスの対象にすることも簡単にできます（仮想マシンのコントロールパネルの「Monitoring Agent」アプレットで追加できます）。

• Preview：Update management, inventory, and change tracking in Azure Automation（プレビュー開始のアナウンス）［英語］（Microsoft Azure）
• Keeping your environment secure with Update Management［英語］（Microsoft Azure Blog）
• Azure AutomationでWindows更新プログラムを管理する（Azure Automationのユーザードキュメント）

不足している更新プログラムを確認し、展開スケジュールを作成

　Update Managementを有効化してしばらくすると（15分程度）、Azure仮想マシンに自動展開および構成されるMicrosoft Monitoring Agentから、インストール済みの更新プログラムに関する情報が収集、分析され、不足している更新プログラムがリストアップされます（画面3）。これには、Log Analyticsサービスが利用されています。

画面3　Azure仮想マシンに不足している更新プログラムを確認する

　「更新プログラムの展開スケジュール」を作成すると、日時を指定した1回限りのスケジュールか、定期的なスケジュール（時間、日、週、月）を作成して、更新プログラムのインストールを自動化できます（画面4）。

画面4　更新プログラムのインストールのスケジュール設定。特定の更新プログラムをKB番号で除外することも可能

　このスケジュール実行には、Automationサービス（Runbookの実行）が利用されています。なお、更新プログラムのインストール完了に再起動が必要な場合は、スケジュールに指定したメンテナンス期間（既定は120分）内に再起動されます。

複数の仮想マシンのパッチ管理をシングルコンソールで実現

　Update ManagementはAzure仮想マシンごとの設定ですが、同じAutomationアカウントでセットアップすることで、複数のAzure仮想マシンのパッチ管理を1つのコンソールから行えます（画面5）。また、複数のAzure仮想マシンを対象とした、1回限りまたは定期的な展開スケジュールを作成することも可能です。

画面5　同じAutomationアカウントでセットアップすることで、1つのコンソールで複数のAzure仮想マシンのパッチ管理が行える

　Azure仮想マシンの（OMSを使用しない）Update Management機能を試用した感想は、異なる環境にあるAzure仮想マシンを1つのコンソールで一元的にパッチ管理できると便利だということです。Windows Server Update Services（WSUS）のようなパッチ管理ソリューションを自前で用意する必要がありませんし、WSUSを利用するとなるとネットワークセグメントやトラフィックが問題になるでしょう。

　Update Managementであれば、相互接続されていない複数の仮想ネットワークセグメントに分散された仮想マシンでも、地理的に離れたデータセンター（リージョン）にある仮想マシンでも、1つのコンソールで管理できます。

　1つ気になった点は、Update Managementの機能とは直接関係ないことですが、Windows Server 2016の更新のインストールと再起動には時間がかかることがよくあるということです。2018年1月の累積品質更新プログラムのインストールは、Update Managementの既定のメンテナンス期間である120分で完了しませんでした。

最新情報

　2018年3月1日付けで、「Azure Automation」サービスの名称が「App Services」に変更されます。また、OMSのUpdate Management（更新管理）サービスは、「App Services Update Management」としてAzureに統合されます。

• Azure Automation 測定名の変更（Microsoft Azure）

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Cloud and Datacenter Management（Oct 2008 - Sep 2016）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。