前回(vol.112)から始まった「Azure Update Managerでサーバー更新管理」連載シリーズでは、WSUSの後継候補の1つであるAzure Update Managerの導入方法や使い方を評価していきます。今回は、Azureがあればすぐに利用できる、Azure VMでの使い方から始めましょう。一通りの手順を確認しておくことで、Azure Arc経由で管理することになる、Azure以外の場所のマシンの更新管理にも役立ちます。
Azure VMの要件
Azure Update Managerでは、Azure仮想マシン(VM)の更新プログラムの管理機能を無料で利用できます。
Azure MarketplaceイメージからデプロイしたWindowsおよびLinuxサーバーオペレーティングシステム(OS)を実行するAzure VMの場合、更新プログラムをAzure Update Managerで管理するために何も準備する必要はありません。必要なことは、Azure VMが実行中であることだけです。
Azure Update Managerは、Azure VM標準の(必須の)VMエージェントだけでAzure VMの更新を管理することができます。Windowsの場合は「Azure VM Windows Agent(WindowsAzureGuestAgent.exe)」、Linuxの場合は「waagent」です(画面1)。AzureのVMエージェントはAzure Marketplaceイメージに標準で組み込まれているため、Azure Update Managerのために何も準備が必要ないというわけです。なお、Azure Update Managerから更新操作を行うと、Azure VMエージェントを介して、Azure Update Managerのための2つの拡張機能(Windows/LinuxPatchExtensionとWindows/LinuxOSUpdateExtension*1)がプッシュインストールされますが、これらの拡張機能を「仮想マシン」ブレードの「設定|拡張機能とアプリケーション」には表示されないようです。
*1 これらの拡張機能については、次回以降のオンプレミスのWindows/Linuxマシンの追加の際に説明します。
画面1 Azure Update Managerは、Azure標準のVMエージェント(WindowsAzureGuestAgent.exe、waagent)を介して、ゲストOSの更新を管理する。Azure上でVM(および拡張機能やアプリケーション)が問題なく動作しているのなら、VMエージェントのプロセスを改めて確認する必要はない
カスタムイメージ(VHD)をAzureにアップロードしてデプロイする場合は、以下のドキュメントに従ってAzure用に準備してください。AzureのVMエージェントの組み込みは、その手順に含まれます。繰り返しますが、Azure Update Managerのために特別な追加手順は必要ありません。
Azure にアップロードする Windows VHD または VHDX を準備する(Microsoft Learn)
Azure でのイメージング用に Linux を準備する|Azure(Microsoft Learn)
初めての方には「作業の開始」チュートリアルがお勧め
Azure Update Managerをまだ使ったことがない、「仮想マシン」ブレードの「操作|更新プログラム」は使用したことがあるが、Azure Update Managerは使用していないという場合は、「Azure Update Manager」ブレードの「作業の開始」ページから始めるのがお勧めです(画面2)。WindowsとLinuxの2台のAzure VMを対象に、手動(オンデマンド)での更新プログラムの確認、インストール、およびスケジュールによる自動化などの設定を行ってみましょう。
画面2 Azureポータルの「Azure Update Manager」ブレードにある「作業の開始」
最初に、現在のAzure VMで利用可能な更新プログラムを手動(オンデマンド)で確認し、保留中の更新プログラムがある場合は、手動(オンデマンド)でインストールを開始します。それには、「作業の開始」ページの「オンデマンドの評価と更新」にある「更新プログラムの確認」をクリックします。この操作は「概要」ページや「リソース|マシン」ページの上部にある「更新プログラムの確認」から開始することもできます。
「リソースを選択して更新プログラムを確認する」のページに実行中のマシンを選択し(この例ではAzure VMのみですが、Azure以外のマシンが接続中で実行中であればここで選択できます)、「更新プログラムの確認」ボタンをクリックします(画面3)。
画面3 更新プログラムの確認(評価)を開始する
評価(更新プロラムの確認)が開始され、しばらくして完了すると「評価が成功しました」と通知されます。評価が完了したら、「作業の開始」ページの「オンデマンドの評価と更新」にある「マシンごとの更新プログラムのインストール」をクリックします。この操作は「概要」ページや「リソース|マシン」ページの上部にある「1回限りの更新」から開始することもできます。
「1回限りの更新をインストールする」ページが表示されるので、「+マシンの追加」をクリックして、「リソースの選択」で先ほど評価を完了したマシンのうち保留中の更新プログラムが存在するマシンを選択して「追加」ボタンをクリックします(画面4)。保留中の更新プログラムがあるマシンが存在しない場合はページ右上の「X」をクリックして「リソースの選択」と「1回限りの更新をインストールする」ページを閉じてください。1台以上のマシンを追加すると、保留中の更新プログラムが「インストールする選択済みの更新プログラムのプレビュー」一覧に表示されます。更新プログラムを確認したら「次へ」ボタンをクリックします(画面5)。
画面4 保留中の更新プログラムが存在するマシンを追加する
画面5 インストール対象の更新プログラムを確認する
次に、再起動オプション(既定は必要に応じて再起動)とメンテナンス期間(既定は235分)を選択し、最後に「インストール」ボタンをクリックします(画面6)。
画面6 再起動オプションとメンテナンス期間を設定して、インストールを開始する
更新プログラムの数やサイズ、再起動の必要性によって、インストールにはしばらく時間がかかりますが、少なくともメンテナンス期間内に完了するように、メンテナンス期間を調整してください。インストールが終了したかどうかは、時間をおいて「更新プログラムの確認」を再実行して、保留中の更新プログラムが存在しなくなったことを確認します。または、マシンごとの更新の履歴を確認します。マシンごとの履歴は、「Azure Update Manager」ブレードの「リソース|マシン」から特定のVMを選択して、「履歴」タブに切り替えます(画面7)。「Azure Update Manager」ブレードの「管理|履歴」では、複数のマシンの履歴を1か所で確認できます。
画面7 マシンごとの更新プログラムのインストール履歴を確認する
定期評価とパッチオーケストレーションの設定
評価やテスト用のAzure VMなど、必要時にのみ開始して利用するマシンの場合、毎回、ここまでの操作を「作業の開始」または「概要」ページ、または「リソース|マシン」ページからマシンごとに開始すればよいでしょう。常時稼働しているマシンの場合は、評価やインストールをスケジュール実行するように設定することで、更新プログラムのインストールを自動運用することができます。
評価やインストールをスケジュール実行するためには、「作業の開始」ページの「オンデマンドの評価と更新」の「設定の更新」をクリックして、設定します。この操作は、「概要」ページや「リソース|マシン」ページの上部にある「設定の更新」から行うこともできます。
「更新プログラムの設定を変更する」ページで「+マシンの追加」をクリックし、設定を行う(実行中の)マシンを追加し、少なくとも「定期評価」と「パッチオーケストレーション」の2つを設定します(画面8)。定期評価を有効にすると、24時間ごとに評価が自動実行され、保留中の更新プログラムの確認が行われるようになります。「ホットパッチ」については、また別の機会に触れます。*1
画面8 定期評価とパッチオーケストレーションを設定する
Azure VMでは以下のパッチオーケストレーションのいずれかを構成できます。〇×は対象のサーバーOSで利用可(〇)/不可(×)を示します。パッチオーケストレーションは、Azure Arc対応サーバーではサポートされていません。スケジュール構成を添付するか、Windows Updateの自動/手動更新を使用します。
| パッチオーケストレーション | 説明 | Windows | Linux |
| Customer Managed Schedules(カスタマーマネージドスケジュール) | リソース(マシン)に添付されたメンテナンス構成に従ってインストールや再起動をスケジュールします。 | 〇 | 〇 |
| Azureマネージド - 安全なデプロイ | 更新中のVMのグループに対して、Azureプラットフォームにより更新が調整されます。このモードでは、VMゲストの自動パッチ適用が有効になり、可用性を優先して調整されます。管理の負担を軽減しながら、セキュリティコンプライアンスを維持できます。*2 | 〇 | 〇 |
| Windows 自動更新 | Windows Updateの自動更新が使用されます。マシン上で実行されているワークロードが可用性目標を満たす必要がない場合に適しており、更新プログラムは自動的にダウンロードされ、必要に応じて再起動されます。 | 〇 | × |
| イメージの既定値 | VMを作成するのに使用されたイメージの既定のパッチ設定を使用します。このオプションはLinux VMでのみサポートされます。 | × | 〇 |
パッチオーケストレーションを「CustomerManagedSchedules(カスタマーマネージドスケジュール)」にした場合は、「概要」ページや「リソース|マシン」ページの上部にある「スケジュールの更新」をクリックして、再起動オプションやスケジュール(開始日、メンテナンス期間、繰り返し設定など)、スケジュール構成を添付するリソース(マシン)、更新プログラムの分類など、新しいスケジュール構成を作成してマシンに添付します。例えば、Windowsの場合、日本時間で毎月第2火曜日の翌日(日本時間でのBリリースの日)にスケジュールを設定することができます(画面9)。なお、パッケージオーケストレーションを「Azureマネージド - 安全なデプロイ」にした場合も、スケジュール構成を添付することが可能です。*2
画面9 スケジュール構成を作成して、リソース(マシン)に添付する
前回説明したように、Azureポータルの「仮想マシン」ブレードの「操作|更新プログラム(または更新)」は、Azure Update Managerのサブセット機能へのアクセスを提供します。Azure VMごとの設定や更新の管理はそこから行うこともできます。「作業の開始」のチュートリアルを一通り実施すれば、「Azure Update Manager」ブレードの他のページはもちろん、「仮想マシン」ブレードの「操作|更新プログラム」での操作に迷うこともないでしょう。なお、このAzure Update Managerのサブセット機能は、Azure Arc経由で接続されるAzure以外のマシンでも利用できます。
*1 Windows Serverのホットパッチについては、以下の記事でも解説しています。
vol.71 Azureだけだったホットパッチ機能、オンプレやAzure以外でも利用可能に(体感ビデオ付)|Windows Server 2025大特集(8)
*2 VMゲストの自動パッチ適用の詳細とスケジュール構成との関係については、以下のドキュメントで確認してください。
Azure Virtual Machines とスケール セットのゲストの自動パッチ適用|Azure(Microsoft Learn)
ビジネス継続性のために Azure VM にスケジュールされたパッチ適用を構成する|Azure(Microsoft Learn)
