この連載シリーズではこれまで、Azure Update Managerで個別または複数のマシンの設定を管理してきました。今回は、大規模環境に適しているAzure Policyを使用した設定の展開です。
Azure Update Managerの定義済みビルトインポリシー
Azure Update Managerには、定義済みのAzure Policy(ポリシー)対応の5つのビルトインポリシーが提供されています(画面1)。これらのポリシーは、「Azure Update Manager」ブレードの「管理 > ポリシー」で確認できます。
画面1 Azureポリシー対応のAzure Update Managerビルトインポリシー
これらのポリシーを使用すると、大規模な環境(多数のAzure VMおよびAzure Arc対応マシンが存在する環境)を対象に評価を自動化したり、設定を展開することができます。
| ポリシー名(日本語) | 修復タスク | 説明 |
| Configure periodic checking for missing system updates on azure Arc-enabled servers(Azure Arc 対応サーバーで不足しているシステム更新プログラムの定期的なチェックを構成する) | 対応 | Azure Arc対応サーバーで定期評価が有効になっているかどうかを評価 |
| Machines should be configured to periodically check for missing system updates(不足しているシステム更新プログラムを定期的に確認するようにマシンを構成する必要がある) | なし | Azure VMおよびAzure Arc対応サーバーで定期評価が有効になっているかどうかを評価 |
| Schedule recurring updates using Azure Update Manager(Azure Update Manager を使用して定期的な更新をスケジュールする) | 対応 | Azure Update Managerを使用して、Azure VMおよびAzure Arc対応サーバーの定期的な更新をスケジュール設定 |
| Set prerequisite for Scheduling recurring updates on Azure virtual machines.(Azure 仮想マシンで定期的な更新をスケジュールするための前提条件を設定します。) | 対応 | 定期的な更新のスケジュール設定のための、Azure VMの前提条件の設定(パッチオーケストレーションの構成) |
| Configure periodic checking for missing system updates on azure virtual machines(Azure 仮想マシンで不足しているシステム更新プログラムの定期的なチェックを構成する) | 対応 | Azure VMで定期評価が有効になっているかどうかを評価 |
定期評価の設定を大規模に評価する
例えば、Azure Update Managerで管理されているすべてのAzure VM(Azure Local上のVMを含む)およびAzure以外のマシン(Azure Arc対応サーバー)で、定期評価が有効になっているかどうかを確認するには、「Machines should be configured to periodically check for missing system updates(不足しているシステム更新プログラムを定期的に確認するようにマシンを構成する必要がある)」ポリシーを選択して「+ポリシーの割り当て」をクリックし、ポリシーの割り当てを作成します(画面2)。特に既定の設定を変更する必要はありませんが、「コンプライアンス非対応のメッセージ」として分かりやすいメッセージを設定しておくとよいでしょう。
画面2 定期評価が有効になっているかどうかを評価するポリシーを割り当てる
しばらくすると、Azure Update Managerの管理下にあるすべてのAzure VMやAzure Arc対応サーバーにポリシーが割り当てられて評価されます。その結果は、Azure Policyの「ポリシー」ブレードの「コンプライアンス」のページから確認することができます(画面3)。
画面3 ポリシーの評価結果を確認する。Azure VMの1台で定期評価が有効になっていないことが分かる
ポリシーの修復タスクで設定を変更する
定期評価が有効になっていないマシンが少数の場合は、個別に設定を変更すればよいのですが、多数存在する場合は、ポリシーの修復タスクを使用してAzure Policyで設定を展開することができます。Azure VMの場合は、「Configure periodic checking for missing system updates on azure virtual machines(Azure 仮想マシンで不足しているシステム更新プログラムの定期的なチェックを構成する)」ポリシーの「修復」タブで「修復タスクの作成」をチェックして、ポリシーの割り当てを作成します(画面4)。Azure Arc対応サーバーの場合は、「Configure periodic checking for missing system updates on azure Arc-enabled servers(Azure Arc 対応サーバーで不足しているシステム更新プログラムの定期的なチェックを構成する)」ポリシーを使用します。
画面4 Azure VMの定期評価を設定するポリシーを、修復タスクの作成を有効にして割り当てる
ポリシーが割り当てられると、必要に応じて修復タスクが作成、実行され、コンプライアンス非対応だったマシンで定期評価が有効になります(画面5)。なお、実行中の修復タスクの状況は、「ポリシー」ブレードの「修復」ページで確認できます。
画面5 ポリシーで作成された修復タスクによって、すべてのマシンで定期評価が有効になった
定期的な更新のスケジュール設定を一括設定する
Azure Update Managerの管理下にあるすべてのAzure VMとAzure以外のマシン(WindowsおよびLinux)で、共通の定期的な更新スケジュールを設定したい場合は、「Schedule recurring updates using Azure Update Manager(Azure Update Manager を使用して定期的な更新をスケジュールする)」を使用できます。
それには、「Azure Update Manager」ブレードの「リソース > マシン」の「スケジュールの更新」や「管理 > メンテナンス構成(プレビュー)」から、リソース(マシン)に添付しないスケジュール設定を作成します。「管理 > メンテナンス構成(プレビュー)」でメンテナンス構成の「プロパティ」ページを開き、Azure Resource Manager(ARM) ID(/subscriptions/ID)をコピーして、「Schedule recurring updates using Azure Update Manager(Azure Update Manager を使用して定期的な更新をスケジュールする)」ポリシーの割り当て作成時のパラメーターに指定します(画面6)。
なお、Azure VMについては、スケジュール設定のポリシーを割り当てる前に、「Set prerequisite for Scheduling recurring updates on Azure virtual machines.(Azure 仮想マシンで定期的な更新をスケジュールするための前提条件を設定します。)」ポリシーの割り当てを作成して準備しておいてください。
画面6 スケジュール設定ポリシーの割り当てを作成し、パラメーターとしてメンテナンス構成のARM IDを設定する
Azure Update Managerでサーバ更新管理 (1)|(2)|(3)|(4)|(5)|(6)|(7)|(8)|(9)|(10)
