São Paulo, SP 01415-906, Brasil
11 3158-1049
contato@fcnuvem.com.br

Adotando a Solução do Update Management para VMs Azure e non-Azure

A FC Nuvem está sempre antenada nas novidades e benefícios que o mundo digital pode oferecer. E é claro que quer te deixar por dentro também! Nosso blog está aqui para te instruir e informar.

Adotando a Solução do Update Management para VMs Azure e non-Azure

O objetivo desse artigo é explicar e demonstrar o funcionamento do Azure Update Management, também conhecido como Gerenciador de Atualizações, esse recurso nos faz lembrar do Windows Server Update Services (WSUS), porém com algumas diferenças importantes que veremos na sequência.
Diferente do WSUS, com o Azure Update Management, é possível gerenciar atualizações tanto para Windows quanto para Linux e os servidores podem estar funcionando em um ambiente on-premises ou em outros provedores de nuvem, por exemplo, Amazon Web Services (AWS) e você pode controlar as atulizações de servidores que não estão no Azure.   

Quais recursos são necessários para configurar o Update Management? 

Precisamos de apenas dois recursos para possibilitar a implementação do Update Management, o primeiro recurso é uma conta de automação, em inglês automation account e também de um workspace do Log Analytics. 
Antes de habilitar o Update Management, é importante entender como funciona os componentes necessários para essa solução. 
Basicamente, o Log Analytics armazena os dados coletados em um workspace (espaço de trabalho) e a conta de automação nos permite gerenciar as atualizações, além de diversos outros processos. 

Quais são os custos relacionados com o Update Management? 

O Update Management não tem custo, o único custo envolvido é o volume de dados armazenado no Log Analytics. 

Entendendo o Funcionamento do Update Management 

No momento em que o Update Management é habilitado em um VM, automaticamente é feito a instalação de um agente chamado Microsoft Monitoring Agent (MMA), esse agente é responsável por coletar informações relacionadas ao grau de atualização do servidor e encaminhar para o Log Analytics, por padrão, essa verificação ocorre a cada 12 horas para servidores Windows e a cada 3 horas para servidores Linux. 
Depois de encaminhar os dados coletados para o Log Analytics, o Update Management e a lista das atualizações que estão pendentes de serem instaladas nas VMs, atualmente não existe um “botão” para instalar as atualizações imediatamente, portanto deve-se criar um agendamento especificando o horário, tipos de atualização (CriticalService Packs, etc.), VMs e o tempo disponível para a janela de manutenção. 
No horário do agendamento, o agente (MMA) executa uma nova verificação para verificar se as atualizações ainda são necessárias, ou seja, se as atualizações foram instaladas manualmente antes da última coleta do agente, o Update Management simplesmente irá ignorar e informar que a VM está atualizada, de forma bem resumida, é assim que funciona o Update Management. 

Configurando o Update Management 

Quando clicamos em uma máquina virtual no portal do Azure, visualizamos diversas opções disponíveis, por exemplo: Size da VM, discos, métricas e assim por diante, uma das opções disponíveis é justamente o Update Management, conforme imagem abaixo: 

Embora pareça extremamente simples habilitar esse recurso, eu sugiro que essa implementação seja feita por etapas, ou seja, primeiro configurar o workspace do Log Analytics e depois criar a conta de automação, caso contrário, esses dois recursos serão criados com nomes aleatórios, deixando o portal desorganizado. 

Criando um Workspace do Log Analytics 

A primeira etapa é configurar um workspace do Log Analytics. 
1 – No portal do Azure, clique em todos os serviços, na lista de recursos digite Log Analytics. 

2 – Clique em Criar e em seguida, selecione opções para os seguintes itens: 

  • Forneça um nome para o novo workspace
  • Selecione uma Assinatura;
  • Crie um novo grupo de recursos ou utilize um existente;
  • Selecione uma região disponível;
  • Selecione uma camada de preços. 

Atualmente o Log Analytics não está disponível no Brasil, portanto, sugiro que seja criado no Leste dos Estados Unidos (east us). 

3 – Depois de fornecer as informações necessárias no painel, clique em OK. 
Enquanto as informações são verificadas e o workspace é criado, podemos partir para próxima etapa, isto é, criar a conta de automação.

Criando uma Conta de Automação 

Antes de criar a conta de automação, é importante ressaltar que esse recurso nos possibilita executar diversas tarefas de forma automatizada, por exemplo: 

  • Automação de processos através de Runbooks, ou seja, scripts que são executados em ambientes Azure e Non-Azure; 
  • Gerenciamento de configuração através do PowerShell DSC. 

A conta de automação do Azure é composta por uma série de recursos que facilitam a automatização e configuração do ambiente. 
Se você está pensando em desligar suas máquinas virtuais fora do horário comercial para economizar dinheiro, com certeza irá precisar da conta de automação para executar os runbooks que farão esse trabalho para você. 

1 – No portal do Azure, clique em Todos os serviços. Na lista de recursos, digite Automation Account. 

2 – Clique em Criar e em seguida, selecione opções para os seguintes itens: 

  • Forneça um nome para a nova conta de automação; 
  • Selecione uma Assinatura;
  • Crie um novo grupo de recursos ou utilize um existente;
  • Selecione uma região disponível. 

Conforme visto no tópico anterior, atualmente o Log Analytics não está disponível no Brasil, mas a conta de automação sim, porém para que o Update Manamgement funcione corretamente, a conta de automação e o workspace devem estar na mesma região. 

3 – Depois de fornecer as informações necessárias no painel, clique em criar. 

Habilitando o Update Management 

Depois de criar o workspace e a conta de automação, já podemos habilitar o Update Management. 
1 – No portal do Azure, abra a conta de Automação recém criada e selecione Update Management ou Gerenciamento de Atualizações, se estiver em português; 
2 – Selecione opções para os seguintes itens: 

  • Selecione uma localização, note que nesse caso a localização será definida de acordo com a região em que foi criada a conta de automação; 
  • Selecione uma Assinatura; 
  • Selecione o workspace do Log Analytics criado anteriormente;
  • Selecione a conta de automação que estará conectada ao workspace selecionado na opção anterior. 

Assim que concluirmos essa etapa, já podemos adicionar VMs no Update Management. 

Adicionando VMs no Update Management 

1 – No portal do Azure, abra a conta de Automação e selecione Update Management ou Gerenciamento de Atualizações se estiver em português; 
2 – Selecione Add Azure VMs

3 – Selecione a região onde suas VMs encontram-se, o Grupo de Recursos e selecione as VMs que você deseja habilitar o Update Management; 

4 – Feito isso, automaticamente será realizada a instalação do Microsoft Monitoring Agent na VM e após alguns minutos/horas, as informações serão exibidas no Update Management. 
Depois de habilitado, a VM será exibida no Update Management, vejam na imagem abaixo que o status atual da VM é Compliant

Atualmente existem três status possíveis: 

  • Compliant: Servidores com todas as atualizações críticas ou de segurança; 
  • Non-compliantServidores que não têm pelo menos uma atualização crítica ou de segurança; 
  • Not assessed: O agente não reportou os dados com o grau de atualização do servidor. 

Configurando o agendamento das atualizações 

Ainda não existe a possibilidade de aplicar as atualizações imediatamente, ou seja, clicar num “botão” que irá iniciar a instalação das atualizações, porém, acredito que em um futuro próximo essa funcionalidade estará disponível, por enquanto a única forma de aplicar as atualizações é através do agendamento. 
Para agendar uma instalação de atualizações para os servidores, clique em Scheduled Update Deployments, conforme imagem a seguir: 

No painel, insira as seguintes informações: 

  • Nome: Insira um nome exclusivo para identificar a implantação de atualizações; 
  • Sistema Operacional: Selecione Windows ou Linux; 
  • Machines to Update (Computadores para Atualizar): Selecione as máquinas virtuais que você deseja atualizar; 
  • Update Classifications (Classificação das Atualizações): selecione o tipo de atualização que você quer incluir. Os tipos de classificação são: 
    – Critical updates 
    – Security updates
    – Update rollups
    – Feature packs
    – Service packs
    – Definition updates 
    – Tools
    – Updates 
  • Updates to exclude (Atualizações para serem excluídas): Caso selecionada, insira o número do KB;
  • Schedule Settings: Especifique o agendamente para as atualizações;
  • Maintenance Window (Janela de Manutenção): Especifique o tempo em que você deseja que a instalação das atualizações ocorra. Importante ressaltar que, caso a atualização necessite de um restart, a VM será reiniciada automaticamente. 

Visualizando os Resultados da Instalação 

Para visualizar o status das atualizações, clique em Update deployments, conforme imagem abaixo. 

Se a instalação estiver em andamento, o status será In progress e se a instalação estiver concluída com sucesso, o status será alterado para Succeeded, se algum update falhar, o status será Partially failed
Para obter mais detalhes em relação as atualizações que foram instaladas ou que falharam, basta clicar no nome do agendamento, neste caso, “Weekly Update Deployment”, ao clicar será aberto um novo painel com diversas informações relevantes. 

CONCLUSÃO

Acredito que na maioria dos cenários funcionando no Azure, o Update Management certamente substituirá o WSUS, espero ter te ajudado a entender o funcionamento do Azure Update Management. 

Referências

Update Management Overview 

Manage Updates for Multiple Machines

Autor: Daniel Ribeiro da Rosa

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *