Azure现在自动在Windows VM上安装安全更新

9月10日消息：微软现在宣布了一项新的Azure功能，称为自动VM guest虚拟机补丁程序，旨在针对新发现的漏洞自动应用补丁程序Windows虚拟机。新功能现已在Azure上的Windows虚拟机的公共预览中发布，旨在通过自动修补Azure虚拟机(VM)来帮助管理员维护其环境的安全合规性。

在启用了VM的VM上，修补程序将在Windows Update每月发布的30天内安装，但仅在非高峰时间安装。

目前，在Public Preview中，自动VM guest虚拟机修补程序具有以下特征：

• 分类为关键或安全性的修补程序会自动下载并应用到VM。
• 在虚拟机时区的非高峰时段应用补丁。
• 修补程序编排由Azure管理，并按照可用性优先原则应用修补程序。
• 监视通过平台运行状况信号确定的虚拟机运行状况，以检测修补失败。
• 适用于所有VM大小。

还提供按需补丁评估

微软解释说：“启用自动VM guest虚拟机修补程序后，将定期评估VM，以确定适用于该VM的修补程序。”

“被归类为“关键”或“安全”的更新将在非高峰时间自动下载并应用到VM。补丁编排由Azure管理，并且补丁将按照可用性优先原则进行应用。”

虽然Azure将对启用了自动VM guest虚拟机补丁程序的VM执行定期补丁程序评估，但管理员还可以随时针对其任何VM触发按需补丁程序评估。

微软补充说：“补丁评估可能需要几分钟才能完成，并且最新评估的状态会在虚拟机的实例视图上更新。”

如何启用VM guest虚拟机自动修补

“要启用自动VM guest虚拟机修补，请确保属性osProfile.windowsConfiguration.enableAutomaticUpdates设置为真，在VM模板定义。在创建虚拟机时，此属性只能设置”微软说。

在虚拟机上启用后，Azure平台会自动安装Microsoft.CPlat.Core.WindowsPatchExtension扩展，启用后在非高峰时间最多需要三个小时。

在“公共预览”中，自动VM guest虚拟机修补程序仅支持使用非常短的OS平台映像列表创建的VM(并定期添加更多)，包括以下Windows Server SKU：2012-R2-Datacenter，2016-Datacenter，2016-Datacenter-服务器核心，2019-数据中心，2019-数据中心-服务器核心。

为了使此功能在虚拟机上正常运行，要求VM安装有Azure VM代理，运行Windows Update服务，必须能够访问Windows Update终结点并且必须使用Compute API版本2020-06-01或更高版本。 。

在开始发布该功能之前，需要在公开预览时使用加入程序才能使用该功能。

不建议将预览版用于生产环境，因为它的某些功能可能带有受限的功能或当前不受支持，因此不建议在生产环境中使用。