Azure Update Management : présentation et mise en œuvre

Azure Update Management permet de gérer de manière centralisée les mises à jour de sécurité, de fonctionnalités et diverses des machines virtuelles déployées sur Azure et celles présentes localement. Pour ce faire, la solution nécessite des ressources Azure :

Azure Log Analytics Workspace

Azure Automation

  • Azure Automation : Permet la gestion des tâches de déploiements des mises à jour vers les machines.
  • Azure Log Analytics Workspace : Espace de travail gérant les logs de mises à jour afin d’assurer le   service et superviser l’état des mises à jour.

La solution est compatible avec Azure Lighthouse et prend en charge le déploiement sur de multiples abonnements au sein d’un même tenant.

Les systèmes d’exploitation suivants sont pris en charge :

  • Windows : Utilise l’agent Log Analytics et nécessite un rapport Microsoft Update.
  • Linux : Utilise l’agent Log Analytics et un référentiel local ou distant.

Par rapport aux services de gestion des mises à jour traditionnels tél que WSUS, MDT ou autre, ici le service se gère au travers d’un point centrale Web.
Aussi, elle ne nécessite pas d’infrastructure couteuse et vous pouvez optimiser la gestion de vos mises à jour :

  • Il n’est pas nécessaire d’être dépendant d’un AD pour gérer les mises à jour via GPO au travers de WSUS ou SCCM.
  • La personnalisation des options de déploiements est plus facilement gérable et granulaire selon vos besoins par rapport à l’usage d’une GPO.
  • La gestion des logs des MàJ est simplifié grâce à Azure Workspace Log Analytics qui peut traiter massivement un ensemble de données rapidement et avoir des analytiques à jour instantanément.
  • Prise en charge native de Linux.
  • Programmation de l’installation à l’heure souhaitée (11h35 par exemple) selon la fenêtre de maintenance que vous définissez.

Il faut tout de même garder à l’esprit que nous sommes sur un service cloud et par conséquent, dépendant de la bande-passante.

Mise en œuvre d’Azure Update Management

Prérequis

Pour fonctionner, Azure Update Management dépend de 2 services Azure :

  • Azure Automation : Permet la gestion des tâches de déploiements des mises à jour vers les machines.
  • Azure Log Analytics Workspace : Espace de travail gérant les logs de mises à jour afin d’assurer le   service et superviser l’état des mises à jour.

Nous allons déployer celles-ci et les interconnecter afin d’activer Azure Update Management.
Pour ce faire, vous devez avoir les droits de contributeur sur la souscription où le déploiement sera effectué.

Déploiement des ressources Azure

Azure Automation

Depuis le portail Azure, déployer 1 ressource Azure Automation, et définir les paramètres suivants puis créer la ressource :

  • un nom de ressource
  • un groupe de ressource
  • une identité système
  • un accès public

Azure Log Analytics Workspace

Ensuite, déployer 1 ressource Azure Log Analytics Workspace avec les paramètres suivants puis créer la ressource :

  • un nom de ressource
  • un groupe de ressource

Activer la gestion des mises à jour

Se rendez sur le compte Automation et cliquer sur Gestion des mises à jour.
Définir l’espace de travail Log Analytics à utiliser ; celui que l’on vient de créer et cliquer sur Activer.

Une fois l’activation effectuée, actualiser la page pour voir le dashboard de l’Update Management.

Intégration des VMs dans Update Management

Pour intégrer des VM à Azure Update Management, rendez-vous dans la liste des VMs Azure puis sélectionnez celles qui sont à intégrer. Celles-ci doivent être allumées.

Ensuite, cliquer sur Services > Update Management. Sélectionner une configuration personnalisée puis sélectionner l’espace de travail adéquat. Enfin, cliquer sur Activer.

Exploiter Update Management

Actions d’administration

Une fois intégrées, se rendez dans la Gestion des mises à jour depuis le compte Automation. Le menu d’actions propose plusieurs options :

  • Planifier le déploiement de la mise à jour : Planifier le déploiement des mises à jour disponibles sur les machines intégrées à Azure Update Management.
  • Ajouter des machines virtuelles Azure : Ajouter des VM déployées sur Azure sur lesquelles gérer les mises à jour.
  • Ajouter une machine non-Azure : Ajouter une machine hébergée au sein de votre infrastructure locale et installer l’agent.
  • Gérer des machines : Permet de gérer l’activation de la gestion des mises à jour des VM liées à l’espace de travail.

L’option d’activation sur les ordinateurs disponibles et à venir ne signifie pas que les VM déployées dans le futurs seront automatiquement prises en compte. Il sera nécessaire d’ajouter manuellement la VM à l’espace de travail Log Analytics.

Information de débug : Une fois la gestion des mises à jour activée, Microsoft indique qu’un délai de 15 minutes est nécessaire pour que les informations remontent dans Azure. Nous remarquons rapidement que ce délai peut être plus long et allé jusqu’à 24 heures.
Dans le cas où aucune information n’est présente au-delà de 24 heures, vous pouvez déconnecter et reconnecter la/les VMs à l’espace de travail Azure Analytics. Cela aura pour effet de déclencher rapidement une récupération des informations d’état et de suivi des mises à jour de la/les VMs concernées.

Planifier un déploiement de MàJ

Maintenant que les machines sont intégrées à Azure Update Management, nous allons planifier un déploiement des dernières mises à jour disponibles. Dans notre exemple, il y aura une VM à mettre à jour.

Suivre les planifications

De retour sur le tableau de bord d’Azure Update Management, le déploiement créé est visible dans l’onglet Planification de déploiement.

Il est également possible de suivre un déploiement en cours d’exécution depuis l’onglet Historique. Un rapport plus détaillé par tâche est disponible en cliquant sur le nom d’une tâche historisée.

Vérifier sur un ordinateur Windows l’installation des MàJ

Enfin, pour vérifier l’installation des mises à jour sur votre VM ciblée, se rendre dans le Panneau de configuration > Programmes et fonctionnalités > Voir les mises à jour installées.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.