Azure Managed Service Column ＜Azure運用コラム＞仮想マシンの再起動を回避して長期運用を実現！ホットパッチ機能について解説します！

Azure環境における仮想マシンのホットパッチについて概要、メリットとデメリット、利用方法、注意事項を解説

近年、 DX 化の推進に伴い、クラウドサービスが急速に普及しています。そのことによってクラウド環境におけるセキュリティと可用性の確保がますます重要な課題になっています。

Microsoft 社は 2022 年 2月に、これまでプレビュー機能だった Azure 環境で動作する仮想マシンのホットパッチ機能を正式にリリースしました。Azure のホットパッチ機能は、仮想マシンの OS カーネルに対してパッチや更新プログラムを適用するための機能です。さらに再起動を必要とせずにセキュリティの脆弱性を修正し、サービスの中断を最小限に抑えることも可能になります。

本記事では、このホットパッチ機能について概要、メリットとデメリット、利用方法、注意点について解説します。

1. ホットパッチとは？

ホットパッチとは、 Azure の仮想マシンで利用可能な機能のひとつで、実行中のオペレーティングシステム（ OS ）カーネルに対して、パッチや更新プログラムを適用するための機能です。

通常、 OS のパッチや更新プログラムを適用するためには、システムの再起動が必要であり、再起動によってサービスの停止やパフォーマンスの低下が発生することが懸念されていました。しかしホットパッチを活用することで、仮想マシン内の OS カーネルに対して、パッチを適用する再起動を回避し、サービスの継続性と可用性の向上を実現することができます。

メリット

ホットパッチは、リアルタイムのセキュリティパッチや重要な更新プログラムの適用に有効な機能です。主に以下のようなメリットがあります。

• 再起動の回数が減り、サービスのダウンタイムを最小限に抑えることができる。
• 脆弱性を素早く修正し、セキュリティ強化できる。
• 通常業務への影響を、最小限にすることができる。
• Azure Update Manager でパッチオーケストレーションが容易になり、迅速に展開できる。

デメリット

反対にホットパッチには以下のようなデメリットもあります。

• すべてのパッチがホットパッチに対応しているわけではない。
• ホットパッチを使用するには、特定の OS バージョンと設定が必要な場合がある。
• OS のカーネルをリアルタイムに更新するため、一時的にリソースの使用量が増加する場合があり、これにより一時的なパフォーマンス低下を引き起こす可能性がある。

このようにホットパッチの利用にあたっては、具体的な状況や要件を考慮し、メリットとデメリットを総合的に評価する必要があります。

2. ホットパッチの仕組み

それではホットパッチの仕組みについて解説します。ホットパッチを理解するために、まずは Windows Update について理解する必要があります。

ベースラインについて

ホットパッチは、 Windows Update のベースライン（基準計画）に基づいて定期的にリリースされ、最新の累積的な更新プログラムを適用して更新されます。ベースラインには計画されたものと計画外のものと 2 種類存在します。

計画ベースライン

計画ベースラインは、定期的にリリースされるアップデートプログラムです。その月の更新プログラムをすべて含み、再起動が求められます。

計画外ベースライン

ゼロデイ修正など、重要な更新プログラムがリリースされるアップデートプログラムです。こちらも再起動が求められます。

ベースラインとホットパッチの関係

ホットパッチは、ベースラインに基づいて機能し、有効化するために再起動を必要としない　Windows セキュリティ更新プログラムを対象としています。ベースラインのルールに基づいて構築され、更新プログラムは毎月リリースされます。

また計画外ベースラインがリリースされるときは、その月のホットパッチのリリースが計画外ベースラインと置き換えられ、置き換えられた場合は、計画外ベースラインの適用ルールに基づき再起動が求められます。

図版出典：Microsoft公式サイト

対象となるプラットフォームとリリース予定

ホットパッチは現在、 Windows Server 2022 Datacenter （ Azure Edition Server Core ）にて一般提供が開始されています。今後、 Azure Stack HCI でも利用可能になる予定です。またホットパッチは、すべてのグローバルな Azure リージョンにおいて利用可能です。

ホットパッチのリリース情報は、 Microsoft 公式サイトで確認が可能です。またリリース情報は変更となる場合があるので、最新の情報を公式サイトにてご確認ください。

図版出典：Microsoft公式サイト

3.ホットパッチの利用方法

利用開始までの手順

ホットパッチの利用手順を解説します。ホットパッチは通常の仮想マシン作成と同様の手順で構成することが可能です。

1.仮想マシンイメージの入手

Azure Marketplace にアクセスして、仮想マシンイメージを入手し、 Azure portal で仮想マシンを作成します。

図版出典：Microsoft公式サイト

2.ホットパッチの有効化

仮想マシン作成時に「ホットパッチを有効にする」をチェックします。またホットパッチは、パッチオーケストレーションと組み合わせることで、更新プログラムの評価とインストールのスケジューリングを Azure に任せ、自動運用することが可能です。

図版出典：＠IT

3.ホットパッチの運用

利用手順は以上となります。作成された仮想マシンは[重大] または [セキュリティ] に分類されているパッチを自動的にダウンロードし仮想マシンに適用します。

尚、パッチは仮想マシンが構成されたタイムゾーンで「ピーク外」の時間帯に適用され、パッチオーケストレーションが Azure によって管理され、可用性優先の原則に従ってパッチが適用されます。詳しくは公式サイトをご確認ください。

ホットパッチ運用の注意事項

ホットパッチの運用における注意事項について解説します。

テスト・検証を行う

前述した通り、ホットパッチはセキュリティの更新プログラムを対象としており、すべてのパッチや更新プログラムに対応しているわけではありません。そのため、計画ベースライン、計画外ベースラインを考慮したテストと検証は欠かせません。

パフォーマンスへの影響を考慮する

ホットパッチは、カーネルのリアルタイムな更新を行います。基本的には構成されたリージョンのアイドルタイムに適用される設定になっていますが、一時的にリソースの使用量が増加し、パフォーマンスに影響を与える可能性があるので、利用状況によって見直す必要があります。

パッチ適用のトラブルシューティング

ホットパッチの適用時に問題が発生した場合、トラブルシューティングが必要になる可能性があります。適切なログや監視メカニズムを設定し、パッチ適用後のシステムの状態を確認できるようにしておくことも重要です。

4.まとめ

ホットパッチは、 Azure の仮想マシンにおける OS のパッチや更新プログラム適用に革新をもたらす機能です。従来の再起動を必要とする手法とは異なり、ホットパッチを活用することでサービスの中断を最小限に抑えながらセキュリティの強化やシステムの更新が可能となります。

本記事ではホットパッチの概要、メリット、デメリット、利用方法、注意点について解説しました。セキュリティやサービスの可用性を向上させたい企業や組織にとって、ホットパッチは貴重な機能となるでしょう。是非ご検討してみてはいかがでしょうか。また自社での導入や運用を難しく感じられる場合、専門家の支援を推奨いたします。

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

• 

  Azure Managed Lustreとは？高性能ファイルシステムを解説

• 

  クラウド上のデータを強固に保護するAzure Confidential Computingについて解説します