TechNet 雜志：為休眠虛擬機打補丁

作者：Greg Shields 2010-11-26 11:15:30

云計算

虛擬化 一直以來，IT 產(chǎn)業(yè)都將修補視為一份苦差事。它是熬夜加班，打電話說「親愛的，抱歉，我趕不及回去吃晚餐了」的主要原因，修補及修補管理是我們避之唯恐不及的工作。WSUS 有一項限制，就是它的自動化修補機制只有在您需要修補的伺服器或桌上型電腦處于開機狀態(tài)才能執(zhí)行。

成都創(chuàng)新互聯(lián)基于成都重慶香港及美國等地區(qū)分布式IDC機房數(shù)據(jù)中心構(gòu)建的電信大帶寬，聯(lián)通大帶寬，移動大帶寬，多線BGP大帶寬租用,是為眾多客戶提供專業(yè)服務(wù)器托管報價，主機托管價格性價比高，為金融證券行業(yè)成都移動機房，ai人工智能服務(wù)器托管提供bgp線路100M獨享，G口帶寬及機柜租用的專業(yè)成都idc公司。

您討厭修補嗎？我很討厭，修補向來是吃力不討好的工作，而且商業(yè)價值又很低，做起來更加無趣。當(dāng)然，唯一的商業(yè)價值就是知道您可能可以避免未來發(fā)生不可預(yù)期的大災(zāi)難。

一直以來，IT 產(chǎn)業(yè)都將修補視為一份苦差事。它是熬夜加班，打電話說「親愛的，抱歉，我趕不及回去吃晚餐了」的主要原因，修補及修補管理是我們避之唯恐不及的工作。

不過近來的修補管理已經(jīng)不再像以前那么煩人。不久前，我們需要使用龐大的試算表，連結(jié)每個修補程式與修補程式的「MS」號碼和「q」號碼，并配合它的Microsoft 重要性與企業(yè)的優(yōu)先順序，才能做好修補工作。而追蹤哪些修補程式要取代其他修補程式，每月則會耗掉至少半天的時間。

但隨著windows server Update Services (WSUS) 的推出，許多這些缺點都獲得改進。這個簡單卻神奇的省時工具免除了修補工作所需的大部分人力。利用WSUS 加上一點指令碼，甚至可以指示它立即修補電腦，而無須等候下一次排程的周期(這個指令碼還在；想要復(fù)本的話，請瀏覽concentratedtech.com)。

WSUS 有一項限制，就是它的自動化修補機制只有在您需要修補的伺服器或桌上型電腦處于開機狀態(tài)才能執(zhí)行?；诜N種原因而必須關(guān)機的電腦會造成WSUS 的問題。此時就需要設(shè)定修補周期在隔日早上機器重新啟動時立刻開始執(zhí)行，否則系統(tǒng)管理員就必須在前一天晚上另行找出機器并啟動它。

到目前為止，我們都曉得WSUS 的這項限制沒啥大不了。如果使用者讓機器在夜晚修補周期的期間關(guān)機，隔日早上啟動機器時便會看到好意的球形通知，修補程式便會開始安裝。即使在今日，伺服器通常還是會一直處于開機狀態(tài)。這表示伺服器一直在運作，因此能夠從WSUS 修補多載接收指示。

改變配方

自從資料中心轉(zhuǎn)為虛擬化之后，這個輕松的靜態(tài)環(huán)境又再次發(fā)生變化。一旦虛擬化之后，我們的伺服器仍然可能保持持續(xù)開機的狀態(tài)。但是這些虛擬伺服器必須其來有自。對于我們大多數(shù)人來說，這個「有自」就是透過復(fù)制伺服器范本。

伺服器范本很棒，因為它可以幫助我們快速建立新的伺服器，然后用最省力的方法讓伺服器上線。此外還能確保每一部伺服器都是從相同的核心組態(tài)開始運作。但伺服器范本也有黑暗面。雖然這些電腦在孕育新伺服器方面很稱職，但范本本身并不應(yīng)該賦予生命力。

伺服器范本是在某處的檔案共用上以VHD 檔案的形式存在。關(guān)閉時，此檔案實際上處于休眠狀態(tài)。它與大型的Word 檔案或Excel 試算表相差無幾。開啟時，休眠檔案變成完全運作的伺服器，它可以處理正常的工作負載，也可以進行現(xiàn)今惡意程式碼的邪惡工作或其他攻擊方式。

簡言之，如果這些休眠檔案未經(jīng)過修補，就可能成為全新的惡意程式碼發(fā)作的溫床，而原因只不過是它們被啟動了。

開始緊張了嗎？很好，因為這就是 Microsoft Offline Virtual Machine Servicing Tool (目前提供 2.1 版) 的宗旨。這個免費的解決方案加速器會安裝一組自動功能，目的是讓原本為休眠狀態(tài)的虛擬機器(VM) 與WSUS 保持最新狀態(tài)。

為了掌握它的運作方式，請參閱[圖1]。您可以看到裝載System Center Virtual Machine Manager (VMM) 的伺服器如何與其中一個程式庫共用、Hyper-V 主機，以及您的軟體更新管理伺服器互動。此更新管理伺服器可以是WSUS 伺服器，或可用的System Center Configuration Manager (SCCM) 伺服器。無論使用何者，處理程序都差不多。

Offline VM Servicing Tool 使用所謂的「 服務(wù)工作」來管理在VMM 程式庫中為VM 部署更新的工作。這些服務(wù)工作基本上是由Windows 工作排程器在預(yù)定時間開始處理的工作。

當(dāng)服務(wù)工作準備好啟動時，它首先會從VM 的范本位置「喚醒」VM。喚醒作業(yè)牽涉到將VM 部署到Hyper-V 主機，并啟動它。一旦啟動VM 之后，VM 內(nèi)部設(shè)定的Windows Update Agent (WUA) 便會收到指示以開始軟體更新周期。

VM 的WUA 設(shè)定方式與您為所有電腦所使用的設(shè)定相同。您可以透過群組原則套用，或在VM 內(nèi)手動設(shè)定。您必須設(shè)定所有的典型WSUS 設(shè)定，這個處理作業(yè)才能順利執(zhí)行，例如設(shè)定更新服務(wù)位置、所有WSUS 電腦群組，以及您的安全性原則所定義的其他特定特性。

成功更新VM 之后，服務(wù)工作便會關(guān)閉它，并傳回程式庫。這項自動處理程序可確保您的VM (以及基礎(chǔ)結(jié)構(gòu)的其余部分) 都根據(jù)正確的修補程式進行更新。 Offline VM Servicing Tool 不會加入自己的更新管理設(shè)定，反而是依賴您已經(jīng)為WSUS 或SCCM 建立的現(xiàn)有設(shè)定。

事實上，安裝Offline VM Servicing Tool 需要采取幾個步驟，如果您尚未讀過相關(guān)的解決方案加速器指南，可能不太清楚這些步驟。雖然已經(jīng)是2.1 版，但這個工具仍然像是早期發(fā)行的版本。安裝這個工具需要從Microsoft 網(wǎng)站進行主控臺下載。執(zhí)行它則需要額外的步驟，就是將PSExec 二進位檔案(psexec.exe 與pdh.dll 兩者都要) 下載和復(fù)制到工具的bin 資料夾，位置是C:\Program Files\Microsoft Offline Virtual Machine Servicing Tool\bin。另外還必須針對RemoteSigned 設(shè)定Windows PowerShell 執(zhí)行原則。

[圖 2] Offline VM Servicing Tool 主控臺。

安裝之后，它的主控臺(如[圖2] 所示) 實際上只會識別虛擬機器群組來決定到時候哪些機器要接受修補。它也會識別服務(wù)工作，這些服務(wù)工作中包含更新工作的特性。此外，服務(wù)工具只會配合您的VMM 程式庫內(nèi)含的VM 運作。這意味著已經(jīng)部署到Hyper-V 主機的已關(guān)閉VM 將無法使用此工具。

它會用于實際上不是范本的VM，例如您準備好在機器故障或需要額外伺服器時帶上線的熱備援VM。在此情況下，工具建議在熱備援伺服器上使用次要NIC 并部署到隔離網(wǎng)路。這么做可確保當(dāng)您只想要套用最新修補程式時，不會發(fā)生熱備援開始運作的意外。

Microsoft Offline Virtual Machine Servicing Tool 可能并非滿足您所有離線修補需求的全方位解決方案，但是這個工具經(jīng)濟實惠而且功能單純，如果您只想讓某些休眠VM 維持最新狀態(tài)，它可以派上用場?？紤]到手動執(zhí)行更新作業(yè)的痛苦，再加上錯失修補程式可能造成的影響，您就能了解密切掌握所有休眠中但具有潛在危險的VM 有多么重要。

原文地址

本文來源：微軟TechNet中文站

文章名稱：TechNet 雜志：為休眠虛擬機打補丁
轉(zhuǎn)載源于：http://www.dlmjj.cn/article/cdoscos.html