Azure Lab Serviceを使うときはWindows Updateの適用タイミングにも気を付けましょう、という話

Azure Lab Serviceとは?

Azure Lab Serviceは、Azure上で仮想マシン(以下VM)を利用できるサービスなのですが、通常の仮想マシンサービスと異なり、テンプレートを元に大量に展開する事が簡単に出来るサービスです。

OSをあらかじめ日本語にしておいたり、研修で利用するファイルやスクリプトをデスクトップにあらかじめコピーしておいたり、Windowsの機能があらかじめインストールされた状態にする、といった事が可能です。

一般的な構築、運用の用途というよりは、研修などで威力を発揮するサービスだと思います。

Azure Lab Service利用時に気を付けた方がいいこと

Azure Lab Serviceでは、テンプレートVMをコピーして利用者用VMを作成するのですが、Windows Updateの適用状態もテンプレートに準拠します。

そのため、1月中にテンプレートを準備して3月に利用する、といった使い方をすると、利用者が利用するタイミングで新しい更新プログラムがリリースされており、利用中にWindows Updateが裏で実行される、といった事が発生する可能性が高いです。

Windows Updateが実行されるとVM全体のパフォーマンスに影響します。特に顕著なのがWindowsの役割や機能をインストールするときです。例えば、Active Directory ドメインサービスの役割のインストールは通常3-4分で終わるのですが、裏でWindows Updateが実行されている状態だと、1時間以上かかってしまう事があります。

セキュリティを考えると適用された方がいいのですが、利用中にパフォーマンスがここまで落ちるのは厳しいですね。

利用中のWindows Updateを抑制するために

テンプレート利用前にWindows Updateを実施する

Windows Updateをテンプレートでオフにしてしまう、というのも手かもしれませんが、それをやってしまうと、1年間まったく更新してないVMを利用者に配布する、といったことが起こるのでお勧めしません。また、そもそも、Azure Lab Service上のVMには更新ポリシーが適用されており、更新そのものをオフには出来ない可能性が高いです。

Azure Lab Service上のWindows Server 2019におけるWindows Updateの更新ポリシー

なので、基本的には、「利用前にテンプレート側でWindows Updateを実行し、更新したイメージを利用者用に配布する」のが基本となります。

定期的なセキュリティ更新プログラムのリリーススケジュールを把握する

せっかくテンプレートで更新をかけても、実際に利用するまでに新しい更新が出ると結局同じことが発生します。

記事執筆時点では、セキュリティ更新プログラムは、日本時間で毎月第2水曜または第3水曜に公開されています。

更新プログラムのリリース→テンプレートへの更新プログラムの適用→Azure Lab Service利用日→次の更新プログラムのリリース、となるようにタイミングを狙うとベターです。

msrc-blog.microsoft.com

更新の一時停止を利用する

とはいえ、そううまくタイミングを調整してテンプレートをメンテナンスすることが難しい、というケースもあるかと思います。

そんな時は、更新の一時停止機能を使います。この機能をオンにすると、Windows Updateは35日間停止されます。

Windows Update 更新の一時停止

そのため、セキュリティ更新プログラムのリリーススケジュールに関わらず、「利用の一か月以内にマスタを最新にしてから利用者向けに配布」という事だけ守れば、利用中の意図しないWindows Updateを防ぐことが出来ます。

注意点

今回の回避策は、Azure Lab Serviceで作成した利用者VMは、半日や一日など短い時間で削除するような運用を前提にしています。一か月の研修で同じVMを継続的に利用する、といったケースではお勧めしません。

セキュリティと利便性を考慮の上でご検討ください。

投稿者プロフィール
舟越 匠

舟越 匠

人材戦略部に所属。社内向けの技術研修をメインにしつつ、JBS Tech BlogやMS認定資格取得の推進役もやっています。資格としてはAzure Solutions Architect Expertを所持。Power AutomateやLogic Appsで楽をするのが好きです。

執筆記事一覧