🐔

WSUS が今後廃止されるらしいので Google Cloud の VM Manager のパッチ機能について解説・検証

2025/02/03に公開

はじめに

こんにちは。
クラウドエースの中野(大)と申します。
今回は Google Cloud の Compute Engine (GCE) の VM Manager のパッチ機能についての解説と実際に Windows Server へ更新プログラム適用の検証をしようと思います。

この記事を執筆しようとした理由

最近 Microsoft が Windows Server Update Services (WSUS) を今後廃止するという情報を目にし、
WSUS が廃止されることを機に早めにインフラを Google Cloud へ乗り換えたいと思う方が Google Cloud に同様のサービスが存在するか不明な方や、
Google Cloud の VM Manager のパッチ機能については現時点 (2025 年 1 月時点) ではサービスが終了するなどの情報は確認できていないため、良いタイミングだと思い、今回実際に解説・検証してみました。

WSUS とは

まず、将来的に廃止される予定のサービスである WSUS について簡単に説明します。
WSUS とは Windows Server に標準で搭載されている Windows、Windows Server の更新プログラムを管理、適用する機能です。
WSUS を導入することで、管理しているクライアントの自動での更新プログラムの適用を防いだり、更新プログラムを適用する時間帯を制限することができます。

VM Manager のパッチ機能とは

VM Manager のパッチ機能は、Google Cloud 上の仮想マシン (VM) の OS やソフトウェアパッケージを最新の状態に保つための機能です。
VM Manager が WSUS と異なるのは以下のような点です。

  • 管理対象は Google Cloud 上の仮想マシンのみ (オンプレミス環境の Windows クライアントやサーバは管理できない)
  • VM Manager のパッチ機能は Windows だけでなく、Linux などの OS も対象として更新プログラムを適用することが可能
  • WSUS は管理対象の GPO (Group Policy Object) などの設定が一部必要だが、VM Manager の場合は OS Config エージェントをインストールしメタデータを設定するだけで使用可能な点 (2020 年 1 月以降の標準イメージは OS Config エージェント導入済み)

検証

実際に VM Manager でパッチ適用の検証をしていきます。今回は Windows Server 2016 を対象にしました。
下記の更新プログラムが 1 月 14 日に来ていたため、これを適用するサンプル手順で説明します。

Windows Server の準備

GCE で Windows Server を作成します。

スペックは以下です。

項目
仮想マシン名 win2016
OS Windows Server 2016 Datacenter Edition
ロケーション asia-northeast1-a
マシンタイプ e2-medium
ディスクサイズ 100 GB

ポートは RDP 接続に必要な 3389 を開放しています。

Windows Update 画面
インスタンスで表示した Windows Update 画面
仮想マシンへ RDP 接続し、Windows Update の状態を確認してみます。
VM Manager で更新プログラム適用前の Windows Update の Update history (更新履歴)は上記のような画面で、仮想マシン作成後から何も更新プログラムを適用していない状態となっています。

VM Manager の準備とパッチ適用


まず、VM Manager のパッチ画面を確認していきます。
上記のような画面でパッチを適用できる仮想マシンの台数と OS が表示されます。
※「データなし」となっているものは VM Manager(OS Config API)有効後に仮想マシンが一度も実行中になっていないため、OS の情報が取得できていないからです。
画面上部にある「パッチジョブの作成」をクリックします。


「VM インスタンスを手動で選択する」にチェックを入れ、更新プログラムを適用する仮想マシンを選択します。
今回は Windows Server 2016 の仮想マシンへ更新プログラムを適用したいため、事前に作成しておいた win2016 という名前の仮想マシンを選択して「次へ」をクリックします。


パッチジョブ名を入力して適用するパッチの種類を選択します。
今回は 「All critical updates」と「All Security updates」を選択しました。


パッチを適用する時間帯を設定します。
ここで利用者が少ない夜間帯や早朝帯を選択することで、パッチ適用による業務の支障を減らすことができます。
今回は今すぐ開始を選択しました。


更新プログラムを適用する GCE のゾーンを選択します。
複数のゾーンで動作している仮想マシンへ同時に更新プログラムを適用したい場合は「同時に複数のゾーン」を選択します。
今回は 1 台しか作成していないため、一度に 1 つのゾーンを選択しました。


パッチ適用後に適用した仮想マシンを再起動するか選択し、更新プログラムの適用を実行します。
今回は「常に」を選択して仮想マシンが再起動されるか確認しました。
また、パッチを適用した前後で仮想マシンへスクリプトを適用することができます。


アップデート実行時には、結果の部分が「ジョブ実行中」になります。


アップデートが完了した場合は結果の部分が「正常に完了」となり、更新されたインスタンス数が増えます。
期間の部分は 1 時間と表示されていますが、筆者が確認してみたところ 1 時間は目安でパッチ適用量に応じて 1 時間かからずに終了する時もありました。


更新プログラム適用後の Windows Update 画面
更新プログラム適用後の Windows Server に RDP 接続して更新プログラムが適用できているか確認します。
更新プログラム適用前の画面と比較すると Windows Update の Update history (更新履歴)に今回適用した更新プログラムが適用されていることが分かります。
これで Windows Server への更新プログラムの適用は完了です。

まとめ

Google Cloud の VM Manager のパッチ機能について解説と検証しました。
VM Manager のパッチ機能を使用することで、WSUS 使用時とあまり変わらずに Windows の更新プログラムの適用、管理ができます。
また、記事前半で記述した通り、新たに更新プログラムがリリースされ次第、KB ごとの更新プログラムの適用の検証記事を執筆しようと思います。
WSUS がいつ廃止されるかは不明ですが、早めにインフラ環境を Google Cloud へ乗り換える一つの参考になったら幸いです。

Discussion