[重要: 2018 / 1 / 6 更新] [告知] 2018 年 1 月 2 日より Azure IaaS 仮想マシンのメンテナンス期間が開始します


※ 更新 2018/1/6  FAQ  の "Q. 今回の CPU 脆弱性についてのセキュリティ対策にあたって Azure 上のゲスト OS の対応が必要か" を更新しました。

※ 更新 2018/1/5  FAQ  の "Q. 強制再起動対象の VM を知りたい" を更新しました。

※ 更新 2018/1/4 <重要> 最終更新時間 23:40 (FAQ の追記、ならびに重複した内容をまとめました) 

業界全体に影響を及ぼす、ハードウェア ベースのセキュリティの脆弱性が本日公開されました。これを受けて、Azure では計画メンテナンスを前倒ししております。

日本時間 2018 年 1 月 4 日 午前 8:30 より、メンテナンス対象の仮想マシンは順次再起動されます。可用性セット内の VM は同時にダウンしないよう考慮されます。セルフサービス期間は当時刻をもって終了しており、Azure ポータルの Virtual Machines ブレードにおいて [メンテナンス] 列は非表示となっています。

詳細な発表内容は以下を参照してください。


CPU
の脆弱性から Azure のお客様を保護するために
https://blogs.technet.microsoft.com/jpaztech/2018/01/04/securing-azure-customers-from-cpu-vulnerability/

 

FAQ

Q. 本変更について通知があるか

A. 本アップデートの通知は、Azure Monitor に登録のお客様、ならびに Azure サブスクリプションのサービス管理者・共同管理者に送信されました。(日本時間 1/4 午後に送信されております。)

 

Q. 強制再起動対象の VM を知りたい ([Virtual Machines] メニューの [メンテナンス] 列が空白となる・表示が消えた)

A.  Azure ポータルの [ヘルプとサポート] の [計画済みメンテナンス] の項より、[CPU 脆弱性対策の為に~] を選択し、画面下の [影響を受けるリソース] からご確認下さい。一覧される VM のうち、"状態" 列に "スケジュール" と表示されるものは今後の再起動対象です。
メンテナンス済み、あるいは、今後完了したものはこの一覧から消滅するか、あるいは "状態" 列に "完了" と表示されます。なお VM が起動状態でない限りは当リストに現れませんので、ご注意ください。

 

なお、Azure ポータルの [Virtual Machines] ブレードの [メンテナンス] 列は、セルフサービス期間のみ強制再起動期間が把握出来る UI です。日本時間の 1/4 午前 8:30 時点でセルフサービス期間が終わっていますので、強制再起動の対象の VM は把握ができません。

 

Q. 強制再起動される具体的な日時を知りたい

A. 現在ポータルからご確認をいただけるスケジュールは以下となっています。今回は緊急性が高く、リージョンを問わず同時に開始しております。

2018/1/4 11:00 JST - 2018/1/11 9:00 JST (JST = 日本時間)

Azure プラットフォームの更新は、全てプログラム的に動的にスケジュールされます。このため、弊サポート部門のエンジニアでも、お客様の VM の再起動が発生する具体的な日時を把握することは出来ません。なお、今回の脆弱性公開からの緊急性を考慮し、更新は全リージョンで同時に行われます。

補足: ご参考までに、唯一の方法として、各 VM から最大 15 分前に自身の再起動を把握することが出来る機能がございます。

自分の VM に何が起きるか把握する Instance Metadata Service のご紹介
https://blogs.technet.microsoft.com/jpaztech/2017/10/04/instance-metadata-service/

 

Q. 強制再起動を避ける方法があるか

A. 申し訳ございませんが、強制再起動対象の VM において、避ける方法、もしくは再スケジュールする方法はございません。

 

Q. 再起動の時間はどれぐらいかかるのか

A. およそ 30 分程度が見込まれます。また、VM 上で動作するゲスト OS のシャットダウン時間、ならびに起動時のサービス開始までの時間にも依存し、若干前後します。また、当時間帯、一時的に VM は [停止] 状態となりますが、メンテナンスが完了次第起動されます。

 

Q. メンテナンスによって VM に影響が生じるか (障害の可能性はあるか)

A. メンテナンス自体は、VM を停止・開始させるに過ぎず、お客様の VM の仮想ディスク (VHD) の内部の情報を変更することはありません。OS のシャットダウンは、Windows / Linux を問わず正常なシャットダウン コマンドが送信されます。これは、通常、Azure ポータルから VM の停止ボタンを押す操作と何ら変わりはありません。

一般論となりますが、OS の再起動に伴って何らかの問題が生じた結果、ゲスト OS が起動しないような問題となる可能性はゼロではありません。これはメンテナンスによる影響ではなく、通常の OS のシャットダウン・再起動に伴ってシステム破損が表面化するといったケースになります。このような事態に備えるには、Azure バックアップ サービスを利用し、VM の過去の正常時点のバックアップを取得していただくことをお勧めします。

 

Recovery Services コンテナーへの Azure 仮想マシンのバックアップ
https://docs.microsoft.com/ja-jp/azure/backup/backup-azure-arm-vms

Azure Portal を使用して仮想マシンを復元する
https://docs.microsoft.com/ja-jp/azure/backup/backup-azure-arm-restore-vms

 

Q. 今回の CPU 脆弱性についてのセキュリティ対策にあたって Azure 上のゲスト OS の対応が必要か

A. 不要です。

CPU の脆弱性から Azure のお客様を保護するために の末尾に記載がございます。
"今回の Azure インフラストラクチャの更新において、公表されている脆弱性に対してハイパーバイザー レベルでの修正を行っており、Windows もしくは Linux VM イメージの更新は不要です。"

また、Windows 向けのセキュリティ アドバイザリにも同様の記載がございます。

Microsoft Azure has taken steps to address the security vulnerabilities at the hypervisor level to protect Windows Server VMs running in Azure. More information can be found here.

なお、今回公表された CPU の脆弱性については上記の通りですが、一般論として、「ゲスト OS でのセキュリティ更新を最新にする」「ウイルス対策製品を導入する」「パスワード ポリシーやユーザー権限」「NSG や OS のファイアウォール等で不要なポートをオープンしない」など、セキュリティ対策を行っていただくことを推奨いたします。

 

あわせて、以下ガイダンスも提供されています。特に、外部からダウンロードしたものなど、信頼ができないコード (プログラム) を実行するような利用シーンにおいてはご参考下さい。

Guidance for mitigating speculative execution side-channel vulnerabilities
https://docs.microsoft.com/ja-jp/azure/virtual-machines/windows/mitigate-se

 

 

※本更新をもって、以下情報は古い情報を含むものとなります。ご注意ください。

===============================================================================


※ 更新 2017/12/28 

12/28 午前 9:00 以降、1/9 午後 9:00 までのセルフサービス期間中、お客様は Azure ポータルの [Virtual Machines] ブレードにて、[メンテナンス] 列よりセルフサービスのメンテナンス時期の確認が行えます。

この際、画面上部の [列] をクリックし、"メンテナンス - プロアクティブ ウィンドウ" と "メンテナンス - 自動スケジュールされたウィンドウ" も表示してください。

"メンテナンス - プロアクティブ ウィンドウ" 列: セルフサービス期間が表示されます。
"メンテナンス - 自動スケジュールされたウィンドウ"  列: 強制再起動が発生する "予定メンテナンス期間" もご確認いただくことが可能となります。

 

"メンテナンス" 列には、以下 4 種類の状態が表示されます。

・メンテナンス列が「空白」

メンテナンス対象ではないことを示します。併せて、"メンテナンス - プロアクティブ ウィンドウ" と "メンテナンス - 自動スケジュールされたウィンドウ" が空白であることをご確認下さい。該当する VM は今回のメンテナンスの影響は受けません。

-> 今後 [停止 (割り当て解除)] 状態としてしまうと運用をすると解除されます。 起動したまま、"メンテナンス - 自動スケジュールされたウィンドウ" の最終日時まで起動していただければ、メンテナンスの強制再起動は発生しません。ただし、今後 [停止 (割り当て解除)] した場合、次回の起動時にメンテナンス対象となる可能性があります。

 

・メンテナンス列が「完了」

既にメンテナンス済みの物理マシンに所属しているため、自動スケジュール ウィンドウ (予定メンテナンス期間) の再起動はありません。

Azure データセンターでは随時、新しい物理マシンを投入して拡張しています。新しく投入されたマシンは可能な限りメンテナンスを先行完了させてから稼働させております。"完了" ステータスが表示される VM は、このようなメンテナンス済み環境で稼働しているため、今後のメンテナンス再起動が発生することはありません。セルフサービスのメンテナンスを行う必要もございません。
ただし、Azure ポータルやコマンドなどから、 [停止 (割り当て解除)] すると、この完了状態は保持されず、次回の起動の際にまたメンテナンス状態が変わる可能性があります。

-> 当列が既に「完了」状態の VM がある場合、今後 [停止 (割り当て解除)] 状態としてしまうと運用をすると解除されます。 このまま起動し続けた状態で、"メンテナンス - 自動スケジュールされたウィンドウ" の最終日時まで起動していただければ、メンテナンスの強制再起動は発生しません。

・メンテナンス列が「今すぐ開始」

VM を選択していただき、[再デプロイ] という項目より、セルフサービスのメンテナンスが行えます。セルフサービスのメンテナンスを行わない限り、"メンテナンス - 自動スケジュール ウィンドウ" 列に記載の時間帯のどこかで強制再起動が行われます。

-> セルフサービスのメンテナンスの実施については、以下技術情報の "フェーズ 2" をお読みください。

再起動を伴う仮想マシン メンテナンスへの新しいエクスペリエンス
https://blogs.technet.microsoft.com/jpaztech/2017/12/20/new_maintenance_experience/

-> [再デプロイ] を行い、当列が「完了」状態となった場合については、今後 [停止 (割り当て解除)] 状態としてしまうと運用をすると解除されます。 このまま起動し続け、"メンテナンス - 自動スケジュールされたウィンドウ" の最終日時まで起動していただければ、メンテナンスの強制再起動は発生しません。

 

・メンテナンス列が「スケジュール済み」

セルフサービス期間が提供されない VM となります。恐縮ながら、その環境でも、記載の自動スケジュール ウィンドウ内で再起動が行われます。

 

※ 更新 2017/12/27

Azureデータセンターにてセルフサービス期間をなるべく長く用意させていただくべく、尽力させていただきました結果、セルフサービス期間は日本時間の12/28 午前 9 時より開始し、予定通り 1/9 午後 9:00 までを設けさせていただくこととなりました。正式な開始通知メールは 12/28 に送信される予定です。

告知いたしました予定をもとに計画いただいているお客様におかれましても、当初の告知どおりの 1 月 2 日 ~ 1 月 9 日の期間はセルフサービス期間となることが確定しましたので、ご検討の一助となりましたら幸いです。

 


 

Azure IaaS 仮想マシンの計画メンテナンスが近日予定されており、事前のお知らせとなります。

 

 

2018 年 1 月 9 日から Azure プラットフォームのホスト メンテナンスが予定されており、これによってお客様の仮想マシンが再起動されます。メンテナンス対象となる IaaS 仮想マシンとは、Azure ポータルにログインいただき、画面左の [Virtual Machines] というメニューをクリックしていただいた際に一覧される仮想マシンを指します。

計画メンテナンスの正式な通知は、年初にサブスクリプションに設定されているサービス管理者、共同管理者への電子メールのほか、Azure Monitor を使って設定をいただいている各メール アドレスに対して行われます。

 

お使いの仮想マシンにメンテナンスが実施される際には、そのホスト環境がアップデートされる間に仮想マシンが再起動され、再起動中は仮想マシンをご利用いただけなくなります。この処理は通常数分間で完了いたします。可用性セットまたはスケールセットとして構成されている仮想マシンについては、Azure は更新ドメインを一つずつ順番に更新いたしますので、お客様の環境への影響は限定的にとどめられます。また、OS ディスク領域および一時ディスク領域の内容はメンテナンス後も保持されます。また、リージョン ペアも意識され、再起動スケジュール中にリージョン ペア上の VM が同時に再起動されないような制御が Azure データセンター内部にて行われます。

 

なお、2018 年 1 月 9 日からの強制再起動期間に先駆けて、お客様が能動的にメンテナンスを開始させることによって、影響が発生するタイミングをコントロールすることが出来る "セルフサービス" によるメンテナンス期間となっております。セルフ サービス期間の通知については、後日送付される正式な通知をご参照ください。現時点では、セルフサービス期間は 2018 年 1 月 2 日から 1 月 9 日となる予定です。

なお、一部のシリーズ、一部のリージョンの仮想マシンについては、セルフサービスなメンテナンスが提供出来ない場合がございます。その場合でも 2018 年 1 月 9 日以降、計画メンテナンスの対象となり仮想マシンの再起動が発生いたしますのでご了承下さい。セルフサービスなメンテナンスの利用可否については、セルフサービスなメンテナンス期間が開始後、Azure ポータルの Virtual Machine ブレードにて確認をいただくことが可能となります。

 

Azure Monitor によってメンテナンスの通知を受信する方法、ならびに、セルフ サービス メンテナンスでメンテナンスを行う方法など、実際にメンテナンス期間において行う技術的な注意事項やガイドラインについては以下をご参照下さい。

 

再起動を伴う仮想マシン メンテナンスへの新しいエクスペリエンス
https://blogs.technet.microsoft.com/jpaztech/2017/12/20/new_maintenance_experience/

 

 

Q&A

Q. 年始早々にスケジュールされる点、セルフサービス期間が短いのは何故でしょうか。

Azure プラットフォームは信頼性、パフォーマンス、セキュリティなどの向上のため、プラットフォームの更新を行っております。通常、ほとんどのメンテナンスは稼働中の仮想マシンに影響を与えること無く実施いたしておりますが、今回のホスト OS 環境のアップデートについては、再起動が必要となるものでございます。
今回、必要となる更新作業の重要性から、当スケジュールにて実施することを決定しました。日本のお客様のみならず、世界各国の皆様にとって年始早々の時期となり、ご不便をおかけしますが、ご協力をいただきますようお願い申し上げます。

 

Q. 2018 年 1 月 2 日 (世界標準時) に仮想マシンのメンテナンス期間が開始されないこともあるのでしょうか。

現時点では延期の可能性は低く、スケジュール通り実施される見込みです。

 

Q. この件について質問したい場合、マイクロソフト Azure のサポート リクエストにおける対応範囲を知りたい。

Azure サポートをご利用のお客様については、ご契約をいただいているAzure のサポート プランに応じて、メンテナンスの仕組みや設定上の問題・トラブルについての技術的な内容についてお問い合わせいただくことが可能となります。

メンテナンス時期の開始の通知については Azure Monitor にて行われます。また、サポート リクエスト経由での、メンテナンス時期の調整 (メンテナンスが始まったら教えてほしい等) についてのリクエスト・ご質問は、このQ&A 以上のものはお出しできないため、恐縮ながらお受けできませんので、予めご了承ください。

マイクロソフトでは、お客様のご負担が大変大きいことを認識しており、今後もメンテナンス再起動について改善に取り組んで参ります。今後のメンテナンスの改善要望がございましたら、以下フィードバック サイトより行ってください。

 

Azure に関してのフィードバック サイト
https://feedback.azure.com/

 

 


Comments (17)

  1. TN より:

    2018/1/9からの予定メンテナンス期間は、いつまでのご予定か、ご教示願います。

    1. Teppei Ishii より:

      TN 様

      ご質問ありがとうございます。
      1/2 に送信予定となる、Azure Monitor ならびに共同管理者・サービス管理者宛に送信されるメールに予定メンテナンス期間の完了日が記載される予定です。

  2. たたかう管理者 より:

    2018 1/9から始まる予定メンテナンス期間開始の基準時間はUTCでしょうか?(CST?EST?)
    日本では1/8が祝日のため、1/9の業後(19:00位)にセルフメンテナンスの実施を計画していますが、
    セルフサービス期間に間に合うものでしょうか?

    1. Teppei Ishii より:

      たたかう管理者様

      ご質問ありがとうございます。
      現時点での予定は、1/2 0:00 (UTC) すなわち日本時間の朝 9:00 から開始、1/9 正午(UTC) つまり日本時間の夜 9 時が締め切りとなる見込みです。
      正式には、Azure Monitor の通知をご確認くださいますようお願いいたします。

  3. Ryohei Ono より:

    対象サーバーが大量にある場合、PowerShellなど実施負荷を軽減できる方法はあるでしょうか。
    それとも全てポータルから手動実行が必要でしょうか。。

    1. Teppei Ishii より:

      Ono 様

      PowerShell の手法が存在します。以下のとおり、シンプルなものとなり、VM 名、リソースグループ名をセットいただけましたら実施可能です。

      Windows 仮想マシンに対する計画済みメンテナンスの通知の処理
      https://docs.microsoft.com/ja-jp/azure/virtual-machines/windows/maintenance-notifications

      -> PowerShell を使用して VM に対するメンテナンスを開始する
      Restart-AzureRmVM -PerformMaintenance -name $vm.Name -ResourceGroupName $rg.ResourceGroupName

      補足: 上記 URL は、弊ブログの以下ポストに記載しています。また、クラシック デプロイメント モデルの場合も以下ブログの FAQ 欄をご参照ください。

      再起動を伴う仮想マシン メンテナンスへの新しいエクスペリエンス
      https://blogs.technet.microsoft.com/jpaztech/2017/12/20/new_maintenance_experience/

  4. たたかう運用者 より:

    >一部のシリーズ、一部のリージョンの仮想マシンについては、セルフサービスなメンテナンスが提供出来ない場合がございます。
    とありますが、対象となる可能性のある仮想マシンのタイプは選定できているのでしょうか?
    影響範囲を事前に把握するため、リストがあれば掲示いただきたいです。

    1. Teppei Ishii より:

      たたかう管理者様

      こちらは、誠に恐縮ではございますが、データセンターにおける流動的な準備状況や、ユーザー様からの利用状況に依存するため、現時点では判断ができません。
      当日、セルフサービス期間の開始を最終ステータスとして、確定するということになります。
      東西日本リージョンでは、このような事が無いよう、準備をさせていただいております。

  5. AKY より:

    現状設定している。
    メンテナンスよりお客様の仮想マシンが再起動とありますが、現状設定されている、IPアドレス等は維持されますでしょうか。

    1. Teppei Ishii より:

      AKY 様

      パブリック IP アドレスが静的の場合、IP アドレスは変更されません。

      続いて、パブリック IP アドレスが動的の場合、
      – 1/10 以降の “予定メンテナンス期間” (強制再起動期間) の再起動の場合、パブリック IP アドレスは動的であっても変化しません。
      – 1/2 ~ 1/9 の期間、「セルフサービス」 でメンテナンスを実行した場合、パブリック IP アドレスが動的の場合には変化します。

  6. SK より:

    以下の記事に記載されている内容については、現時点でも「スケジュールに関する情報以外」は正しい、という認識でよろしいでしょうか。
    例. OS内部からのシャットダウン処理では、セルフサービスメンテナンスが行われない

    https://blogs.technet.microsoft.com/jpaztech/2017/12/20/new_maintenance_experience/
    https://blogs.technet.microsoft.com/jpaztech/2017/10/02/azure_maintenance_2017/

    1. Teppei Ishii より:

      SK 様

      はい、その認識は正しいものとなります。OS 内部からのシャットダウンではセルフサービス メンテナンスは行われません。

      セルフサービスのメンテナンスは、Azure ポータルの [再デプロイ] メニューから、セルフサービス期間、セルフサービスのメンテナンスが対象の VM で行った場合のみです。
      ポータルではなく、Azure PowerShell や Azure CLI の方法は、併せて以下のドキュメントもご参照下さい。

      再起動を伴う仮想マシン メンテナンスへの新しいエクスペリエンス
      https://blogs.technet.microsoft.com/jpaztech/2017/12/20/new_maintenance_experience/

  7. okd より:

    メンテナンスに伴う再起動ですが、どれくらいの時間がかかりますでしょうか。

    1. Teppei Ishii より:

      okd 様

      セルフサービスの場合、数分程度 (ゲスト OS シャットダウン、ならびに起動に伴ってサービスがあがるまでの期間) となります。
      “予定メンテナンス期間” の強制再起動の場合、ホスト OS の更新処理を待つため、30 分程度が見込まれます。

  8. fly_weimin より:

    Azure Portal画面のVMメンテナンスタブの表記が
    下記4パターンありますが、それぞれ何を意味しているかご教示頂けませんか?

    ・空白 ← 今回のメンテナンス対象外?
    ・スケジュール済み ← セルフメンテナンス対象外、強制メンテナンス対象?
    ・今すぐ開始 セルフメンテナンス対象?
    ・完了 ← 今回のメンテナンス完了?

    1. Teppei Ishii より:

      fly_weimin 様

      ご確認ありがとうございます。
      以下におまとめさせていただきました。

      ・「空白」
      ・メンテナンス列が「空白」

      メンテナンス対象ではないことを示します。併せて、”メンテナンス – プロアクティブ ウィンドウ” と “メンテナンス – 自動スケジュールされたウィンドウ” が空白であることをご確認下さい。該当する VM は今回のメンテナンスの影響は受けません。

      -> 今後 [停止 (割り当て解除)] 状態としてしまうと運用をすると解除されます。 起動したまま、”メンテナンス – 自動スケジュールされたウィンドウ” の最終日時まで起動していただければ、メンテナンスの強制再起動は発生しません。ただし、今後 [停止 (割り当て解除)] した場合、次回の起動時にメンテナンス対象となる可能性があります。
      現在確認中ですが、データセンター側の情報更新が遅れている可能性があります。お待ちいただくことで出てくるようになったとの報告もございますが、確認が取れ次第再度コメントさせていただきます。

      ・メンテナンス列が「完了」
      既にメンテナンス済みの物理マシンに所属しているため、自動スケジュール ウィンドウ (予定メンテナンス期間) の再起動はありません。
      ただし、Azure ポータルやコマンドなどから、 [停止 (割り当て解除)] すると、この完了状態は保持されず、次回の起動の際にまたメンテナンス状態が変わる可能性があります。

      -> 当列が既に「完了」状態の VM がある場合、今後 [停止 (割り当て解除)] 状態としてしまうと運用をすると解除されます。
      このまま起動したまま、”メンテナンス – 自動スケジュールされたウィンドウ” の最終日時まで起動していただければ、メンテナンスの強制再起動は発生しません。

      ・メンテナンス列が「今すぐ開始」
      VM を選択していただき、[再デプロイ] という項目より、セルフサービスのメンテナンスが行えます。
      セルフサービスのメンテナンスを行わない限り、”メンテナンス – 自動スケジュール ウィンドウ” 列に記載の時間帯のどこかで強制再起動が行われます。

      -> セルフサービスのメンテナンスの実施については、以下技術情報の “フェーズ 2” をお読みください。

      再起動を伴う仮想マシン メンテナンスへの新しいエクスペリエンス
      https://blogs.technet.microsoft.com/jpaztech/2017/12/20/new_maintenance_experience/

      -> [再デプロイ] を行い、当列が「完了」状態となった場合については、今後 [停止 (割り当て解除)] 状態としてしまうと運用をすると解除されます。
      このまま起動し続け、”メンテナンス – 自動スケジュールされたウィンドウ” の最終日時まで起動していただければ、メンテナンスの強制再起動は発生しません。

      ・メンテナンス列が「スケジュール済み」
      自動スケジュール ウィンドウ (予定メンテナンス期間) が記載されている場合、セルフサービス期間が提供されない VM となります。
      恐縮ながら、その環境でも、記載の自動スケジュール ウィンドウ内で再起動が行われます。

      1. Teppei Ishii より:

        空白列について、更新いたしました。

        ・メンテナンス列が「空白」

        メンテナンス対象ではないことを示します。併せて、”メンテナンス – プロアクティブ ウィンドウ” と “メンテナンス – 自動スケジュールされたウィンドウ” が空白であることをご確認下さい。該当する VM は今回のメンテナンスの影響は受けません。

        -> 今後 [停止 (割り当て解除)] 状態としてしまうと運用をすると解除されます。 起動したまま、”メンテナンス – 自動スケジュールされたウィンドウ” の最終日時まで起動していただければ、メンテナンスの強制再起動は発生しません。ただし、今後 [停止 (割り当て解除)] した場合、次回の起動時にメンテナンス対象となる可能性があります。

Skip to main content