スポンサーリンク

仮想環境でのWindows UpdateはゲストOSから行うのが安全

 7月11日は、月例のWindows Updateで、マイクロソフトが同社製品のパッチを配布した。クライアントはそれほど悩むことなく、パッチを適用してパソコンを再起動したらいい。しかし、悩ましいのが仮想環境で動作させているWindows Serverだ。というのも、ホストOSかゲストOSのどちらからパッチを適用させるのが正しいのだろうか分からない。Windows Updateのたびに悩むが、ゲストOSから適用させるのが安全なのだろう。

スポンサーリンク

Windows Updateは不具合が起きることを前提に考える

 まず、Windowsのパッチは、1年に1回や2回程度、特定の環境において不具合が発生する。これに関してマイクロソフトを責める気はまったくなく、Windowsは無数の環境で動いているので、すべてで検証するのは不可能だ。そのため、パッチを適用すると不具合が発生する可能性があることを前提に運用するのが適切だ。

 その上で、ホストOSはHyper-V、ゲストOSはWindows Serverという設定で、Windows Updateで配布されたパッチに不具合があった場合を想定して考えてみる。

Windows UpdateはゲストOSから行う

 まず、ホストOSからパッチを適用したらどうなるだろう。パッチの不具合によりネットワークに接続できない場合、お手上げだ。リモートでは復旧できない。

 ゲストOSからパッチを適用したらどうだろう。この場合、ホストOSにリモートデスクトップなどで接続すると、ゲストOSの復旧ができる。このようにパッチに不具合があり、影響が大きい場合、マイクロソフトが数日後に再度、パッチを配布する。セキュリティ上、好ましくないが、これを待ってゲストOSにパッチを適用。その後、ホストOSにもパッチを適用するのが安全だ。

(左)ホストOSに不具合がありネットワークに接続できない場合、リモートでは修復できない (右)ゲストOSに不具合があってもホストOSを経由してリモートで修復ができる

ホストOSの不具合は少ない

 また、ホストOSに適用させるパッチは、不具合が起きる可能性は低いと思われる。パッチの不具合の多くは、特定の環境で発生することが多い。ホストOSが動作している環境は、CPU、チップセット、ビデオボード、マザーボードなど組み合わせは無数だ。この中の特定の組み合わせで不具合が発生することがある。

 一方のゲストOSの実行環境はほとんどがHyper-VとVMwareだ。そのため、ホストOSとして考えた場合のWindows Serverは、ほかの環境よりもHyper-VとVMwareでの検証は念入りに行われていると考えられる。ゲストOSよりも、ホストOSで不具合が発生する可能性は低い。これが、ゲストOSにパッチを適用したあとに、ゲストOSにパッチを適用する方が安全という理由だ。