🔄 Windows Server 2025: Эра Hotpatching. Перезагрузки отменяются?
Мы привыкли: поставил патч → перезагрузил сервер → молишься, чтобы поднялся. В Windows Server 2025 (и через Azure Arc) технология Hotpatching становится мейнстримом. Как это работает под капотом?
Архитектура: Вместо замены файлов на диске, система патчит код в оперативной памяти работающего процесса.
Ядро загружает новую версию функции в память.
Ставит "трамплин" (jump) в начале старой функции, который перенаправляет поток выполнения на новую.
Состояние процесса сохраняется.
✅ Плюсы:
Аптайм 99.9% (ребут нужен только раз в квартал для кумулятивных обновлений).
Патчи весят меньше (только дельта кода).
Мгновенная установка.
❌ Минусы:
Требует Virtualization Based Security (VBS).
Пока лучше всего работает в связке с Azure Arc / Azure Automanage.
Мысль админа: Мы движемся к модели "Immutability" (неизменности), где сервер живет вечно без ребутов, либо пересоздается с нуля. Hotpatching — это мост между этими мирами.
#windows2025 #hotpatching #architecture #servercore #futureadmin
Мы привыкли: поставил патч → перезагрузил сервер → молишься, чтобы поднялся. В Windows Server 2025 (и через Azure Arc) технология Hotpatching становится мейнстримом. Как это работает под капотом?
Архитектура: Вместо замены файлов на диске, система патчит код в оперативной памяти работающего процесса.
Ядро загружает новую версию функции в память.
Ставит "трамплин" (jump) в начале старой функции, который перенаправляет поток выполнения на новую.
Состояние процесса сохраняется.
✅ Плюсы:
Аптайм 99.9% (ребут нужен только раз в квартал для кумулятивных обновлений).
Патчи весят меньше (только дельта кода).
Мгновенная установка.
❌ Минусы:
Требует Virtualization Based Security (VBS).
Пока лучше всего работает в связке с Azure Arc / Azure Automanage.
Мысль админа: Мы движемся к модели "Immutability" (неизменности), где сервер живет вечно без ребутов, либо пересоздается с нуля. Hotpatching — это мост между этими мирами.
#windows2025 #hotpatching #architecture #servercore #futureadmin
🪟 Windows: Одиночество в DMZ. Управляем Server Core без графики и боли
Графический интерфейс на серверах окончательно умер, а RDP закрыт наглухо еще пару лет назад. Но софт на изолированных машинах в DMZ обновлять надо. Тянуть MSI-пакеты руками по сети через скрытые шары? Оставьте этот антиквариат стажерам из прошлого десятилетия.
Под капотом:
Используем нативный пакетный менеджер WinGet в связке с внутренним приватным REST-репозиторием. Современный WinGet умеет работать в контексте системы (SYSTEM), стягивать подписанные манифесты и дистрибутивы прямо из корпоративного хранилища. Никакого монструозного SCCM, только элегантный CLI по жестко зашифрованному TLS 1.3 каналу.
Практика:
Подключаем наш закрытый корпоративный репозиторий и ставим утилиты мониторинга одной командой:
Зачем это нужно:
Полный контроль над версиями ПО в изолированных сегментах сети. Вы точно знаете, что на сервер попадет только тот бинарник, который прошел проверку безопасников и лежит в вашем репозитории. Автоматизируется через любой CI/CD за пять минут.
#windows #winget #servercore #powershell #admin_future
Графический интерфейс на серверах окончательно умер, а RDP закрыт наглухо еще пару лет назад. Но софт на изолированных машинах в DMZ обновлять надо. Тянуть MSI-пакеты руками по сети через скрытые шары? Оставьте этот антиквариат стажерам из прошлого десятилетия.
Под капотом:
Используем нативный пакетный менеджер WinGet в связке с внутренним приватным REST-репозиторием. Современный WinGet умеет работать в контексте системы (SYSTEM), стягивать подписанные манифесты и дистрибутивы прямо из корпоративного хранилища. Никакого монструозного SCCM, только элегантный CLI по жестко зашифрованному TLS 1.3 каналу.
Практика:
Подключаем наш закрытый корпоративный репозиторий и ставим утилиты мониторинга одной командой:
# 1. Удаляем публичные мусорные репозитории Microsoft
winget source remove msstore
winget source remove winget
# 2. Добавляем корпоративный источник с авторизацией по сертификату
winget source add --name CorpRepo --arg https://repo.internal.local/api --type Microsoft.Rest --accept-source-agreements
# 3. Ставим нужный пакет тихо и без лишних вопросов
winget install Corp.ZabbixAgent --source CorpRepo --exact --silent --accept-package-agreements
Зачем это нужно:
Полный контроль над версиями ПО в изолированных сегментах сети. Вы точно знаете, что на сервер попадет только тот бинарник, который прошел проверку безопасников и лежит в вашем репозитории. Автоматизируется через любой CI/CD за пять минут.
#windows #winget #servercore #powershell #admin_future
🔥2