Microsoft’un kurumsal sunucu işletim sistemlerine yönelik en yeni sürümü olan Windows Server 2025, sistem yöneticilerinin uzun zamandır ihtiyaç duyduğu önemli bir yenilikle geliyor: Hotpatching. Geleneksel güncelleme süreçlerinde işletim sisteminin yeniden başlatılması çoğu zaman iş sürekliliğini etkileyen bir durumken, Hotpatching ile bu zorunluluk ortadan kalkıyor. Bu teknoloji sayesinde kritik güvenlik yamaları ve sistem güncellemeleri, sunucular çalışır durumdayken yüklenebiliyor.
Ön Koşullar
Hotpatching’i kullanabilmek için aşağıdaki koşullar sağlanmalıdır:
| Gereksinim | Açıklama |
|---|---|
| Windows Server 2025 | En güncel sürüm gereklidir (Preview sürümünde çalışabilir). |
| Azure Arc Agent | Azure dışındaki sunucularda Azure Arc bağlantısı zorunludur. |
| Desteklenen SKU | Datacenter veya Azure Edition |
| İnternet Erişimi | Azure Arc üzerinden yönetim için gereklidir. |
Desteklenen Sürümler ve Senaryolar (Mayıs 2025 itibariyle)
| Platform/Sürüm | Hotpatching Desteği | Açıklama |
|---|---|---|
| Windows Server 2025 Datacenter: Azure Edition | Tam destek | Azure VM’lerde doğrudan kullanılabilir |
| Windows Server 2025 Standard/Datacenter (On-Prem) | Preview aşamasında | Azure Arc ile entegre edilmişse kullanılabilir |
| Azure Stack HCI (2022 veya 23H2) | Destek | Cluster içi Azure Arc bağlantısıyla hotpatch yapılabilir |
| Windows Server Core (Azure Edition) | Destek | GUI olmayan sunucularda da desteklenir |
| Windows Server 2022 (Datacenter: Azure Edition) | Destek | Hotpatching ilk bu sürümde tanıtılmıştı |
| Windows Server 2019 ve öncesi | Destek | Desteklenmez |
Hotpatching Zaman Çizelgesi Nedir?
Hotpatching zaman çizelgesi, Microsoft’un sunuculara güncelleme uygulama sıklığını ve yöntemini tanımladığı bir plandır. Bu sistemde yeniden başlatma (reboot) ihtiyacı en aza indirgenirken, güvenlik ve sistem kararlılığı korunur.
3 Aylık Döngü Yapısı
Yapı şu şekilde işler:
| Ay | Uygulama Türü | Açıklama | Yeniden Başlatma |
|---|---|---|---|
| 1. Ay (Örn: Ocak) | Baseline Update | Tüm sistem yamaları yüklenir, sistem tam yedeklenir. | Evet |
| 2. Ay (Şubat) | Hotpatch | Yalnızca güvenlik yamaları uygulanır. | Hayır |
| 3. Ay (Mart) | Hotpatch | Yine sadece güvenlik güncellemeleri. | Hayır |
| 4. Ay (Nisan) | Baseline Update | Yeni döngü başlar. | Evet |
| … | … | … | … |
Bu döngü her 3 ayda bir tekrar eder.
Hotpatching (Windows Server 2025)
| Ay | Ne Olur? | Yeniden Başlatma |
|---|---|---|
| Ocak | Baseline Update + Güvenlik yamaları | Gerekli |
| Şubat | Hotpatch (Security) | Gerekmez |
| Mart | Hotpatch (Security) | Gerekmez |
| Nisan | Baseline Update | Gerekli |
| Mayıs | Hotpatch (Security) | Gerekmez |
| Haziran | Hotpatch (Security) | Gerekmez |
| Temmuz | Baseline Update | Gerekli |
Hotpatch – Sadece güvenlik güncellemesi, yeniden başlatma yok
Baseline Update – Tüm sistem güncellemeleri, yeniden başlatma zorunlu
Hotpatching özelliğini kullanabilmek için sunucunun donanımsal ve yazılımsal olarak belirli güvenlik özelliklerini desteklemesi gerekiyor. Bu özelliklerden biri de Virtualization-Based Security (VBS). VBS, bellek izolasyonu sağlayarak işletim sistemi içinde daha güvenli bir çalışma alanı oluşturur. Hotpatching altyapısı da bu güvenlik katmanını kullanır.
Sunucuda bu özelliğin etkin olduğundan emin olmak için öncelikle Sistem Bilgisi (msinfo32.exe) ekranına bakarak Virtualization-based security satırının Running olduğunu doğruluyorum. Eğer kapalıysa, aşağıdaki komutla VBS’i etkinleştiriyoruz:
Reg add "HKLM\SYSTEM\ControlSet001\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
Hotpatching sadece Azure üzerindeki makinelerde değil, Azure Arc ile Azure’a bağlanmış on-premises sunucularda da kullanılabiliyor. Bunun için ilk adım, sunucuyu Azure Arc’a kaydetmek. Aşağıdaki gibi “Get Started with Azure Arc” ekranıyla başlayan bu kurulum sihirbazı sayesinde Azure ile bağlantı kuruluyor.
Azure Arc kurulumunda bir sonraki adıma geçmeden önce, sistemin Azure ile bağlantı kurabilmesi için gerekli olan Azure Connected Machine Agent (AzCM agent) yükleniyor. Bu işlem genellikle 3–5 dakika sürüyor ve aşağıdaki adımlar sırasıyla kontrol ediliyor:
- System Requirements – Sunucunun donanım ve yazılım gereksinimleri uygun mu kontrol ediliyor.
- Software Prerequisites – Azure Arc agent’ının çalışması için gerekli olan bağımlılıklar kuruluyor.
- Network Connection – Azure ile bağlantı kurulup kurulamadığı test ediliyor.
- Disk Space – Agent’ın kurulması için yeterli disk alanı olup olmadığı kontrol ediliyor.
- Downloading the Agent – Microsoft’tan en güncel AzCM agent paketi indiriliyor.
- Installing the Agent – Agent kurulumu tamamlanıyor.
Azure Arc agent kurulumu tamamlandıktan sonra sunucuyu Azure’a bağlamak için kimlik doğrulama (sign-in) adımına geçiyoruz. Bu aşamada sunucunun hangi Azure ortamına (örneğin: Azure Global, Azure China, Azure US Gov) bağlanacağını seçiyorum. Genellikle ortamımız Azure Global olduğu için varsayılan olarak bırakıyorum.
Ardından iki farklı yöntemle Azure hesabımla oturum açabiliyorum:
- “Sign in to Azure” butonuna tıklayarak, otomatik olarak varsayılan tarayıcıda bir Microsoft oturum açma ekranı açılıyor. Buradan Azure hesabımla giriş yapmam yeterli.
- Alternatif olarak, “Generate code” butonuna tıklayıp çıkan kodu https://microsoft.com/devicelogin adresine giderek başka bir cihazdan manuel olarak girebilirim. Bu yöntem genellikle GUI olmayan sunucularda veya RDP ile bağlantısı zayıf ortamlarda tercih ediliyor.
Bu kimlik doğrulama tamamlandıktan sonra Next butonu aktif hale geliyor ve sunucuyu Azure portal’da belirli bir subscription, resource group ve bölgeye (region) yerleştireceğim bir sonraki adıma geçiyorum.
Azure’a kimlik doğrulamasını tamamladıktan sonra şimdi sırada, sunucunun Azure kaynakları arasında nasıl konumlanacağını belirlemek var. Bu aşamada Azure Arc bana şu seçimleri sunuyor:
- Azure Active Directory Tenant: Sunucunun hangi Azure AD kiracısı (tenant) altında çalışacağını belirliyorum. Ortamımda zaten oturum açmış olduğum tenant otomatik olarak burada listeleniyor.
- Subscription: Sunucunun hangi Azure aboneliği (subscription) altında yer alacağını seçiyorum. Eğer birden fazla abonelik varsa, hangisinde maliyetlendirme ve yönetim yapılacaksa onu seçmek önemli.
- Resource Group: Sunucuyu gruplamak için kullanılacak kaynak grubu (örneğin: VMS, ProdServers vb.). Ben burada “VMS” adında önceden oluşturduğum bir grubu seçiyorum. İstersen buradan yeni bir grup da oluşturabiliyorsun.
- Azure Region: Sunucunun Azure üzerinde hangi bölgeye atanacağını seçiyorum. Bu, özellikle Azure hizmetleriyle entegrasyon yaparken gecikmeyi ve uyumluluğu etkileyebilir. Genellikle merkezi konumlar (örneğin East US, West Europe) tercih ediliyor.
- Network Connectivity: Sunucu Azure’a nasıl bağlanacak? Ben burada Public endpoint seçeneğini tercih ediyorum çünkü doğrudan Azure ile internet üzerinden bağlantı kurmasını istiyorum. Eğer ortamda özel bir yapı varsa, Proxy Server seçeneği de kullanılabilir.
Azure Arc kurulumu tamamlandıktan sonra Azure portalına geçerek sunucunun gerçekten bağlandığını kontrol ediyorum. Azure Arc > Machines menüsüne girdiğimde, biraz önce bağladığım WS25 adlı sunucuyu listede görüyorum.
Azure Arc üzerinden sunucunun bağlantısını sağladıktan sonra, artık asıl amacım olan Hotpatching özelliğini etkinleştirme aşamasına geçiyorum.
Hotpatch ekranına geldikten sonra, artık sunucumu aylık hotpatch güncellemeleri alacak şekilde yapılandırabiliyorum. Microsoft burada şunu net bir şekilde belirtiyor:
“Reboot-free güncellemeleri etkinleştirmek için VBS (Virtualization-Based Security) zorunludur.”
Şanslıyım çünkü alt kısımda VBS Status: On olarak görünüyor. Yani bu sunucu, bellek içi izolasyon altyapısına sahip ve hotpatch uygulanabilir durumda.
Ardından iki seçeneği işaretleyerek işlemi tamamlıyorum:
- “I want to license this Windows Server to receive monthly hotpatches” kutusunu seçiyorum. Bu, hotpatch aboneliği başlatıldığında lisanslama modeline göre sadece reboot gerekmeyen aylar için ücretlendirileceğim anlamına geliyor.
- “Enable hotpatching” anahtarını On konumuna getiriyorum. Bu andan itibaren bu sunucu hotpatch döngüsüne dahil olacak.
Bu işlemi tamamladıktan sonra artık Azure Update Manager üzerinden gelen yamalar, RAM üzerinde doğrudan uygulanarak sistemde herhangi bir kesintiye yol açmadan kurulabilecek. Her ay yalnızca güvenlik yamaları uygulanacak ve sadece 3 ayda bir baseline update ile planlı bir restart yapılacak.
Hotpatching’i etkinleştirdikten sonra artık WS25 sunucusunun tüm yama yönetimini Azure Update Manager üzerinden izleyip planlayabiliyorum. Sunucunun “Updates” sekmesine geldiğimde şu bilgiler öne çıkıyor:
Son olarak, Windows Update ekranına geldiğimde artık Hotpatching’in etkisini doğrudan görebiliyorum. Güncelleme arayüzünde yeşil bir kutucuk içerisinde şu mesaj yer alıyor:
Great news! The latest security update was installed without a restart.
Bu, sistemin reboot gerektirmeden en son güvenlik yamasını başarıyla aldığını gösteriyor. Tam da Hotpatching’in hedeflediği şey bu:
Windows Server 2025 ile gelen Hotpatching özelliği, kurumsal altyapılarda kesintisiz hizmet sunmak isteyen sistem yöneticileri için ciddi bir dönüm noktasıdır. Reboot gerektirmeden güvenlik güncellemelerini uygulayabilmek artık hayal değil.
