vsphere update manager
About vSphere Update Manager
Vsphere update manager (绑定在venter server上)支持esxi主机,虚拟机硬件,vmware tools和虚拟设备的集中,自动化补丁和版本的管理:(虚拟化环境里面重要的组件的统一升级管理 )
Vsphere update manager 通过以下方式降低安全风险:
- 减少漏洞的数量(汽车轮胎 慢慢瘪了没气了)
- 消除掉一些旧的安全隐患
Vsphere update manager通过以下方式减少环境中系统的多样性(合规性): - 简化管理(平台化)
- 减少安全风险
Vsphere update manager使主机运行更加顺畅: - 修补程序,包括bug修复
- 简化故障排除
可以将vsphere update manager与 vcenterserver 或vCSA一起使用,vCenter服务器设备将vSphere更新管理器作为可选服务提供。vSphere更新管理器捆绑在vCenter服务器设备中
Vsphere 更新管理功能
自动补丁下载:
根据信息向导进行自动补丁下载
它以定期可配置的时间间隔进行调度。(定义一个下载的频率,上面时间范围内进行下载)
基线和基线组的创建
(beaseline有点类似于一个角色 里面有很多个特权 你可以自主的创建,系统也有默认的)
拿着整个baseline去对比扫描的对象,去看一下扫描的对象有没有这个基线当中的补丁
基线组:一个基线组里面有好多个基线
设置完基线之后 附加基线和基线组到库存对象。
扫描:
对库存系统进行基线符合性扫描。
补救:
库存系统不符合可以自动修补。
Update manager组件
需要和vcenter server进行网络连接
组件:
-
可以和vcenter server安装在同一个windows计算机上,也可以安装在不同的服务器上,update manager与vcenter server集成,并作为其可选服务提供
-
客户端组件:当在vSphere Web client中选择ESXi主机时,vSphere更新管理器功能将出现在更新管理器选项卡上。Web client 不需要装插件 别的client需要装插件
-
数据库:安装在Windows上的vSphere更新管理器服务器和更新管理器下载服务需要一个数据库来存储和组织服务器数据。(补丁元数据) 可以是外置数据库也可以内置数据库
-
需要Oracle或Microsoft SQL Server数据库(仅适用于Windows上的vSphere更新管理器)
Update manager配置
只有当您具有配置Update Manager设置和服务的权限时,您才能修改Update Manager设置。这些权限必须在注册Update Manager的vCenterserver系统上分配。将VMware vSphere®Update Manager客户端连接到注册了vSphere Update Manager的vCenterserver系统。在vSphere Web client的主页上,点击Update Manager图标来访问管理设置:
•网络连接:网络端口在安装过程中进行配置。您可以在vSphereUpdate Manager网络连接设置中修改补丁存储的IP地址或主机名。
下载设置:修改新补丁和虚拟设备升级的下载位置。
下载源:如果你的部署系统连接到互联网,你可以直接下载ESXi补丁和扩展,以及虚拟设备升级。
•代理设置:您可以配置vSphereUpdate Manager,通过使用代理服务器从互联网下载更新。
•检查更新(下载时间表):vSphere Update Manager定期检查虚拟设备升级、主机补丁和扩展。通常,默认的日程安排设置就足够了,但是如果您的环境需要更多或更少的频率检查,您可以更改日程安排。
•通知检查时间表:默认情况下,vSphere更新管理器会在特定的时间间隔检查关于补丁召回、补丁修复和警报的通知。你可以修改这个时间表。默认情况下,检查通知和发送通知警报的任务是启用的,称为VMware vSphere更新管理器检查通知任务。通过修改此任务,您可以配置vSphere Update Manager检查补丁召回或修补补丁发布的时间和频率,并将通知发送到您指定的电子邮件地址。
•虚拟机设置:默认情况下,vSphere update manager被配置为在应用更新之前拍摄虚拟机快照。如果补救失败,您可以使用快照将虚拟机返回到补救之前的状态。vSphere更新管理器不获取容错虚拟机和运行虚拟机硬件版本3的虚拟机的快照。如果您决定为这样的虚拟机拍摄快照,那么修复可能会失败。您可以选择无限期地保留快照,也可以选择保留固定的时间。
•主机和集群设置:启用快速引导,配置VM电源状态,将主机处于维护模式,(在修补的时候,不会出现虚拟机停机,处于维护模式之后,可以DRS到别的主机上运行,修补完了,可以再迁回来)修复集群中的主机时必须暂时禁用vSphere HA、vSphere容错和vSphere DPM。您需要确定vSphere更新管理器在主机和集群中的行为方式。
基线,基线组
基线包括一个或多个补丁,扩展(esxi里面有很多软件包,软件包有升级范围,那就属于扩展)或更新
Vsphere updatemanager默认包括以下基线:
- 关键主机动态补丁基线:检查ESXI主机是否符合所有关键补丁
- 非关键主机动态补丁基线:检查ESXI主机是否符合所有可选的补丁
- Vmware tool 升级基线:检查主机上的虚拟机是否符合最新的vmware tools工具
Vsphere update manager 支持为运行esxi5.0及以上的主机上的虚拟机升级vmware工具 - Vmware 硬件升级基线
- 虚拟设备升级基线:检查虚拟机的虚拟硬件是否符合主机支持的最新版本
基线组包括多个基线
基线组可以包含一个升级基线和一个或多个补丁和扩展基线
您可以创建自定义补丁、扩展和升级基线,以满足您的特定部署的需要,方法是使用New Baseline向导:
•创建一个固定的补丁基线:
-固定的基线由一组补丁组成,这些补丁不会随着补丁可用性的变化而变化。只包含你选择的补丁,不会考虑新的补丁下载
•创建一个动态补丁基线:
-动态基线由一组满足特定条件的补丁组成。根据补丁的可用性和你指定的标准自动更新
•创建一个主机扩展基线:
扩展基线包含额外的软件为ESXi主机。可用扩展基线来安装额外的模块,这个附加的软件可能是VMware或第三方软件。
•在新建基线向导中过滤补丁或扩展:
当您创建补丁或扩展基线时,您可以过滤vSphere更新管理器库中可用的补丁和扩展,以找到特定的补丁和扩展来排除或包含在基线中。
如果您的vCenter服务器系统是处于vCenter链接模式下的连接组的一部分,并且您有多个vSphere更新管理器实例,那么您创建的补丁和扩展基线并不适用于组中其他vCenter服务器系统管理的所有库存对象。基线是特定于您选择的vSphere更新管理器实例的。
附加基线
根据基线查看合规信息并根据基线或基线组扫描库存中的对象,你必须首先将基线或基线组附加到这些对象上(例如虚拟机、虚拟设备、主机或容器对象。),你可以将基线或基线组附加到vsphere web client 的 update manager选卡项的对象
扫描更新
根据附加到库存对象上的基线和基线组扫描对象
可以通过调度或手动启动扫描 来生成对象的合规信息,
如果你选择的对象是容器对象,那么所有的子对象也会被扫描
选择scan for updates来执行扫描
检查vsphere 对象合规性(兼容性)
你可以根据你附加的基线和基线组来检查虚拟机,虚拟设备和主机的合规性,
兼容:兼容状态表明vSphere对象与附加基线组中的所有基线兼容,或者与附加基线中的所有补丁、扩展和升级兼容。兼容状态不需要进一步的操作。如果基线包含与目标对象无关的补丁或升级,则单个更新和包含它们的基线或基线组都将被视为不适用,并表示为兼容的。
如果显示不兼容,那么你需要去打补丁
修补的建议
您可以立即执行补救,也可以将其安排在稍后的日期。
主机修复以不同的方式运行,这取决于附加的基线类型以及主机是否在集群中。
对于集群中的ESXi主机,默认情况下修复过程是连续的。
在vSphere更新管理器6及以后版本中,您可以选择并行运行主机修复。当您按顺序对一组主机进行补救,其中一台主机无法进入维护模式时,vSphere Update Manager将报告一个错误,该进程将停止并失败。集群中被纠正的主机保持更新级别。在失败的主机修复后未进行补救的主机将不更新。
集群中主机的修复需要您临时禁用集群特性,如vSphere DPM和vSphere HA允许控制。
如果启用了vSphere DRS的集群中的主机运行一个安装了vSphere更新管理器或vCenter服务器的虚拟机,那么vSphere DRS首先尝试将运行vCenter服务器或vSphere更新管理器的虚拟机迁移到另一个主机,以便修复成功。如果无法将虚拟机迁移到另一个主机,则修复将失败,但进程不会停止。vSphere更新管理器继续修复集群中的下一个主机。
只有当集群中的所有主机都可以升级时,集群中的ESXi主机的主机升级修复才会进行。
当您并行地对一组主机进行补救时,vSphere Update Manager将同时对多个主机进行补救。
在并行修复期间,如果vSphere Update Manager在修复一个主机时遇到错误,它将忽略该主机,并且对于集群中的其他主机,修复过程将继续进行。vSphere更新管理器在不中断vSphere DRS设置的情况下,持续计算它可以同时修复的最大主机数量。您可以将同时修复的主机的数量限制为特定的数量。
vSphere更新管理器按顺序对vSAN集群中的主机进行补救,即使您选择并行地对它们进行补救。根据设计,在任何时候,vSAN集群中只有一台主机可以处于维护模式(上面没有虚拟机处于活动状态,虚拟机电源关机或者挂起)。
补丁召回通知
每隔一段时间,vSphere Update Manager就会联系VMware下载关于补丁召回、新补丁修复和警报的通知:
- 通知检查计划是默认选择的。
在接收补丁召回通知时,vSphere更新管理器采取以下操作:
- 它在notification选项卡中生成一个通知。
- 它不再将召回补丁应用于任何主机。该补丁被标记为在数据库中被召回。
- 它从其补丁库中删除补丁二进制文件。
- vSphere更新管理器不会从ESXi主机卸载被召回的补丁。它等待更新的补丁并应用该补丁使主机兼容。
EAM与vSphere更新管理器的集成
ESX 代理是一个虚拟机(或一个虚拟机加一个 vSphere 安装包 (VIB)),可以扩展 ESXi 主机的功能,提供 vSphere 解决方案需要的其他服务。
例如,解决方案可能需要特定的网络筛选器或防火墙配置才能工作。解决方案可以使用 ESX 代理连接到 vSphere Hypervisor,并为主机扩展特定于此解决方案的功能。例如,ESX 代理可以筛选网络流量,用作防火墙或收集主机上有关虚拟机的其他信息。
VMware NSX®使用ESX代理管理器(EAM)为ESXi主机准备所需的NSX数据路径和主机工具扩展:
•vSphere Update Manager为VMware NSX®ManagerTM准备的每个ESXi集群自动创建并附加一个系统管理的EAM基线。
•当NSX数据路径和主机工具扩展的新版本发布时,EAM基线会自动更新并报告ESXi集群不再兼容。他们还建议使用remediation更新安装在ESXi主机上的扩展。
ESX代理管理器(EAM)自动化部署和管理vSphere ESX代理的过程,同时扩展ESXi主机的功能以提供vSphere解决方案所需的附加服务。
ESX代理虚拟机类似于Windows或Linux中的服务。它们在操作系统启动时启动,在操作系统关闭时停止。ESX代理虚拟机的行为对用户是透明的。当ESXi操作系统已经启动,并且所有ESX代理虚拟机都已准备好并通电时,vSphere主机将达到就绪状态。
EAM使您能够监视ESX代理的健康状况,并阻止用户对可能影响使用它们的虚拟机的ESX代理执行某些操作。例如,EAM可以防止ESX代理虚拟机被关闭或从包含使用该代理的其他虚拟机的ESXi主机移动。
为了确保vSAN集群是最新的,vSAN 6.6.1(及以后版本)与vSphere Update Manager集成。
vSAN生成与vSphere更新管理器一起使用的系统基线和基线组。
vSAN版本目录维护关于可用版本、版本的优先顺序以及每个版本所需的关键补丁的信息。vSAN版本目录驻留在VMware Cloud™上。
vSphere更新管理器根据当前的vSAN版本目录,为每个vSAN集群确定正确的升级路径。vSAN还包括必要的驱动程序和系统基线中推荐发布的补丁更新。
vSAN补丁和版本管理完全集成在vSAN中。vSAN版本建议是使用VMware兼容性指南、vSAN版本目录和底层硬件配置信息自动生成的。
系统基线确保ESXi集群与基线定义的推荐软件、更新或扩展的遵从性和兼容性:
•系统基线是只读的,由vSphere更新管理器自动创建和维护。
•当NSX Manager准备好一个ESXi集群时,EAM基线会自动附加到ESXi集群上,并进行一致性扫描。
在ESXi集群上执行修复操作时,vSphere更新管理器自动与vSphere DRS集成:•在vSphere DRS集群中,vSphere更新管理器在vSphere DRS运行之前将主机置于维护模式。将主机放入维护模式将导致vSphere DRS集群主机在打补丁之前被清空。
•当调用进入维护模式操作时,会执行某些预检查,以确保ESXi主机可以进入维护模式。
•vSphere报告任何可能阻止ESXi主机进入维护模式的配置问题。
如果以下检查不通过,维护模式操作将失败,并报告失败的原因:
•ESXi主机级别检查:
•ESXi主机集群参与
•开机虚拟机容量
•vSphere DRS启用状态
•vSphere DRS完全自动化状态
•虚拟机级别检查:
•虚拟机vSphere DRS手动覆盖
•虚拟机vSphere DRS规则冲突
•vSphere HA许可控制冲突