ESXi 6.5-Patch-Management – Teil 1, Video und Text vSphere Update Manager (VUM) installieren und konfigurieren

VMware legt seiner Virtualisierungsplattform mit dem „vSphere Update Manager“ (VUM) von je her ein leistungsfähiges Framework für das Verteilen und Einspielen von Patches, sowie das Upgrading des Hypervisors „ESXi“ bei. Dieser ist in „vSphere“-Version 6.5 deutlich einfacher zu handhaben.

Anbieter zum Thema

VMware Global Inc Zweigndl. Deutschland

AixpertSoft GmbH

Fujitsu Technology Solutions GmbH

FNT GmbH

Der vSphere Update Manager (VUM) ist ein komplexes Client-Server-Tool, mit dem Administratoren komfortabel

• Updates, Patches und Fixes für ESXi-Hosts,

• Updates der VM-Hardware und VMware-Tools für virtuelle Maschinen sowie

• Updates für VMware-Appliances

… herunterladen, bereitstellen und einspielen können. Ferner lässt sich VUM nutzen, um EXSi-Hosts einem Upgrade zu unterziehen, also eine neue Hauptversion des Hypervisors einzuspielen. Sein Einsatz lohnt sich immer dann, wenn mehr als zwei Hosts und zahlreiche VMs oder VAs hinsichtlich des Patch-Level zu überwachen oder zu aktualisieren sind. Dabei sind es vor allem die Automatisierungsaspekte, die seinen Einsatz gegenüber dem manuellen Vorgehen komfortabel machen.

Wie´s früher war?

Trotzdem schreckten Administratoren kleiner und mittlerer vSphere-Umgebungen bis einschließlich der Version 6.0 vor dem Einsatz von VUM zurück, weil seine Bereitstellung und Inbetriebnahme aufgrund architektonischer Altlasten eine nicht unbeträchtliche Herausforderung darstellte. Zum Einem mussten die zu seinem Betrieb erforderlichen Voraussetzungen geschaffen werden, zum Beispiel

• lief die Server-Komponente nur unter „Windows Server“ und benötigte zudem „MS SQL Server“ als Datenbank,

• der Client benötigte zwingend den „alten“ vSphere-Client und damit ebenfalls eine Windows Plattform

was mitunter nicht unbeträchtliche Zusatzkosten erforderte. Zum Anderem gestaltete sich die Bereitstellung entsprechend komplex. Die Abhängigkeiten von einer Windows-Server-Plattform zogen zudem mitunter - auch wenn VUM selbst keine Extrakosten verursachte – zusätzliche Investitionen nach.

Alles besser mit VCSA 6.5

Mit der vSphere-Version 6.5 gibt es derartige Probleme nicht mehr, zumindest wenn man die virtuelle „vCenter-Appliance“ (VCSA) verwendet, so dass dem Einsatz von VUM nichts mehr im Wege steht. Dessen ehemals komplizierte Bereitstellung und Installation reduziert sich in vSphere 6.5 / vCenter 6.5 (VCSA) auf das Aktivieren der zugehörigen, jetzt ebenfalls Linux-basierten Server-Komponente in den administrativen Einstellungen des Web-Clients, wie folgende Abbildung zeigt.

Auch um die benötigte Datenbank muss sich der Admin hierbei keine Gedanken machen, weil VCSA bereits eine integrierte „vPostgres“-Datenbank mitbringt, die problemlos auch die von VUM benötigten Instanzen verkraftet. Positives gibt es auch von der Client-Seite zu berichten, weil auch die Bedienung von VUM nun vollständig in den vom vCenter 6.5 bereitgestellten Web-Client eingeflossen ist.

Nach wie vor aufwendig ist die VUM-Bereitstellung nur noch dann, wenn …

• eine externe Datenbank verwendet werden soll oder muss,

• die Server-Komponente unter Windows laufen soll,

• die VUM-Infrastruktur verteilt, mit mehreren VUM-Servern aufgebaut werden soll, wozu die mitgelieferte (optionale) Zusatzkomponente Update Manager Download Service (UMDS) und gegebenenfalls der Proxy-Modus wertvolle Dienste leisten,

• Unternehmen eigene Patch-Repositorien vorhalten und pflegen möchten.

Das sind allerdings Aspekte, deren Komplexität „in der Natur der Sache“ liegt und nicht VUM anzulasten sind. Im Gegenteil ist VUM bei Bedarf so flexibel, das große Unternehmen die geschilderten Konzepte mit VUM umsetzen können, wenn sie sie benötigen.

Genau genommen kennt VUM drei Bereitstellungsszenarien „Embedded“, „Medium“ und „Large“, wobei Medium und Large immer eine sorgfältige Planung erfordern. Wer allerdings wie in folgendem Beispiel nur eine kleine Umgebung mit VCSA, eingebettetem PSC und eingebetteter vPostgres-Datenbank (Szenario „Embedded“ mittels VUM aktuell halten will, kann das unter vCenter 6.5 (VCSA) wie folgt mit wenigen Handgriffen tun.

Die Ersteinrichtung

Vor der Nutzung von VUM muss dieser allerdings initial konfiguriert werden. Das passiert bei markierten Datacenter, Cluster oder Host im Reiter „Update Manager“ mit einem Klick auf „Zur Administratoransicht wechseln“. Hier kann man zunächst auf der Registerkarte „Verwalten“ z. B. die Netzwerkonnektivität (einschließlich der Firewall-Ports für HTTP/S, SOAP beispielsweise), die Download-Einstellungen (Proxy oder Direct), die Download-Zeitpläne, die Zeitpläne für das Prüfen von Benachrichtigungen oder spezielle Einstellungen für Hosts/Cluster oder vApps festlegen.

Während der Admin die Einstellungen im Bereich Netzwerkkonnektivität nach erfolgreicher VUM-Installation (insbesondere bei einem Embedded-Setup) in der Regel nur prüfen muss, kann er im Bereich „Download-Einstellungen“ zum Beispiel die standardmäßig von VMware eingetragenen Download-Quellen sehen oder anpassen.

Bei „Download-Methode“ ist per Default eine direkte Verbindung zur Download-Quelle konfiguriert. Alternativ lässt sich bei „Proxy-Einstellungen“ aber auch einen Proxy eingeben.

Per Default fragt VUM die angegebenen Download-Quellen einmal täglich ab, man kann aber im Abschnitt „Download-Zeitplan“ nach Belieben andere Intervalle einrichten. Einen Blick werfen sollte man auch in die drei übrigen Abschnitte. So könnte der Admin, etwa wenn er nicht ESXI-Hosts, sondern die virtuelle Hardware oder die VMware Tools virtueller Maschinen aktualisieren möchten, unter „VM-Einstellungen“ konfigurieren, dass VUM stets einen Snapshot der VM anlegt. Das ermöglicht bei einem Fehlschlag des Updates einen automatischen Rollback.

Sehr umfassend sind zudem die Konfigurationsmöglichkeiten unter „Host-/Cluster-Einstellungen“. Da VUM jedoch exakt die gleichen Einstellungen auch abfragt, sobald ein Host gegen die ausgewählte Patch-Baseline standardisiert werden soll, behandelt diesen Aspekt der nächste Teil dieses Workshops ausführlich.

Patch-Quellen

Jetzt ist es an der Zeit, im Reiter „Patch-Repository“ einen Blick auf den derzeitigen Inhalt des Patch-Depots zu werfen, das beispielsweise sämtliche Updates und Patches für ESXi 5.5 seit dem 22.12. 2013 enthält. Zum Zeitpunkt dieses Artikels stammte der neuste Patch für ESXi 6.5 vom 28.03.2017.

Man achte auch auf die Spalten „Typ“, „Schweregrad“, „Kategorie“ (Fehlerkorrektur oder Erweiterung) und „Auswirkung“. Letztere signalisiert, welchen Konsequenzen beim Einspielen des Patches zu erwarten sind, wie ein Reboot oder einen Wechsel in den Wartungs-Modus. Der Tab „VA-Upgrades“ zeigt dagegen sämtliche Patches für die von VMware bereitgestellten virtuellen Appliances (VA).

Diese lassen sich mit VUM ebenfalls aktualisieren, jedoch nicht die VCSA selbst. Ein Update der VCSA lässt sich über die „VAMI“-Oberfläche der Appliance einspielen. Schließlich lassen sich im Reiter ESXi-Images auch eigene, angepasste ESXi-Images als Patch-Quelle bereitstellen. Auf dieser Weise kann man zum Beispiel leicht ein Upgrade auf eine neue ESX-Haupt-Version realisieren.

Nach der initialen Konfiguration des Update Managers, die folgendes Video noch einmal im Detail erläutert, zeigt der 2.Teil dieses Workshops, wie so genannten Patch-Baselines erstellt und verwaltet werden.

Diese lassen sich dann mit dem zu prüfenden und gegebenenfalls zu aktualisierenden Objekt verbinden und auf Übereinstimmung prüfen. Bei Nichtübereinstimmung können die fehlenden Patches dann auf das Objekt übertragen (staging) und direkt oder zeitplangesteuert eingespielt werden (remediation), wobei sich beide Vorgänge automatisieren lassen.

Über den Autor

Thomas Drilling ist freier Autor und IT-Berater in Sachen VMware und AWS. Auf DataCenter-Insider schreibt er seinen eigenen Blog: Drillings Open-Source-Eck

(ID:44625582)