About vSphere Update Manager
Vsphere update manager (綁定在venter server上)支援esxi主機,虛拟機硬體,vmware tools和虛拟裝置的集中,自動化更新檔和版本的管理:(虛拟化環境裡面重要的元件的統一更新管理 )
Vsphere update manager 通過以下方式降低安全風險:
- 減少漏洞的數量(汽車輪胎 慢慢癟了沒氣了)
-
消除掉一些舊的安全隐患
Vsphere update manager通過以下方式減少環境中系統的多樣性(合規性):
- 簡化管理(平台化)
-
減少安全風險
Vsphere update manager使主機運作更加順暢:
- 修補程式,包括bug修複
-
簡化故障排除
可以将vsphere update manager與 vcenterserver 或vCSA一起使用,vCenter伺服器裝置将vSphere更新管理器作為可選服務提供。vSphere更新管理器捆綁在vCenter伺服器裝置中
Vsphere 更新管理功能
自動更新檔下載下傳:
根據資訊向導進行自動更新檔下載下傳
它以定期可配置的時間間隔進行排程。(定義一個下載下傳的頻率,上面時間範圍内進行下載下傳)
基線和基線組的建立
(beaseline有點類似于一個角色 裡面有很多個特權 你可以自主的建立,系統也有預設的)
拿着整個baseline去對比掃描的對象,去看一下掃描的對象有沒有這個基線當中的更新檔
基線組:一個基線組裡面有好多個基線
設定完基線之後 附加基線和基線組到庫存對象。
掃描:
對庫存系統進行基線符合性掃描。
補救:
庫存系統不符合可以自動修補。
Update manager元件
需要和vcenter server進行網絡連接配接
元件:
- 可以和vcenter server安裝在同一個windows計算機上,也可以安裝在不同的伺服器上,update manager與vcenter server內建,并作為其可選服務提供
- 用戶端元件:當在vSphere Web client中選擇ESXi主機時,vSphere更新管理器功能将出現在更新管理器頁籤上。Web client 不需要裝插件 别的client需要裝插件
- 資料庫:安裝在Windows上的vSphere更新管理器伺服器和更新管理器下載下傳服務需要一個資料庫來存儲群組織伺服器資料。(更新檔中繼資料) 可以是外置資料庫也可以内置資料庫
- 需要Oracle或Microsoft SQL Server資料庫(僅适用于Windows上的vSphere更新管理器)
Update manager配置
隻有當您具有配置Update Manager設定和服務的權限時,您才能修改Update Manager設定。這些權限必須在注冊Update Manager的vCenterserver系統上配置設定。将VMware vSphere®Update Manager用戶端連接配接到注冊了vSphere Update Manager的vCenterserver系統。在vSphere Web client的首頁上,點選Update Manager圖示來通路管理設定:
•網絡連接配接:網絡端口在安裝過程中進行配置。您可以在vSphereUpdate Manager網絡連接配接設定中修改更新檔存儲的IP位址或主機名。
下載下傳設定:修改新更新檔和虛拟裝置更新的下載下傳位置。
下載下傳源:如果你的部署系統連接配接到網際網路,你可以直接下載下傳ESXi更新檔和擴充,以及虛拟裝置更新。
•代理設定:您可以配置vSphereUpdate Manager,通過使用代理伺服器從網際網路下載下傳更新。
•檢查更新(下載下傳時間表):vSphere Update Manager定期檢查虛拟裝置更新、主機更新檔和擴充。通常,預設的日程安排設定就足夠了,但是如果您的環境需要更多或更少的頻率檢查,您可以更改日程安排。
•通知檢查時間表:預設情況下,vSphere更新管理器會在特定的時間間隔檢查關于更新檔召回、更新檔修複和警報的通知。你可以修改這個時間表。預設情況下,檢查通知和發送通知警報的任務是啟用的,稱為VMware vSphere更新管理器檢查通知任務。通過修改此任務,您可以配置vSphere Update Manager檢查更新檔召回或修補更新檔釋出的時間和頻率,并将通知發送到您指定的電子郵件位址。
•虛拟機設定:預設情況下,vSphere update manager被配置為在應用更新之前拍攝虛拟機快照。如果補救失敗,您可以使用快照将虛拟機傳回到補救之前的狀态。vSphere更新管理器不擷取容錯虛拟機和運作虛拟機硬體版本3的虛拟機的快照。如果您決定為這樣的虛拟機拍攝快照,那麼修複可能會失敗。您可以選擇無限期地保留快照,也可以選擇保留固定的時間。
•主機和叢集設定:啟用快速引導,配置VM電源狀态,将主機處于維護模式,(在修補的時候,不會出現虛拟機停機,處于維護模式之後,可以DRS到别的主機上運作,修補完了,可以再遷回來)修複叢集中的主機時必須暫時禁用vSphere HA、vSphere容錯和vSphere DPM。您需要确定vSphere更新管理器在主機和叢集中的行為方式。
基線,基線組
基線包括一個或多個更新檔,擴充(esxi裡面有很多軟體包,軟體包有更新範圍,那就屬于擴充)或更新
Vsphere updatemanager預設包括以下基線:
- 關鍵主機動态更新檔基線:檢查ESXI主機是否符合所有關鍵更新檔
- 非關鍵主機動态更新檔基線:檢查ESXI主機是否符合所有可選的更新檔
-
Vmware tool 更新基線:檢查主機上的虛拟機是否符合最新的vmware tools工具
Vsphere update manager 支援為運作esxi5.0及以上的主機上的虛拟機更新vmware工具
- Vmware 硬體更新基線
- 虛拟裝置更新基線:檢查虛拟機的虛拟硬體是否符合主機支援的最新版本
基線組包括多個基線
基線組可以包含一個更新基線和一個或多個更新檔和擴充基線
您可以建立自定義更新檔、擴充和更新基線,以滿足您的特定部署的需要,方法是使用New Baseline向導:
•建立一個固定的更新檔基線:
-固定的基線由一組更新檔組成,這些更新檔不會随着更新檔可用性的變化而變化。隻包含你選擇的更新檔,不會考慮新的更新檔下載下傳
•建立一個動态更新檔基線:
-動态基線由一組滿足特定條件的更新檔組成。根據更新檔的可用性和你指定的标準自動更新
•建立一個主機擴充基線:
擴充基線包含額外的軟體為ESXi主機。可用擴充基線來安裝額外的子產品,這個附加的軟體可能是VMware或第三方軟體。
•在建立基線向導中過濾更新檔或擴充:
當您建立更新檔或擴充基線時,您可以過濾vSphere更新管理器庫中可用的更新檔和擴充,以找到特定的更新檔和擴充來排除或包含在基線中。
如果您的vCenter伺服器系統是處于vCenter連結模式下的連接配接組的一部分,并且您有多個vSphere更新管理器執行個體,那麼您建立的更新檔和擴充基線并不适用于組中其他vCenter伺服器系統管理的所有庫存對象。基線是特定于您選擇的vSphere更新管理器執行個體的。
附加基線
根據基線檢視合規資訊并根據基線或基線組掃描庫存中的對象,你必須首先将基線或基線組附加到這些對象上(例如虛拟機、虛拟裝置、主機或容器對象。),你可以将基線或基線組附加到vsphere web client 的 update manager選卡項的對象
掃描更新
根據附加到庫存對象上的基線和基線組掃描對象
可以通過排程或手動啟動掃描 來生成對象的合規資訊,
如果你選擇的對象是容器對象,那麼所有的子對象也會被掃描
選擇scan for updates來執行掃描
檢查vsphere 對象合規性(相容性)
你可以根據你附加的基線和基線組來檢查虛拟機,虛拟裝置和主機的合規性,
相容:相容狀态表明vSphere對象與附加基線組中的所有基線相容,或者與附加基線中的所有更新檔、擴充和更新相容。相容狀态不需要進一步的操作。如果基線包含與目标對象無關的更新檔或更新,則單個更新和包含它們的基線或基線組都将被視為不适用,并表示為相容的。
如果顯示不相容,那麼你需要去打更新檔
修補的建議
您可以立即執行補救,也可以将其安排在稍後的日期。
主機修複以不同的方式運作,這取決于附加的基線類型以及主機是否在叢集中。
對于叢集中的ESXi主機,預設情況下修複過程是連續的。
在vSphere更新管理器6及以後版本中,您可以選擇并行運作主機修複。當您按順序對一組主機進行補救,其中一台主機無法進入維護模式時,vSphere Update Manager将報告一個錯誤,該程序将停止并失敗。叢集中被糾正的主機保持更新級别。在失敗的主機修複後未進行補救的主機将不更新。
叢集中主機的修複需要您臨時禁用叢集特性,如vSphere DPM和vSphere HA允許控制。
如果啟用了vSphere DRS的叢集中的主機運作一個安裝了vSphere更新管理器或vCenter伺服器的虛拟機,那麼vSphere DRS首先嘗試将運作vCenter伺服器或vSphere更新管理器的虛拟機遷移到另一個主機,以便修複成功。如果無法将虛拟機遷移到另一個主機,則修複将失敗,但程序不會停止。vSphere更新管理器繼續修複叢集中的下一個主機。
隻有當叢集中的所有主機都可以更新時,叢集中的ESXi主機的主機更新修複才會進行。
當您并行地對一組主機進行補救時,vSphere Update Manager将同時對多個主機進行補救。
在并行修複期間,如果vSphere Update Manager在修複一個主機時遇到錯誤,它将忽略該主機,并且對于叢集中的其他主機,修複過程将繼續進行。vSphere更新管理器在不中斷vSphere DRS設定的情況下,持續計算它可以同時修複的最大主機數量。您可以将同時修複的主機的數量限制為特定的數量。
vSphere更新管理器按順序對vSAN叢集中的主機進行補救,即使您選擇并行地對它們進行補救。根據設計,在任何時候,vSAN叢集中隻有一台主機可以處于維護模式(上面沒有虛拟機處于活動狀态,虛拟機電源關機或者挂起)。
更新檔召回通知
每隔一段時間,vSphere Update Manager就會聯系VMware下載下傳關于更新檔召回、新更新檔修複和警報的通知:
- 通知檢查計劃是預設選擇的。
在接收更新檔召回通知時,vSphere更新管理器采取以下操作:
- 它在notification頁籤中生成一個通知。
- 它不再将召回更新檔應用于任何主機。該更新檔被标記為在資料庫中被召回。
- 它從其更新檔庫中删除更新檔二進制檔案。
- vSphere更新管理器不會從ESXi主機解除安裝被召回的更新檔。它等待更新的更新檔并應用該更新檔使主機相容。
EAM與vSphere更新管理器的內建
ESX 代理是一個虛拟機(或一個虛拟機加一個 vSphere 安裝包 (VIB)),可以擴充 ESXi 主機的功能,提供 vSphere 解決方案需要的其他服務。
例如,解決方案可能需要特定的網絡篩選器或防火牆配置才能工作。解決方案可以使用 ESX 代理連接配接到 vSphere Hypervisor,并為主機擴充特定于此解決方案的功能。例如,ESX 代理可以篩選網絡流量,用作防火牆或收集主機上有關虛拟機的其他資訊。
VMware NSX®使用ESX代理管理器(EAM)為ESXi主機準備所需的NSX資料路徑和主機工具擴充:
•vSphere Update Manager為VMware NSX®ManagerTM準備的每個ESXi叢集自動建立并附加一個系統管理的EAM基線。
•當NSX資料路徑和主機工具擴充的新版本釋出時,EAM基線會自動更新并報告ESXi叢集不再相容。他們還建議使用remediation更新安裝在ESXi主機上的擴充。
ESX代理管理器(EAM)自動化部署和管理vSphere ESX代理的過程,同時擴充ESXi主機的功能以提供vSphere解決方案所需的附加服務。
ESX代理虛拟機類似于Windows或Linux中的服務。它們在作業系統啟動時啟動,在作業系統關閉時停止。ESX代理虛拟機的行為對使用者是透明的。當ESXi作業系統已經啟動,并且所有ESX代理虛拟機都已準備好并通電時,vSphere主機将達到就緒狀态。
EAM使您能夠監視ESX代理的健康狀況,并阻止使用者對可能影響使用它們的虛拟機的ESX代理執行某些操作。例如,EAM可以防止ESX代理虛拟機被關閉或從包含使用該代理的其他虛拟機的ESXi主機移動。
為了確定vSAN叢集是最新的,vSAN 6.6.1(及以後版本)與vSphere Update Manager內建。
vSAN生成與vSphere更新管理器一起使用的系統基線和基線組。
vSAN版本目錄維護關于可用版本、版本的優先順序以及每個版本所需的關鍵更新檔的資訊。vSAN版本目錄駐留在VMware Cloud™上。
vSphere更新管理器根據目前的vSAN版本目錄,為每個vSAN叢集确定正确的更新路徑。vSAN還包括必要的驅動程式和系統基線中推薦釋出的更新檔更新。
vSAN更新檔和版本管理完全內建在vSAN中。vSAN版本建議是使用VMware相容性指南、vSAN版本目錄和底層硬體配置資訊自動生成的。
系統基線確定ESXi叢集與基線定義的推薦軟體、更新或擴充的遵從性和相容性:
•系統基線是隻讀的,由vSphere更新管理器自動建立和維護。
•當NSX Manager準備好一個ESXi叢集時,EAM基線會自動附加到ESXi叢集上,并進行一緻性掃描。
在ESXi叢集上執行修複操作時,vSphere更新管理器自動與vSphere DRS內建:•在vSphere DRS叢集中,vSphere更新管理器在vSphere DRS運作之前将主機置于維護模式。将主機放入維護模式将導緻vSphere DRS叢集主機在打更新檔之前被清空。
•當調用進入維護模式操作時,會執行某些預檢查,以確定ESXi主機可以進入維護模式。
•vSphere報告任何可能阻止ESXi主機進入維護模式的配置問題。
如果以下檢查不通過,維護模式操作将失敗,并報告失敗的原因:
•ESXi主機級别檢查:
•ESXi主機叢集參與
•開機虛拟機容量
•vSphere DRS啟用狀态
•vSphere DRS完全自動化狀态
•虛拟機級别檢查:
•虛拟機vSphere DRS手動覆寫
•虛拟機vSphere DRS規則沖突
•vSphere HA許可控制沖突