IT市場虛擬化平台的品牌相當多,從開源免費的到商用授權付費的版本,皆有各自喜好的用戶群。無論品牌與版本為何,都必須隨時做好更新管理,因為不知何時辛苦規劃建置的虛擬化環境會暴露在險境之中。對此,本文將介紹VMware vSphere 6.0最重要的幾項基礎更新,讓企業IT虛擬化的環境運行更加安全及順暢。
TOP 10:如何做好Guest OS系統的更新管理
在目前企業虛擬化環境中,無論虛擬化平台的品牌為何,虛擬機器所安裝使用的Guest OS仍以Microsoft Windows為最多,其次是Linux系列的作業系統。兩者目前都有各自的更新機制,但就企業的IT管理層面而言,Windows所提供的更新管理解決方案仍然比較完善。
主要是因為Windows除了能夠在獨立運行的電腦中,執行「控制台」內的「Windows Update」功能來進行立即或排程更新作業,也可以在一個Active Directory網域架構下,讓IT部門集中控管網路內所有的Windows更新設定,進一步還可以整合內建的WSUS(Windows Server Update Services)伺服器角色,或是更進階的SCCM(System Center Configuration Manager)伺服器。
此外,在Windows Update組態配置中還有一項特色,那就是能夠選擇一併自動更新目前作業系統中的Microsoft產品,像是常見的SQL Server、Exchange Server、SharePoint Server等等。至於Linux作業系統的更新功能,雖然各自發行的版本相當多,但線上檢查更新以及更新目前所有已安裝套件的功能,則大部分都是內建提供的。如圖38所示,便是CentOS 7.0的桌面,可以到「應用程式」選單中開啟「系統工具」中的「軟體更新」。
|
▲圖38 CentOS 7應用程式選單。 |
如圖39所示,在「軟體更新」頁面中,便可以檢視到目前可用的更新套件清單,可以直接按下〔安裝更新〕按鈕來完成所有最新套件的更新,或者僅勾選想要更新的套件。
|
▲圖39 CentOS 7軟體更新。 |
而openSUSE的桌面管理上,其操作介面的親和度又比CentOS更勝一籌,因此許多企業IT喜歡用它來作為應用系統的平台,像是IBM Notes/Domino的企業用戶就特別偏好,而將它們大量部署在虛擬化環境中。在更新管理上,openSUSE預設就有一個在桌面工作列上的更新管理員(Software Updater),如圖40所示,預設會每24小時自動檢查一次更新,不過它只會提示安裝而不會自動安裝。按下〔安裝〕按鈕,便可以檢視到即將安裝的套件清單。
|
▲圖40 跳出openSUSE更新提示。 |
至於號稱全球最多玩家使用的Ubuntu Linux,儘管實際被應用在企業IT環境中的比例比較少,但同樣提供圖形化介面的「更新管理員」,當然也可以透過命令的方式進行更新。
只要先下達「sudo apt-get update」命令,就能夠立即從更新伺服器上取得套件的更新清單(/etc/apt/sources.list),接著就可以下達「apt-get upgrade」或是「apt-get dist-upgrade」命令,將現行所有套件的版本完成升級。這兩者命令的差別,在於後者會一併處理相依套件的安裝,或是將已不需要的現行套件進行移除。
目前大多數的Linux桌面也都有提供安全自動更新功能,首先以Ubuntu的GNOME桌面為例,就可以透過「更新管理員」介面完成設定。點選「系統」選單,然後在「管理」子選單中點選開啟「更新管理員」。最後,在〔更新〕頁籤的「自動更新」區域內勾選「Install security updates without confirmation」設定即可。
在openSUSE的作業系統部分,可以在其桌面的更新設定中,自訂檢查更新的時間,以及設定自動更新的類別,例如可以選擇僅自動安裝安全性更新或所有更新類別。
若是CentOS作業系統,必須先執行「sudo yum -y install yum-cron」命令來安裝一套名為「yum-cron」的工具,然後修改「/etc/sysconfig/yum-cron」設定檔。在預設的狀態下,它會自動下載所有更新並立即在背景安裝,不過管理人員可以調整這些預設值。
例如,將其中的CHECK_ONLY與DOWNLOAD_ONLY設定值改為「Yes」,如此一來,自動完成下載的更新程式便不會直接安裝,而是改由管理員來決定要安裝的選項。若再進一步,管理人員想要知道第一手的更新資訊,只要在MAILTO欄位內輸入E-mail地址,就會收到可更新的套件清單。
現今的Linux除了可以像Windows一樣進行手動或排程的套件更新外,大部分的發行版本也都支援就地升級,至少前面所介紹過的CentOS、openSUSE以及Ubuntu三套主流Linux系統都辦得到,圖41所示就是openSUSE就地升級安裝的啟動頁面。
|
▲圖41 openSUSE就地升級。 |
值得注意的是,無論安裝在VMware vSphere虛擬機器中的Linux作業系統版本為何,只要已完成升級作業都可以下達「lsb_release -a」命令來確認已升級的發行版ID、版本、Codename以及Linux核心資訊。
結語
相較於其他品牌的虛擬化平台,VMware vSphere在更新管理的解決方案上顯得彈性許多,因為它除了有線上與離線的更新方式之外,還可以自由選擇透過命令主控台或圖形介面來進行管理,而在面對大架構的vSphere運行環境時,還能夠進一步整合自家的vSphere Update Manager,集中控管從ESXi主機到數以千計虛擬機器的更新與升級。
想想看,若是在未來它能夠深入於Guest OS系統(Windows與Linux)的更新控管,肯定可大幅提升IT的管理效率,並減少虛擬環境中任一環節因安全漏洞暴露於威脅的可能性。相信會有這麼一天,因前一陣子Microsoft才與VMware相互表達合作的意願。
<本文作者:顧武雄, Microsoft MVP、MCITP與MCTS認證專家、台灣微軟Technet、TechEd、Webcast、MVA特約資深顧問講師。>