雖然VMware vSphere ESX/ESXi虛擬化技術平台的Hypervisor非常精簡,但只要是程序開發所撰寫的軟體產物,或多或少就會有臭蟲(Bugs)、安全性更新(Security)、重大修補(Critical)等更新需要安裝。對此,本文將詳細介紹ESX/ESXi 4.1安全性更新時的詳細操作步驟,並提示相關注意事項,以確保更新後虛擬化平台運作正常。
若採用的是ESX Hypervisor虛擬化平台,由於其內含COS(Console OS),且該COS是採用Red Hat Enterprise
Linux 5.2作業系統(Kernel 2.6.x)所開發改寫而成,因此需要更新的數量比ESXi Hypervisor虛擬化平台要來得更多。
反觀ESXi Hypervisor虛擬化平台,由於ESXi已經將COS(Console OS)完全移除,並且讓所有的VMware Agent都直接改為運作在VMKernel之上(不像ESX Hypervisor將其運作在COS之上),因此ESXi便不再需要幫COS及相關套件進行安全性更新的動作,這麼一來,除了減少虛擬化主機被攻擊的機會及提升主機整體安全性外,主機整體運作效率也大幅提升,並且所需更新的數量也大為減少許多。
由圖1可知,將相同版本之ESX/ESXi Hypervisor虛擬化平台各自的更新數量進行比較,ESXi Hypervisor所需的更新數量變少了。
|
▲ 圖1 VMware vSphere ESX/ESXi更新數量比較表。圖片來源:VMware官網—Benefits of VMware ESXi Hypervisor Architecture |
本文實作所需建構的環境及相關軟體,如以下表格所示:
安裝更新採用的方式及工具
以下討論並實作如何手動更新ESX/ESXi 4.x相關安全性更新。執行安裝更新的方式分為Online patch和Offline bundle兩種:
·Online patch:採用vSphere Update Manager(VUM)整合工具,以patch baseline方式進行VMware官網與ESX/ESXi Host版本比較,然後做更新。
·Offline bundle:至VMware官網自行下載相關的更新套件包(.zip)後,手動自行進行更新作業。
而執行更新的工具有三種,包括vCenter Update Manager整合工具(圖2),以及CLI(vCLI、PowerCLI)、esxupdate指令,以下分別說明:
·vSphere Update Manager:為vCenter Server的Plug-ins整合工具功能,因此在虛擬化環境之中必須建置vCenter Server才能夠使用此整合工具(因為它需要連結vCenter Server的資料庫)。可以透過它來更新vSphere相關元件,例如Virtual Machine Kernel(VMKernel)、Console OS(COS)、Virtual Machine Hardware、VMware Tools等等。
·CLI:可以額外安裝相關的工具指令集後手動執行更新作業,例如安裝vSphere CLI指令集後採用vihostupdate指令,或者安裝PowerCLI指令集後執行InstallVMHostPatch指令進行更新。
·esxupdate:此工具指令集內建於ESX/ESXi 4.x虛擬化平台中(新版ESXi 5.0不支援此指令),配合相關參數後便可手動安裝更新檔案。
了解上述更新方式和更新工具之間的差異後,以下表格列出每一種更新方式所須配合使用的更新工具。
|
▲ 圖2 VMware vSphere Update Manager運作示意圖。圖片來源:VMware官網—VMware vSphere Update Manager |
執行更新作業前的注意事項
在執行更新作業之前必須留意以下兩件事:ESX/ESXi Host建議採用固定IP位址、ESX/ESXi 4.x升級後必須做一些細部調整。