雖然VMware vSphere ESX/ESXi虛擬化技術平台的Hypervisor非常精簡,但只要是程序開發所撰寫的軟體產物,或多或少就會有臭蟲(Bugs)、安全性更新(Security)、重大修補(Critical)等更新需要安裝。對此,本文將詳細介紹ESX/ESXi 4.1安全性更新時的詳細操作步驟,並提示相關注意事項,以確保更新後虛擬化平台運作正常。
建議ESX/ESXi Host採用固定IP位址
VMware官方建議欲執行更新(或升級版本)的ESX/ESXi Host時,採用固定IP位址(Static IP Address)較為適當。如果採用動態IP位址,也就是由DHCP伺服器所配發的IP位址,在執行更新或升級版本的過程中,可能會因為Renew租約IP位址的動作而導致更新流程失敗(若採用vSphere Update Manager更新將會失去連線)。雖然實際執行更新時也可能會更新成功,但是更新的工具會顯示更新失敗及其他錯誤。因此,避免ESX/ESXi Host採用動態IP位址進行更新。
ESX/ESXi 4.x升級後的注意事項
ESX Hypervisor因為內含COS(Console OS),所以更新前注意的事項比較多。執行更新後,雖然相關的虛擬網路設定、安全性設定、儲存設定等仍會保留,而且也會保留既有「/boot」掛載點及啟動檔案(boot files),以及「/etc」目錄下相關系統設定檔,例如localtime、ntp.conf、syslog.conf、passswd、groups等。但更新或升級後,可能還需執行相關指令,針對LUN Masking設定格式來進行轉換。如果有安裝第三方代理程式(3rd-party Agnet),預設也會被停用(Disable),此時可使用vihostupdate指令重新安裝。
ESXi Hypervisor的更新或升級版本作業則相對簡單。在更新或升級作業過程中,所有相關設定都會被保留,包括虛擬網路設定、安全性設定、儲存設定等。需要注意的是,如果是從ESXi 3.5跨大版本升級到ESXi 4.1,授權金鑰(License Key)將不會保留,必須在升級過程後輸入新的ESXi 4.1授權金鑰資訊,這是因為升級作業之後會將授權轉換成60天全功能評估版本(60 days Evaluation Mode)。
最後要注意的是,執行更新或升級之後,除了查看版本號碼(Build Number)是否更新之外,也要查看升級日誌(Upgrade Logs)檔案內容,ESX虛擬化虛平台請查看「/var/log/vmware」,ESXi虛擬化虛平台則查看「/locker/db/esxupdate.log」內容(詳細資訊可參考VMware KB-1034329),或者使用vSphere Client匯出日誌檔案,再檢查日誌檔案內容,以確認更新升級作業運作無誤。
下載安全性更新
可在安裝vSphere Client的電腦中,先行下載相關的安全性更新檔案,再透過Datastore Browser上傳更新檔案的方式進行上傳。此下載更新的方式適合於ESXi虛擬化平台無法接觸網際網路時(有虛擬化平台安全性考量)。
開啟瀏覽器連結至VMware Download Patches網站,在Search by Product區塊中依序選擇虛擬化平台類型(ESXi)、版本號碼(4.1.0)、發行日期(Release Date),最後選擇是否要分類下載相關更新,或者選擇【All Classifications】下載所有類型的更新,如圖3所示。
|
▲圖3 至VMware Download Patches網站搜尋及下載更新。 |
搜尋結果中會顯示可供下載的安全性更新及相關資訊,首先尋找距離目前ESXi虛擬化平台最接近的Update版本更新(類似Windows的Service Pack)。目前ESXi 4.1更新中最新的是Update02(Build Number 502767),其餘則為小版本更新。此實作中,先下載Update02。在下載以前,可以概略查看相關資訊(圖4):
|
▲圖4 在VMware Download Patches網站中下載更新。 |
·發行名稱(Release Name):可以看到下載的檔案名稱、檔案校驗碼、檔案大小、版本號碼、發行日期以及對於系統的整體影響(VM虛擬主機需要關機或遷移,Host主機是否需要重新啟動)。
·公告資訊及描述(Bulletin & Description):可以查看此更新是針對哪些項目所進行的(例如針對Firmware、VMwar Tools),以及詳細資訊所相對應的VMware KB號碼。
·更新類別(Classification):此更新的類別屬於哪一種,例如安全性更新(Security)、重大修補(Critical)、一般(General)等。
接著,開啟vSphere Client連線至ESXi Host,並且依照如下步驟透過Datastore Browser將剛才下載的安全性更新檔案,上傳至此台ESXi Host當中。
由vSphere Client登入ESXi Host,並切換至〔Summary〕頁籤後,在Datastore區塊內選擇此台ESXi Host的硬碟datastore1,並按下滑鼠右鍵,點選快速選單中的【Browse Datastore】,便會開啟Datastore Browser視窗。接著按下「Upload File」圖示,選擇剛才下載的安全性更新檔案「update-from-esxi4.1-4.1_update02.zip」進行檔案上傳動作(圖5)。
|
▲圖5 上傳安全性更新檔案至ESXi虛擬化平台。 |
如果ESXi虛擬化平台可以接觸到網際網路的話(主機安全性較低),則可以如圖6所示直接在指令模式情況下透過指令切換至Datastore路徑,接著使用wget指令配合安全性更新檔案的URL下載網址進行下載。但是,此指令僅支援http和ftp協定,並不支援https。
|
▲圖6 直接在ESXi虛擬化平台上以指令下載安全性更新檔案。 |
啟動SSH遠端管理功能
由於所管理的ESXi虛擬化平台其實體主機通常位於機房內,並且通常都是採用vSphere Client或vCenter Server進行遠端連線管理,所以在預設情況下,ESXi Host並不會啟用SSH遠端管理機制以提升主機安全性。
而本篇實作環境,因為是採用Standalone ESXi Host,並使用Offline bundle方式更新且無建置VMware vCenter Server,所以必須開啟ESXi Host的SSH遠端管理服務,以利後續使用esxupdate指令進行更新作業。
開啟ESXi Host的SSH遠端管理服務的方式有兩種,可以在DCUI(Direct Console User Interface)或是vSphere Client操作介面內啟動SSH遠端管理服務。