Patch-Management für ESXi: Baselines für vSphere Update Manager (VUM) konfigurieren

Würden Sie jedes zu aktualisierende Objekt (Host, VM oder VA) bei jedem Patch-Durchlauf mit dem kompletten Patch-Repository abgleichen, dann müssten Sie jeden gewünschten Einzel-Patch explizit auswählen.

Große Unternehmen möchten zudem oft eine einheitliche und exakt definierte Patch-Basis pro Abteilung oder Standort pflegen. Alternativ könnte sich Patches nur auf die Host-Hardware beschränken, für die sie zuvor getestet wurden. Außerdem möchten sich Unternehmen auch vor unerwünschten Patches schützen.

Drei Arten von Baselines

Baselines lassen sich daher auf 3 Ebenen klassifizieren

Ebene 1:

Ebene 2:

Ebene 3:

Die Unterscheidung auf Ebene 1 ist relativ einfach zu verstehen, da VMware für Hosts und VMs/VAs zwei unterschiedliche Download-Repositories pflegt. So finden Sie im Update Manager in der Administrator­ansicht unter Verwalten zwei separate Reiter für Host-Baselines und VM/VA-Baselines.

In beiden Abteilungen existieren jeweils vordefinierte Baselines von VMware - zwei bei den Host-Baselines und drei bei den VM/VA-Baselines. Um eine neue Baseline zu erstellen, klicken Sie hüben wie drüben auf das grüne Plus-Symbol. Anschließend startet der Baseline-Assistent.

Eigene Baselines erstellen

Sie müssen nicht zwingend eigene Baselines erstellen und pflegen. In kleinen Umgebungen reichen die vordefinierten Baselines von VMware oft aus. Möchten Sie aber eigene Baselines erzeugen, dann benötigen Sie mindestens das Recht Baseline verwalten, sofern Sie nicht vSphere-Administrator sind.

Ferner differenziert der Baseline-Dialog zwischen Baselines und Baseline-Gruppen. Baseline-Gruppen finden sich, falls vorhanden, im rechten Teil der Baseline-Verwaltung.

Baseline-Gruppen haben nichts mit Benutzer-Gruppen zu tun, sondern fassen mehrere Baselines zusammen. Sie lassen sich aus vorhandenen Einzel-Baselines zusammenbauen und enthalten entweder

• eine Upgrade-Baseline pro Upgrade-Baseline-Typ
• eine oder mehrere Patch- und Erweiterungs-Baselines
• oder eine Kombination aus mehreren Patch- und Erweiterungs-Baselines

Haben Sie sich dann im ersten Schritt des Assistenten für das Erstellen einer Host-Baseline oder VM/VA-Baseline entschieden, dann wählen Sie im Folgeschritt einen der Baseline-Typen Fest oder Dynamisch aus.

Feste und dynamische Baselines

Feste Baselines enthalten stets einen fixen Satz von Patches und verändern sich nach dem Erstellen nicht, auch wenn neue Patches im Repository hinzukommen. Dieser Typ eignet sich zum Beispiel für Unternehmen mit einer homogenen ESXi-Landschaft.

Admins können hier ausgewählte und sorgsam getestete, bzw. für notwendig befundene Patches fest in einer eigenen Paketbasis zusammenfassen, die nachher beim Standardisieren der Hosts als (einzige) Quelle herangezogen wird. Auf diese Weise ließen sich etwa eigene Baselines für Server von HP, Fujitsu oder Lenovo einer bestimmten Baureihe pflegen.

Dynamische Baselines aktualisieren ihren Inhalt mit der Verfügbarkeit neuer Patches im Repository sowie anhand von Kriterien automatisch, die der Administrator festlegt. Sie eigenen sich beispielsweise für einzelne Test-Hosts die "ohne Rücksicht auf Verluste" immer auf dem aktuellen Patch-Level gehalten werden sollen.

Die Kriterien für dynamische Baselines legen Sie dann im Folgeschritt fest. So können Sie z. B. bestimmen, dass nur Patches eines bestimmten Anbieters, einer bestimmte Kategorie (Security, Bugfix), eines bestimmten Schweregrads (Critical, Important) oder einer bestimmten Produktlinie (vSphere 5.5, 6.0. 6.5) berücksichtigt werden.

Außerdem kann man die Auswahl auf Patches begrenzen, die in einem bestimmten Zeitraum erschienen sind. Wenn Sie wissen, dass sich ihre Hosts auf dem aktuellen Patch-Level befinden, dann können Sie sich auf neue Patches beschränken und so den Bereitstellungs- und Standardisierungs­prozess verkürzen.

Auf der anderen Seite beschleunigt ein Verzicht auf das Filtern den Patch-Vorbereitungsprozess. Lassen Sie hier einfach Alle Patches zu und finden Sie beim späteren Compliance-Check heraus, welche Patches überhaupt zur jeweiligen Hardware passen. Einzelne Patches können Sie immer noch beim Standardisieren bestätigen oder auslassen.

Alternativ können Sie einzelne Patches im nächsten Schritt Auszuschließende Pakete auch direkt aus der Baseline entfernen, abgesehen davon, dass Sie dies auch im Verlauf des Standardisierungs­prozesses explizit für den jeweiligen Host tun können.

Analog zum gerade beschriebenen Vorgehen können Sie auch anderen Baseline-Typen erstellen, etwa eine Erweiterungs-Baseline. Eine solche enthält zusätzliche Software für ESXi-Hosts, die entweder von VMware- oder Drittanbietern stammt. Selbstver­ständlich können Sie eine vorhandene Host-Patch-Baseline jederzeit bearbeiten.

Host-Upgrade-Baselines

Möchten Sie hingegen mehrere ESXi-Hosts einem Upgrade unterziehen, etwa von der vSphere-Version 6.0 auf 6.5, dann erstellen Sie im ersten Schritt des Baseline-Assistenten eine Host-Upgrade-Baseline. Im Folgeschritt ESXi-Images wählen Sie dann das gewünschte ESXi-Image aus, welches Sie vorab im Reiter Verwalten im Tab ESXi-Images hochgeladen haben müssen.

So können Sie auf einfache Weise eine große Anzahl von ESXi-Hosts upgraden, indem Sie diese gegen eine solche Host-Upgrade-Baseline standardisieren. Individualisierte ESXi-Image-Profile erzeugen Sie zuvor mit dem Image Builder, was in Version 6.5 von vCenter auch per GUI klappt.

Ähnlich verhält es sich mit VM/VA-Baselines. Mit diesem Typ können Sie auf einfache Weise die VMware-Tools und die Hardware-Version ausgewählter VMs oder einer virtuellen Appliance aktualisieren.

Das entsprechende Repository ist gut bestückt, wie im Tab VA-Upgrades zu erkennen ist. Dort fehlt allerdings die vCenter Server Appliance (vCSA).

Im nächsten Teil geht es darum, Baselines an Objekte anzuhängen, den Compliance-Zustand der gewünschten Objekte zu prüfen und wie man Hosts, VMs sowie VAs interaktiv oder per Zeitplan standardisiert. Auch das Upgraden von ESXi-Hosts gehört in dieser Kategorie.