Patch-Management für ESXi: Baselines für vSphere Update Manager (VUM) konfigurieren

    vSphere Update Manager (VUM)Das Bereit­stellen von Patches mit dem Update Manager er­folgt über Base­lines. Sie er­leich­tern ein ziel­gerich­tetes Aus­liefern von Patches für ausge­wählte Objekte wie Hosts, VMs oder VAs. Dieser Bei­trag erläu­tert das Kon­zept und zeigt, wie Sie Base­lines erstellen und organisieren.

    Baselines sind dem eigentlichen Patch-Repository vorgeschaltet und erlauben es, Upgrades oder Patches für einzelne Objekte in einer vSphere-Umgebung gezielt zu steuern und für die Anforderungen des Unternehmens zu vereinheitlichen.

    Effiziente Zuordnung von Patches

    Würden Sie jedes zu aktualisierende Objekt (Host, VM oder VA) bei jedem Patch-Durchlauf mit dem kompletten Patch-Repository abgleichen, dann müssten Sie jeden gewünschten Einzel-Patch explizit auswählen.

    Große Unternehmen möchten zudem oft eine einheitliche und exakt definierte Patch-Basis pro Abteilung oder Standort pflegen. Alternativ könnte sich Patches nur auf die Host-Hardware beschränken, für die sie zuvor getestet wurden. Außerdem möchten sich Unternehmen auch vor unerwünschten Patches schützen.

    Drei Arten von Baselines

    Baselines lassen sich daher auf 3 Ebenen klassifizieren

    Ebene 1:

    Host-Baselines VM/VA-Baselines

    Ebene 2:

    Patch-Baselines Extension-Baseline Upgrade-Baselines

    Ebene 3:

    Feste Baselines Dynamische Baselines

    Die Unterscheidung auf Ebene 1 ist relativ einfach zu verstehen, da VMware für Hosts und VMs/VAs zwei unterschiedliche Download-Repositories pflegt. So finden Sie im Update Manager in der Administrator­ansicht unter Verwalten zwei separate Reiter für Host-Baselines und VM/VA-Baselines.

    Registerkarte mit den Baselines für Hosts

    In beiden Abteilungen existieren jeweils vordefinierte Baselines von VMware - zwei bei den Host-Baselines und drei bei den VM/VA-Baselines. Um eine neue Baseline zu erstellen, klicken Sie hüben wie drüben auf das grüne Plus-Symbol. Anschließend startet der Baseline-Assistent.

    vSphere Update Manager (VUM) trennt die Baselines für VMs und VIrtual Appliances von jenen für die Hosts.

    Eigene Baselines erstellen

    Sie müssen nicht zwingend eigene Baselines erstellen und pflegen. In kleinen Umgebungen reichen die vordefinierten Baselines von VMware oft aus. Möchten Sie aber eigene Baselines erzeugen, dann benötigen Sie mindestens das Recht Baseline verwalten, sofern Sie nicht vSphere-Administrator sind.

    Ferner differenziert der Baseline-Dialog zwischen Baselines und Baseline-Gruppen. Baseline-Gruppen finden sich, falls vorhanden, im rechten Teil der Baseline-Verwaltung.

    Baseline-Gruppen haben nichts mit Benutzer-Gruppen zu tun, sondern fassen mehrere Baselines zusammen. Sie lassen sich aus vorhandenen Einzel-Baselines zusammenbauen und enthalten entweder

    • eine Upgrade-Baseline pro Upgrade-Baseline-Typ
    • eine oder mehrere Patch- und Erweiterungs-Baselines
    • oder eine Kombination aus mehreren Patch- und Erweiterungs-Baselines

    Haben Sie sich dann im ersten Schritt des Assistenten für das Erstellen einer Host-Baseline oder VM/VA-Baseline entschieden, dann wählen Sie im Folgeschritt einen der Baseline-Typen Fest oder Dynamisch aus.

    Der vSphere Update Manager bietet einen Assistenten zum Estellen neuer Baselines.

    Feste und dynamische Baselines

    Feste Baselines enthalten stets einen fixen Satz von Patches und verändern sich nach dem Erstellen nicht, auch wenn neue Patches im Repository hinzukommen. Dieser Typ eignet sich zum Beispiel für Unternehmen mit einer homogenen ESXi-Landschaft.

    Admins können hier ausgewählte und sorgsam getestete, bzw. für notwendig befundene Patches fest in einer eigenen Paketbasis zusammenfassen, die nachher beim Standardisieren der Hosts als (einzige) Quelle herangezogen wird. Auf diese Weise ließen sich etwa eigene Baselines für Server von HP, Fujitsu oder Lenovo einer bestimmten Baureihe pflegen.

    Der Assistent zum Anlegen einer neuen Baseline fragt im ersten Schritt nach dem gewünschten Typ.

    Dynamische Baselines aktualisieren ihren Inhalt mit der Verfügbarkeit neuer Patches im Repository sowie anhand von Kriterien automatisch, die der Administrator festlegt. Sie eigenen sich beispielsweise für einzelne Test-Hosts die "ohne Rücksicht auf Verluste" immer auf dem aktuellen Patch-Level gehalten werden sollen.

    Die Kriterien für dynamische Baselines legen Sie dann im Folgeschritt fest. So können Sie z. B. bestimmen, dass nur Patches eines bestimmten Anbieters, einer bestimmte Kategorie (Security, Bugfix), eines bestimmten Schweregrads (Critical, Important) oder einer bestimmten Produktlinie (vSphere 5.5, 6.0. 6.5) berücksichtigt werden.

    Auswahlkriterien für Patches beim Anlegen einer dynamischen Baseline

    Außerdem kann man die Auswahl auf Patches begrenzen, die in einem bestimmten Zeitraum erschienen sind. Wenn Sie wissen, dass sich ihre Hosts auf dem aktuellen Patch-Level befinden, dann können Sie sich auf neue Patches beschränken und so den Bereitstellungs- und Standardisierungs­prozess verkürzen.

    Auf der anderen Seite beschleunigt ein Verzicht auf das Filtern den Patch-Vorbereitungsprozess. Lassen Sie hier einfach Alle Patches zu und finden Sie beim späteren Compliance-Check heraus, welche Patches überhaupt zur jeweiligen Hardware passen. Einzelne Patches können Sie immer noch beim Standardisieren bestätigen oder auslassen.

    Unerwünschte Patches lassen sich nachträglich explizit ausschließen.

    Alternativ können Sie einzelne Patches im nächsten Schritt Auszuschließende Pakete auch direkt aus der Baseline entfernen, abgesehen davon, dass Sie dies auch im Verlauf des Standardisierungs­prozesses explizit für den jeweiligen Host tun können.

    Analog zum gerade beschriebenen Vorgehen können Sie auch anderen Baseline-Typen erstellen, etwa eine Erweiterungs-Baseline. Eine solche enthält zusätzliche Software für ESXi-Hosts, die entweder von VMware- oder Drittanbietern stammt. Selbstver­ständlich können Sie eine vorhandene Host-Patch-Baseline jederzeit bearbeiten.

    Host-Upgrade-Baselines

    Möchten Sie hingegen mehrere ESXi-Hosts einem Upgrade unterziehen, etwa von der vSphere-Version 6.0 auf 6.5, dann erstellen Sie im ersten Schritt des Baseline-Assistenten eine Host-Upgrade-Baseline. Im Folgeschritt ESXi-Images wählen Sie dann das gewünschte ESXi-Image aus, welches Sie vorab im Reiter Verwalten im Tab ESXi-Images hochgeladen haben müssen.

    So können Sie auf einfache Weise eine große Anzahl von ESXi-Hosts upgraden, indem Sie diese gegen eine solche Host-Upgrade-Baseline standardisieren. Individualisierte ESXi-Image-Profile erzeugen Sie zuvor mit dem Image Builder, was in Version 6.5 von vCenter auch per GUI klappt.

    Auswahl eines Images, mit dem bestimmte Hosts aktualisiert werden sollen.

    Ähnlich verhält es sich mit VM/VA-Baselines. Mit diesem Typ können Sie auf einfache Weise die VMware-Tools und die Hardware-Version ausgewählter VMs oder einer virtuellen Appliance aktualisieren.

    Das entsprechende Repository ist gut bestückt, wie im Tab VA-Upgrades zu erkennen ist. Dort fehlt allerdings die vCenter Server Appliance (vCSA).

    Repository mit den Upgrades für Virtual Appliances

    Im nächsten Teil geht es darum, Baselines an Objekte anzuhängen, den Compliance-Zustand der gewünschten Objekte zu prüfen und wie man Hosts, VMs sowie VAs interaktiv oder per Zeitplan standardisiert. Auch das Upgraden von ESXi-Hosts gehört in dieser Kategorie.

    Keine Kommentare