Tags: Patch-Management, vSphere, ESXi
Das Bereitstellen von Patches mit dem Update Manager erfolgt über Baselines. Sie erleichtern ein zielgerichtetes Ausliefern von Patches für ausgewählte Objekte wie Hosts, VMs oder VAs. Dieser Beitrag erläutert das Konzept und zeigt, wie Sie Baselines erstellen und organisieren.
Baselines sind dem eigentlichen Patch-Repository vorgeschaltet und erlauben es, Upgrades oder Patches für einzelne Objekte in einer vSphere-Umgebung gezielt zu steuern und für die Anforderungen des Unternehmens zu vereinheitlichen.
Effiziente Zuordnung von Patches
Würden Sie jedes zu aktualisierende Objekt (Host, VM oder VA) bei jedem Patch-Durchlauf mit dem kompletten Patch-Repository abgleichen, dann müssten Sie jeden gewünschten Einzel-Patch explizit auswählen.
Große Unternehmen möchten zudem oft eine einheitliche und exakt definierte Patch-Basis pro Abteilung oder Standort pflegen. Alternativ könnte sich Patches nur auf die Host-Hardware beschränken, für die sie zuvor getestet wurden. Außerdem möchten sich Unternehmen auch vor unerwünschten Patches schützen.
Drei Arten von Baselines
Baselines lassen sich daher auf 3 Ebenen klassifizieren
Ebene 1:
Host-Baselines | VM/VA-Baselines |
Ebene 2:
Patch-Baselines | Extension-Baseline | Upgrade-Baselines |
Ebene 3:
Feste Baselines | Dynamische Baselines |
Die Unterscheidung auf Ebene 1 ist relativ einfach zu verstehen, da VMware für Hosts und VMs/VAs zwei unterschiedliche Download-Repositories pflegt. So finden Sie im Update Manager in der Administratoransicht unter Verwalten zwei separate Reiter für Host-Baselines und VM/VA-Baselines.
In beiden Abteilungen existieren jeweils vordefinierte Baselines von VMware - zwei bei den Host-Baselines und drei bei den VM/VA-Baselines. Um eine neue Baseline zu erstellen, klicken Sie hüben wie drüben auf das grüne Plus-Symbol. Anschließend startet der Baseline-Assistent.
Eigene Baselines erstellen
Sie müssen nicht zwingend eigene Baselines erstellen und pflegen. In kleinen Umgebungen reichen die vordefinierten Baselines von VMware oft aus. Möchten Sie aber eigene Baselines erzeugen, dann benötigen Sie mindestens das Recht Baseline verwalten, sofern Sie nicht vSphere-Administrator sind.
Ferner differenziert der Baseline-Dialog zwischen Baselines und Baseline-Gruppen. Baseline-Gruppen finden sich, falls vorhanden, im rechten Teil der Baseline-Verwaltung.
Baseline-Gruppen haben nichts mit Benutzer-Gruppen zu tun, sondern fassen mehrere Baselines zusammen. Sie lassen sich aus vorhandenen Einzel-Baselines zusammenbauen und enthalten entweder
- eine Upgrade-Baseline pro Upgrade-Baseline-Typ
- eine oder mehrere Patch- und Erweiterungs-Baselines
- oder eine Kombination aus mehreren Patch- und Erweiterungs-Baselines
Haben Sie sich dann im ersten Schritt des Assistenten für das Erstellen einer Host-Baseline oder VM/VA-Baseline entschieden, dann wählen Sie im Folgeschritt einen der Baseline-Typen Fest oder Dynamisch aus.
Feste und dynamische Baselines
Feste Baselines enthalten stets einen fixen Satz von Patches und verändern sich nach dem Erstellen nicht, auch wenn neue Patches im Repository hinzukommen. Dieser Typ eignet sich zum Beispiel für Unternehmen mit einer homogenen ESXi-Landschaft.
Admins können hier ausgewählte und sorgsam getestete, bzw. für notwendig befundene Patches fest in einer eigenen Paketbasis zusammenfassen, die nachher beim Standardisieren der Hosts als (einzige) Quelle herangezogen wird. Auf diese Weise ließen sich etwa eigene Baselines für Server von HP, Fujitsu oder Lenovo einer bestimmten Baureihe pflegen.
Dynamische Baselines aktualisieren ihren Inhalt mit der Verfügbarkeit neuer Patches im Repository sowie anhand von Kriterien automatisch, die der Administrator festlegt. Sie eigenen sich beispielsweise für einzelne Test-Hosts die "ohne Rücksicht auf Verluste" immer auf dem aktuellen Patch-Level gehalten werden sollen.
Die Kriterien für dynamische Baselines legen Sie dann im Folgeschritt fest. So können Sie z. B. bestimmen, dass nur Patches eines bestimmten Anbieters, einer bestimmte Kategorie (Security, Bugfix), eines bestimmten Schweregrads (Critical, Important) oder einer bestimmten Produktlinie (vSphere 5.5, 6.0. 6.5) berücksichtigt werden.
Außerdem kann man die Auswahl auf Patches begrenzen, die in einem bestimmten Zeitraum erschienen sind. Wenn Sie wissen, dass sich ihre Hosts auf dem aktuellen Patch-Level befinden, dann können Sie sich auf neue Patches beschränken und so den Bereitstellungs- und Standardisierungsprozess verkürzen.
Auf der anderen Seite beschleunigt ein Verzicht auf das Filtern den Patch-Vorbereitungsprozess. Lassen Sie hier einfach Alle Patches zu und finden Sie beim späteren Compliance-Check heraus, welche Patches überhaupt zur jeweiligen Hardware passen. Einzelne Patches können Sie immer noch beim Standardisieren bestätigen oder auslassen.
Alternativ können Sie einzelne Patches im nächsten Schritt Auszuschließende Pakete auch direkt aus der Baseline entfernen, abgesehen davon, dass Sie dies auch im Verlauf des Standardisierungsprozesses explizit für den jeweiligen Host tun können.
Analog zum gerade beschriebenen Vorgehen können Sie auch anderen Baseline-Typen erstellen, etwa eine Erweiterungs-Baseline. Eine solche enthält zusätzliche Software für ESXi-Hosts, die entweder von VMware- oder Drittanbietern stammt. Selbstverständlich können Sie eine vorhandene Host-Patch-Baseline jederzeit bearbeiten.
Host-Upgrade-Baselines
Möchten Sie hingegen mehrere ESXi-Hosts einem Upgrade unterziehen, etwa von der vSphere-Version 6.0 auf 6.5, dann erstellen Sie im ersten Schritt des Baseline-Assistenten eine Host-Upgrade-Baseline. Im Folgeschritt ESXi-Images wählen Sie dann das gewünschte ESXi-Image aus, welches Sie vorab im Reiter Verwalten im Tab ESXi-Images hochgeladen haben müssen.
So können Sie auf einfache Weise eine große Anzahl von ESXi-Hosts upgraden, indem Sie diese gegen eine solche Host-Upgrade-Baseline standardisieren. Individualisierte ESXi-Image-Profile erzeugen Sie zuvor mit dem Image Builder, was in Version 6.5 von vCenter auch per GUI klappt.
Ähnlich verhält es sich mit VM/VA-Baselines. Mit diesem Typ können Sie auf einfache Weise die VMware-Tools und die Hardware-Version ausgewählter VMs oder einer virtuellen Appliance aktualisieren.
Das entsprechende Repository ist gut bestückt, wie im Tab VA-Upgrades zu erkennen ist. Dort fehlt allerdings die vCenter Server Appliance (vCSA).
Im nächsten Teil geht es darum, Baselines an Objekte anzuhängen, den Compliance-Zustand der gewünschten Objekte zu prüfen und wie man Hosts, VMs sowie VAs interaktiv oder per Zeitplan standardisiert. Auch das Upgraden von ESXi-Hosts gehört in dieser Kategorie.
Täglich Know-how für IT-Pros mit unserem Newsletter
Seine Themenschwerpunkte sind Virtualisierung und Cloud Computing, speziell VMware, Amazon Web Services, Google Cloud und Microsoft Azure. Thomas ist zertifizierter VMware Professional, Advanced Professional und wurde von VMware in den Jahren 2016, 2017, 2018, 2019 und 2020 mit dem Blogger-Status vExpert ausgezeichnet.
Thomas ist außerdem zertifizierter AWS Solutions Architect, Sysops Engineer und Devops Engineer sowie Microsoft Certified Azure Administrator.
Thomas führt aktuell jeden zweiten Montag einen 4-tägigen Grundlagenkurs in Cloud Computing mit AWS via Zoom-Meeting durch. Weitere Informationen und Anmeldung über sein AWS-Blog.
Verwandte Beiträge
- VMware bringt App mit Benachrichtigungen zu Patches, Schwachstellen und Troubleshooting
- Patches für ESXi verteilen mit dem vSphere Update Manager (VUM)
- Patch-Management für ESXi: vSphere Update Manager (VUM) konfigurieren
- Patch-Management für ESXi: vSphere Update Manager (VUM) installieren
- ESXi Free 8.0: Neuerungen, Hardware-Voraussetzungen, Lizenzierung
Weitere Links