Patch-Management für ESXi: vSphere Update Manager (VUM) konfigurieren

    Patch-ManagementDer vSphere Update Manager erleichtert das Bereit­stellen, Ver­teilen von Updates, Patches und Fixes in großen ESXi-Farmen. Nach der Instal­lation des komplexen Datenbank-basierten Tools folgt die initiale Konfi­gu­ration, die in vSphere 6.5 voll­ständig im Web Client erfolgen kann.

    Der vSphere Update Manager (VUM) kümmert sich neben dem Patch-Management für ESXi auch um Updates der virtuellen Hardware und der VMware-Tools in VMs sowie um Updates für VMware-Appliances innerhalb eines Release-Zyklus. Außerdem kann er den Compliance-Zustand Ihrer ESXi-Hosts, VMs und VA überwachen.

    Drei Optionen zur VUM-Bereitstellung

    VUM sieht drei unter­schiedliche Bereit­stellungs­szenarien vor, die sich nach der Größe Ihrer Umgebung richten:

    • Embedded: vCenter, Update Manager und die benötigten Datenbank­instanzen laufen auf dem gleichen Host;
    • Medium: vCenter und Update Manager laufen auf dem gleichen Server, die Datenbanken befinden sich aber auf separaten Hosts.
    • Large: vCenter Server und der Update Manager-Server laufen auf verschiedenen Hosts und nutzen jeweils dedizierte Datenbank-Server.

    Medium und Large erfordern eine sorgfältige Planung und ggf. ein dediziertes Installieren des Update Manager Servers für Windows, wie im letzten Teil beschrieben. Wir beschränken uns auf das neue vCenter Appliance 6.5 (vCSA), welches standardmäßig ein Embedded-Szenario realisiert.

    Der Update Manager Server muss hier lediglich als Service aktiviert werden. Das lässt sich über den der Update Manger Client bewerkstelligen, der seit vSphere 6.0U2 in den Web Client integriert ist. Es gibt also mit vSphere 6.5 keinen Grund mehr, die Windows-Version zu nutzen, wie folgender Vergleich illustriert:

    Vergleich von vSphere Update Manager (VUM) unter Windows und in vCSA

    Darüber hinaus können Sie den Update Manager Download Service (UMDS) nutzen oder das Herunterladen von Patches über einen oder mehrere Proxies erlauben: Diese und andere Einstellungen für den Update Manager nehmen Sie anfangs in der so genannten Administrator­ansicht vor. Diese erreichen Sie, indem Sie einen EXSi-Host in der Host & Cluster-Ansicht markieren, dann zum Reiter Update Manager wechseln. Die entsprechende Schaltfläche findet sich dort rechts oben.

    Zur Administratoransicht des vSphere Update Manager wechseln.

    Tipp: Ist Ihr vCenter-Server über eine gemeinsame Single-Sign-On-Domäne mit anderen vCenter-Servern verbunden (Linked Mode) und haben Sie mehr als eine Instanz von VUM installiert, dann können Sie die Einstellungen für jede von ihnen getrennt konfigurieren.

    Ersteinrichtung

    Beginnen Sie nun mit der initialen Konfiguration von VUM im Tab Verwalten in der Administrator­ansicht. Hier wiederum öffnen Sie die Registerkarte Einstellungen, um etwa die Netzwerk­konnektivität (einschließlich der Firewall-Ports für HTTP/S, SOAP usw.), die Download-Einstellungen (Proxy oder Direct), die Download-Zeitpläne sowie spezifische Einstellungen für Hosts/Cluster oder vApps festzulegen.

    Download-Einstellungen und Zeitplan

    Im Abschnitt Download-Einstellungen sehen Sie unter anderem die standard­mäßig von VMware eingetragenen Download-Quellen. Bei Download-Methode ist zu erkennen, dass eine direkte Verbindung zur Download-Quelle besteht. Sie können bei Proxy-Einstellungen aber auch einen Proxy eingeben.

    Konfiguration der Download-Einstellungen, u.a. Quellen und Proxies.

    In der Standard-Einstellung werden die angegebenen Download-Quellen einmal täglich abgefragt, Sie können aber im Abschnitt Download-Zeitplan nach Belieben andere Intervalle einrichten.

    Sonstige Einstellungen

    Interessant sind auch die unteren drei Abschnitte. Unter VM-Einstellungen können Sie für den Fall, dass Sie nicht ESXi-Hosts, sondern die vHardware oder die VMware Tools aktualisieren möchten, konfigurieren, dass VUM stets einen Snapshot der VM anlegt. Das ermöglicht bei einem Fehlschlag des Updates einen automatischen Rollback.

    Auch die Konfigurations­möglichkeiten unter Host-/Cluster­einstelllungen sind sehr weit­reichend. Wir lassen sie aber an dieser Stelle aus, weil VUM exakt die gleichen Einstellungen erneut anbietet bzw. abfragt, wenn Sie einen Host gegen die ausgewählte Patch-Baseline standardisieren, was ich im nächsten Teil dieser Serie beschreibe.

    Patch-Repository

    Wechseln Sie jetzt vorerst zum Reiter Patch-Repository, um einen Blick auf den momentanen Inhalt Ihres Patch-Depots zu werfen. Sie finden hier sämtliche Updates und Patches für ESXi 5.5 seit dem 22.12. 2013. Zum Zeitpunkt dieses Posts stammt der neuste Patch für ESXi 6.5 vom 26.01.2017.

    Die Repository-Ansicht kategorisiert die Patches nach Typ und Schweregrad.

    Wichtig sind auch die Spalten Typ, Schweregrad, Kategorie (Fehlerkorrektur oder Erweiterung) und Auswirkung. Letztere signalisiert, welchen Konsequenzen Sie beim Einspielen des Patches zu erwarten haben, etwa einen Reboot oder einen Wechsel in den Wartungs-Modus. Auch die Typ-Spalte ist nicht unwichtig. So handelt es sich beispielsweise beim Patch VMware ESXi 6.0 Update 2 um einen kompletten Rollup.

    VUM stellt auch Updates für Appliances bereit, allerdings nicht für das vCSA.

    Ergänzend sei noch erwähnt, dass Sie im Reiter ESXi-Images auch eigene, angepasste ESXi-Images als Patch-Quelle bereithalten können. Der der Tab VA-Upgrades gewährt dagegen einen Blick auf alle Patches für die von VMware bereit­gestellten virtuellen Appliances, die Sie mit VUM ebenfalls aktualisieren können. Dies gilt allerdings nicht für das vCSA selbst.

    Keine Kommentare