VMware vSphere: VMs aus Vorlagen erstellen, mit Sysprep generalisieren

    Welche Gefahren drohen durch unerkannte Schwachstellen und wie kann man sich schützen? Kostenloses Whitepaper von baramundi herunterladen » (Anzeige)

    VM klonen in VMware vSphereVirtu­elle Maschinen werden selten von Grund auf neu installiert, son­dern aus einer Vor­lage erstellt oder geklont. In beiden Fällen kann man Prob­leme mit iden­tischen OS-Merkmalen wie MAC- oder IP-Adresse, UUID, SID, etc. be­kommen. Für Windows-VMs integriert vSphere daher Sysprep, um solche Kon­flikte zu ver­meiden.

    Bei VMware vSphere lassen sich VMs wahlweise aus einem ISO-Abbild neu einrichten oder aus Vorlagen (Templates), anderen VMs (Cold Clone, Hot Clone) sowie OVA-Containern erzeugen. Die ent­sprechenden Assistenten im Web-Client oder Host-Client unterstützen den Admin bei diesen Aktionen.

    Zwischen VMs und Templates konvertieren

    Allerdings führt beim Web-Client der Weg zu einer VM, die aus einer Vorlage entstehen soll, über das Kontext­menü des Templates in der Ansicht VMs und Vorlagen. Der Befehl dafür heißt Neue VM über diese Vorlage.

    Virtuelle Maschine im vSphere Client aus Vorlage erzeugen

    Umgekehrt werden Templates über das Kontext­menü der VM erzeugt (Befehl: In Vorlage konvertieren). Sie sind im Unterschied zur VM ausschließlich in der Ansicht VMs und Vorlagen sichtbar und an einem eigenen Icon zu erkennen.

    Im Datastore-Browser unterscheidet sich ein Template von einer VM nur dadurch, dass es dort keine VMX-, sondern eine VMTX-Datei gibt. Eine Vorlage beansprucht aber den gleichen Platz wie eine VM.

    VMs lassen sich in ein- und ausgeschaltetem Zustand in Vorlagen konvertieren.

    Ausgeschaltete und laufende VMs lassen sich wahlweise in ein Template konvertieren (Kontextmenü Template) oder klonen (Kontextmenü Klonen). Im letzteren Fall bleibt die VM (mit identischen Einstellungen erhalten). Die Gefahr von Konflikten aufgrund gleicher MAC- und IP-Adressen oder durch identische SIDs besteht hier aber nur theoretisch, weil sich Templates im Gegensatz zu VMs nicht starten lassen.

    Soll eine Vorlage aktualisiert werden, dann muss man sie erst wieder in eine VM konvertieren, diese dann in einem isolierten Netzwerk starten (wegen möglicher MAC- oder IP- Adress-Konflikten), die gewünschten Patches einspielen und die VM dann wieder zurück in ein Template konvertieren.

    Vorteile von Templates beim Patch-Management

    VM-Templates erleichtern das Patch-Management in großen Umgebungen mit vielen ähnlichen virtuellen Maschinen. Bei der Patch-Strategie sind dabei unter­schiedliche Ansätze denkbar, die auch vom jeweiligen Einsatz­gebiet abhängen.

    Bei weitgehend identischen VMs (Beispiel: Schulungsraum), pflegt man im Template neben OS-Patches auch Sicherheits-Updates, Tools und Anwendungen ein, während sich bei hochgradig individuellen VMs mit Hilfe von Templates nur das Gastsystem beim Ausrollen auf den gewünschten Patch-Level bringen lässt.

    Die vom Template abgeleiteten VMs sind natürlich immer nur so aktuell, wie der eigene Patch-Management-Zyklus bei der Vorlage. In der Regel ist es aber einfacher, ein zentrales Template zu pflegen, als mehrere einzelne VMs.

    Der Anpassungsspezifikations-Manager

    Um  potentielle Setup-Konflikte beim Erstellen einer neuen Windows-VM zu umgehen, kann man dem fertigen Template oder Clone mittels sysprep die darin enthaltenen spezifischen Einstellungen nachträglich entziehen.

    VMware baut den sysprep-Workflow elegant in seinen Anpassungs­spezifikations-Manager ein. Der kann auch Linux-VMs harmonisieren, was aber grundsätzlich etwas einfacher ist, weil es hier keine Dinge wie Lizenzen, SIDs usw. gibt.

    Den Anpassungs­spezifikations-Manager kann man entweder vorab aus dem Hauptmenü im Bereich Vorgänge und Richtlinien starten und mit ihm eine so genannte Spec-Datei erzeugen. Diese weist man dann einer VM beim Deployment zu. Zu diesem Zweck muss man beim Erzeugen einer VM im Abschnitt 1d Komponenten auswählen das Häkchen bei Betriebssystem anpassen setzen.

    Die Aktivierung von 'Betriebssystem anpassen' startet den Wizard für den Anpassungsspezifikations-Manager.

    Im nächsten Schritt hängt man der VM dann eine vorhandene Spezifikations­datei an. Gibt es noch keine, befindet man sich an dieser Stelle im gleichen Dialog, als hätte man den Anpassungs­spezifikations-Manager wie oben beschrieben direkt gestartet und kann nun mit einem Klick auf das Symbol Eine neue Spezifikation erstellen eine solche erzeugen.

    Dialog für neue Anpassungsspezifikation öffnen

    Generiert man die Spec-Datei "on-the-fly", zum Beispiel beim Deployment einer Windows-VM, dann ist die Wahl des Ziel-VM-Betriebssystems ausgegraut und steht auf Windows. Wer den Anpassungs­spezifikations-Manager vorab aufruft, kann zwischen einer Spec für Windows oder Linux wählen. Diese ist dann anschließend noch nicht verknüpft und individuell verwendbar. Optional kann man eine vorbereitete Antwort­datei nutzen.

    Anpassungs­spezifikation für ein Windows-VM erstellen

    Eine Windows-Spezifikation umfasst mit 10 Schritten deutlich mehr Einstellungen als eine solche für Linux. Konkret anpassbar sind hierbei die Eigenschaften Computername, Windows-Lizenz, Admin-Passwort, Zeitzone, beim Start auszuführende Kommandos ("Einmaliges Ausführen"), Netzwerk und Arbeitsgruppe/AD-Mitgliedschaft. Mit Einmaliges Ausführen kann der Admin Kommandos wie net use  oder gpupdate /force starten.

    In der folgenden Abbildung bearbeiten wir die Netzwerk­einstellungen. Bei diesen gibt es wie beim Computernamen die Möglichkeit, die Einstellungen aus der geklonten VM oder dem zugehörigen Template zu übernehmen, eine feste Vorgabe zu machen oder den User beim Deployment einer VM aus dieser Spezifikation auswählen zu lassen.

    Einstellungen können bei Bedarf vom Benutzer beim VM-Deployment festgelegt werden.

    Der vorletzte Schritt 10 ist der Wichtigste, um das Template überhaupt parametrisiert nutzen zu können. Hier muss der Admin unbedingt das Häkchen bei Generate New SID setzen.

    Änderung der SID über Anpassungs­spezifikation erzwingen

    In der Zusammenfassung werden sämtliche individualisierbaren Settings noch einmal angezeigt.

    Übersicht über alle Einstellungen einer neuen Anpassungs­spezifikation

    Mit der Bestätigung von Beenden wird eine neue VM auf Basis dieser Spezifikation und des verwendeten Templates erstellt oder beim Klonen auf Basis dieser Spezifikation dupliziert. Wer den Vorgang in der Konsole verfolgt, wird feststellen, dass Windows dabei einige Male neu startet und die in der Spezifikation offengelassenen Eingaben abfragt.

    Keine Kommentare