6
VMWare Cluster patchen - wichtige Fragen zur Vorbereitung und Durchführung
Hallo liebe Community,
leider ist der verantwortlicher Kollege (Kollege ist telefonisch nicht erreichbar) für die gesamte ESXi Umgebung schon länger ausgefallen und nun habe ich mich über die letzten Monate in VMWare eingearbeitet, um so einen recht guten Überblick über die Umgebung zu erhalten.
Ich bin noch nicht lange im Unternehmen und bin eigentlich der Herr über die SQL Umgebung.
Es erscheint für beide Hosts die folgende Meldung:
Nicht übereinstimmend
24 Patches, einschließlich 6 kritisch 10 Sicherheit
(es besteht meines Erachtens Handlungsbedarf)
Zur aktuellen Umgebung:
2 physische ESXi Hosts Version 6.7.0
(ESXi01 und ESXi02) im Clusterbetrieb
Hypervisor: VMware ESXi
Build: 17499825
48 virtuelle Maschinen (DC, SQL, WSUS, TK, GW, APP, MDM, FS, TS, EXCHANGE, PRT, vCenter) alles dabei....
Als Speicherpool ist eine externe SAN angebunden
Nun möchte ich mich an das Update Management wagen und habe viele Fragen.
In der vCenter Oberfläche unter Update Manager habe ich die Reiter:
Startseite, Überwachen, Baselines, Updates, ESXi-Imgages und Einstellungen
Auf der Startseite steht Hosts mit angehängten Baselines:
2 Host(s) 2 Nicht übereinstimmen
Was hat das genau zu bedeuten? Ist eine Nicht Übereinstimmung schlecht? Wie kann eine Übereinstimmung umgesetzt werden?
In den Baselines sind diese 5 Baselines zu finden:
-Patchen ESXi 67 (wahrscheinlich 6.7 gemeint) Inhalt: Patch Benutzerdefiniert (letzte Änderung vor 1 Monat)
-Upgrade auf ESXi 6.7 Inhalt: Upgrade Benutzerdefiniert (letzte Änderung vor 1 Jahr)
-Patchen ESXi 6.5 Inhalt Patch Benutzerdefiniert (letzte Änderung vor 1 Monat)
-Nicht kritische Host-Patches (vordefiniert) Patch Vordefiniert vor 4 Jahren
-Kritische Host-Patches (vordefiniert) Patch Vordefiniert vor 4 Jahren
Nun gibt es zahlreiche Patch-Downloads:
z.B.:
VMware ESXi 6.7 Patch Release (Typ Rollup) Bugfix Auswirkung Neu starten ,Wartungsmodus
Updates esx-base, esx-update, vsan, and vsanhealth VIBs (Typ Patch) Sicherheit Auswirkung Neu starten ,Wartungsmodus
Updates tools-light VIB
Updates cpu-microcode VIB
...
Wie fange ich mit der Wartung am besten an? Welche Tipps könnt ihr mir geben?
Genügend Ressourcen stehen auf den beiden Hostsystemen zur Verfügung.
Für die Aktualisierung muss jeweils ein Host in den Wartungsmodus versetzt werden.
Die VMs werden migriert, so dass keine VMs auf den zu aktualisierenden Server laufen.
Ein Wartungsfenster würde ich das Wochenende ansetzen.
Nach der Aktualisierung + Reboot der zu aktualisierenden Systeme benötigen die VMs auch die aktuellen VMWare Tools?
Habt ihr ihr weitere Tipps für mich, wie die Aktualisierung möglichst schmerzbefreit ablaufen kann? Bin für alle Infos dankbar und möchte lernen.
Gruß
Jimmy
leider ist der verantwortlicher Kollege (Kollege ist telefonisch nicht erreichbar) für die gesamte ESXi Umgebung schon länger ausgefallen und nun habe ich mich über die letzten Monate in VMWare eingearbeitet, um so einen recht guten Überblick über die Umgebung zu erhalten.
Ich bin noch nicht lange im Unternehmen und bin eigentlich der Herr über die SQL Umgebung.
Es erscheint für beide Hosts die folgende Meldung:
Nicht übereinstimmend
24 Patches, einschließlich 6 kritisch 10 Sicherheit
(es besteht meines Erachtens Handlungsbedarf)
Zur aktuellen Umgebung:
2 physische ESXi Hosts Version 6.7.0
(ESXi01 und ESXi02) im Clusterbetrieb
Hypervisor: VMware ESXi
Build: 17499825
48 virtuelle Maschinen (DC, SQL, WSUS, TK, GW, APP, MDM, FS, TS, EXCHANGE, PRT, vCenter) alles dabei....
Als Speicherpool ist eine externe SAN angebunden
Nun möchte ich mich an das Update Management wagen und habe viele Fragen.
In der vCenter Oberfläche unter Update Manager habe ich die Reiter:
Startseite, Überwachen, Baselines, Updates, ESXi-Imgages und Einstellungen
Auf der Startseite steht Hosts mit angehängten Baselines:
2 Host(s) 2 Nicht übereinstimmen
Was hat das genau zu bedeuten? Ist eine Nicht Übereinstimmung schlecht? Wie kann eine Übereinstimmung umgesetzt werden?
In den Baselines sind diese 5 Baselines zu finden:
-Patchen ESXi 67 (wahrscheinlich 6.7 gemeint) Inhalt: Patch Benutzerdefiniert (letzte Änderung vor 1 Monat)
-Upgrade auf ESXi 6.7 Inhalt: Upgrade Benutzerdefiniert (letzte Änderung vor 1 Jahr)
-Patchen ESXi 6.5 Inhalt Patch Benutzerdefiniert (letzte Änderung vor 1 Monat)
-Nicht kritische Host-Patches (vordefiniert) Patch Vordefiniert vor 4 Jahren
-Kritische Host-Patches (vordefiniert) Patch Vordefiniert vor 4 Jahren
Nun gibt es zahlreiche Patch-Downloads:
z.B.:
VMware ESXi 6.7 Patch Release (Typ Rollup) Bugfix Auswirkung Neu starten ,Wartungsmodus
Updates esx-base, esx-update, vsan, and vsanhealth VIBs (Typ Patch) Sicherheit Auswirkung Neu starten ,Wartungsmodus
Updates tools-light VIB
Updates cpu-microcode VIB
...
Wie fange ich mit der Wartung am besten an? Welche Tipps könnt ihr mir geben?
Genügend Ressourcen stehen auf den beiden Hostsystemen zur Verfügung.
Für die Aktualisierung muss jeweils ein Host in den Wartungsmodus versetzt werden.
Die VMs werden migriert, so dass keine VMs auf den zu aktualisierenden Server laufen.
Ein Wartungsfenster würde ich das Wochenende ansetzen.
Nach der Aktualisierung + Reboot der zu aktualisierenden Systeme benötigen die VMs auch die aktuellen VMWare Tools?
Habt ihr ihr weitere Tipps für mich, wie die Aktualisierung möglichst schmerzbefreit ablaufen kann? Bin für alle Infos dankbar und möchte lernen.
Gruß
Jimmy
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3132218325
Url: https://administrator.de/contentid/3132218325
Printed on: April 16, 2024 at 13:04 o'clock
6 Comments
Latest comment
Moin,
am besten wäre es, zunächst das vCenter zu aktualisieren. Das müsste ebenfalls nach Updates schreien.
Dazu via https://IPofVCenter:5480 auf die Managementoberfläche des vCenters wechseln und die Kiste dort updaten.
(Ans Backup der DB denken)
Wenn das durch ist, kannst du dich an die Hosts wagen. Habt ihr ausreichend Ressourcen, dass ein Host alle VMS betreiben kann? Wenn nein: Fahre nicht benötigte VMs herunter.
Anschließend den ersten Host in den Wartungsmodus versetzen.
der Rest wird hier beschrieben: https://docs.vmware.com/de/VMware-vSphere/6.7/com.vmware.vsphere.update_ ...
haben wir erst jüngst wieder (aber mit der 7er Version) gemacht.
Wir sind aber noch den Umweg über eine ESXi-Iso, angepasst für LENOVO, gegangen. Kann man, muss man aber nicht.
Gruß
em-pie
am besten wäre es, zunächst das vCenter zu aktualisieren. Das müsste ebenfalls nach Updates schreien.
Dazu via https://IPofVCenter:5480 auf die Managementoberfläche des vCenters wechseln und die Kiste dort updaten.
(Ans Backup der DB denken)
Wenn das durch ist, kannst du dich an die Hosts wagen. Habt ihr ausreichend Ressourcen, dass ein Host alle VMS betreiben kann? Wenn nein: Fahre nicht benötigte VMs herunter.
Anschließend den ersten Host in den Wartungsmodus versetzen.
der Rest wird hier beschrieben: https://docs.vmware.com/de/VMware-vSphere/6.7/com.vmware.vsphere.update_ ...
haben wir erst jüngst wieder (aber mit der 7er Version) gemacht.
Wir sind aber noch den Umweg über eine ESXi-Iso, angepasst für LENOVO, gegangen. Kann man, muss man aber nicht.
Gruß
em-pie
1
Danke. Ich würde also zuerst das vCenter aktualisieren, die Sicherung vorher wird selbstverständlich gemacht.
Die Version: 6.7.0.46000 und die Build-Number: 17138064 (wahrscheinlich Anfang 2021)
Im Integritätsstatus steht das alles gut ist (letzte Prüfung aktuell).
Als aktuelles Update wird die Version als Typ FIX 6.7.0.53000 angegeben.
Es stehen auf beiden Hosts genügend Kapazitäten für alle VMs zur Verfügung. Alle Maschinen könnten z.B. auch auf Host A oder B laufen. Für die beschleunigte Aktualisierung kann ich aber auch am We alle Maschinen herunterfahren.
Die ESXi-ISO (welche für Lenovo angepasst ist) stellt VMWare direkt zur Verfügung?
Die Version: 6.7.0.46000 und die Build-Number: 17138064 (wahrscheinlich Anfang 2021)
Im Integritätsstatus steht das alles gut ist (letzte Prüfung aktuell).
Als aktuelles Update wird die Version als Typ FIX 6.7.0.53000 angegeben.
Es stehen auf beiden Hosts genügend Kapazitäten für alle VMs zur Verfügung. Alle Maschinen könnten z.B. auch auf Host A oder B laufen. Für die beschleunigte Aktualisierung kann ich aber auch am We alle Maschinen herunterfahren.
Die ESXi-ISO (welche für Lenovo angepasst ist) stellt VMWare direkt zur Verfügung?
Zitat von @JoeJames94:
Danke. Ich würde also zuerst das vCenter aktualisieren, die Sicherung vorher wird selbstverständlich gemacht.
Die Version: 6.7.0.46000 und die Build-Number: 17138064 (wahrscheinlich Anfang 2021)
Im Integritätsstatus steht das alles gut ist (letzte Prüfung aktuell).
Als aktuelles Update wird die Version als Typ FIX 6.7.0.53000 angegeben.
Es stehen auf beiden Hosts genügend Kapazitäten für alle VMs zur Verfügung. Alle Maschinen könnten z.B. auch auf Host A oder B laufen. Für die beschleunigte Aktualisierung kann ich aber auch am We alle Maschinen herunterfahren.
Die ESXi-ISO (welche für Lenovo angepasst ist) stellt VMWare direkt zur Verfügung?
Korrekt.Danke. Ich würde also zuerst das vCenter aktualisieren, die Sicherung vorher wird selbstverständlich gemacht.
Die Version: 6.7.0.46000 und die Build-Number: 17138064 (wahrscheinlich Anfang 2021)
Im Integritätsstatus steht das alles gut ist (letzte Prüfung aktuell).
Als aktuelles Update wird die Version als Typ FIX 6.7.0.53000 angegeben.
Es stehen auf beiden Hosts genügend Kapazitäten für alle VMs zur Verfügung. Alle Maschinen könnten z.B. auch auf Host A oder B laufen. Für die beschleunigte Aktualisierung kann ich aber auch am We alle Maschinen herunterfahren.
Die ESXi-ISO (welche für Lenovo angepasst ist) stellt VMWare direkt zur Verfügung?
Hier einmal eine Anleitung zum Importieren der Images und hier der Link zu den Custom-Images: Link
Ihr müsst aber mittlerweile zwingend einen Account haben. Ansonsten einfach via Patches das Update durchführen. das berücksichtigt in aller Regel die OEM-spezifischen Dinge.
1
Also mal ein paar Anmerkungen:
Handlungsbedarf
Das sehe ich eigentlich wenig kritisch. Ja es gab kürzlich Sicherheitslücken die angreifbar waren / sind aber unsere ESXi werden auch nur alle halbe Jahre gepatcht. Das ist nicht unbedingt mit kritischen Lücken in Windows vergleichbar. Unter zwei Voraussetzungen kann man das meiner Meinung nach noch zurück stellen:
1) Der vCenter ist noch anderweitig abgesichert, also z.B. nur in einem Management VLAN erreichbar.
2) Auf den ESXi werden nur eigene Server betrieben, kein Hosting für Dritte bereit gestellt.
Baselines
"Nicht übereinstimmend" bedeutet erstmal es wurden Updates erkannt, die noch nicht ausgerollt wurden. Die Baselines
-Nicht kritische Host-Patches (vordefiniert) Patch Vordefiniert vor 4 Jahren
-Kritische Host-Patches (vordefiniert) Patch Vordefiniert vor 4 Jahren
sind default, die Baselines
-Patchen ESXi 67 (wahrscheinlich 6.7 gemeint) Inhalt: Patch Benutzerdefiniert (letzte Änderung vor 1 Monat)
-Patchen ESXi 6.5 Inhalt Patch Benutzerdefiniert (letzte Änderung vor 1 Monat)
sind indivuduell gepflegt (nicht ganz klar wieso) und
-Upgrade auf ESXi 6.7 Inhalt: Upgrade Benutzerdefiniert (letzte Änderung vor 1 Jahr)
ist offensichtlich ein Upgrade von 6.5 auf 6.7 die vermutlich nicht mehr relevant ist da alle Hosts schon 6.7 haben.
Ablauf
1.) Du solltest tatsächlich erstmal auf weitere Updates prüfen, die werden eventuell nicht automatisch abgerufen und / oder nicht automatisch einer Baseline zugeordnet. Leider kann ich grade nicht sehen wie der Update Manager unter 6.x hieß, der ist ein bisschen eigenständig. Verwaltet werden aber Updates für vCenter, ESXi und Tools, und Upgrades!
2.) Ja erst den vCenter upgraden, das geht ja auch im Betrieb ganz gut. Nicht wundern das kann dauern, in jedem Fall empfiehlt sich eine direkte Anmeldung am ESXi und den Vorgang zu beobachten und nicht in Panik zu geraten
3.) Eventuell HA deaktivieren. VMs runter fahren oder migrieren.
4.) ESXi Host aktualisieren.
5.) Alles wieder hoch fahren, prüfen, HA aktivieren, etc.
6.) Tools können aktualisiert werden, das sollte aber keinen Unterschied machen und ist i.d.R. auch bei Gelegenheit durchführbar.
Solltest du ein Upgrade auf 7.x oder höher planen würde ich die Hardware-Kompatibilität ausgiebig prüfen, da gibt es viele Veränderungen. 6.7 müsste aber noch voll supported sein.
Handlungsbedarf
Das sehe ich eigentlich wenig kritisch. Ja es gab kürzlich Sicherheitslücken die angreifbar waren / sind aber unsere ESXi werden auch nur alle halbe Jahre gepatcht. Das ist nicht unbedingt mit kritischen Lücken in Windows vergleichbar. Unter zwei Voraussetzungen kann man das meiner Meinung nach noch zurück stellen:
1) Der vCenter ist noch anderweitig abgesichert, also z.B. nur in einem Management VLAN erreichbar.
2) Auf den ESXi werden nur eigene Server betrieben, kein Hosting für Dritte bereit gestellt.
Baselines
"Nicht übereinstimmend" bedeutet erstmal es wurden Updates erkannt, die noch nicht ausgerollt wurden. Die Baselines
-Nicht kritische Host-Patches (vordefiniert) Patch Vordefiniert vor 4 Jahren
-Kritische Host-Patches (vordefiniert) Patch Vordefiniert vor 4 Jahren
sind default, die Baselines
-Patchen ESXi 67 (wahrscheinlich 6.7 gemeint) Inhalt: Patch Benutzerdefiniert (letzte Änderung vor 1 Monat)
-Patchen ESXi 6.5 Inhalt Patch Benutzerdefiniert (letzte Änderung vor 1 Monat)
sind indivuduell gepflegt (nicht ganz klar wieso) und
-Upgrade auf ESXi 6.7 Inhalt: Upgrade Benutzerdefiniert (letzte Änderung vor 1 Jahr)
ist offensichtlich ein Upgrade von 6.5 auf 6.7 die vermutlich nicht mehr relevant ist da alle Hosts schon 6.7 haben.
Ablauf
1.) Du solltest tatsächlich erstmal auf weitere Updates prüfen, die werden eventuell nicht automatisch abgerufen und / oder nicht automatisch einer Baseline zugeordnet. Leider kann ich grade nicht sehen wie der Update Manager unter 6.x hieß, der ist ein bisschen eigenständig. Verwaltet werden aber Updates für vCenter, ESXi und Tools, und Upgrades!
2.) Ja erst den vCenter upgraden, das geht ja auch im Betrieb ganz gut. Nicht wundern das kann dauern, in jedem Fall empfiehlt sich eine direkte Anmeldung am ESXi und den Vorgang zu beobachten und nicht in Panik zu geraten
3.) Eventuell HA deaktivieren. VMs runter fahren oder migrieren.
4.) ESXi Host aktualisieren.
5.) Alles wieder hoch fahren, prüfen, HA aktivieren, etc.
6.) Tools können aktualisiert werden, das sollte aber keinen Unterschied machen und ist i.d.R. auch bei Gelegenheit durchführbar.
Solltest du ein Upgrade auf 7.x oder höher planen würde ich die Hardware-Kompatibilität ausgiebig prüfen, da gibt es viele Veränderungen. 6.7 müsste aber noch voll supported sein.
1
Also der Build ist recht aktuell, dennoch gabs in den letzten Monaten paar gravierende Bugs.
Den Update-Manager der Version 6.7 find ich persönlich ziemlich Grütze und ich patche eigentlich schon seit Jahren immer per CLI was ich viel angenehmer finde. VMware ESXi Patches sind immer kumulativ.
Im Wesentlichen wie folgt....
- Wie oben schon angedeutet zuerst mal das vCenter aktualisieren. Achte dabei darauf, dass ein Backup via SMB/SCP/FTP oder whatever erstellt wurde. Das kannst Du über die VAMI auf Port 5480 prüfen.
- Wenn das vCenter durch ist, kannst Du Dir, wenn Du das auch per CLI machen möchtest folgenden Patch runter laden (Zugangsdaten benötigt):
https://docs.vmware.com/en/VMware-vSphere/6.7/rn/esxi670-202206001.html
- Die ZIP-File lädst Du Dir aufs SAN
- Danach bringst Du den ersten Host in den Wartungsmodus, dabei sollten wenn HA aktiv alle VMs auf den zweiten Host migriert werden.
- Dann SSH auf den ESXen aktivieren oder per lokaler Shell drauf und:
esxcli software vib update -d "/vmfs/volumes/Datastore/DirectoryName/PatchName.zip"
- Dauert dann meist kurz und Dir wird anschließend eine übersicht der gelöschten, aktualisierten und übersprungenen VIBs angezeigt
- Danach einfach via "reboot" den Host einmal durchbooten.
Ich lass den ersten Hosts meist 1-2 Tage mit dem neuen Patch laufen bevor ich die restlichen durchpatche.
Den Update-Manager der Version 6.7 find ich persönlich ziemlich Grütze und ich patche eigentlich schon seit Jahren immer per CLI was ich viel angenehmer finde. VMware ESXi Patches sind immer kumulativ.
Im Wesentlichen wie folgt....
- Wie oben schon angedeutet zuerst mal das vCenter aktualisieren. Achte dabei darauf, dass ein Backup via SMB/SCP/FTP oder whatever erstellt wurde. Das kannst Du über die VAMI auf Port 5480 prüfen.
- Wenn das vCenter durch ist, kannst Du Dir, wenn Du das auch per CLI machen möchtest folgenden Patch runter laden (Zugangsdaten benötigt):
https://docs.vmware.com/en/VMware-vSphere/6.7/rn/esxi670-202206001.html
- Die ZIP-File lädst Du Dir aufs SAN
- Danach bringst Du den ersten Host in den Wartungsmodus, dabei sollten wenn HA aktiv alle VMs auf den zweiten Host migriert werden.
- Dann SSH auf den ESXen aktivieren oder per lokaler Shell drauf und:
esxcli software vib update -d "/vmfs/volumes/Datastore/DirectoryName/PatchName.zip"
- Dauert dann meist kurz und Dir wird anschließend eine übersicht der gelöschten, aktualisierten und übersprungenen VIBs angezeigt
- Danach einfach via "reboot" den Host einmal durchbooten.
Ich lass den ersten Hosts meist 1-2 Tage mit dem neuen Patch laufen bevor ich die restlichen durchpatche.
1