剛好就利用這個機會
在LAB機上,做個更新patch的練習
此為VMware的esxi下載點
更新patch的作法
大致上是
一、查看 esxi 版本號 和 vSAN 的版本號
二、查看 弱點資訊
三、下載 更新patch
四、上傳 更新patch 到 vCenter 的 Update Manager
五、建立 Update 基準 Base Line
六、建立 連結Link到 基準Base Line
七、暫存 patch
八、更新 patch
九、更新 vSAN 儲存架構中,有 VM 的esxi
A、查看主機HBA的vSAN相容性
B、下載主機商的Patch
一、查看 esxi 版本號 和 vSAN 的版本號
VMware官網的esxi版本號
https://kb.vmware.com/s/article/2143832
VMware官網的vSAN版本號
我記得以前可以從vCenter上面看到vSAN的版本號
後來VMware有意將各個相依元件和主產品版本做切齊
再來好像就找不到版本號了
不過,還是可以透過這個URL去查找一下看看
要注意喔,右邊欄位的 vSAN on Disk format version
升級前 和 升級後 的版本,若有改變,那麼整個esxi的升版就要從長計議了
https://kb.vmware.com/s/article/2150753
題外話
業界很多災情都發生在這個on-disk version上
我自己雖然已經有所準備
但還是遇到其他的小問題,好在是虛驚一場
也就是對vSAN Cluster內的esxi上patch
這個patch會讓esxi從6.7升到6.7U3
而vSAN on-disk versoin會從7升到10
我先對中1台esxi上patch
進MA時選擇"移轉全部資料"
也就是將這台esxi上的vSAN全都移到其他台vSAN esxi上
上完patch後退出MA模式
到cluster>監控>vSAN>實體磁碟>找這台上完patch的esxi主機
竟然沒看到這台,冷汗直流
再趕緊到cluster>設定>vSAN>磁碟管理>找這台上完patch的esxi主機
這台esxi上使用中的磁碟顯示 0個(共0個)
都快嚇傻了,腦中往事一幕幕
按照升級的經驗
當你做完patch升版後
記得回到vCenter的vSAN設定頁籤
去查看一下on-disk version是否需要升版
可以先點一下測試按鈕,最後再升版就好
二、查看 弱點資訊
我們到
VMware官網公布弱點URL
https://www.vmware.com/security/advisories/VMSA-2020-0008.html
在這個網頁中
有顯示CVSSv3 判定為8.3分
大致上是
一、查看 esxi 版本號 和 vSAN 的版本號
二、查看 弱點資訊
三、下載 更新patch
四、上傳 更新patch 到 vCenter 的 Update Manager
五、建立 Update 基準 Base Line
六、建立 連結Link到 基準Base Line
七、暫存 patch
八、更新 patch
九、更新 vSAN 儲存架構中,有 VM 的esxi
A、查看主機HBA的vSAN相容性
B、下載主機商的Patch
一、查看 esxi 版本號 和 vSAN 的版本號
VMware官網的esxi版本號
https://kb.vmware.com/s/article/2143832
可以查看相關的建置版號 所對應的 小版本
如下圖 Build 14320388 對應的就是 ESXI 6.7U3
VMware官網的vSAN版本號
我記得以前可以從vCenter上面看到vSAN的版本號
後來VMware有意將各個相依元件和主產品版本做切齊
再來好像就找不到版本號了
不過,還是可以透過這個URL去查找一下看看
要注意喔,右邊欄位的 vSAN on Disk format version
升級前 和 升級後 的版本,若有改變,那麼整個esxi的升版就要從長計議了
https://kb.vmware.com/s/article/2150753
業界很多災情都發生在這個on-disk version上
我自己雖然已經有所準備
但還是遇到其他的小問題,好在是虛驚一場
也就是對vSAN Cluster內的esxi上patch
這個patch會讓esxi從6.7升到6.7U3
而vSAN on-disk versoin會從7升到10
我先對中1台esxi上patch
進MA時選擇"移轉全部資料"
也就是將這台esxi上的vSAN全都移到其他台vSAN esxi上
上完patch後退出MA模式
到cluster>監控>vSAN>實體磁碟>找這台上完patch的esxi主機
竟然沒看到這台,冷汗直流
再趕緊到cluster>設定>vSAN>磁碟管理>找這台上完patch的esxi主機
這台esxi上使用中的磁碟顯示 0個(共0個)
都快嚇傻了,腦中往事一幕幕
按照升級的經驗
當你做完patch升版後
記得回到vCenter的vSAN設定頁籤
去查看一下on-disk version是否需要升版
可以先點一下測試按鈕,最後再升版就好
二、查看 弱點資訊
我們到
VMware官網公布弱點URL
https://www.vmware.com/security/advisories/VMSA-2020-0008.html
在這個網頁中
有顯示CVSSv3 判定為8.3分
該網頁,再往下拉一點
就可以看到esxi 6.7竟然中獎了
需要更新 ESXi670-202004103-SG 這支patch
才能修補CVE-2020-3955這個弱點
三、下載 更新patch
點這個連結吧
URL會先導到My VMware
然後按產品去查詢相關patch
查詢自己要更新的產品
Select a Product
下拉式選單,選 ESXi(Embedded and Installed)
Select Version
下拉式選單,選 6.7.0
查看一下這支ESXi670-202004103-SG patch
被包在 ESXI670-202004002 這大包裡
點一下這個大包
可以看到這個大包的相關資訊和裡面所更新的項目有哪些
這大包竟然有 474.3MB 竟然要跟esxi安裝ISO差不多容量了
會到查詢產品那頁
我們下載這個大包吧~
容量真的不小
四、上傳 更新patch 到 vCenter 的 Update Manager
將剛剛下載的patch檔案
上傳到 Update Manager 吧~
選到
Update Manager>設定>修補程式下載>從檔案上傳
等他上傳一下
再到
這個頁面
就會看到剛剛上傳好的 ESXI670-202004002 大包
已經在裡面囉
五、建立 Update 基準 Base Line
先建立個基準點
情境大概是
通常安裝esxi的時候
所拿的ISO檔,雖然一樣是esxi 6.7
但可能並不是esxi 6.7中最新版的
這時候
就可以透過 Update Manager 基準
讓加入vCenter的 esxi主機
自動去更新所設定好的基準
而這個基準裡面有哪些patch
就可以自己設定囉
接下來
輸入名稱,並給個描述
然後選擇 "修補程式" 後,下一步
先選擇
相符>然後取消全選>單單選擇ESXI670-202004002這個大包
這個大包裡面包含很多patch
若只是要單單上某個patch的話,就選下方的各項即可~
這個LAB會是上這個大包的patch喔
後面大概就是下一步
建好後,就可以看一下內容
六、建立 連結Link到 基準Base Line
因為Update Manager
是對整個vCenter的
各個Cluster或是 esxi主機
若要套用這個 基準Base Line的話
就需要做個 連結Link
連結Link到 剛剛做好的 基準Base Line
我的LAB
主要是對某個 vSAN 的 Cluster
所以就到 Cluster層級的更新頁籤
把畫面
捲到最下方
就會有個 連結的基準 的功能
把上傳那個大包patch
選取起來
建立連結好了後
先點選一下 剛剛建的連結
下方就可以看到這個patch
在這個Cluster中,esxi的更新狀況
192.168.11.34 這台 我已經更新好了
所以狀態 是 符合標準,且版號是 16075168
且一旦建立好連結Base Line後
就會以此為標準
你會看到再這個Cluster內
尚未完成 更新 連結Base Line所指向patch的主機
七、暫存 patch
暫存...
這個意思是
上傳patch到Update Manager
但要更新的是esxi主機
而暫存就是把這個patch
下載到 esxi 主機上 來準備更新
先選取patch
再點選 暫存
192.168.11.34這台
我已經更新過了
所以就取消選取他
八、更新 patch
開始更新吧
因為我的Cluster是vSAN Cluster
所以在更新patch要逐步一台一台來做
先更新192.168.11.33這台吧~
這邊
系統會告訴你在更新patch上,需要注意的地方
若是production環境
建議還是看一下報告比較好
像是我的這個LAB
就建議我要
. 開DRS
. vSAN健全狀況掃描的2個結果(我是把這2項的告警都關掉)
若沒有問題
就開始修復吧
這個翻譯用詞真的很...
好像本來就是壞的,要修復一樣
為什麼就不用 修補 呢
在patch安裝過程中
會幫你進MA模式
也會
幫你重開機
等待一段時間後
esxi主機會開好,並且退出MA模式
我們再來Update Manager看一下狀態
192.168.11.33這台更新好了
九、更新 vSAN 儲存架構中,有 VM 的esxi
接下來
換192.168.11.32這台
這台esxi內有個開機的VM(192.168.11.64)
在不vMotion這個VM的情況下
直接來更新看看
並持續ping這台VM(192.168.11.64)
來觀察更新動作,對vSAN的esxi內VM的影響
更新
啊~不對,是開始 修復
期間
觀察這個VM(192.168.11.64)
被vMotion到192.168.11.31(這台資源較大)
然後進MA
安裝更新然後重啟esxi,再退出MA模式
發現這個VM不會回到原本的esxi
可能是一旦觸發DRS後,演算的機制會決定VM的所在地
除非設定綁定主機吧~
觀察packet沒掉
但有偶有一個包回應會稍微高一點點
最後
vSAN Cluster內的所有esxi都更新完成囉
因為有建立連結
且Cluster內所有esxi主機也都已經更新完成
所以系統在檢查符合性,是都符合
A、查看主機HBA的vSAN相容性
vSAN是非常重視HBA相容性的
即便是一般常見的升級
也要看相容性清單
只是一般最多就是升不上去,退回原版本這樣
但是vSAN不同
因為若esxi或是vCenter版本升上去後
若esxi主機的HBA卡不支援這個新版本
你的vSAN Storage可能會消失
而你所有的管理VM甚至是vCenter都在裡面
這就gg了
網路上稍微查找一下
就可已找到不少災情,千萬不要以身試法啊
所以這個確認相容性的步驟是非常重要的
VMware相容性指南URL
接下來
把你所要查找的資訊,盡量選取
想我只知道要查支援的esxi版本有哪些
esxi主機廠是DELL
CPU是 Xeon Skylake系列
就會在下方
顯示符合的Ready Node
我點一個
R740XD進去看看
就會顯示
這個Ready Node的相關資訊
但因為
我們的重點是在HBA Card
所以點一下 控制器 去查看一下
就可以看到
這個HBA卡 的 Firmware 版本
有支援到哪個 esxi 版本
B、下載主機商的Patch
某些情況下
需要更新主機設備商的patch
我們就來練習找一下
先假想我的esxi是Dell的
又因為我的LAB是esxi6.7
所以我直接在google 搜尋 esxi 6.7 download
直接進入下載頁面比較快
點開頁面
從先前我們查看過建置版號
14320388對應的是 ESXI 6.7U3
這邊下拉是選單,選到6.7U3
然後選點 Custom ISOs
再把 OEM Customized installer CDs 點開
應該就會看到對於 6.7U3 各家設備商所更新來的patch
然後再去點下載
就會到下載頁
我們來確認一下
這個更新裡面有什麼
到 DellEMC Custom Image for ESXi 6.7 Offline Bundle
的下方,點選 Read More
就可以看到
有關DELL設備的Drive
這些Drive是在VMware的Patch中所沒有的
就可以下載回去上傳到Update Manager囉
沒有留言:
張貼留言