Если вы следуете всем рекомендациям особенно в области информационной безопасности, то первое правило для безукоризненного выполнения - это обновление любого софта. И конечно же хосты ESXI не исключение, хоть возможно и является долгим процессом, если не хватает мощностей.

В VMWare за установку, обновление софта в вашем кластере отвечает vSphere Lifecycle Manager. Он отвечает за такие задачи как: установка ESXI и прошивок на новые хосты, обновление версий ESXI и прошивок при необходимости.

При установке Vcenter Server этот сервис включается по умолчанию и не требует никаких дополнительных установок со стороны пользователя. По умолчанию для работы использует также бд на основе PostgreSQL, но вроде сейчас это не является необходимым. По сути vSphere Lifecycle Manager - это замена старого Update Manager. Начиная с версии Vcenter Server 7.0 уже используется vSphere Lifecycle Manager.

Конечно же для скачивания обновлений сервису vSphere Lifecycle Manager необходим доступ в интернет. Если же у вас его вообще нет (на то могут быть свои причины), то можно воспользоваться сервисом Update Manager Download Service (UMDS) для загрузки обновлений вручную. Подробнее о UMDS в этой статье.

Операции vSphere Lifecycle Manager

Для загрузки и проверки удачной установки обновлений используются следующие операции:

Операция	Описание
Compliance Check	Операция сканирования хоста на соответствие заданному уровню. Т.е. просто проверка требуется ли что-то обновить или установить
Remediation Pre-Check	Проверка на то что после установки обновлений не произойдёт сбой
Remediation	Собственно сам процесс обновления
Stage	Режим загрузки обновлений на хост

Безопасное хеширование и проверка подписи в vSphere Lifecycle Manage

Каждый пакет, загруженный с онлайн репозитория проходит проверку на контрольную сумму. Хэш-проверка проверяет контрольную сумму sha-256 загруженного пакета, чтобы гарантировать его целостность. Также перед установкой новых пакетов происходит проверка их цифровой подписи.

Используем vSphere Lifecycle Manager

Самое первое что нужно сделать это перейти в панель vSphere Lifecycle Manager, для этого в левом верхнем углы нажимаем на меню > Lifecycle Manager. Тут вы можете импортировать готовые ISO образы, например, новую версию Vsphere для обновления старой.

Настройки vSphere Lifecycle Manager

На вкладке settings мы можем настроить поведение vSphere Lifecycle Manager как нам необходимо, например, можно отключить автоматическую загрузку обновлений, что конечно же делать не рекомендуется.

Меня же конкретно тут интересует возможность скачивания обновлений с другого сервера, в моём контуре. Просто я не могу дать доступ серверу Vcenter в интернет, и тут мне поможет тот самый сервис под названием Update Manager Download Service (UMDS).

О том, как настроить и установить Update Manager Download Service (UMDS) я расписал тут.

Процесс обновления

Для обновления ESXI хостов мы будем использовать Baselines, которые делятся на три типа: предопределенный, рекомендованный, собственный.

Давайте попробуем понять что из себя представляет каждый тип: | Тип | Описание | |–|–| | Предопределенный | Не может быть изменён или удалён. Содержит обновления безопасности, критические обновления, некритические обновления. | | Рекомендованный| Содержит обновления, рекомендованные для установки при использовании кластеров vSAN с хостами ESXi | | Собственный | Собственно, вы сами решаете какие обновления имеет этот тип |

Перед тем как запустить процесс обновления необходимо сопоставить Baseline с хостом, кластером или дата-центром.

1. Выделяем конкретный хост или кластер и переходим в Updates.
2. Нажимаем Attach > Attach Baseline or Baseline Group (по умолчанию уже добавлены обновления безопасности и критические обновления)

Также перед обновлением необходимо проверить статус соответствия обновлений для хоста. Во время выполнения проверяется какие уже обновления установлены на хосте и необходимо ли установить новые.

Запуск проверки соответствия вручную

1. Выделяем конкретный хост или кластер и переходим в Updates.
2. Нажимаем CHECK COMPLIANCE
3. После проверки вы получите список рекомендованных обновлений
4. Для того, чтобы посмотреть какие обновления требуются для установки в Attached Baselines выбираем Baseline и внизу выводится статус всех обновлений для хоста

Загрузка обновлений на хост

На этом этапе все необходимые обновления загружаются на хост ESXI, но при это не устанавливаются. Идея в том, что процесс копирования, как и установка занимает какое-то время, стало быть если хост будет в состоянии обслуживание только при установке это сократит время недоступности хоста.

Для загрузки обновлений на хост:

1. Выделяем конкретный хост или кластер и переходим в Updates.
2. В Attached Baselines выбираем что надо и нажимаем STAGE
3. Собственно, выбираем хост, на который нужно закачать обновления, и если хотите посмотреть какие именно обновления можно развернуть Stage ниже
4. В задачах появится статус выполнения

Установка обновлений на хост

Вот мы и добрались до самой установки обновлений. Если для установки какого-то обновления будет необходимо перевести хост в состояние обслуживания, то это будет произведено. Обратите на это внимание, так как виртуальные машины будут либо выключены, либо смигрированы.

Перед тем как запустить процесс обновления давайте проверим нет ли каких-либо предупреждений, которые нужно решить перед обновлением. Для этого:

1. Выделяем конкретный хост или кластер и переходим в Updates.
2. Нажимаем PRE-CHECK REMEDIATION
3. Если ничего нет, то нажимаем DONE
4. Если есть предупреждения можно рассмотреть их тут

Ну и когда все предупреждения решены или их вовсе нет можно приступать к установке:

1. Выделяем конкретный хост или кластер и переходим в Updates.
2. Выбираем Attached Baselines и нажимаем REMEDIATE
3. Во время установки обновлений хост перейдёт в состояние обслуживания и также будет перезагружен (статус обновления в задачах)
4. В итоге Compliant должен быть чистым с зелёной галочкой