ترفند های وبمستری آپدیت ESXi با استفاده از Update Manager - سایت سنگان
شما اینجا هستید :صفحه اصلی » امنیت » آپدیت ESXi با استفاده از Update Manager

آپدیت ESXi با استفاده از Update Manager

0

دیروز یه آموزش داشتیم درباره آپدیت ESXi به روش دستی. خب اون روش مال خوره های کامپیوتره، ، مال اونایی که سرشون درد میکنه واسه دردسر!

یه روش دیگه ای هم هست که در محیط vCenter تعبیه شده بنام vCenter Update Manager یا به اختصار VUM. این روش مال بچه پولداراست، مال با کلاساست، مال کت و شلواریاست، واسه اوناییه که وقت و حوصله دردسر ندارن و دوست دارن همه چی هماهنگ و اتومات پیش بره.

هر دو گروه آدمای باحال و دوست داشتنی هستن. دمتون گرم.

بپردازیم به اصل موضوع…

قبل از شروع گامهای اصلی ذکر نکات زیر ضروریست:

نکته ۱: برقراری ارتباط با سرورهای Vmware برای ما و برخی کشورهای دیگر که در لیست تحریم قرار داریم آزاد نیست. لذا ابتدا به فکر یک vpn یا پروکسی درست و حسابی باشین. کانکشن اینترنت، اینجا بخاطر وجود پروکسی نقش حیاتی داره پس قبل از شروع این موارد را اوکی کنید.

نکته ۲: ممکنه در برخی جاها ماژول update manager نصب نشده باشه. برای نصبش دو سناریو متفاوت وجود داره.

۱- نصب update manager روی یک سرور ویندوزی مجزا؛ این روش توصیه می‌شود.

۲- نصب بشکل server appliance

بعلت طولانی نشدن این آموزش مجبورم از پرداختن به این دو سناریو پرهیز کنم اما شما نباید پرهیز کنید و دستان مبارک را بر کیبورد نهاده از استاد گوگل کمک بگیرید. مثلا اینجوری:

 Installing vcenter update manager

Installing update manager on windows

Installing update manager on a server appliance

و امثال این‌ها. فاکتور موهوم زمان (البته از نظر من) اجازه پرداختن به این موضوع رو در این مقاله نمیده…شاید بعدا اگه عمری باقی بود.

اما گام‌های مورد نیاز… بیاین برای گام‌های اساسی مون یک سناریو داغ در نظر بگیریم. فرض کنین قصد داریم patch های vmware در مورد آسیب پذیری بزرگ اخیر معروف به Meltdown و Spectre که روی تقریبا تمام CPU ها منتشر شده رو نصب کنین تا مقداری از استرس اکسپلویت خوردن تون کم بشه! بنابراین:

گام اول: kb های مرتبط با patch های داده شده را گوگل کنید. در مقاله قبلی با عنوان بروزرسانی ESXi به این مورد پرداخته شده. در این مورد خاص میتونین kb ها رو در این Advisory و این یکی Advisory رو پیدا کنین.

در این Advisory میبینید که patch های زیر برای آسیب پذیری های Meltdown و Spectre لیست شده اند:

Patch های مربوط به Meltdown:

ESXi 6.5 – ESXi650-201712101-SG

ESXi 6.0 – ESXi600-201711101-SG

ESXi 5.5 – ESXi550-201709101-SG

This 5.5 patch only addresses CVE-2017-5715, not CVE-2017-5753

Patch های مربوط به Spectre:

ESXi 6.5 – ESXi650-201801401-BG, ESXi650-201801402-BG

ESXi 6.0 – ESXi600-201801401-BG, ESXi600-201801402-BG

ESXi 5.5 – ESXi550-201801401-BG

مثلا بیاین واسه نسخه ۶٫۵ آپدیت بزنیم. روند کار واسه بقیه ورژن‌ها یکسانه اوکی؟ پس بسم الله…

توجه: قبل از هر کاری بکاپ گیری رو فراموش نکنین که اگه به هر دلیلی سرورتون رفت قاطی باقالیا بتونین برش گردونین خب؟

گام اول: به vSphere لاگین کنین و هاست یا کلاستری که میخواین آپدیت بشه رو انتخاب کنین. در منو Home تب Update Manager رو پیدا کنین و روی Attach Baseline کلیک کنید.

از قسمت Patch Baselines هر دو مورد Non-Critical و Critical Host Patches را انتخاب و ok کنین.

روی Scan for Updates کلیک کنین تا کل patch های منتشر شده و منطبق با هاست یا کلاستر شما دریافت بشه.

نکته: اگه هاست یا کلاستر شما نیاز به patch خاصی داشته باشه، در فیلد compliance status عبارت Non-Compliant درج خواهد شد.

اگه روش کلیک کنین در لیست non-compliant  خواهید دید که هاست یا کلاستر انتخابی patch شماره  ESXi650-201712101-SG رو نداره (Missing).

گام دوم: هاست یا کلاستر انتخابی رو در حالت Maintenance قرار بدین.

گام سوم: سپس باید گزینه های Remediation (به معنی چاره جویی، درمان، اصلاح) را مشخص کنین. روی Remediate  کلیک کنین تا فرآیند اصلاحات آغاز بشه.

Patch Baseline های داده شده از مرحله قبل رو انتخاب کنین تا کار Remediation آغاز بشه.

هاست یا هاستهایی که میخواین اصلاح بشن رو انتخاب کنین.

همونطور که میدونید و میبینید، هر baseline میتونه n تا patch داشته باشه. پس میتونید انتخاب کنید که کدوم patch رو از baseline انتخابی میخواید کدوم رو نمیخواید. دقت داشته باشید هر patch ای که از اینجا Exclude میشه حتی با تغییر baseline قبل از اعمال Remediation دیگه اعمال نخواهند شد. پس دقت کنید که کدوم patch ها رو نمیخواین چون اونایی که تیکشو برنمیدارین اعمال میشن.

در قسمت Advanced Options میتونین زمان مشخصی برای remediation مشخص کنید. همینطور دستگاه هایی که چه از نظر سخت افزاری دیگه پشتیبانی نمیشن یا datastore های VMFS ای که دیگه پشتیبانی نمیشن رو هم اخطار میده. با زدن گزینه ignore warnings about… این پیامها نشان داده نمیشن و فرآیند Remediation ادامه پیدا میکنه.

سپس باید Host Remediation Options  رو مشخص کنید.

و نهایتا قسمت Cluster Remediation Options رو مشخص کنید. توجه داشته باشید که برای هاستهایی که در یک کلاستر قرار دارند، فرآیند remediation بشکل ترتیبی اجرا میشه. اگه تمایل دارید که بشکل موازی انجام بشه گزینه Enable parallel remediation… رو فعال کنین و داخلش مشخص کنید که این موازی بودن بشکلی تصمیم گیری بشه: با انتخاب گزینه Automatically… بشکل خودکار و داینامیک وضعیت موازی بودن تصمیم گیری میشه اما گزینه Limit the number of… تعداد فرآیندهای remediation رو به عددی که شما بهش میدین محدود میکنه. مثلن محدود کردن به ۲ باعث میشه همیشه فقط دو تا هاست بشکل موازی آپدیت بشن.

آخر سر هم تمام انتخاب هاتون رو یه بررسی بکنید و Finish رو بزنین.

گام آخر: در پنجرهRecent Tasks  میتونید کل فرآیند آپدیت رو ببینید. Update Manager کارهای زیر رو در فرآیند Remediation انجام میده.

* هاست رو در وضعیت maintenance قرار میده (ما این کارو قبلا انجام دادیم واسه محکم کاری) و ماشین مجازی‌ها را در صورت امکان به یه هاست دیگه منتقل میکنه.

* patch های تعیین شده را اعمال میکنه.

* هاست یا هاستها رو restart میکنه.

* هاست یا هاستها رو از حالت maintenance خارج میکنه (ممکنه لازم باشه تا دستی هاست یا کلاستر رو از حالت maintenance خارج کنین).

* هاست یا هاستها رو مجدد به vCenter متصل میکنه.

* میره سراغ بقیه هاستها واسه اعمال آپدیت.

هر موقع remediation به اتمام رسید مقدار نشان داده شده در baseline به Compliant تغییر پیدا میکنه.

تا بلاگی دیگر درود و دو صد بدرود!

برگرفته از [virtubytes.com]

به این پست امتیاز دهید.
بازدید : 204 views بار دسته بندی : امنیت تاريخ : 12 نوامبر 2022 به اشتراک بگذارید :
مطالب مرتبط
دیدگاه کاربران
    • دیدگاه ارسال شده توسط شما ، پس از تایید توسط مدیران سایت منتشر خواهد شد.
    • دیدگاهی که به غیر از زبان فارسی یا غیر مرتبط با مطلب باشد منتشر نخواهد شد.