VMWARE : Déployer des patchs de sécurité sur des ESXi


 

vmware_logo_white

 

Pour le maintien en condition opérationnelle des plateformes virtuelles, il est nécéssaire d’appliquer régulièrement les patchs de sécurité des systèmes ESXi.

 

L’application des mises à jour doit se faire dans les cas suivants :

■ Une fois par mois après réception de mises à jour
■ A chaque réception de nouvelles mises à jour

Dans les deux cas, il est conseillé d’appliquer la mise à jour dans un délai de 30 jours maximum.

 

Etapes d’installation :

 
1. Contrôle des mises à jour (disponibilités et téléchargements des updates)
2. Déploiement en environnement de recette (phase de tests)
3. Copie des sources de mises à jour dans la banque de données concernée (ou banque dédiée aux Updates).
4. Arrêt ou déplacement des machines virtuelles hébergées sur le serveur ESXi cible.
5. Passer le serveur EXSi en mode maintenance.

(Pour le choix de l’arrêt ou déplacement de la machine virtuelle, il faut prendre en considération la possibilité d’intérruption de service ou non).

 

1. Contrôles des mises à jour

Lorsque des mises à jour de sécurité sont disponibles VMware met à disposition la description et le lien vers cette mise à jour dans sa base VMware Security Advisories :
http://www.vmware.com/security/advisories/

Lorsqu’il n’y a pas de déploiement automatisé des updates, les serveurs sont à patcher un par un manuellement.

(Dans les deux cas, une note de maintenance doit etre émise via un mail d’information général qui précise que des opérations de maintenances vont être effectuées sur les serveurs virtuels).

Les patchs de sécurité sont à télécharger directement sur les espaces Officiels VMware : http://www.vmware.com/patchmgr/download.portal

(Un compte doit être crée sur le site de VMware pour pouvoir télécharger les mises à jour)

 

2. Déploiement en environnement de recette

Avant toute application des patchs de sécurité sur les environnements de productions il est conseillé de patcher les serveurs de recettes afin de contrôler le patch et de vérifier l’impact du patch sur les environnements pendant quelques jours.

 

3. Installation des patchs de sécurités

Préalable : téléchargement des sources « Updates » sur le site VMware.

Copier la source téléchargée dans le dossier « UPDATE » du DataStore « LUN-UPDATE01 » à partir de la console VSphere Client.
(Clic droit sur le DataStore puis « Parcourir la banque de données ») :

vmware-update-1

 

Pour mettre à niveau un serveur ESXi nous utilisons l’outil en ligne de commande « esxupdate » Documentation Technique VMware « Esxupdate »

Avant de lancer la mise à niveau vous devez arrêter ou déplacer les machines virtuelles de votre ESXi puis mettre ce dernier en « Mode Maintenance » (clic droit sur le serveur ESX puis « Entrer en mode maintenance ») :

vmware-update-2

 

Afin de pouvoir utiliser la commande « Esxupdate » il faut activer le support SSH sur les ESXi.
(Dans l’onglet Configuration, Profil de sécurité, Services, Propriétés puis SSH, démarrer le service SSH) :

vmware-update-3

 

Se connecter à l’ESXi en SSH avec le compte « root » et taper les commandes suivantes :
 

Se positionner dans le répertoire ou est le Patch :

 cd /vmfs/volumes/LUN-UPDATE01/UPDATE 

(Faire un ls pour afficher les fichiers du répertoire UPDATE)
 

 esxupdate --bundle <PackageUpdateZip> update 

Exemple:

 esxupdate --bundle update-from-esxi4.1-4.1_update03.zip update 

vmware-update-4

A la fin de la mise à jour, redémarrer le serveur ESX en tapant la commande suivante :

 Reboot 

 

Après le redémarrage du serveur ESXi, il faut quitter le « Mode Maintenance » (Même procédure que la mise en maintenance), puis désactiver le support SSH si nécéssaire.

 

4. Vérification de la mise à jour

Vérifier que la mise à jour c’est bien appliquée dans la console VSphere Client.

vmware-update-5
VMware ESXi, 4.1.0, 800380 = update-from-esxi4.1-4.1_update03
 

Le redémarrage ou le déplacement des machines virtuelles peut être fait vers les ESXi patchés.

Suite à certaines mise à jour, une nouvelle version des VMware Tools sera peut être disponible.

 

Pour plus d’informations et de détails sur la mise à jour des serveurs VMware ESXi :

http://www.vmware.com/fr/support/product-support/vsphere-hypervisor.html

http://www.vmware.com/fr/support/support-resources/pubs/vsphere-esxi-vcenter-server-pubs/vsp_esxi50_u2_rel_notes.html

 

Print Friendly, PDF & Email

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *