vSphere Update Manager 初期設定項目について

今回は、vSphere Update Manager (以下、VUM) の初期設定を実施します。

設定のポイントは、VMware 以外のベンダ (例えば、HPE) が提供するパッチをダウンロードできるように、ソフトウェアデリバリーの URL 設定することと新しいパッチをいつダウンロードするかを決めるスケジュール設定、パッチダウンロードが完了した後に通知を受けるためのメールアドレスを設定することです。

そして、一番重要な設定。 ESXi ホストにパッチを適用するためには、ESXi ホストをメインテナンスモードに切り替える必要がありますが、実際にメンテナンスモードへの切り替えが行われる際に仮想マシン・ホスト・クラスタにどういう設定を適用するかを決める ESX ホスト / クラスタ設定 が必要です。

詳細内容については、この後説明して行きますが、この例では vSphere Client を使って、主に以下の設定を実施します。

vCSA 6.5 をご利用の方へ

この手順では、Windows 版の vSphere Client を使って VUM 初期設定を実施しています。

vSphere 6.5 からは、この Windows 版クライアントのサポート終了に伴い、vSphere Client を使って vCSA 6.5 環境へのログインが出来なくなりました。

vCenter Server Appliance 6.5 初めてのログイン

ただ、Web Client でも設定のポイントは変わらないので、参考にして設定できると思います。

Web Client での設定方法については、準備が出来次第公開する予定です。

  • ネットワーク接続
  • ダウンロード設定
  • ダウンロードスケジュール
  • 通知確認スケジュール
  • 仮想マシン設定
  • ESX ホスト / クラスタ設定
  • vApp 設定
  • EULA 使用許諾契約の同意

Step 1. ネットワーク接続

vCenter 上の左ペインにて vCenter ルート階層、または クラスタ、または ESXi ホスト どれでも良いので、一つをクリックし、右側に表示される Update Manager タブ > 管理ビュー をクリックします。

Update Manager タブ - 管理ビュー

Update Manager 管理ビュー が表示されます。

構成 タブ > ネットワーク接続 > プライベート側の IP を選択 > 適用 をクリックします。

VUM インストール時に設定した IP アドレスで間違いなければ、適用 は、不要です。

VUM ネットワーク設定

ネットワーク接続

クライアント通信を行うには、VUM Client が Update Manager サーバ上の指定されたポートにアクセスできる必要があります。

パッチを送信するには、ESX ホストが Update Manager サーバ上の指定されたポートにアクセスできる必要があります。

これらの変更を有効にするには、VMware vSphere Update Manager を再起動する必要があります。

ファイアウォールがある場合は、これらのポートを経由するトラフィックが許可されるように構成する必要があります。

プライベート IP アドレスについて

グローバルネットワーク、もしくはプロキシ経由でダウンロードしてきたパッチファイルは、ここで設定したプライベート IP アドレス経由で ESXi ホストへ配布されます。

そのため、ここで設定するプライベート側の IP アドレスは、vCenter と各 ESXi へ接続可能な IP アドレスでなければなりません。

VUM インストール時の設定そのままで問題なければ、変更しなくても良いです。

もし、手動で IP アドレスを変更する必要がある場合には、付録の vSphere Update Manager 6.0 IP アドレス変更 を参考にしてください。

Step 2. ダウンロード設定

ダウンロード設定 では、デフォルトで設定されている VMware のパッチダウンロード先に加えて、HPE のようなベンダさんが提供するソフトウェアデリバリーの URL を追加・設定します。

ダウンロード設定 > ダウンロード ソースの追加 をクリックします。

VUM ダウンロード設定

プロキシ設定について

この例では、パッチダウンロード専用のネットワークとしてグローバル IP を使っています。 (VUM にグローバル IP が設定されている状態)

もし、グローバルの代わりにプロキシサーバを使う場合には、次へ進む前に プロキシを使用する にチェックを入れ、 プロキシ IP:Port を設定してくだっさい。

ダウンロード ソースの追加 ダイアログが表示されます。

以下の情報を入力し、URL の検証 > 「接続中」になってることを確認し > OK をクリックします。

項目設定値備考
ソースの URLhttp://vibsdepot.hpe.com/index.xmlindex.xml を必ず追加
説明HPE Software Delivery説明・コメントを追加
VUM ダウンロードソースの追加

後は、パッチをダウンロードできることを確認するために、先ほど追加した URL の 接続ステータス接続中 になっていることを確認し、適用 > 今すぐダウンロード をクリックします。

VUM パッチダウンロード

新規のダウンロード タスクが開始されました。 詳細は「最新のタスク」ペインを参照してください。 という 情報 ダイアログが表示されます。

OK をクリックし、ダウンロードが完了するまで待ちます。

VUM パッチダウンロード開始 ダイアログ
VUM パッチダウンロード開始 タスク

100% になるまで待つ

パッチのダウンロードが完了したら ベースラインおよびグループ タブをクリックし、パッチがダウンロードされていることを確認します。

VUM ベースライン及びグループ

ベースラインについて

VUM では、パッチの重要度 として以下の 5つのレベルが用意されています。

・ 任意

・ 低

・ 中程度

・ 重要

・ 最重要

また、パッチのカテゴリ には以下の 5つのカテゴリが存在します。

・ 任意

・ セキュリティ

・ バグ修正

・ 機能拡張

・ その他

これに加えて、VMware、Cisco、HPE のような パッチ ベンダー と ESX 5.0、5.5、6.0 等 製品のバージョン をクラウド管理者が環境に合わせて、一つのルールとして設定・定義し、クラスタ単位、あるいは、個々の ESXi ホストにパッチを適用することができます。

これらの設定一式のことを ベースライン と言いますが、この設定 (ベースラインの追加) は、実際に ESXi ホストのパッチ適用時に必要な設定なので、ここでは設定しなくても大丈夫です。

Step 3. ダウンロード スケジュール

構成 タブ > ダウンロード スケジュール > ダウンロード スケジュールの編集 をクリックします。

VUM ダウンロード スケジュール

更新ダウンロードのスケジュール設定 が表示されます。

以下の情報を設定し、次へ をクリックします。

実行単位、開始時刻、実行間隔は、環境に合わせて設定してください。

項目設定値備考
タスク名VMware vSphere Update Manager 更新ダウンロードデフォルト
タスクの説明ソフトウェア アップデートをダウンロードするための事前定義されたスケジュール設定タスクデフォルト
頻度実行単位 : 日単位ダウンロード実行単位
開始時刻 : 9:27ダウンロード開始時間
実行間隔 : 1ダウンロード実行間隔
VUM 更新ダウンロードのスケジュール設定 - タスクのスケジュール設定

E メール通知 画面が表示されます。

新しいパッチがダウンロードされたときに通知を受けるための メールアドレスを入力 > 次へ をクリックします。

メーリングリストがあれば、それを入力しても良いですし、複数の個人が受信する必要があれば、セミコロン で区切ってメールアドレスを入力してください。

VUM 更新ダウンロードのスケジュール設定 - E メール通知

設定内容を確認し、問題なければ、終了 をクリックします。

VUM 更新ダウンロードのスケジュール設定 - 設定完了

ダウンロード スケジュール 画面に戻ったら スケジュール設定されたダウンロードの有効化 にチェックを入れ > 適用 をクリックします。

すでにチェックが入っている場合には、適用 は不要です。

VUM 更新ダウンロードのスケジュール設定 - スケジュール有効化

Step 4. 通知確認スケジュール

通知確認スケジュール > 通知の編集 をクリックします。

VUM 通知確認スケジュール

タスクのスケジュール設定 が表示されます。

以下の情報を入力し、次へ をクリックします。

実行単位、開始時刻、実行間隔は、環境に合わせて設定してください。

項目設定値備考
タスク名VMware vSphere Update Manager 通知確認デフォルト
タスクの説明アップデート通知を確認するための事前定義されたスケジュール設定タスクデフォルト
頻度実行単位 : 日単位通知確認の実行単位
開始時刻 : 10:00通知確認の開始時間
実行間隔 : 1通知確認の実行間隔
VUM 通知確認スケジュール - タスクのスケジュール設定

E メール通知 画面が表示されます。

パッチがリコールされたときなどに、Update Manager からの通知受けるための メールアドレスを入力 > 次へ をクリックします。

メーリングリストがあれば、それを入力しても良いですし、複数の個人が受信する必要があれば、セミコロン で区切ってメールアドレスを入力してください。

VUM 通知確認スケジュール - E メール通知

設定内容を確認し、問題なければ、終了 をクリックします。

VUM 通知確認スケジュール - 設定完了

通知確認スケジュール 画面に戻ったら スケジュール設定されたダウンロードの有効化 にチェックを入れ > 適用 をクリックします。

すでにチェックが入っている場合には、適用 は不要です。

VUM 通知確認スケジュール - スケジュール有効化

Step 5. 仮想マシン設定

仮想マシン設定 > ロールバックできるように、修正する前に仮想マシンのスナップショットを作成します。 にチェックを入れ > スナップショットの保存期間を設定 > 適用 をクリックします。

VUM 仮想マシン設定

仮想マシンのパッチ適用について

長年運用していて、ESXi ホストのパッチ適用は、定期的に実施していますが、検証用・商用仮想マシンを問わず、仮想マシンにパッチを当てたことは一回もありません。

特に、サービス提供している商用仮想マシンを触って、再起動されたりトラブルが起きたら大変なことになるので、仮想マシンはあまり触らないほうが良いかも知れません。

とりあえず、念のため、スナップショットくらいは取得するように設定しておいた方が安全ですが、環境に合わせて設定してください。

Step 6. ESX ホスト / クラスタ設定

一番重要な設定です。

ESX ホスト / クラスタ設定 をクリックした上で、以下を設定し、適用 をクリックします。

メンテナンス モード設定

ホストを修正 (パッチ適用) する前に、ESX / ESXi ホストをメンテナンス モードに切り替えることが必要になる場合があります。

ESX / ESXi ホストをメンテナンス モードに切り替えるためには、仮想マシンと仮想アプライアンスをシャットダウン、または移行する必要があります。

ホストの修正によるダウンタイムを抑えるには、修正前に、以下のメニューから仮想マシンと仮想アプライアンスのシャットダウン、またはサスペンドを選択できます。

項目設定値
仮想マシンの電源状態仮想マシンの電源状態を変更しない
ホストがメンテナンスモードに入るのを妨げる可能性があるリムーバブルメディア デバイスを一時的に無効にします。チェック
障害発生時にメンテナンスモードへ切り替えを再試行チェック
再試行遅延2 分
再試行回数2

クラスタ設定

クラスタの更新を成功させるには、一部の機能を一時的に無効にする必要があります。

これらの機能は、修正が成功すると自動的に再び有効になります。

Update Manager は、有効になっているホストを修正しません。

無効にする項目設定値
負荷分散電力管理 (DPM)チェック
高可用性 (HA) アドミッションコントロールチェック
フォールトトレランス (FT)チェックしない
クラスタ内のホストの平行修正を有効にしますチェックしない
ホストをメンテナンスモードに切り替える必要がある場合に、パワーオフ状態およびサスペンド状態の仮想マシンをクラスタの他のホストに移行するチェックしない
項目設定値
PXE ブートされた ESXi ホストへの追加のソフトウェアのインストールを許可しますチェックしない

設定のポイントは、以下の通りで、残りの設定は、環境に合わせて設定してください。

  • 仮想マシンの電源状態を勝手に変えられては困るので、仮想マシンの電源状態は変更しないようにする
  • 仮想マシンにメディアがマウントされていると vMotion の妨げになるので、メディアディスクは無効にする
  • FT で動いている仮想マシンについては、FT 状態を変更したくないので、VUM によって FT が無効にされないようにする (FT 仮想マシンは、事前に手動で vMotion しておいた方が安全)
  • ESXi ホストに対して、並列パッチ適用は実施しない (1台単位で実施した方が安全)
VUM ESX ホスト、及びクラスタ設定

PXE ブートとは

PXE (Preboot Execution Environment)。 ピクシー・ブートとは、Intel が策定したネットワークブートの規格のことで、ブート環境のひとつです。

ネットワークブートを利用することにより、ストレージを持たないクライアントコンピュータがサーバ上の OS イメージを使用して起動します。

Wikipedia : Preboot Execution Environment

PXE ブートを使ったことがなくて、詳しい話はできませんが、安定性が少し気になるところですね。

商用環境の場合、クラスタ型のストレージを使うため、私は、使わない ESXi ホストのローカルディスクに ハイパーバイザー をインストールして RAID 組んで使ってます。

小型マイクロディスクハイパーバイザー をインストールして、基盤に挿してしまえば、ローカルディスクも要らないじゃないかということで、試して見たのですが、トラブルが多くて不安、冗長性の問題、ログの保存領域の問題などいろいろ出てきたので、結局のところ、ハイパーバイザー は、ESXi ホストのローカルディスクにインストールするようにしています。

PXE ブートについては、環境に合わせて設定してください。

Step 7. vApp 設定

vAPP 設定 > 修正後のスマート リブートの有効化 にチェックを入れ > 適用 をクリックします。

チェックを入れると起動依存を維持するために、パッチ適用されてないアプライアンスが勝手に再起動される可能性があるということなので、チェックを外した方が安全かもしれません。

特に、仮想マシンとかアプライアンスにパッチは当てない方針なので、この場合には、チェックを入れても入れなくても良いと思ってます。

環境に合わせて設定してください。

vAPP 設定

Step 8. EULA 使用許諾契約の同意

後は、いくつかの製品が EULA 使用許諾契約 が同意されて無い状態になっているので、それらを全て 同意 状態にしておきます。

仮想アプライアンスのアップグレード タブ > EULA をクリックします。

仮想アプライアンスのアップグレード - EULA

EULA 使用許諾契約の同意 画面が表示されたら 全ての使用許諾契約書の条項に同意します > OK をクリックします。

仮想アプライアンスのアップグレード - EULA 使用許諾契約の同意

これを繰り返して、以下のように全て EULA - 同意されています 状態にしておきます。

仮想アプライアンスのアップグレード - EULA 使用許諾契約の同意完了

終わりに

これで、VUM で ESXi にパッチを適用するための初期設定が完了しました。

VUM を使うと DRS によって、パッチ適用対象となる ESXi ホスト上で動いている仮想マシンが自動的にホスト vMotion されるので、全自動パッチ適用も可能ですが。

  • ローカル上で動いている仮想マシンは、ホスト vMotion できないため、電源を落とすかストレージ vMotion する必要があったり
  • ダミー仮想スイッチのポートグループを使っている仮想マシンのホスト vMotion が出来なかったり

実際の環境では様々なことが起きるため、かなり細かくルールを決めて運用しない限り、全自動パッチ適用は無理でなないかと思っています。

詳細については、また次回にご紹介します。

以上、vSphere Update Manager 6.0 初期設定 でした。