vCSA 6.5 以上なら Update Manager サーバの新規構築が不要

これまでは GUI 上で仮想マシン、または ESX ホストにパッチを適用するために、Update Manager Server (Windows Server) を別途 構築する必要がありました。

しかし、vCenter Server Appliance 6.5 (以下、vCSA) から Update Manager が含まれるようになったため、vCSA 6.5 以上であれば、Update Manager を構築することなく使えるようになりました。

今回は、vSphere Update Manager + vSphere Web Client を使って ESX ホスト、または 仮想マシンにパッチを適用するための事前準備として、以下の作業を実施します。

  • ネットワークの接続設定
  • ダウンロード設定 (パッチのダウンロード URL / プロキシ設定)
  • パッチダウンロード テスト
  • ダウンロード スケジュール設定
  • 通知確認スケジュール設定
  • 仮想マシン設定
  • ホスト / クラスタ設定
  • vAPP 設定

Update Manager の管理ビューに移動

まずは、vSphere Update Manager を管理するための専用の管理画面に移動します。

vCenter の左ペイン上の クラスタ、または ESX ホスト > Update Manager (タブ) > 管理ビューに移動 をクリックします。

クラスタ、または ESX ホスト → Update Manager (タブ) → 管理ビューに移動

Update Manager 初期設定 : 基本項目の設定

Update Manager の 管理ビュー が表示されます。

Step 1. ネットワークの接続設定

Update Manager Server とクライアント間 通信、及び ESXi ホストで使用されている Update Manager パッチストア の設定を実施します。

管理 > 設定 > ネットワーク接続 > 編集 をクリックします。

パッチストア設定を編集 ダイアログ が表示されるので、パッチストアの IP アドレス、またはホスト名を選択 > OK をクリックします。

この例では、Update Manager が予めビルトインされている vCSA 6.5 を使っているため、パッチストアの IP として vCSA の IP (例えば 10.10.8.6) そのものを設定していますが、vCSA と Update Manager が分離 (別建て) されている場合は、Update Manager の IP を指定してください。

管理 → 設定 → ネットワーク接続 → 編集 → パッチストアの IP、またはホスト名を選択

Update Manager との通信ポートは開放済みであること

クライアント通信を行うには、vSphere Web Client が Update Manager サーバ上の指定されたポートにアクセスできる必要があります。

パッチを転送するには、ホストが Update Manager サーバ上の指定されたポートにアクセスできる必要があります。

ファイアウォールがある場合は、これらのポートを経由するトラフィックが許可されるように構成する必要があります。

パッチストア設定のポイント

vCSA 6.5 から Update Manager がデフォルトでビルトインされるようになりました。

これにより、別途 Update Manager を構築する必要がなくなったため、

  • vCSA 6.5 新規構築した場合は、vCSA の IP、または vCSA のホスト名を設定します
  • 既存の vCenter 5.x または 6.0 を vCSA 6.5 アップグレードするタイミングで、別建ての Update Manager Server (Windows 版) をマイグレーションした場合も、vCSA の IP、または vCSA のホスト名を設定します
  • それ以外、別建ての Update Manager をそのまま利用する必要がある場合は、Update Manager の IP、または ホスト名を設定してください

パッチストア設定変更を反映するためには

パッチストアの IP アドレス、または ホスト名を変更した場合、設定を反映するためには、Update Manager のサービスを再起動する必要があります。

※ VUM サービス再起動方法

  • vCSA へ SSH 接続 > service-control コマンドで再起動するか
  • ホーム > 管理 > デプロイ > システム設定 > サービス をクリックするとサービス一覧が表示されるので、ここで「VMware vSphere Update Manager」を再起動する

Step 2. ダウンロード設定 (パッチのダウンロード URL / プロキシ設定)

ダウンロード設定では、主に以下の設定を実施します。

  • パッチのダウンロード方法
  • パッチダウンロード用の URL
  • グローバル経由でパッチをダウンロードするためのプロキシ設定

ダウンロード設定 > 編集 をクリックし、ダウンロード方法ダウンロードソース を設定します。

特に、ダウンロードソース パッチをダウンロードするための既存の URL に加えて、ESXi ホスト 物理筐体のベンダが提供するパッチ専用のリポジトリを追加する必要があります。 (この例では HPE 用のパッチリポジトリを追加します)

また、この例では、プライベートネットワーク上の仮想環境を想定しているため、プライベートからグローバルを抜けてパッチをダウンロードするために、プロキシサーバを設定しています。 (プロキシのアドレス、ホスト名を設定する際は、プロトコルを除いて、FQDN のみ入力してください)

① ダウンロード設定 → 編集 → ダウンロード方法とダウンロードソースを設定 ②プロキシ設定 → 編集 → プロキシのFQDN とポート番号を設定
分類項目設定値備考
ダウンロードソースダウンロード方法インターネットへの直接接続を使用
ダウンロードソースhttp://vibsdepot.hpe.com/index.xmlHPE 用のパッチ リポジトリ URL
プロキシ設定プロキシを使用するはい
プロキシproxy.hogehoge.comプロキシの FQDN
ポート8080プロキシの ポート番号
プロキシの認証を必須にするいいえ
ユーザー名認証ありの場合は指定が必要

Step 3. パッチダウンロード テスト

プロキシ設定、及び 接続テストが問題なく完了したら実際にダウンロードソースからパッチがダウンロードできることを確認します。

ダウンロードソース接続ステータス接続中 であることを確認下上で、今すぐダウンロード をクリックし、パッチ定義のダウンロード タスクが正常に完了することを確認します。

今すぐダウンロードをクリック
パッチ定義のダウンロードが問題なく完了することを確認

特に、プロキシ設定が間違っていたり、何らかの理由 (グローバル接続不可など) でパッチダウンロードできなかった場合は、以下のようなエラーで失敗します。

パッチ定義のダウンロードに失敗した場合の例 : パッチ データがありません

パッチ定義とパッチをホストする Web サイト ・・・ にアクセスできないか、パッチ データがありません。 インターネット接続を確認してください。

Step 4. ダウンロード スケジュール設定

ダウンロード スケジュール > 編集 にて、アップデート メタデータ、及び バイナリをダウンロードするための スケジュール設定されたタスクを有効にします (チェック) > 次へ をクリックします。

ダウンロード スケジュールの編集 画面が表示されたら、以下のように、指定したスケジュールによってパッチが自動的にダウンロードされるように、環境に合わせて 詳細 スケジュールの設定 > 次へ をクリックします。

スケジュールの設定 → 次へ
項目設定値備考
タスク名VMware vSphere Update Manager 更新ダウンロードデフォルト
タスクの説明ソフトウェア アップデートをダウンロードするための事前定義されたスケジュール設定タスクデフォルト
設定されたスケジューラ実行単位 : 日単位ダウンロード実行単位
実行頻度 : 1ダウンロード実行間隔
開始時刻 : 9:00ダウンロード開始時間
タスクの完了時に E メールを送信する宛先アドレスtantousya@hogehoge.comレポート受信者のメアド

設定の確認 が表示されます。

特に問題なければ、完了 をクリックします。

設定内容を確認し → 完了

Step 5. 通知確認スケジュール設定

通知確認スケジュール > 編集 をクリックし、アップデート通知を確認するためのスケジュールを設定します。

設定方法については、先の Step 4. ダウンロード スケジュール と一緒なので、詳細画面は省略します。

通知確認スケジュール → 編集 → アップデート通知を確認するためのスケジュールを設定
項目設定値備考
タスク名VMware vSphere Update Manager 通知確認デフォルト
タスクの説明アップデート通知を確認するための事前定義されたスケジュール設定タスクデフォルト
頻度実行単位 : 日単位通知確認の実行単位
開始時刻 : 10:00通知確認の開始時間
実行間隔 : 1通知確認の実行間隔
電子メールの送信先tantousya@hogehoge.comレポート受信者のメアド

Step 6. 仮想マシン設定

仮想マシンにパッチを適用する場合は、より安全にパッチ適用できるように、以下のように事前にスナップショットを取得するように設定してください。

仮想マシン設定 > 編集 > ロールバックできるように、修正する前に仮想マシンのスナップショットを作成します (チェック) > OK をクリックします。

仮想マシン設定 → 編集 → ロールバックできるように、修正する前に仮想マシンのスナップショットを作成します (チェック) → OK

スナップショットの保存期間を指定してください

スナップショット作成は、ストレージを消費するため、パッチ対象となる仮想マシンの数が多い場合は注意が必要です。

この例では、仮想マシンへのパッチ適用は想定していないため、スナップショットを削除しない ようにしていますが、仮想マシンにパッチを適用する際に、スナップショットを取るようにチェックを入れた場合は、スナップショットの保存期間を指定してください。

Step 7. ホスト / クラスタ設定

ホスト / クラスタ設定 > 編集 をクリックし、以下の設定を実施します。 (実際に本番環境で使っている設定です)

  • ホストの設定
  • 仮想マシンの電源状態 : 仮想マシンの電源状態を変更しない選択肢 : 仮想マシンのパワーオフ | 仮想マシンのサスペンド | 仮想マシンの電源状態を変更しない
  • ホストがメンテナンスモードに切り替えるのを妨げる可能性があるリムーバブルメディア デバイスを一時的に無効にします。
  • 障害発生時にメンテナンスモードへ切り替えを再試行再試行遅延 : 1分 (例)再試行回数 : 2回 (例)
  • PXE ブートされた ESXi ホストへの追加のソフトウェアのインストールを許可します
  • クラスタの設定 (一時的に無効にする機能)
  • Distributed Power Management (DPM)※ DPM : 負荷分散電力管理
  • 高可用性アドミッションコントロール※ 高可用性 : HA
  • フォールトトレランス (FT) ※ FT を再び有効にできるようにするには、クラスタ内のすべてのホストを同時に、同じアップデートを使用して修正してください。
  • クラスタ内のホストの平行修正を有効にします
  • ホストをメンテナンスモードに切り替える必要がある場合に、パワーオフ状態およびサスペンド状態の仮想マシンをクラスタの他のホストに移行します
ホスト / クラスタ設定 → 編集 → ホストの設定、クラスタの設定 (一時的に無効にする機能) を設定

ホストの設定

ホストを修正する前に、ホストをメンテナンスモードに切り替えることが必要になる場合があります。

仮想マシンと仮想アプライアンスをシャットダウンまたは移行する必要があります。

ホストの修正によるダウンタイムを抑えるには、修正前に、以下のドロップダウンメニューから、仮想マシンと仮想アプライアンスのシャットダウンまたはサスペンドを選択出来ます。

クラスタの設定

クラスタを正常に更新するには、一部の機能を一時的に無効にする必要があります。

これらの機能は、修正が完了すると自動的に再び有効になります。

Update Manager は、機能が有効になっているホストを修正しません。

ホスト / クラスタ設定のポイント

実際に本番環境で ESX ホストにパッチを適用する際には、クラスタ単位の全自動ではなく、ESX ホスト 1台単位で実施することで、より安全にパッチを適用することができます

上記の設定は、実際に本番環境で使っている設定ですが、主に以下を意識して設定しています。

  • Update Manager によって、仮想マシンの電源状態が変わらないように、仮想マシンの電源状態は変更しないようにする
  • 仮想マシンにメディアがマウントされていると ホスト vMotion に失敗 → 仮想マシンが動いている ESX ホストはメンテナンスモードへ切り替えできないため、メディアディスクは無効にする
  • FT で動いている仮想マシンは、冗長性を保つために、極力、FT を無効にしたくないので、Update Manager によって FT が無効にされないようにする (FT 仮想マシンは、事前にプライマリ / セカンダリ 仮想マシンを、それぞれ他のホストへ手動 vMotion しておいた方が安全)
  • ESXi ホストに対して、並列パッチ適用は実施しない (リスク分散、1台単位で実施した方が安全)

Step 8. vAPP 設定

vAPP 設定 > 編集 > 修正後のスマート リブートの有効化 (チェック) > OK をクリックします。

vAPP 設定 → 編集 → 修正後のスマート リブートの有効化 (チェック) → OK

スマートリブートについて

vApp にパッチを当てる予定がなければ、この設定は 有効でも 無効でも構いませんが、設定が必要な場合は、以下を一読した上で、環境に合わせて設定してください。

  • スマート リブートを有効にすると、起動依存を維持するために vApp の仮想アプライアンスが選択的に再起動され、修正されてないアプライアンスが再起動される可能性もあります
  • スマート リブートを無効にすると、修正されていない仮想アプライアンスのみが再起動され、起動依存は維持できない場合があります

これで Update Manager の基本的な設定が完了しました。

以上、vSphere Update Manager 初期設定 (Web Client 版) でした。