vEXPERTのブログ(2019年12月13日 VMUG部会)

BIGLOBE鈴木(研)です。今日は、先日開催されたVMUG部会のLTで発表した内容を共有させていただきます。

部会の概要は、下記をご参照ください。 www.facebook.com

テーマは、VUM(vCenter Upadate Manager)のTipsです。

弊社では、vSphere4.Xの頃から使っていますが、意外とVUMを使っていない会社が多いのにびっくりしました。 下記では、当日の発表内容に加え、その場で出た話や、話足りなかったことを補足しております。

■弊社のVUM利用シーン

  • ESXiのパッチ適用
  • 下記は利用していない
    • ESXiのアップグレード
    • HW Verのアップグレード
    • VMware Toolsのアップグレード

アップグレードは、結構バグが多くてうまく行かないケースが多数報告(リリースノートの情報)されてきた歴史があり、弊社では手を出していません。 HW VerやVMware Toolsについても、VMを停止する必要があり、VMの利用者ごとに個別調整が必要になるため、VUMでやるメリットはあまりなく、手動で実施してます。

■弊社のVUM構成

f:id:bgl-suzuken:20191217110808j:plain

■VUMで実施するタスク

  • ベースライン管理
  • ベースラインのアタッチ
  • スキャン
  • ステージ
  • 適用

下記では、弊社のベースライン管理について解説します。

■ベースライン管理

ベースライン管理をする目的

  • 弊社で検証したパッチだけをESXiに適用する
  • クラスタ内のESXiのパッチレベルを合わせる(後から足したESXiのパッチレベルが高くなって、異なるパッチレベルのESXiが混在した状態でDRS運用は望ましくないため)

ベースライン管理の流れ

f:id:bgl-suzuken:20191217111110j:plain

  • ダウンロードされたパッチの中からESXへ適用したいパッチリストを定義
  • 例えば、VMSA-2019-0020に対応した2019/11/12までにリリースされたパッチは適用したいけど、VMSA-2019-0022に対応した2019/12/05のリリースされたパッチはまだ適用したくない等
  • そのリストを、 baseline_20191112 という名前で作成

ベースラインの作成単位

  • vCenter毎にVUMが存在し、各々ベースライン管理
  • vSphereバージョン(基本ベースライン)
  • ESXiの機種(オプション)
  • セキュリティパッチ適用する/しない(オプション)
    • 性能影響するCPU脆弱性対応等でバリエーションが発生
    • オプション扱いではなく、基本ベースラインに取り込む場合もある
  • ベースラインのアタッチはフォルダに実施

f:id:bgl-suzuken:20191217111436j:plain

H社のフォルダにメンテナンスモードにしたESXiをドラッグ&ドロップで移動してくると、上位の基本ベースラインと、H社にアタッチしたベースラインの両方が適用範囲になります。

フォルダにベースラインをアタッチするメリットとしては、アタッチするのは1か所のみで良いという点でしょうか。 クラスタ毎にアタッチすると、クラスタの数分アタッチが必要です。クラスタによってはアタッチするベースラインが異なったりと、管理も煩雑になります。

その代わり、VUMの標準機能で自動でローリングアップデート(要DRS)の機能は使えません。

■ESXiへのパッチ適用

  • 手作業でどのフォルダへESXiを移動させるか判断するとミスが起こる可能性がある
  • 弊社で作成したパッチ適用スクリプトにて、ESXiのベンダ情報等を確認して移動先フォルダを自動選択する仕組みにしている

f:id:bgl-suzuken:20191217111614j:plain

■まとめ

VMUGのほかの登壇者からの情報で、VUMでパッチのコンフリクトが発生した場合の対処についてお話がありました。 こういったノウハウをv民間療法と呼んでいたのは面白かったです。

弊社では、ほとんどコンフリクトは起きたことが無いのですが、よくよく考えてみると、今までesxcli等のCLIでパッチ適用してきたESXiを後からVUMでベースライン管理しようとしたからではないかなと、思いました。

弊社では、vSphereのインストール直後にベースラインのパッチ適用をVUMで実施します。最初からVUMでパッチ適用していれば、パッチのコンフリクトが発生する危険性は非常に少ないように思いました。

ただ、パッチを当てていくにつれ、そういった状況に陥る可能性もあります。 その場合は、弊社にも下記のようなv民間療法があります。

  • そのESXiを一旦運用から外す
  • vSphereを再インストール
  • 最新のベースラインまで一気にパッチ適用する

■おまけ

夜の部では一足早くクリスマスパーティーをしました。

会場提供してくれたNetAppさんが用意してくれたケーキ。とてもおいしかったです。

f:id:bgl-suzuken:20191217140931j:plain:w500

スポンサー企業が用意してくれた乾杯のシャンパン系

f:id:bgl-suzuken:20191217140956j:plain:w500

某MADなvEXPERTさんwの手料理

f:id:bgl-suzuken:20191217141020j:plain:w500

クイズ大会でゲットしたウナギ。名古屋ので焼きらしい。後日届くとのこと。 地元静岡は蒸しなので、食感が楽しみです。

f:id:bgl-suzuken:20191217141043j:plain:w500

各自1000円程度でプレゼントを持ち寄り、(ほぼオジさん同士でw)プレゼント交換などもしました。

■お知らせ

VMwareユーザ会(VMUG)に興味のある方は、

https://www.vmug.com/membership/membership-benefits

をご覧いただいて、もしよろしければ入会していただけると幸いです。 部会でお会いできるのを楽しみにしております。

以上です。