我们登录Vsphere Web Client之后,选中VC,点击右侧的配置,可以看到配置中有关于VC的一些设置选项,我们来简单的介绍一下这些设置选项。
首先我们来看常规选项,在该选项中有下图所示的10个可编辑项目
1.统计信息,在这个选项中我们可以配置统计的时间间隔以及累积统计VC中的性能数据,另外里面还有一个评估数据库大小的计算器,能够根据你配置的统计时间间隔估算出VC所需要的数据库容量大小。时间间隔设置有4个选项,分别是每天,每周,每月和每年,默认情况下每天的数据统计是以5分钟的统计数据作为一个样本保存,每周是每30分钟一个样本保存,月是2小时一个样本,年是1天一个样本,级别都是默认1级。其中统计级别有1-4级,1级只统计CPU,内存,硬盘,网络的平均使用数据,以及系统运行时间,系统心跳,以及DRS指标。2级会统计CPU,内存,硬盘,网络的平均使用数据,使用的总量,以及汇总的度量数据。它也会包括系统运行时间,系统心跳,DRS指标,但是不包括统计设备的最大值和最小值汇总的类型信息。3级会包含所有计数器群组的度量,这个级别会将设备数据一起统计,但是不包括最大值和最小值的汇总信息。4级统计所有VC支持的度量。
2.数据库,这个选项可以配置连接后端数据库的最大连接数,如果想控制VC数据库的增长,可以配置保留策略,VC能够限制任务和事件在后端数据库的保留时间。
3.运行时设置,这个选项可以配置VC的唯一ID,VC的IP地址,以及VC的计算机名,唯一ID会由系统提供一个默认值,如果要修改唯一ID,需要重启VC服务;这个地方一般保持默认即可,可能需要修改的情景是有多个VC实例运行在同一环境中。
4.用户目录,这里可以设置用户目录的超时值,用户目录一般是活动目录(AD),还可以设置查询用户目录数据库时返回的用户和群组数,以及设置通过VC来同步用户和群组的验证周期。
5.邮件,这里就是配置邮件告警的,需要配置SMTP服务器和告警信息的发件邮箱。
6.SNMP接收方,这个选项是用来配置和SNMP管理系统集成的,接收方的URL是指带有SNMP陷阱接受器的服务器的IP或者计算机名;SNMP端口如果没有自己定义的话就用默认的162,团队字符串根据自己的环境配置,默认的是Public,VC最多支持4个接收方URL。
7.端口,此选项被用于配置HTPP和HTTPS的端口,用的都是默认值,且无法修改
8.超时设置,这个地方是配置客户端连接VC超时时间,默认的正常操作超时时间是30秒,或者长时间操作超时间隔是120秒。个人理解是连接到VC进行一些常规操作,时间较短,然后将VC空闲,30秒后你的客户端会被认为连接VC超时,被系统断开与VC的连接,再次连接需要重新认证。如果登入VC的操作时间较长,比如部署多台虚拟机,耗时会比常规操作时间多很多,系统就会以120秒来判定超时,如果120秒内没有在VC上进行操作,那么系统就会认为超时,断开你与VC的连接。
9.日志记录,这个选项是用来自定义VC日志收集等级的,日志的选项包括:无(不收集日志);错误(仅收集错误日志);警告(收集错误和警告日志);信息(默认设置,收集常规的日志);详细(收集详细的日志);琐事(比详细日志更高一级的日志收集)。日志默认存放在/var/log/vmware路径下。
10.SSL设置,在这里可以配置VC服务器和Vsphere客户端之间的证书有效性检查。如果启用了它,在添加主机到VC清单或者和一台虚拟机建立远程控制台的时候,VC服务器和Vsphere客户端系统都会去检查远程主机发布的SSL证书是否受信。与证书相关的更具体的东西后面再介绍。
设置里面的第二项,许可,这个没什么好说的,就是分配VC正式的许可,如果没有正式许可会使用60天的一个评估版许可。
第三项,今日消息,这个有点类似于针对VC用户的公告弹窗,如果编辑了这个地方的内容,每次登陆到VC都会显示你所编辑的信息,比如你想告诉所有的VC使用者今天晚上将进行例行维护,维护时间段是什么时候之类的,就可以用今日消息来实现。
第四项,高级设置,这个地方提供了可扩展的配置接口,一般我们不需要对这里的配置做修改,只有在特定情况下才去更改,并且要参考VMware的官方文档指导进行修改。
第五项,VC HA,这里是有关于VC HA的一些配置,这个也在后面详细说明。
更多选项里面的秘钥管理服务器,这个是用来在VC和本地的秘钥管理服务器之间建立一个信任关系,如果我们想提升虚拟化环境的安全性,准备在虚拟化架构中启用加密,那么配置秘钥管理服务器就是必要的前置条件。
存储提供程序,这个能够让你从内部去查看当前环境中现有的存储实体和他们的容量情况,包括外部的物理存储和抽象存储(vSAN或者VVols).
VUM(Vsphere Update Manager)
VUM现在已经预装在VCSA中了,只要你的应用完全部署配置好,VUM的服务器会像系统中的其他服务一样自动启动,因为这种改变,VUM继承了一些值得一提的关键架构变化:
1.Watchdog监视,VUM服务器现在完全由VMware生命周期管理器(vMON)监控,VUM服务器出现失效状态的事件,vMON会进行干预并重启服务来尝试修复动作。
2.简化数据库,VUM的数据库和VC服务的数据库都保存在Postgres数据库中,但是会使用不同的实例。
3.证书,管理员不再需要考虑为VUM单独购买证书,因为现在VUM和VC是共享证书的,VUM会继承VC上面的证书。
4.生命周期,VUM的生命周期管理服务也是与VC服务器配套的,当我们给VC打补丁或者升级的时候,VUM也会自动升级。
VUM和VC属于一对一的关系,也就是说每个一个VC实例都会有一个单独的VUM,每个VUM仅能够给一个VC提供更新服务。即使我们的环境中用的是增强型连接模式,在我们使用VUM时,也必须为每个VC实例单独安装VUM。需要注意的一点是,在6.5之后的VCSA中,VUM是内嵌在VCSA中的,无法拆分出来独立安装。
在VCSA和VUM安装完成后,有一个工具可以修改VUM的安装设置,不需要重新安装VUM来改变这些安装参数,我们可以通过shell命令updatemgr-util来修改设置,它能够修改VUM的代理设置,数据库名称和密码,VC的IP地址,SSL证书。
执行Updatemgr-util的步骤:1.通过SSH登录VCSA的shell;2.输入com.vmware.updatemgr-util -h获得该命令的帮助信息;3.有3个命令帮助出现,register-vc,reset-db,config
这些命令大多数时间是在我们的VUM出现问题的时候,我们会用这些命令来重置VUM的一些配置来修复VUM的功能,reset-db会将当前VUM的后台数据库重置,register-vc会使得VUM重新在VC上注册。
接下来,我们看看VUM的一些配置的作用,我们切换到VC的主页,然后打开Update Manager,可以看到右侧的区域中有一个设置选项,下面有多个配置的项目
我们依次来说一下这些选项配置的作用,需要注意的是,这里对VUM的配置是属于全局配置,会套用到VC,群集,主机,VM等对象的。
修补程序下载:
这个选项里面是配置补丁下载的计划,我们可以在这里面手动执行立即下载或者从其他已下载的补丁位置上传到VUM,又或者通过编辑设置一个定时的下载计划,VUM会根据我们的配置,自动的去按计划下载补丁程序。
修补程序设置:
这里是用来配置补丁下载的地址,默认是系统指定的VMware URL,一般来说我们不需要配置这个地方,但是如果你在部署VUM时安装了Update Manager Download Service,那么就可以通过更改下载源,来将URL指到你的UMDS实例地址。
撤消通知:
这个地方不知道是不是中文版翻译有问题,个人觉得应该是调度通知,主要是用来配置通知计划,可以设置检测VUM更新通知的频率,通知的类型包含补丁回收,补丁修复等等。
网络连接:
在这个地方,我们可以修改VUM的通讯端口,但是不建议修改这个端口配置,保持默认设置即可。
主机:
此处可配置VUM对控制主机进入维护模式的一些调整。在ESXI主机安装补丁之前,首先该主机会被切换成维护模式,如果主机属于一个群集,并且该群集启用了DRS,在主机切换成维护模式的时候,主机上的虚机会通过自动的Vmotion迁移到群集的其他主机上。这里的配置是当安装补丁的主机无法进入维护模式的时候,VUM会以配置的频率去重试将主机切换到维护模式。默认的配置是每5分钟尝试3次将主机切换到维护模式。
虚拟机:
这里是配置虚拟机的回滚设置,在虚拟机更新补丁前是否需要生产一个快照,快照是否需需要保留,快照会影响到虚拟机的性能,所以这个地方配置我们可以允许生成快照,但是快照仅保留一段时间,就自动删除,具体时间可以根据自己的需求配置。
VUM的基准配置
什么是基准,基准简单的来说就是VUM针对VC,Host,Cluster,VM等对象的更新准则,这个有点类似于WSUS的更新配置,但是比WSUS的规则更加细致,它可以配置固定基准或者动态基准。固定基准就类似于WSUS只审批某一个或某几个指定的补丁,将这些补丁下发给指定的对象,这个指定的对象可以是某一个对象也可以是一部分或者所有对象。动态基准类似于WSUS的自动审批,我们指定更新的类型,比如关键更新或者安全更新,只要有新的这类补丁发布,就会自动下载并发布到指定的对象进行安装。
如何创建Esxi主机的基准?我们首先导航到主机和群集菜单,任意选择一台主机,然后选中右侧区域中的更新,因为我们没有建立过基准,所以下面基准的区域是空白的,我们点击附加,选择创建并附加基准。
在建立基准的窗口上,可以看到有3种基准类型,升级,修补程序,扩展。升级基准定义的是如何升级Esxi主机,修补程序基准定义的是应用到Esxi主机的多个补丁,扩展基准定义的是运行在Esxi主机上的其他软件补丁,这些补丁也会安装在Esxi主机上。
我们选择修补程序,并填写基准名称,然后下一步,在新的窗口中可以看到会有自动选择修补程序和手动选择修补程序,自动选择属于动态,手动选择属于固定的基准,我想创建动态的,保证我的Esxi主机是最新的安全补丁,那么可以按下图配置(因为我的Esxi还是6.0的,只是升级了VCSA,所以这里产品我选了6.0)
然后我们点击下一步,跳过手动选择,因为我们已经配置了自动选择,没必要再手动选择,最后出现了一个基准配置摘要,因为补丁会比较多,所以界面会有一个刷新状态,可以忽略直接完成
基准组,这个组中可以包含多个基准规则,例如多种不同补丁类型的基准,或者其他是升级补丁或者扩展之类的,这个完全可以由自己定义,在建立基准组之前,我们要先单独将各个基准建立好,然后创建基准组的时候将需要加入到组中的zu
我们切换到VC的菜单导航,在左侧的列表中选中auto deploy,然后启用auto deploy和image builder
启用了auto deploy之后出现了新的界面,如下图
软件库我们可以使用VMware的Online库,或者自己下载对应的镜像或软件包导入到软件库中,online库的URL: https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml
导入软件库后,我们可以编辑部署规则,部署规则是用来将主机和镜像文件关联起来,Autodeploy会根据主机匹配的规则分配对应的镜像文件,规则中会根据规则配置的条件来寻找符合的主机,我们可以根据服务器的序列号来单独配置规则,也可以根据型号来对同类型的服务器配置规则,还有其他的一些匹配条件,可以根据需求来设定
设定好匹配规则后,我们要给符合条件的主机指派镜像,主机配置文件(如果以前没有同类型的主机这个可以在装好第一台之后配置),主机位置(比如你有多个主机群集,你可以指定新的服务器在哪个群集)
因为Autodeploy功能在日常的运维中不是特别常用,所以这里就不做实验重点学习了,总结一下Autodeploy的一些重点
前置准备条件:
1.服务器要支持并启用PXE启动,现在主流服务器都支持
2.配置DHCP 66 67选项,这里是主机获取PXE启动文件的配置,会告诉Esxi主机在哪里获取启动文件
3.一台TFTP服务器,可以选择嵌入到VC,也可以分开安装,TFTP用来保存Autodeploy的PXE启动文件,当主机启动后,从DHCP得知TFTP的位置,主机会从TFTP获取启动文件。启动文件需要在VC的Autodeploy配置选项中下载,然后将文件放到TFTP服务器的根目录解压。
4.设置部署规则,根据部署主机的特征建立部署规则,让主机能够正常获取对应的镜像,套用分配的主机配置文件,加入指定的群集
autodeploy的相关配置和前置条件可以参考一下网页
https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.esxi.upgrade.doc/GUID-21FF3053-F77C-49E6-81A2-9369B85F5D52.html
https://esxsi.com/2016/07/19/auto-deploy-install/