cat-scvmm

Fabric Patching in System Center Virtual Machine Manager 2012

VIRTUAL MACHINE MANAGER

Ein funktionierendes Patch Management ist entscheidend für eine gut funktionierende Infrastruktur. Mit System Center Virtual Machine Manager 2012 kommt eine wichtige Neuerung für das Patchen einer Fabric. Mit diesem neuen Fabric Patching Management können nun sehr einfach Hyper-V Hosts, VMM Server, VMM Library und der Update Server aktuell gehalten werden.

Das Fabric Patch Management von SCVMM 2012 basiert auf Windows Server Update Service (WSUS). WSUS  wird benötigt um die Windows Patches von Microsoft Update herunterzuladen und den Servern bereitzustellen. Dazu ist (mindestens) WSUS in der Version 3.0 SP2 erforderlich. Dieser WSUS sollte allerdings nicht mit anderen Produkten geteilt werden, ausgenommen System Center Configurations Manager (SCCM).
WSUS Installation

Wird ein dedizierter Server für WSUS verwendet, so muss auf jedem VMM Server (auch bei High-Available VMM Server) zusätzlich die WSUS Console installiert werden:

Die erforderliche Installations-Datei (WSUS30-KB972455-x64.exe) steht im Microsoft Download Center zur Verfügung. Bei Bedarf kann die Installation auch mittels Command-line durchgeführt werden C:\> WSUS30-KB972455-x64.exe /q CONSOLE_INSTALL=1

Bei Fabric Patching mit VMM werden Initial sämtliche WSUS Einstellungen importiert. Die Verwaltung von WSUS erfolgt zukünftig dann ausschliesslich in VMM. Daher ist für dieses Szenario auch nur eine Basis WSUS Konfiguration nach der Installation erforderlich. Wie WSUS auf Windows Server 2008 (R2) installiert werden kann, wird im Artikel “How-To: WSUS 3.0 on Windows Server 2008” nochmals im Detail beschrieben.

Wichtig: Einstellungen welche später direkt in der WSUS Console vorgenommen werden, werden nicht mehr mit dem VMM Server abgeglichen werden.

Integration in VMM

Sind die Vorbereitungen getroffen, kann der WSUS Server in VMM integriert werden. Wird der WSUS auf einem dedizierten Server betrieben, so wird für die Verwaltung automatisch ein VMM Agent installiert. Unter “Fabric Workspace ⇒ Add Resources ⇒ Add Windows Server Update Server” kann nun der WSUS Server mit dem entsprechenden Port (TCP 80, 443, 8530, oder 8531) angegeben werden. Für die Integration ist ein Account mit Administrator Berechtigungen für den Zugriff auf den WSUS Server erforderlich.

Abschliessend werden die WSUS Einstellungen, sowie der Update Catalog in VMM importiert. Je nach Anzahl Objekte kann dies schon einige Minuten in Anspruch nehmen. Sind Anpassungen am WSUS erforderlich, können diese unter  “Fabric Workspace ⇒ Update Server ⇒ MyWSUS ⇒ Properties” eingesehen und auch angepasst werden. Für das Fabric Patching Szenario bietet sich folgende WSUS Konfiguration an:

Option Konfiguration
Update Classifications Critical und Security Updates
Products Windows Server 2008 R2
Languages English
Synchronisation Schedule Manuell

Die Update Baselines

Die Definition welche Updates auf welchen Hosts installiert werden sollen, wird in sogenannten Update Baselines geregelt. In einer solchen Baseline können die zu installierenden Updates hinzugefügt, und ein Scope definiert werden. Diese Anpassung kann unter “Library Workspace ⇒ Update Catalog and Baselines” vorgenommen werden. Per Default stehen nach der Installation zwei (leere) Update Baselines zur Verfügung:

  • Sample Baseline for Security Updates
  • Sample Baseline for Critical Updates

Diese können ohne weiteres umbenannt und für die eigenen Szenarien verwendet werden. Wird dann ein Update hinzugefügt und der Scope definiert, wird im Hintergrund durch VMM automatisch eine WSUS Synchronisation ausgelöst. WSUS stellt dann eine Verbindung zu Microsoft Update her, um die benötigten Updates herunterzuladen.

Ausführen eines Fabric Patching

Wenn sich eine Update Baseline verändert hat, wird der Status der Hosts im entsprechenden Scope auf “Unknown” gesetzt. Dies kann unter “Fabric Workspace ⇒ Compliance” kontrolliert werden. Mit “Scan” kann der Status nun geprüft werden. Fehlt ein Update wird nun der Status “NonCompliant” angezeigt und eine Remediation sollte ausgeführt werden.  Die Ausführung eines solchen Compliance Scan, sowie auch die Remediation erfordert Minimum das Recht eines “Delegated Administrators”.

Und was genau passiert während der Remediation? Bevor die Installation eines Updates beginnt wird der Host in den Maintenance Mode versetzt, wobei auch der Failover Cluster und System Center Operations Manager benachrichtigt werden. Laufende Virtual Machines können somit mittels Live Migration auf einen anderen Node verschoben oder in den Save State versetzt werden.

Wenn befürchtet wird, dass ein Update auf einem Server Probleme verursachen könnte, können auch einzelne Ausnahmen definiert werden. Eine sogenannten “Exemption” wird pro Server / pro Update eingesetzt und kann unter “Fabric Workspace ⇒ Servers ⇒ Compliance ⇒ MyUpdate ⇒  Add Exemption” eingerichtet werden. Zusätzlich kann / sollte auch eine Bemerkung hinterlegt werden, was sich später sicherlich einmal als hilfreich herausstellen wird.

Weitere Informationen

Hyper-V , Patches , SCVMM

, , , , ,

About the Author

Michel Luescher ist bei Microsoft Corporation als Architect im Center of Excellence (CoE) für Modern Datacenter tätig. Als technischer Berater fokussiert er sich auf die Planung und Umsetzung von Projekten mit dem Fokus auf Microsoft Cloud Lösungen für Datacenter im Enterprise und Service Provider Umfeld. { Hyper-V + System Center + Windows Azure = Your Cloud }.

Comments (2)

  • Carsten says:

    Wie und wann verschwinden denn abgelöste Updates aus der Baseline / dem WSUS ?

     

Hinterlasse eine Antwort.

Fabric Optimization in System Center Virtual Machine Manager 2012 Failover Cluster Validation Error nach Installation von Service Pack 1