ESXI & vCenter

/ Vmware / بواسطة

كيفيه عمل Patch لكل من ESXI & vCenter

مكن يكون مش ده المقال اللى كنت مقرر انى اكتبه او يمكن يكون ده مش Advanced Topic زى ما انا معودكو ديما بس بصراحه اللى شفته الاسبوع اللى فات من كميه المشاكل بسبب ESXI Ransomware خلينا نرجع سوا نتكلم على Basic وعلى كيفيه عمل Patch لكل من ESXI & vCenter

ممكن يكون عندك اسباب انك ماتعملش ابجريد لكل من ESXI & vCenter بسبب مشاكل فى Hardware compatibility issue وان الهاردوير عندك مش بSupport الاصدارات الجديده من VMware او ممكن يكون عندك مشاكل فى Software compatibility issue وان عندك مثلا بعض Applications وبعض System مش compatible مع ESXI او vCenter
بس انك ماتنزلش التحديثات الاخيره Patch لكل من ESXI وال vCenter وانك تعمل ESXI hardening عشان تقفل الثغرات وتتجنب الاختراقات قدر المستطاع ده اللى مافيش اى عذر ليك بصراحه فتعالى سوا نرجع خطوات المطلوبه لعمل patch لكل من ESXI & vCneter

اولا عشان نعرف الاصدار الحالى لل ESXI وايه اخرPatch تقدر تعرف ده بسهوله من الموقع ده
https://kb.vmware.com/s/article/2143832

اما بالنسبه لل vCenter عشان نعرف الاصدار الحالى واخر Patch موجود نقدر نعرف ده بسهوله من الموقع ده
https://kb.vmware.com/s/article/2143838

دلوقتى بعد ماعرفنا الاصدار الحالى بتعنا لكل من ESXI & vCenter وايه اخر Patch موجود حاليا لكل منهم دلوقتى هنروح نعمل Download لل Patch المطللوب من الموقع ده
https://customerconnect.vmware.com/patch

خلينى اقولك ان فى اكتر من طريقه اننا ننزل اخر Patch على ESXI وكمان vCenter بس انا اخترت الطريقه دي بالتحديد عشان اولا مش محتاج اخلى vCenter او ESXI يكون متصل بالانترنت وكمان عشان الناس اللى مش مشتريه البرودكت تقدر تاخود الملفات من اى حد من اصدقائها وتنزلها عندك لانك لما هتروح تدخل على موقع https://customerconnect.vmware.com/patch هيطلب منك انك تعمل Login ومعنى ده انه لازم يكون عندك اكونت ولازم تكون VMware Customer

بعد ما علمنا دونلود لل Patch المطلوبه هنرفعها على واحده من Datastore وطبعا الDatastore دى لازم تكون accessible من ESXI اللى هنعمل ابديت

الPatch file الخاص بالESXI سرفير هيكون عباره عن ZIP File اما ال Patch File الخاص بال vCenter Appliance هيكون عباره عن ISO File

Install vCenter Patch
اول حاجه هتعملها انك هتعمل Mount لل vCenter ISO فى CD الخاص بالVM بتاعت vCenter وبعدين هتتصل SSH بالvCenter عن طريق اى تولز زى putty مثلا وهتعمل login عن طريق Root اكونت وبعدين هتطبق الاوامر دى

Appliancesh
الامر ده هيخلنا نقدر نروح من مستوى BASH Shell الى Appliance Shell

software-packages stage –iso
الامر ده هيعمل Mount اللISO وبعدين هينسخ package فى Stage area الخاصه بالابديت وهيتاكد منها وبعديها هيعمل Unmount لل ISO

software-packages list –staged
الامر ده هيديك معلومات الخاصه بالvCenter Patch والفرجين اللى انت هتابديت ليه

software-packages install –staged
الامر ده هيبتدى ينزل Patch وبعدين مايخلص هيطلب منك انك تعمل ريسترت للVM وساعتها هنكتب الامر ده
Reboot

وهنا نكون خلصنا وبعد ما vCenter يعمل reboot نقدر نعمل login من Web Access

Install ESXI Patch
قبل مانبتدى نعمل Patch لل ESXI Server اول حاجه لازم نتاكد ان احنا عندنا ريسورس كفايه من CPU, Memory عشان نقدر ننقل VMS اللى موجوده على ESXI Server على ESXI Servers التانين بحيث يبقى عندنا ESXI Server فاضى ونقدر نحطه فى maintenance mode لو مافيش ريسورس كفايه ساعتها هنطر نطفى مجموعه من VMs بالاتفاق مع الكاستمر طبعا
بعد كده هنتصل بالESXI عن طريق SSH زى ماقولنا باى تولز زى Putty مثلا هنعمل Login عن طريق Root اكونت وبعدين هنطبق الاوامر دى

esxcli software sources profile list -d /vmfs/volumes/606ed66e-c4ace620-1884-7890b528a023/ESXPatch/ESXi670-202210001.zip
الامر ده هيعرض لينا البروفيل اللى موجوده داخل Patch ده وبناءا عليه هختار البروفيل اللى هنزله فى الكموند اللى بعد كده اهم حاجه ماتنساش تغيير Path بتاعت ESXI Patch File اللى موجود عندك على Datastore وكمان اسمه

esxcli software profile update -d /vmfs/volumes/606ed66e-c4ace620-1884-7890b528a023/ESXPatch/ESXi670-202210001.zip -p ESXi-6.7.0-20221001001s-standard
الامر ده هيبتدى يعمل ابديت للESXI سرفيربتاعك اهم حاجه ماتنساش تحط اسم البروفيل اللى انت هتختارته من الكموند اللى فوق بعد –P وبعد ما هيخلص هيطلب منك تعمل ريسترت فهتكتب الامر Reboot

بعد ما السرفير يشتغل هتلغى وضع maintenance mode وبعدين هتنقل VMs عليه هتبدى تطبق الامر التانى بس على كل السرفيرات server by server

للمره التانيه بقول فى اكتر من طريقه واكتر من اسلوب تقدر تعمل بيهم Patch دى واحده منهم وتقدر طبعا تستخدم vsphere Update manager لو حبيت

اخيرا Backup ياشباب ماينفعش يبقى عندى virtual environment ومايكونش عندى Backup من اهم الحاجات image Level backup او لو الامكانيه دى مش متاحه يبقى على الاقل FS backup لان الحاجه الوحيده اللى هتنفعك لقدر الله لو اتصابت ب ransomware attack

فى سليشون تقدر تحميك من النوع ده من الاتاك كنت اتكلمت عن واحد منهم تقدر ترجع تشوفه من اللينك https://www.facebook.com/photo/?fbid=10166810606645650&set=a.201185575649

واخيرا اتمنى اكون فيدتكم ولو بمعلومه بسيطه