Используйте базовые показатели для обеспечения соответствия исправлений для виртуальных машин Hyper-V.
Хотя для организации, несомненно, важно поддерживать свои виртуальные машины, не менее важно поддерживать базовую инфраструктуру хостинга. Это означает (среди прочего) обеспечение того, чтобы на узлах Hyper-V, серверах VMM и других серверах инфраструктуры использовался согласованный набор исправлений. Некоторое время назад я написал статью, объясняющую, как подключить сервер WSUS к VMM, и в этой статье я кратко затронул тему создания базового уровня соответствия. В этой статье я хочу вернуться к этой теме и показать вам, что именно связано с установлением базового уровня соответствия исправлений для ваших хостов Hyper-V.
Развернуть сервер WSUS
Первым шагом в процессе соответствия исправлениям является развертывание сервера WSUS, а затем подключение его к System Center Virtual Machine Manager. Если вы не знаете, как это сделать, то обязательно ознакомьтесь со статьей, упомянутой выше. Он проведет вас через весь процесс.
После того как VMM будет настроен для распознавания сервера WSUS, он автоматически создаст два образца базовых показателей соответствия исправлений — один для обновлений безопасности и один для критических обновлений. Вы можете найти эти образцы базовых показателей, перейдя в рабочую область «Библиотека», затем развернув контейнер «Обновить каталог и базовые показатели» и выбрав объект «Обновить базовые показатели», как показано ниже.
Как я объяснял в своей статье о подключении сервера WSUS к VMM, вы можете создать свой собственный базовый план, щелкнув правой кнопкой мыши объект «Обновить базовые показатели» и выбрав команду «Создать базовый план» в контекстном меню. Однако для целей этой статьи давайте вместо этого воспользуемся одним из образцов базовых показателей.
Если вы снова посмотрите на скриншот выше, вы заметите, что в консоли указано количество обновлений и количество назначений для каждого базового уровня. Прямо сейчас количество назначений указано как 0, потому что базовые показатели не применялись ни к какой инфраструктуре с ресурсами.
Чтобы применить базовую линию, щелкните ее правой кнопкой мыши и выберите команду «Свойства» в контекстном меню. Откроется лист свойств базовой линии. На вкладке «Общие» листа свойств перечислены имя и описание базового плана, а на вкладке «Обновления» перечислены обновления, составляющие базовый план. Как вы можете видеть на следующем рисунке, вы можете использовать кнопки «Добавить» и «Удалить», чтобы вносить коррективы в базовый уровень по мере необходимости.
Базовые назначения выполняются через вкладку Assignment Scope листа свойств. Как видно на следующем рисунке, базовый уровень можно применить к группе узлов, отдельному узлу Hyper-V или к различным типам серверов инфраструктуры. Это подчеркивает тот факт, что эти базовые показатели используются не для обновления виртуальных машин, а для их базовой инфраструктуры.
После того, как вы сделаете свой выбор, вы увидите, что столбец «Назначения» обновляется, отражая количество выполненных вами назначений. Например, если вы посмотрите на приведенный ниже снимок экрана, вы увидите, что для образца базового плана критических обновлений существует одно назначение.
Выполнение проверки соответствия
Итак, теперь, когда мы установили базовый уровень, давайте используем его, чтобы проверить, соответствует ли конкретный хост Hyper-V базовым параметрам. Для этого перейдите в рабочую область Fabric и щелкните группу хостов, в которой находится хост. В моем случае хост, который я хочу проверить, находится в группе All Hosts. Выбор группы хостов покажет хосты в этой группе. Вы можете увидеть, как это выглядит на рисунке ниже.
Выбрав нужный хост Hyper-V, перейдите на вкладку «Главная» в верхней части экрана и нажмите кнопку «Соответствие» на панели инструментов. Это изменит рабочее состояние хоста на Pending Compliance Scan, как показано на следующем рисунке.
Теперь нажмите кнопку «Сканировать», которую вы видите на панели инструментов на рисунке выше. Это изменит рабочее состояние хоста на Сканирование. Сканирование может занять несколько минут. Как видно на следующем рисунке, этот конкретный хост Hyper-V соответствует назначенному ему базовому уровню.
Если было обнаружено, что хост Hyper-V не соответствует базовому уровню, в столбце «Состояние соответствия» будут отображаться слова «Не соответствует». Если это произойдет, вы можете привести хост в состояние соответствия, нажав кнопку «Исправить».
Параметр исправления переводит узел Hyper-V в режим обслуживания. Предполагая, что хост является частью кластера, виртуальные машины, работающие на хосте, будут перенесены на другой хост. В этот момент на хост устанавливаются обновления, и хост перезагружается. Затем VMM выполнит дополнительную проверку соответствия и либо установит все оставшиеся обновления, либо вернет узел Hyper-V из режима обслуживания.
Серверы инфраструктуры
Если вам нужно выполнить сканирование соответствия на сервере инфраструктуры, то процедура для этого немного отличается. Вместо того, чтобы щелкать узел в группе узлов, вы должны выбрать контейнер, такой как контейнер серверов обновлений или контейнер сервера VMM, как показано на следующем рисунке.
Регулярно пересматривайте базовые показатели соответствия исправлений
Использование VMM позволяет легко оценить, соответствуют ли ваши узлы Hyper-V и поддерживающие серверы инфраструктуры состоянию, и при необходимости принять корректирующие меры. Однако в реальной среде необходимо будет регулярно пересматривать базовые показатели соответствия, чтобы можно было добавлять новые исправления к базовым показателям.