可以使用基准和基准组更新 vSphere 清单中的 ESXi 主机。vSphere Lifecycle Manager 基准分为三种类型:预定义基准、建议基准或手动创建的自定义基准。根据其内容,基准可以是修补程序基准、扩展基准或升级基准。
为 ESXi 主机启动合规性检查时,可以根据基准和基准组对其进行评估,以确定该主机对这些基准或基准组的合规性级别。
如果 vCenter Server 系统通过通用 vCenter Single Sign-On 域连接到其他 vCenter Server 系统,则创建和管理的基准和基准组仅适用于运行所选 vSphere Lifecycle Manager 实例的 vCenter Server 系统所管理的清单对象。
在 vSphere Client 中,基准和基准组会显示在 vSphere Lifecycle Manager 主页视图的基准选项卡上。
预定义、建议和自定义基准
- 预定义基准
-
无法编辑或删除预定义基准,您只能将其附加到清单对象或从中分离。
预定义基准可以是以下任何类型:- 主机安全修补程序
主机安全修补程序基准检查 ESXi 主机与所有安全修补程序的合规情况。
- 关键主机修补程序
关键主机修补程序基准检查 ESXi 主机与所有关键修补程序的合规情况。
- 非关键主机修补程序
非关键主机修补程序基准检查 ESXi 主机与所有可选修补程序的合规情况。
默认情况下,主机安全修补程序和关键主机修补程序预定义基准会附加到运行 vSphere Lifecycle Manager 的 vCenter Server 实例。
- 主机安全修补程序
- 建议基准
-
建议基准是 vSAN 生成的预定义基准。
可以使用建议基准通过 vSAN 的推荐关键修补程序、驱动程序、更新或最新的受支持 ESXi 主机版本来更新 vSAN 集群。
如果您在 vSphere 清单中使用包含版本 6.0 Update 2 及更高版本的 ESXi 主机的 vSAN 集群,默认情况下会显示这些基准。如果您的 vSphere 环境不包含任何 vSAN 集群,则不会创建任何建议基准。
建议基准会定期更新其内容,这要求 vSphere Lifecycle Manager 能够持续访问 Internet。vSAN 建议基准通常会每 24 小时刷新一次。
无法编辑或删除建议基准。不可将建议基准附加到 vSphere 环境中的清单对象。可以通过组合多个建议基准来创建一个基准组,但不能将任何其他类型的基准添加到该组。同样地,无法将建议基准添加到包含升级基准、修补程序基准和扩展基准的基准组中。
升级基准、修补程序基准和扩展基准
- 升级基准
-
主机升级基准可定义环境中的主机要升级到的版本。使用 vSphere Lifecycle Manager8.0,您可以将 ESXi 主机从版本 6.7 和 7.0 升级到 ESXi8.0。不支持将主机升级到 ESXi 5.x、ESXi 6.7 或 ESXi 7.0。如果未成功从 ESXi6.7 或 ESXi 7.0 升级到 ESXi 8.0,则无法回滚到之前的 ESXi 6.7 或 ESXi 7.0 实例。
要创建升级基准,必须先将 ESXi ISO 映像导入到 vCenter Server 清单中。可以使用 VMware 分发的名称格式为 VMware-VMvisor-Installer-8.0-build_number.x86_64.iso 的ESXi 安装程序映像,或者使用通过 vSphere ESXi Image Builder 创建的自定义映像。此外,还可以使用 OEM 创建和分发的 ISO 映像。
- 修补程序基准
-
修补程序基准定义必须应用于给定主机的多个修补程序。修补程序基准可以是动态的,也可以是固定的。
基准 描述 动态修补程序基准 动态基准是一组满足特定条件的修补程序。您可以指定关于在基准中包含修补程序的条件。只有满足条件的修补程序才会包含在基准中。如果 vSphere Lifecycle Manager 库中的可用修补程序的集合发生变化,动态基准也会随之更新。您可以从基准中手动包含或排除修补程序。 固定修补程序基准 固定基准是一组不随库中修补程序可用性更改而更改的修补程序。您可以从 vSphere Lifecycle Manager 库中可用的修补程序全集手动选择修补程序。 - 扩展基准
-
扩展基准包含 ESXi 主机的附加软件模块,例如设备驱动程序。该附加软件可能是 VMware 软件或第三方软件。ESXi 主机的所有第三方软件都分类为主机扩展,但扩展不仅限于第三方软件。可以使用扩展基准安装其他模块,并使用修补程序基准更新已安装的模块。
扩展可提供其他主机功能、更新的硬件驱动程序、用于管理主机上的第三方模块的通用信息模型 (CIM) 提供程序、性能改善或现有主机功能的可用性等。
所创建的主机扩展基准始终是固定的。必须仔细为环境中的 ESXi 主机选择相应的扩展。
您可以使用扩展基准在环境中的ESXi主机上安装扩展。在主机上安装扩展后,可以通过修补程序基准或扩展基准更新扩展模块。
注: 使用扩展基准时,必须注意主机上的新模块安装可能具有的功能影响。扩展模块可能会改变 ESXi主机的行为。安装扩展时, vSphere Lifecycle Manager仅执行软件包级别的检查和验证。
基准组
可通过组合不冲突的现有基准来创建基准组。通过基准组,您可以同时根据多个基准扫描和修复对象。
下面是可组成基准组的有效基准组合:
- 多个主机修补程序和扩展基准。
- 一个升级基准、多个修补程序基准和扩展基准。
要创建、编辑或删除基准和基准组,您必须具有管理基准特权。要将基准和基准组附加到目标清单对象,您必须具有附加基准特权。必须在运行 vSphere Lifecycle Manager 的 vCenter Server 系统上分配这些特权。
有关管理用户、组、角色和权限的详细信息,请参见《vSphere 安全性》《vSphere 安全性》文档。
有关所有 vSphere Lifecycle Manager 特权及其描述的列表,请参见使用基准所需的 vSphere Lifecycle Manager 特权。
在 vSphere 7.0 及更高版本中创建基准
由于在 vSphere 7.0 及更高版本中,官方 VMware 联机库除了托管 VMware 内容之外,还托管经过认证的合作伙伴内容,因此,vSphere Lifecycle Manager 库中提供一组更广泛的 OEM 公告。因此,在创建基准和编辑基准向导中,也会出现一组更广泛的 OEM 公告。其中的一些公告可能具有必须纳入所创建基准的依赖项,以便根据这些基准成功进行修复。在将各个公告包含在基准中之前,一定要查阅相关的知识库文章。知识库文章包含有关公告部署特性和所需依赖项的信息。基准中必须仅包含与运行主机的硬件兼容的公告。否则,修复可能会失败。
从 vSphere 7.0 开始,VMware 内容的打包方式也做了一些更改。因此,在修补程序和更新发布时,创建基准和编辑基准向导的修补程序选择页面上可能会出现其他公告。这些公告通常属于增强功能或缺陷修复类别。在基准中包括这些公告时,可能还需要在该基准中包括基本 ESXi 公告。为确保成功应用 VMware 修补程序和更新,请始终在基准中包含相应的汇总公告。否则,修复可能会失败。