Nachdem sich die Security-Meldungen bzgl. VMware ESXi in letzter Zeit mehren, habe ich beschlossen, meinen ESXi-Host doch mal up-zu-daten. Und nachdem ich kein vCenter habe, muss ich es von Hand machen.

Dieser Artikel hat mich erinnert, dass ich das ja schon öfters mal gemacht habe und es gar nicht so schwer war (…waren seine letzten Worte 😉 )

Am schwierigsten ist vermutlich die Auswahl der richtigen Patch-Files. So wie ich es verstanden habe, gibt VMware (so wie andere auch) von Zeit zu Zeit komulative Updates heraus, die alle bis dahin erschienenen Patches enthalten. D.h. um auf den aktuellen Stand zu kommen, muss ich das letzte kumulative Updates finden und die neuesten Patches.

Ich gehe also auf VMwares Patch-Download-Seite, logge mich ein, wähle “ESXi (Embedded and installable)” und “5.5.0” und finde dort aktuell die folgenden passenden Downloads:

• update-from-esxi5.5-5.5_update03 vom Sept 2015
• ESXi550-201609001 vom Sept 2016

Ich bin mir nicht sicher, ob es nicht reichen würde, nur das neueste Paket vom Sept. 2016 zu installieren, aber ich gehe auf Nummer sicher und installiere beide:

• Vor dem Patchen mal den aktuellen Stand anzeigen lassen:

  # esxcli system version get
      Product: VMware ESXi
      Version: 5.5.0
      Build: Releasebuild-1746018
      Update: 1
  

• Außerdem Backup nicht vergessen. (Ich mache das via dd – s.u.)

• Download (hat mit Chrome wegen seltsamer Fehler nicht geklappt und Safari hat die ZIPs immer direkt ausgepackt – mit Firefox hat’s dann geklappt) und kopieren auf ein vom ESX-Server erreichbares Volume. (Ich habe das erst lokal heruntergeladen und dann mit scp auf den Server kopiert.)
• Alle VMs herunterfahren.

• Wartungsmodus aktivieren über die Oberfläche – oder mit

  # esxcli system maintenanceMode set -e true
  

• Installieren mit Hilfe der “Profiles” Methode scheint mir am korrektesten:

  # esxcli software sources profile list --depot=/vmfs/volumes/datastore1/esx-updates/update-from-esxi5.5-5.5_update03.zip
  Name                              Vendor        Acceptance Level
  --------------------------------  ------------  ----------------
  ESXi-5.5.0-20150901001s-no-tools  VMware, Inc.  PartnerSupported
  ESXi-5.5.0-20150901001s-standard  VMware, Inc.  PartnerSupported
  ESXi-5.5.0-20150902001-no-tools   VMware, Inc.  PartnerSupported
  ESXi-5.5.0-20150902001-standard   VMware, Inc.  PartnerSupported
  
  # esxcli software profile update --depot=/vmfs/volumes/datastore1/esx-updates/update-from-esxi5.5-5.5_update03.zip --profile=ESXi-5.5.0-20150902001-standard
  ...
  

  Das dauert mehrere Minuten. Bei mir (auf einem rel. langsamen USB-Stick) waren es gut 10 Minuten…

  # esxcli software sources profile list --depot=/vmfs/volumes/datastore1/esx-updates/ESXi550-201609001.zip
  Name                              Vendor        Acceptance Level
  --------------------------------  ------------  ----------------
  ESXi-5.5.0-20160901001s-standard  VMware, Inc.  PartnerSupported
  ESXi-5.5.0-20160904001-no-tools   VMware, Inc.  PartnerSupported
  ESXi-5.5.0-20160904001-standard   VMware, Inc.  PartnerSupported
  ESXi-5.5.0-20160901001s-no-tools  VMware, Inc.  PartnerSupported
  
  # esxcli software profile update --depot=/vmfs/volumes/datastore1/esx-updates/ESXi550-201609001.zip --profile=ESXi-5.5.0-20160904001-standard
  ...
  

  Wieder lange warten…

• Reboot über die Oberfläche oder einfach reboot.

• Nun den neuen Stand anzeigen lassen:

  # esxcli system version get
     Product: VMware ESXi
     Version: 5.5.0
     Build: Releasebuild-4345813
     Update: 3
  

• Wartungsmodus deaktivieren über die Oberfläche – oder mit

  # esxcli system maintenanceMode set -e false
  

Anhang: Backup der ESX-Bootdisk inkl. Config

Da ich alles auf einem USB-Stick habe, ist das so gut möglich:

# ssh root@wine3 dd if=/dev/disks/mpx.vmhba32:C0:T0:L0  bs=1M count=901 \
> /data/esx-backup/wine3_esxi_dd_dev_disks_mpx_vmhba32_c0_t0_l0.901M.dd

Anhang: Links

Übersicht der VMware update Kommandos.
VMwares Patch-Download-Seite
Andere Anleitung zum Update