XenServer 6.5-patches installeren met lokale media en op afstand - Deel 2
Het patchen van een XenServer-installatie is een cruciale taak om ervoor te zorgen dat beveiligingsupdates worden toegepast op kwetsbare XenServer-installaties. Hoewel de hypervisor in theorie beveiligd is tegen de virtuele machines die hij ondersteunt, zijn er nog steeds enkele potentiële problemen die kunnen optreden en Citrix, evenals de rest van de open source-gemeenschap, doen hun best om code-updates voor deze kwetsbaarheden te leveren, aangezien deze zich voordoen ontdekt.
Update: In mei 2016 bracht Citrix de nieuwe versie van het XenServer 7-platform uit. Voor installatie volgt u: Nieuwe installatie van XenServer 7.
Dat gezegd hebbende, worden deze updates niet standaard automatisch toegepast en vereisen ze tussenkomst van de beheerder. Patches zijn ook niet altijd beveiligingsproblemen. Vaak zullen patches meer functionaliteit bieden aan de virtuele machines die op de XenServer worden gehost. Het toepassen van deze updates is doorgaans heel eenvoudig en ongecompliceerd en kan op afstand worden gedaan of met lokale media (lokaal op de XenServer).
Hoewel dit artikel gaat over het toepassen van patches op één XenServer, is het belangrijk op te merken dat in het geval dat meerdere gepoolde XenServers moeten worden bijgewerkt, er tools bestaan waarmee de poolmaster de updates naar alle andere XenServers in de XenServer kan pushen. zwembad!
Laten we beginnen met het updaten van een enkele XenServer via lokale media. Lokaal betekent in dit geval dat de beheerder de updatebestanden op een CD/DVD/USB of vergelijkbaar apparaat heeft geplaatst en dit medium fysiek zal verbinden met de XenServer die moet worden bijgewerkt.
De eerste stap in dit hele proces is het verkrijgen van de patches. Openbaar beschikbare patches kunnen worden verkregen via de volgende URL:
- http://support.citrix.com/article/CTX138115
In deze handleiding wordt uitgelegd hoe u de patch XenServer 6.5 SP1 installeert, zowel via lokale media als hoe u de updatebestanden op afstand naar de server verzendt en vervolgens op afstand bijwerkt.
De patchbestanden bevinden zich hier: http://support.citrix.com/article/CTX142355
Dit aanvullende pakket bevat veel van de patches die al zijn uitgebracht voor XenServer 6.5. Het is belangrijk om de opmerkingen van Citrix over elke patch te noteren, aangezien voor veel patches andere patches moeten worden geïnstalleerd VOOR! De enige voorwaarde voor deze patch is dat XenServer 6.5 is geïnstalleerd (wat al gedekt zou moeten zijn).
Het bestand kan worden gedownload via http of via de wget tool.
wget -c http://downloadns.citrix.com.edgesuite.net/10340/XS65ESP1.zip
Patches installeren met lokale media
Nadat het bestand is gedownload, moet de inhoud van het zipbestand worden uitgepakt. Dit kan worden bereikt met gui-tools of via de opdrachtregel met behulp van de tool ‘unzip’.
unzip XS65ESP1.zip
Na succesvolle voltooiing zouden er nu twee bestanden in de huidige werkmap moeten staan. Het belangrijkste is het bestand met de extensie ‘.xsupdate‘.
Nu moet het bestand ‘XS54ESP1.xsupdate‘ naar de installatiemedia worden gekopieerd. Zodra het bestand naar de media is overgebracht, sluit u de media aan op de XenServer die de patch nodig heeft.
Op dit punt zijn een monitor en toetsenbord nodig die op de server zijn aangesloten om het updateproces te voltooien. Wanneer u een monitor op de XenServer aansluit, moet de XenServer-configuratieschermpagina zichtbaar zijn. Scroll naar beneden naar de selectie ‘Lokale opdrachtshell’ en druk op Enter.
Hierdoor wordt de gebruiker gevraagd om het XenServer root-gebruikerswachtwoord en nadat hij dat wachtwoord succesvol heeft ingevoerd, verschijnt de gebruiker in een opdrachtprompt binnen de XenServer. Op dit punt moeten de lokale media worden gekoppeld om toegankelijk te zijn voor XenServer. Om dit te doen, moet de naam van het blokapparaat worden bepaald met behulp van het hulpprogramma ‘fdisk’.
fdisk -l
Uit deze uitvoer kan de apparaatnaam van het USB-apparaat dat op de XenServer is aangesloten worden bepaald als ‘/dev/sdb1’ en dit is wat moet worden aangekoppeld om toegang te krijgen tot het updatebestand. Het monteren van dit apparaat kan worden gedaan met behulp van het hulpprogramma ‘mount’.
mount /dev/sdb1 /mnt
Ervan uitgaande dat het systeem geen fouten heeft gegenereerd, zou het USB-apparaat nu in de map ‘/mnt’ moeten worden aangekoppeld. Ga naar deze map en zorg ervoor dat het updatebestand inderdaad in deze map verschijnt.
cd /mnt
ls
Op dit punt is het updatebestand toegankelijk voor de server en klaar om te worden geïnstalleerd met behulp van de opdracht ‘xe’. Het eerste wat u moet doen is het patchbestand voorbereiden en de UUID van het patchbestand verkrijgen met het ‘xe patch-upload‘ commando. Deze stap is belangrijk en moet worden uitgevoerd!
xe patch-upload file-name=XS65ESP1.xsupdate
Het rode vak hierboven is de uitvoer van de bovenstaande opdracht en is nodig wanneer u klaar bent om de patch daadwerkelijk op het XenServer-systeem te installeren. Nu is de UUID van de XenServer zelf nodig en kan opnieuw worden bepaald door argumenten door te geven aan het ‘xe‘ commando.
xe host-list
Het rode vak is opnieuw de UUID-waarde die nodig is om de patch op deze specifieke XenServer toe te passen. Op dit punt zijn alle benodigde opdrachten uitgevoerd en worden de UUID's bepaald.
Door opnieuw de opdracht ‘xe’ met verschillende argumenten te gebruiken, krijgt XenServer de opdracht om het aanvullende pakket op dit lokale systeem te installeren.
xe patch-apply uuid=7f2e4a3a-4098-4a71-84ff-b0ba919723c7 host-uuid=be0eeb41-7f50-447d-8561-343edde9fad2
Op dit punt begint het systeem met het installeren van de update, maar het toont niets meer dan een knipperende cursor totdat het proces is voltooid. Zodra het systeem terugkeert naar een opdrachtprompt, kan het systeem worden gecontroleerd om te bevestigen dat de patch inderdaad opnieuw is geïnstalleerd met behulp van de opdracht ‘xe’ met andere argumenten.
xe patch-list | grep -i sp1
Met dit commando worden alle toegepaste patches weergegeven en wordt de uitvoer vervolgens doorgestuurd naar grep, dat zal zoeken naar de string ‘sp1‘, ongeacht de hoofdletters en kleine letters. Als er niets wordt geretourneerd, is de patch waarschijnlijk niet succesvol geïnstalleerd.
Als de opdracht een uitvoer retourneert die vergelijkbaar is met de bovenstaande schermafbeelding, is het aanvullende pakket met succes geïnstalleerd!