白嫖VMware ESXi 8.0 U3新功能Live Patch、无需重启零中断修复漏洞

哈喽大家好，欢迎来到虚拟化时代君（XNHCYL），收不到通知请将我点击星标！“   大家好，我是虚拟化时代君，一位潜心于互联网的技术宅男。这里每天为你分享各种你感兴趣的技术、教程、软件、资源、福利…（每天更新不间断，福利不见不散）

第一章、引言

近年来各个软件漏洞的频繁出现，造成用户很多的经济损失，作为头部的虚拟化厂商，VMware也暴露出很多漏洞，尤其是2024年已经更新了很多次，每次更新都要停机，停机意味着连续性业务既要不出现故障又要保证服务器系统升级成功，最终导致乙方或者甲方运维人员还需要在空窗期进行调整，严重影响运维人员的休息时间。 我只想说即使员工如牛马般努力，也要为他们的付出提供足够的滋养。今天我们分享下VMware 8.0u3更新后Live Patch带来的变化。今天粗略整理一些，可能不全面，望大家指正！

第二章、ESXi Live Patching简单介绍

1、ESXi Live Patching – 它是什么？

VMware 8.0u3（lifecycle management）增强的生命周期管理在具有更新 vSphere 环境关键工作负载有时需要停机且耗时的工作中，大大提高了运维的效率。

借助VMware全新实时修补功能Live Patching 实现更快升级且无停机风险，客户可以解决虚拟机执行环境中的严重错误，并将修补程序应用于所有组件，而无需重新启动或撤离虚拟机。虚拟机作为主机修复过程的一部分，快速挂起恢复 (FSR)。作为此操作的一部分，主机进入部分维护模式，加载并修补新的安装修订版，然后快速挂起恢复虚拟机以使用已修补的安装修订版。此操作对大多数虚拟机来说都不会造成中断！

ESXi Live Patch 并不是 VMware 在加速修补方面推出的第一项技术。快速启动（自 v6.7 开始）等功能用于重新启动虚拟机管理程序而无需重新启动整个 ESXi 主机，以及Lifecycle Manager 中的挂起到内存功能之前就已存在。挂起到内存功能允许暂停虚拟机。

ESXi Live Patch 配置在Lifecycle Manager > Cluster Lifecycle > Images > Edit中显示为复选框

启用后，集群修复将仅使用 Live Patch 进行。如果任何主机不符合 Live Patch 条件，则修复将停止，并且将跳过所有主机。

2、ESXi Live Patching先决条件

ESXi Live Patching 主要优势：

• 无中断补丁

• 能够在要求的 SLA 内快速提供关键修复

• 通过无缝生命周期集成提高系统可靠性

ESXi Live Patching 要求

• vCenter 8.0U3 和 ESXi 8.0U3

• 必须在全局 vSphere Lifecycle Manager 修复设置或集群修复设置中启用“强制实时修补”设置。

• 必须以全自动模式启用 DRS。

3、ESXi Live Patching面临挑战

ESXi Live Patching 工作原理

• ESXi 主机进入部分维护模式。部分维护模式是每个主机都会进入的自动状态。此特殊状态允许现有虚拟机继续运行，但不允许在主机上创建新虚拟机或将虚拟机迁移到主机或从主机迁移。

• 目标补丁组件的新修订版本与当前版本并行安装

• 新的 mount 修订文件和流程已修补

• 虚拟机会经历快速挂起-恢复，以使用修补后的修订版本

4、ESXi Live Patching面临挑战

        如果在Live Patching期间虚拟机会出现 – 快速挂起和恢复！然而在我们的环境中已经使用了快速挂起和恢复功能，但可能很多人不知道。其实，我们每次在向已启动的虚拟机添加或删除虚拟硬件设备时，我们就在使用快速挂起和恢复 (FSR) 技术。

虚拟机与 FSR 不兼容条件：

• 配置了 vSphere Fault Tolerance (FT)的虚拟机

• 使用直接路径 I/O 的虚拟机

• vSphere Pod

此外，带有 TPM 的操作系统或使用 vSphere 分布式服务引擎的 DPU 不兼容，因此不能用于 FSR。

在上述所有情况下，您都无法使用 FSR，需要手动修复。手动修复可以通过迁移虚拟机或关闭虚拟机电源来完成。

官方链接：https://blogs.vmware.com/cloud-foundation/2024/06/25/vmware-vsphere-8-u3-initial-availability-announcement/