随着企业虚拟化部署的不断发展，其关键在于控制管理程序平台的配置和补丁状态，以便于最小化环境中存在的漏洞。幸运的是，VMware公司在其vSphere基础设施中提供了各种工具，以帮助运行团队进行VMware配置管理和实现VMware补丁管理的最佳实践。在本文中，我们将重点关注两个强大的工具：Host Profiles和VMware Update Manager。虽然这两个工具软件都不是新软件，但是它们都通过vSphere 5的版本升级更新了功能和能力。

　　另一个有用的工具就是VMware Update Manager （VUM），它可以帮助管理员为ESX和ESXi主机自动完成打补丁工作和简化升级过程。使用VUM，你可以灵活地控制打补丁周期的每一个方面，而vSphere 5的新版本也有若干可圈可点的新功能。

　　首先，VUM对集群有较好的支持，而集群中所有的集群成员都可评估资源可用性以便于迁移主机至维护模式打补丁（这意味着所有的虚拟机将需要迁移至其他的集群成员）。关键服务可关闭或留在集群主机中，还有，如在首次尝试时由于某些原因打补丁发生故障，可安排重新尝试。现在，VUM可从多个来源下载补丁程序，可根据需要筛选具体的更新，以便只下载相关补丁。VUM中有着种类繁多的升级程序，其中包括从ESX/ESXi 4.x至5.x的主机升级程序、VMware和第三方产品的虚拟设备（VA）升级程序以及在方便时间安排虚拟机升级的VMware工具。

　　配置VUM很简单，有很多明确打补丁的最佳实践可供遵循。首先，定义包括“关键”和“非关键”主机补丁（均已预定义）在内的颗粒基线配置，以及供通用虚拟设备使用的特定配置。最好保持一组ESXi镜像以执行升级工作，这些镜像也最好有一个定义的基线配置。

　　对于大多数需要高度控制配置以执行的关键主机来说，最好定义固定的打补丁基线，其中每个补丁都必须手动添加。对于自动添加满足基线标准的新补丁来说，动态配置是很有用的，但是如果部署缺乏测试则可能造成严重后果。新的动态基线筛选标准可易于控制应包括哪些补丁程序，极大地简化了不重要主机的自动化打补丁过程。另一个有效的方法是定义多个补丁库，外部（例如VMware网站）和本地都可用于特定镜像和补丁绑定。

　　当一起使用主机配置和VUM时，它们将有助于减轻VMware环境中虚拟化基础设施VMware配置管理和打补丁的负担。主机配置只适用于企业Plus许可证版本，而VUM则适用于标准版、企业版和企业Plus版。

　　作者简介：

　　Dave Shackleford是IANS公司的高级研究副总裁和首席技术官。Dave是SANS的分析师、讲师和课程作者，以及GIAC的技术总监。Dave之前是VooDoo安全公司的创始人和首席顾问，并为数百个企业提供安全性、合法性、网络架构工程等方面提供咨询服务。Dave是前QSA，并拥有多年执行PCI评估的经验。 他是VMware vExpert， 在设计和配置安全虚拟化基础设施方面拥有丰富经验。Dave之前是Configuresoft公司的CSO、互联网安全中心的CTO、并曾出任多家财富500强公司的安全架构师、分析师和经理。