Installazione delle patch XenServer 6.5 con supporti locali e in remoto - Parte 2
L'applicazione di patch a un'installazione di XenServer è un'attività fondamentale per garantire che gli aggiornamenti di sicurezza vengano applicati alle installazioni XenServer vulnerabili. Anche se in teoria l'hypervisor è protetto dalle macchine virtuali che supporta, ci sono ancora alcuni potenziali problemi che potrebbero verificarsi e Citrix, così come il resto della comunità open source, fanno del loro meglio per fornire aggiornamenti del codice per queste vulnerabilità non appena sono disponibili. scoperto.
Aggiornamento: A maggio 2016, Citrix ha rilasciato la nuova versione della piattaforma XenServer 7. Per l'installazione seguire: Nuova installazione di XenServer 7.
Detto questo, questi aggiornamenti non vengono applicati automaticamente per impostazione predefinita e richiedono l'interazione dell'amministratore. Inoltre, le patch non sono sempre problemi di sicurezza. Molte volte le patch forniranno funzionalità migliorate alle macchine virtuali ospitate su XenServer. L'applicazione di questi aggiornamenti è in genere molto semplice e diretta e può essere eseguita in remoto o con un supporto locale (locale su XenServer).
Anche se questo articolo illustra l'applicazione delle patch a un XenServer, è importante notare che nel caso in cui sia necessario aggiornare più XenServer in pool, esistono strumenti per consentire al master del pool di inviare gli aggiornamenti a tutti gli altri XenServer nel piscina!
Iniziamo il processo di aggiornamento di un singolo XenServer tramite media locale. Locale in questo caso significa che l'amministratore ha inserito i file di aggiornamento su un CD/DVD/USB o un dispositivo simile e collegherà fisicamente questo supporto allo XenServer da aggiornare.
Il primo passo dell'intero processo è ottenere le patch. Le patch disponibili pubblicamente possono essere ottenute dal seguente URL:
- http://support.citrix.com/article/CTX138115
Questa guida illustrerà l'installazione della patch XenServer 6.5 SP1 sia utilizzando il supporto locale sia inviando in remoto i file di aggiornamento al server e quindi aggiornando da remoto.
I file della patch si trovano qui: http://support.citrix.com/article/CTX142355
Questo pacchetto supplementare contiene molte delle patch già rilasciate per XenServer 6.5. È importante notare le note di Citrix su qualsiasi patch poiché molte patch richiedono l'installazione di altre patch PRIMA! L'unico prerequisito per questa patch è che XenServer 6.5 sia installato (che dovrebbe essere già trattato).
Il file può essere scaricato tramite http o tramite lo strumento wget.
wget -c http://downloadns.citrix.com.edgesuite.net/10340/XS65ESP1.zip
Installazione di patch con supporti locali
Una volta scaricato il file, è necessario estrarre il contenuto del file zip. Questa operazione può essere eseguita con strumenti GUI o tramite la riga di comando utilizzando lo strumento "unzip".
unzip XS65ESP1.zip
Una volta completato con successo, dovrebbero ora esistere due file nella directory di lavoro corrente. Quello più importante sarà il file con l'estensione ".xsupdate".
Ora il file "XS54ESP1.xsupdate" deve essere copiato sul supporto di installazione. Una volta che il file è stato trasferito sul supporto, connettere il supporto allo XenServer che necessita della patch.
A questo punto saranno necessari monitor e tastiera collegati al server per completare il processo di aggiornamento. Dopo aver collegato un monitor a XenServer, la pagina del pannello di controllo di XenServer dovrebbe essere visibile. Scorri verso il basso fino alla selezione "Shell dei comandi locali" e premi Invio.
Ciò richiederà all'utente la password dell'utente root di XenServer e dopo aver inserito correttamente tale password, l'utente si troverà in un prompt dei comandi all'interno di XenServer. A questo punto, il supporto locale dovrà essere montato per essere accessibile a XenServer. Per fare ciò, è necessario determinare il nome del dispositivo a blocchi utilizzando l'utilità "fdisk".
fdisk -l
Da questo output il nome del dispositivo USB collegato a XenServer può essere determinato come "/dev/sdb1" e questo è ciò che dovrà essere montato per accedere al file di aggiornamento. Il montaggio di questo dispositivo può essere eseguito utilizzando l'utilità "monta".
mount /dev/sdb1 /mnt
Supponendo che il sistema non abbia generato alcun errore, il dispositivo USB dovrebbe ora essere montato nella directory "/mnt". Passare a questa directory e assicurarsi che il file di aggiornamento sia effettivamente visualizzato in questa directory.
cd /mnt
ls
A questo punto il file di aggiornamento è accessibile al server e pronto per essere installato utilizzando il comando "xe". La prima cosa da fare è preparare il file di patch e ottenere l'UUID del file di patch con il comando "xe patch-upload". Questo passaggio è importante e va fatto!
xe patch-upload file-name=XS65ESP1.xsupdate
La casella in rosso sopra è l'output del comando precedente e sarà necessaria quando si sarà pronti per installare effettivamente la patch sul sistema XenServer. Ora è necessario l'UUID dello XenServer stesso e può essere determinato nuovamente passando argomenti al comando "xe".
xe host-list
Anche in questo caso la casella in rosso è il valore UUID che sarà necessario per applicare la patch a questo particolare XenServer. A questo punto sono stati eseguiti tutti i comandi necessari e determinato l'UUID.
Ancora una volta utilizzando il comando "xe" con argomenti diversi, a XenServer verrà richiesto di installare il pacchetto supplementare su questo sistema locale.
xe patch-apply uuid=7f2e4a3a-4098-4a71-84ff-b0ba919723c7 host-uuid=be0eeb41-7f50-447d-8561-343edde9fad2
A questo punto il sistema inizierà l'installazione dell'aggiornamento ma non mostrerà altro che un cursore lampeggiante fino al completamento del processo. Una volta che il sistema ritorna al prompt dei comandi, è possibile controllare il sistema per confermare che la patch sia stata effettivamente installata di nuovo utilizzando il comando "xe" con argomenti diversi.
xe patch-list | grep -i sp1
Questo comando elencherà tutte le patch applicate e quindi indirizzerà l'output in grep che cercherà la stringa "sp1" indipendentemente dalle maiuscole e minuscole. Se non viene restituito nulla, è probabile che la patch non sia stata installata correttamente.
Se il comando restituisce un output simile alla schermata precedente, il pacchetto supplementare è stato installato correttamente!