實務vSphere必知六招 做中學管好VMware平台

答案是需要，因為即便是IT專業人士，仍有可能會將一些帶有惡意程式碼的檔案，透過各種途徑儲存在vCenter Server的系統內，造成一觸即發的病毒感染與蔓延問題。

只是防毒軟體的安裝對許多伺服器的應用系統而言，往往是一體兩面的影響，也就是說，它雖然可以保護系統的安全，但也有可能影響系統運行的效能表現，或者直接讓系統服務無法正常執行。

在整個VMware vSphere的架構中，vCenter Server首當其衝，主要是因為它除了在網路通訊部分，需要使用到特定的一些TCP與UDP連接埠口之外，還有數個在運行中不斷會進行更新的記錄檔（Log Files），以及一些相依的設定檔與二進位檔案，如果這些相關網路連接埠口的通訊受阻，或是檔案與資料夾受到防毒軟體的監視與掃描，便有可能會造成vCenter Server效能不佳或服務啟動失敗等問題。

為了避免上述問題的發生，建議先設定防毒軟體之例外清單，加入vCenter Server的最上層資料夾，以Windows Server 2012來說，預設安裝位置就是「C:\Program Files\VMware\」。若是Windows Server 2008，則是「C:\ProgramData\VMware\」。

在網路連接埠口部分，務必確保以下這些連接埠口的暢通，分別有TCP的80、88、389、443、514、636、902、1514、2012、2014、2020、6500、6501、6502、7444、8088、9443、11711、11712，以及UDP的88、389。

TOP 6：自建包含最新更新的ESXi安裝映像檔

接著，就來學習一下如何對於即將全新安裝的ESXi主機，預先完成最新修正套件與安裝映像檔（ISO）的打包，如此一來就不需要在完成ESXi主機安裝的初期，還必須再緊接著安裝最新的更新套件，也能夠讓主機系統即刻享有最高安全的運行環境。

不過，在安裝最新的修補程式之前，很多IT人員可能就會有疑問了，是不是每一個修補程式都得依序下載與更新呢？答案是只要安裝最新上架的版本即可，這就好像安裝Windows的Service Pack或Cumulative Update一樣，永遠只要下載安裝最新的版本即可。

關於ESXi系統的最新修補程式，可以到下列的網址登入並下載。不過，無論是對於它的安裝，還是要打包成ISO安裝映像檔，都得透過PowerCLI命令介面的執行來完成，可以到以下網址下載與安裝在Windows作業系統上，過程中無須進行特別的設定，皆採用系統預設值即可：

·VMware產品修補程式下載網址：
https://my.vmware.com/group/vmware/patch#search

·VMware vSphere PowerCLI下載網址：
https://communities.vmware.com/community/vmtn/automationtools/powercli

圖37所示便是ESXi系統修補程式的搜尋頁面，在此先選取【ESXi (Embedded and Installable)】以及【6.0.0】版本，然後就可以選擇所要搜尋的修補等級，一般來說選擇【All Severities】即可。當然，還可以進一步設定指定的日期及修補程式的Build Number。

▲圖37 搜尋修補程式。

如圖38所示是針對ESXi 6.0.0所有修補程式的搜尋結果，在這裡可以看到每一個修補程式的檔案名稱、檔案大小、發行日期、Build Number以及Bulletin Number。可針對個別檔案點選〔Download〕，或是在選取多個檔案之後再按下〔Download Selected〕。

▲圖38 下載ESXi修補程式。

如果想要知道此修補程式究竟會修正與改善ESXi系統的哪些功能，則可以點選各自相對的KB超連結來查看，例如要下載的是Build Number為4510822的檔案，就點選KB2147328超連結來查看此修補程式的更新說明。

在準備將編號為4510822的修補程式打包成ISO映像檔之前，先來看看如果安裝尚未打包此更新前的ISO映像檔，其安裝過程內兩者會有什麼樣的不同。如圖39所示，可以發現它目前的Build Number是3380124，其實這個編號就是ESXi 6.0.0 Update 1b的原始安裝映像檔。

▲圖39 原有ESXi系統安裝。

緊接著，就來打包一個更新的ESXi安裝映像檔。以Windows 10的操作為例，如圖40所示，在【所有應用程式】開始選單內找到【VMware vSphere PowerCLI】，並按一下滑鼠右鍵，然後點選快速選單中的【以系統管理員身分執行】。

▲圖40 開啟Windows 10開始功能選單。