VMware-vRealize-配置管理秘籍-全-

VMware vRealize 配置管理秘籍（全）

原文：annas-archive.org/md5/77eda6ba46527d021223c32830ed1f97

译者：飞龙

协议：CC BY-NC-SA 4.0

前言

VMware 是 SDDC 的先驱和领导者，拥有多种工具；VCM 负责基于策略的合规性管理和基础设施的补丁管理。

VCM 通过自动收集数据并根据行业标准（如 VMware 和 Microsoft 硬化指南、CIS 基准、PCI DSS 和 FISMA 等）进行分析，帮助保持基础设施的合规性。它帮助您为机器打上操作系统厂商发布的最新补丁，并自动化软件配置。在集成 vROps 后，您可以在 vROps 控制台上查看您的合规性得分。

本书提供了安装 VCM 以及初始配置的步骤指南，接着继续与其他 VMware 工具进行集成。之后，我们继续介绍 Linux 和 Windows 机器的合规性配置和补丁管理。我们还有一章内容将帮助您配置 VCM，以便从 VCM 部署软件。

您可以将本书作为指南，全面探索 VCM 的所有功能，在故障排除部分，您还可以查看在日常使用 VCM 时可能遇到的问题。

本书内容

第一章，安装 VCM，讨论了 vRealize 配置管理器（VCM）的组成部分、安装 VCM 的各种选项，包括先决条件，并以微调 VCM 使用的数据库服务器作为结束。

第二章，配置 VCM 来管理您的基础设施，讨论了更多关于 VCM 配置的内容，并且我们开始添加虚拟基础设施元素、安装代理程序，并配置发现功能。

第三章，Linux 补丁管理，展示了如何安装软件内容库（SCR），该库用于下载和分发补丁，接着执行配置和分发补丁到托管的 Linux/Unix 服务器所需的所有步骤。

第四章，Windows 补丁管理，展示了如何配置 VCM 与 Microsoft 服务器同步补丁，检查托管 Windows 机器的状态，并最终按需或按计划安装补丁。

第五章，Windows 的软件配置，讨论了如何使用 VCM 在托管的 Windows 机器上分发软件；无论是服务器还是桌面，过程都是相同的。

第六章，合规性管理，教您如何导入和导出合规性配置，创建适用于 Windows 和 Unix/Linux 的合规性规则，并进行虚拟化操作。

第七章，VCM 的维护，讨论了如何升级 VCM、修改服务帐户、更换 VCM 升级后的代理程序、退役托管的机器，并提供了一些命名规范供使用。

第八章，与 vROps 的集成和调度，详细介绍了如何将 VCM 与 vROps 集成，并使用 VCM 的调度功能来安排报告、合规性、数据收集等任务。

第九章，VCM 故障排除，是最后一章，讨论了在 VCM 中故障排除的各种问题，如代理通信和代理升级。我们列出了用于故障排除的基本工具，如作业管理器历史记录和 EcmDebugEventViewer.exe。

本书所需的内容

如果你计划按照书中的配方进行实践（强烈推荐），你将需要一个好的实验室来工作。由于 VCM 与多个 VMware 组件配合工作，并且你可能还需要测试集成，因此你需要一台至少配备 32 GB 内存、四核处理器、1 TB 硬盘和 256 GB 固态硬盘的机器。你可以安装你喜欢的操作系统，并在其上安装 VMware Workstation 或 VirtualBox。你需要创建一个小型实验室，其中包括 Windows 域控制器和几台托管 SQL、vCenter、VCM 等的 Windows 服务器。你还可以安装其他组件，如 vCloud Director、vROps 和 vCNS。有时，32 GB 内存可能不够用，所以只启动你需要的虚拟机。基本功能可以在你配备 16 GB 内存的笔记本便携实验室上进行测试，但不包括 vCD、vROps 和 VCNS。

以下是我的实验室规格：

实验室 01：这是我家里的桌面，配备 32 GB DDR3 内存、AMD FX6300 六核处理器、256 GB 固态硬盘和 1 TB 硬盘。

实验室 02：这是我在笔记本电脑上的便携实验室，配备 16 GB DDR3 内存、Intel i5 四核处理器和 256 GB 硬盘。

本书适合谁

如果你是一名系统管理员，渴望通过 VCM 提供更好的管理，并且熟悉网络用户和资源管理，以及执行系统维护，那么这本书适合你。

章节

在本书中，你会发现几个经常出现的标题（准备工作、如何做、原理、更多内容以及另见）。

为了提供清晰的操作指引，我们使用以下这些章节：

准备工作

本节告诉你在配方中应该期待什么，并描述如何设置所需的软件或任何初步设置。

如何操作…

本节包含执行配方所需的步骤。

如何操作…

本节通常包括对上一节内容的详细解释。

更多内容…

本节包含有关配方的附加信息，旨在让读者更好地了解配方。

另见

本节提供有用的链接，指向与配方相关的其他有用信息。

约定

本书中有多种文本样式，用于区分不同类型的信息。以下是这些样式的一些示例及其含义的解释。

文本中的代码字、数据库表名、文件夹名称、文件名、文件扩展名、路径名、虚拟 URL、用户输入和 Twitter 用户名将按以下方式显示：“代理程序可在 VCM Collector 服务器上的X: \Program Files (x86)\VMware\VCM\Installer\Packages\CMAgent.5.8.2.linux位置找到。”

代码块按以下方式设置：

***  Installation Started 03/03/2016 3:57  ***
Title: EcmComSocketListenerService
Source: C:\windows\TEMP\GLB90C6.tmp | 03-03-2016 | 03:57:04 | 71680
Rem Wise Error Number: 141
Rem Function Name: EcmCreateService
Rem Error Message: Caught an exception from wise : Call to 
EcmCreateService for service CSI Socket Listener failed with error code 
of 1072 : error code 141
141

任何命令行输入或输出都按以下方式书写：

cd "PatchRepo/Repos"/unix 
rm SystemId*.xml

新术语和重要单词以粗体显示。在屏幕上看到的单词，例如菜单或对话框中的内容，将在文本中以这样的形式出现：“点击添加以启动向导。”

注意

警告或重要说明将以这样的框框呈现。

小贴士

小贴士和技巧如下所示。

读者反馈

我们始终欢迎读者反馈。告诉我们你对本书的看法——你喜欢或不喜欢什么。读者的反馈对我们非常重要，它帮助我们开发出更符合你需求的书籍。要发送一般反馈，只需通过电子邮件feedback@packtpub.com联系我们，并在邮件主题中注明书名。如果你在某个领域具有专业知识，并且有兴趣撰写或参与编写书籍，请参考我们的作者指南：www.packtpub.com/authors。

客户支持

既然你已经成为 Packt 书籍的骄傲拥有者，我们为你提供了一些帮助，以便你能够最大限度地利用你的购买。

勘误

尽管我们已经尽最大努力确保内容的准确性，但错误仍然可能发生。如果你在我们的书籍中发现任何错误——可能是文本或代码中的错误——我们将非常感激你能向我们报告。通过这样做，你可以帮助其他读者避免困扰，并帮助我们改进书籍的后续版本。如果你发现任何勘误，请访问www.packtpub.com/submit-errata报告，选择你的书籍，点击勘误提交表单链接，输入勘误的详细信息。一旦你的勘误被验证，你的提交将被接受，勘误将被上传到我们的网站或添加到该书籍的勘误部分的现有勘误列表中。

要查看以前提交的勘误，请访问www.packtpub.com/books/content/support，并在搜索框中输入书名。所需的信息将显示在勘误部分下。

盗版

互联网版权材料的盗版问题在所有媒体中都普遍存在。在 Packt，我们非常重视版权和许可证的保护。如果你在互联网上发现我们作品的任何非法复制品，请立即提供其位置地址或网站名称，以便我们采取措施。

如发现涉嫌盗版的内容，请通过 copyright@packtpub.com 与我们联系，并提供链接。

我们感谢你在保护我们的作者及我们提供有价值内容方面的帮助。

问题

如果你对本书的任何部分有疑问，可以通过 questions@packtpub.com 与我们联系，我们将尽力解决问题。

第一章：安装 VCM

在本章中，我们将涵盖以下内容：

• 准备我们的 VCM 部署 – 安装 SQL

• 准备我们的 VCM 部署 – 安装和配置 IIS

• 准备我们的 VCM 部署 – 配置 SSRS

• 准备我们的 VCM 部署 – 安装其他先决条件

• 安装 VCM – 单层部署

• 安装 VCM – 双层部署

• 安装 VCM – 三层部署

• VCM 安装后任务 – 数据库微调

介绍

什么是vRealize Configuration Manager（VCM），它能为你做些什么？

vRealize 配置管理器是 VMware 提供的完整配置管理解决方案。这是 vRealize Operations 套件的一部分，包括vRealize Operations Manager、vRealize Hyperic和vRealize Infrastructure Navigator等。作为该套件的一部分，VCM 负责合规性和补丁管理，这也是它的核心功能。

VCM 是一个自动从受管机器收集数据的工具，这些机器可以运行 Windows 或 Unix 系统，以及虚拟化工具如vCenter、vShield和vCloud Director等。基于这些数据，VCM 可以执行合规性检查并帮助你通过控制台管理虚拟机。

VCM 可以执行受管机器的补丁管理，这些机器可以是物理或虚拟的，并且支持 Windows 和多种 Unix/Linux 版本，如Red Hat Enterprise Linux（RHEL）、SUSE、CentOS和Mac OS。为了对这些操作系统进行补丁更新，我们需要一台 RHEL 服务器作为补丁仓库。对于非 Windows 服务器，这个 RHEL 补丁仓库会下载补丁，所有受管机器可以通过 HTTP、HTTPS、FTP 或 NFS 下载它们。VCM 可以对所有支持的 Windows 版本进行补丁更新。

你可以下载 VMware 和其他组织创建的各种合规性包。只需下载并导入它们，它们就可以与你的受管机器一起使用。这些包包括但不限于国防信息系统局（DISA）、国家标准与技术研究院（NIST）、互联网安全中心（CIS）开发的安全最佳实践；萨班斯-奥克斯利法案（SOX）、支付卡行业（PCI）标准、健康保险流通与问责法案（HIPAA）、以及联邦信息安全管理法案（FISMA）等法规要求；以及来自 VMware 和微软的强化指南。

你不仅可以检查基础设施的合规性，还可以强制执行它以提升你的合规性评分。强制执行合规性意味着 VCM 可以对服务器进行必要的更改，使其符合合规要求。

这并不限制你创建自己的规则和合规模板；你可以创建一个全新的规则，或者结合 VMware 提供的多个规则集中的规则。

VCM 可以用于在裸金属上安装操作系统，或者你可以部署虚拟机。你可以使用 VCM 在托管机器上部署应用程序，且此功能仅限于 Windows。通过 VCM 远程客户端 等功能，你可以管理移动 Windows 机器的通信和管理机制，帮助它们连接和断开网络。

使用 vRealize Operations（vROps）管理器管理包，你可以将托管虚拟机的合规性评分推送到 vROps 控制台。vROps 是 VMware 提供的监控解决方案，用于监控虚拟基础设施；将合规性评分推送到控制台，可以让我们在一个控制台下查看基础设施。同时，如果需要，可以配置警报，当评分超过某个限制时触发。

除此之外，我们还可以使用 VCM 管理 Active Directory。VCM for Active Directory 可以跨域和森林收集 Active Directory 对象，并通过单一控制台显示它们。信息会被汇总并组织在 Active Directory 滑块下，让你查看 Active Directory 结构、排查问题、检测变化，并确保合规性。

理解 VCM 组件

VCM 是由多个组件组成的应用程序，如下图所示：

数据库服务器

数据库服务器包含 VCM、VCM_Coll、VCM_Raw 和 VCM_UNIX 数据库。VCM 支持使用共享 SQL Server 实例。然而，VCM 在查询和事务处理方面大量依赖 SQL Server。你必须确保你有足够的能力，或者可以向共享 SQL Server 实例添加足够的容量，以确保 VCM 及其他共享服务器上的数据库不会出现性能下降的情况。

VCM 与 SQL Server 的标准版、企业版或数据中心版兼容。你必须在 VCM 使用的数据库服务器上安装 64 位 SQL Server 2008 R2、2012 或 2014 版本。

SQL Server 许可证必须包括 SQL Server Reporting Services（SSRS），该服务被 VCM 用于报告功能。

VCM 收集器服务器

VCM 收集器是一个独立的应用程序，即使其他 VCM 组件未激活，它仍然可以运行。这在定时收集的情况下特别有用，因为这意味着 VCM 门户不必保持运行。收集器拥有执行请求功能所需的所有信息和能力。你可以停止收集器，仍然查看数据，因为 UI 不直接与收集器服务交互；相反，它通过与安装在与收集器相同机器上的各种可执行文件进行通信。

Windows 补丁将在默认配置下托管在 VCM 收集器上。Linux 补丁将由 备用连续复制（SCR）服务器处理。我们将在 第三章 中详细了解 Linux 补丁，Linux 补丁。

安装 VCM Collector 的支持操作系统包括 Windows Server 2008 R2、2012 或 2012 R2。VCM Collector 必须安装在 AD 域成员上。

我们将在本章中的多个食谱中讨论 VCM Collector 服务器的安装。

Web 服务器

Web 服务器包含诸如 IIS 和 SSRS、其他服务以及 VCM 软件组件等 Web 应用程序。在安装 VCM 之前，必须配置 Web 服务器。托管 Web 组件的 Windows 机器必须运行 Internet 信息服务 (IIS) 7.5。支持安装 Web 服务器的操作系统包括 Windows Server 2008 R2、2012 或 2012 R2。

我们将在 准备我们的 VCM 部署 - 安装并配置 IIS 这一食谱中讨论 Web 服务器的安装和配置。

管理代理

我们需要安装代理来通过 VCM 管理这些机器。对于 vCenter Server、vCloud Director 和 vCloud Networking and Security Manager，VCM 使用中介 管理代理 来收集数据。此中介通过使用 vSphere VIMAPI、vCloud REST API 和 vCloud Networking and Security Manager REST API 收集数据，然后将其传递给 VCM Server。

我们需要在指定为管理代理的系统上安装 VCM agent 5.5 或更高版本。然而，在代理部署之后，还需要进行一个额外步骤。在收集任何 vCenter、vCloud Networking and Security 或 vCloud Director 数据之前，必须与指定为管理代理的系统建立双向互信。

通过管理代理进行的 vCenter 收集过程是串行的，且非常消耗 CPU。基于这个原因，建议为虚拟基础设施使用单独的管理代理。如果 vCenter 或 vCloud Server 实例的数量增加，可以水平扩展管理代理的数量。

我们将在 第二章，配置 VCM 来管理您的基础架构 中，看到这一操作，内容来自 为虚拟环境管理配置管理代理机器 这一食谱。

SCR 工具

为确保在 VCM 部署补丁时所有补丁依赖项都得到满足，SCR 工具会下载所有必要的补丁（除了已经被更新补丁替代的补丁）。VCM 补丁管理在补丁部署时处理所有依赖项。如果补丁在 SCR 工具安装和配置时可用，它将被下载。如果补丁在 SCR 工具最后同步时不可用，则不会下载，因此也无法分发到管理的机器上。如果补丁仍然由操作系统供应商提供，它将通过 SCR 工具的补丁复制过程进行下载。SCR 服务器不会共享或同步它下载的补丁详细信息；VCM 从 www.vmware.com/ 获取已发布补丁的详细信息。因此，我们需要确保与供应商如 RHEL 或 SUSE 完全同步，并且已将所有补丁下载到存储库中。

SCR 工具不用于运行补丁评估或部署。它也不会评估机器配置或用于补丁部署的下载补丁内容。这个任务由 VCM 服务器完成。

SCR 工具从内容分发网络（CDN）下载补丁签名文件和操作系统供应商的补丁内容，并从操作系统供应商的内容网站下载仅限订阅内容。我们将在 第三章中更详细地介绍 Linux 补丁。

分布式 VCM 部署

根据您管理的基础架构的规模，VCM 可以以多种方式部署。

如果您计划在两层或三层上安装 VCM，请查看此链接了解如何调整硬件环境： kb.vmware.com/kb/2033894。

单层安装

单层安装适用于管理服务器少于 2,000 台的组织以及 POC/试点项目。

所有组件，如 VCM 数据库服务器、Web 服务器和 VCM 收集器，均安装在同一台服务器上，如下所示：

双层安装

双层安装适用于管理服务器数量在 2,000 到 5,000 之间的组织。

在这个部署中，我们将应用服务器（收集器）和 IIS 放在一台机器上，将 SQL Server 实例放在另一台机器上，SSRS 可以安装在任一系统上，如下所示：

三层安装

三层安装适用于管理服务器数量超过 5,000 台的组织。其结构如下所示：

• 应用服务器（收集器）、IIS 和 SQL Server 实例分别安装在不同的机器上。

• SSRS 可以安装在 IIS 或 SQL Server 系统上。

该图展示了一个三层安装：

了解 VCM 的要求

每个安装的软件应用程序都有其成功安装和运行所需的要求，VCM 也不例外。在本节中，我们将讨论部署 VCM 所需的硬件和软件要求。

软件要求

安装 VCM 所需的软件：

软件组件	支持的版本
VCM Web、Collector 和数据库服务器的操作系统	Windows Server 2008 R2、Windows Server 2012 或 Windows Server 2012 R2
SQL 版本	SQL Server 2008 R2、2012 或 2014 标准版、企业版或数据中心版（64 位）
SSRS 版本	SQL Server 2008 R2、2012 或 2014 报告服务
SCR 的操作系统*	RHEL 7.x

(*SCR：软件内容库，用于下载和存储非 Windows 操作系统的补丁)

最低硬件要求

托管 VCM 也有一些硬件要求，这些要求在以下表格中提供：

支持 1-1,000 台管理机器的最低硬件要求：

	单层	2 层数据库	2 层 Web/Collector	3 层数据库	3 层 Web	3 层 Collector
RAM	8 GB	8 GB	4 GB	8 GB	4 GB	4 GB
处理器	双 Xeon 或单个双核 2 GHz	双 Xeon 或单个双核 2 GHz	双 Xeon 或单个双核 2 GHz	双 Xeon 或单个双核 2 GHz	单个 2 GHz 处理器	单个 2 GHz 处理器

支持 1,001-2,000 台管理机器的最低硬件要求：

	单层	2 层数据库	2 层 Web/Collector	3 层数据库	3 层 Web	3 层 Collector
RAM	12 GB	12 GB	4 GB	12 GB	4 GB	4 GB
处理器	四路 Xeon 或两个双核 2 GHz	四路 Xeon 或两个双核 2 GHz	四路 Xeon 或两个双核 2 GHz	四路 Xeon 或两个双核 2 GHz	单个 2 GHz 处理器	双 Xeon 或单个双核 2 GHz

支持 2,001-5,000 台管理机器的最低硬件要求：

	单层	2 层数据库	2 层 Web/Collector	3 层数据库	3 层 Web	3 层 Collector
RAM	16 GB	16 GB	8 GB	16 GB	4 GB	8 GB
处理器	八路 Xeon 或四个双核 2 GHz	八路 Xeon 或四个双核 2 GHz	双 Xeon 或单个双核 2 GHz	八路 Xeon 或四个双核 2 GHz	单个 2 GHz 处理器	双 Xeon 或单个双核 2 GHz

服务账户

让我们看看 VCM 正常工作所需的账户和权限列表。

你可以将一个账户重用于多个功能，但为故障排除和追踪创建专用账户可能会更有帮助。

Collector、VCM Remote、Tomcat 和 vSphere Client VCM 插件可以使用同一个账户。如果你重复使用一个账户，请应用为 Collector 服务账户显示的权限。

角色	权限	描述
VCM 管理员	（仅在安装期间）VCM 收集器和 Web 服务器的本地管理员权限。（仅在安装期间）数据库服务器上 VCM SQL Server 实例的系统管理员权限。此帐户必须是交互式帐户，并且与表中其他帐户分开。	VCM 管理员帐户是安装 VCM 时使用的登录帐户，并且可能会在安装后用于 VCM 的管理和维护。
VCM 收集器服务	VCM 收集器和 Web 服务器的本地管理员权限。这不是域管理员或交互式用户帐户。	收集器服务帐户是 VCM 收集器、VCM 数据库和 VCM 补丁管理服务运行的帐户。在安装期间，VCM 会为收集器服务帐户配置 SQL Server 中 VCM 数据库的 DBO 和批量插入权限。
VCM 远程服务	VCM Web 服务器的本地管理员权限。这不是域管理员或交互式用户帐户。	VCM 远程服务帐户由 VCM 远程客户端用于对 Web 服务器上 VCM 远程虚拟目录的匿名访问。
VCM Tomcat 服务	VCM 数据库服务器的本地管理员权限。对 VCM 数据库的公共访问权限。这不是一个交互式用户帐户。	Tomcat 服务帐户作为 VCM 应用程序编程接口，用于 SQL 登录到 E12VCM 数据库服务器。
vSphere 客户端 VCM 插件服务	VCM Web 服务器的本地管理员权限。这不是交互式用户帐户。	vSphere 客户端 VCM 插件（VCVP）帐户通过 HTTP 提供 vSphere 访问到 VCM 管理的机器。VCM 高级安装选项会提示输入 VCVP 帐户的凭据。典型安装不会提示。
VCM 默认网络权限	对使用 DCOM 代理从 VCM 收集数据的 Windows 机器的本地管理员权限。根据企业规模和便利性，可能需要一个具有 Windows 机器权限的独立域管理员帐户。这不是一个交互式用户帐户。	网络权限帐户用于从 DCOM Windows 机器收集数据。

提示

重要：绝不要使用服务帐户登录 VCM 控制台或用于任何其他目的。使用服务帐户登录 VCM 可能会导致意外或不一致的行为。使用相同帐户作为已登录用户的服务可能会修改已登录用户的当前角色或机器组，或者将用户从系统中注销。 |

如果由于某种原因您无法获得用于 NAA 的本地管理员帐户，您至少需要以下表中提到的权限。为了让 VCM 对许可的机器进行更改，例如重启和管理审计设置，与 VCM 代理交互的帐户需要在每台许可机器上具有以下权限和权利：

操作	所需用户权限
紧急修复磁盘	备份文件和目录
NTFS 权限	管理审计和安全日志
重启	关闭系统，强制从远程系统关机
服务变更	关闭系统
共享权限	管理审计和安全日志

要检查或设置每台机器的适当权限，你可以使用以下任何一种方法：

• 本地安全策略: 安全设置 | 本地策略 | 用户权限分配

• 组策略插件: 本地计算机策略 | 计算机配置 | Windows 设置 | 安全设置 | 本地策略 | 用户权限分配

VCM 数据库

VCM 创建了四个数据库；下表列出了这些数据库及其用途。部署 VCM 时，安装程序会创建这些数据库。

提示

确保数据库启用了自动增长。

数据库名称	最小大小	用途
VCM	3 GB	该数据库包含 VCM 应用程序本身的配置数据、来自 Windows 系统和虚拟基础设施的收集数据、所有系统的更改详细信息，以及补丁和合规性评估的结果。基本名称 VCM 是默认的，可以更改。
VCM_Coll	1 GB	该数据库提供 Collector 服务的操作状态信息，主要用于跟踪正在运行的作业和已管理客户端系统的最后联系状态。
VCM_Unix	1 GB	该数据库包含从环境中的任何 Linux、Unix 或 Mac 代理收集的已管理机器数据。
VCM_RAW	1 GB	为了提高性能，该数据库临时存储收集的数据，直到这些数据被转换成 VCM 和 VCM_UNIX 数据库。原始数据库不应备份或包含在维护计划中。

VCM 支持的操作系统

VCM 支持的操作系统列表如下表所示，但这不是一个完整的列表。

你可以查看 VMware vRealize Configuration Manager 安装指南 中的 VCM 管理机器的硬件和操作系统要求 章节 (www.vmware.com/pdf/vrealize-configuration-manager-58-installation-guide.pdf) 以获得完整的列表。

支持的操作系统	支持的硬件平台
Microsoft Windows Server 2003 SP2	x86 和 x64
Microsoft Windows Server 2008 R2 Enterprise Gold	x64
Microsoft Windows 7 Enterprise Gold	x86 和 x64
Microsoft Windows 8.1 Enterprise	x86 和 x64
Microsoft Windows Server 2012 R2 Datacenter	x64
Red Hat Enterprise Linux 5.0-5.11, 6.0-6.5, 和 7.0(x64) 服务器、桌面工作站及高级平台	x86 和 x64
SUSE Linux Enterprise Server (SLES) 10.0-10.2（仅支持到代理版本 5.5.0）SUSE Linux Enterprise Server (SLES) 10.3-10.4, 11.0-11.3, 和 12	x86 和 x64
Windows 10	x86 和 x64

vRealize Configuration Manager 端口和协议概述

下表显示了环境中正确功能所需的端口和协议要求：

来源	目标	端口和协议	描述
管理代理	vCloud 管理 vCenter	HTTPS：443	与 vCenter API 的 Web 服务连接。需要有效凭据和证书指纹。
管理代理	vCloud vCenter	HTTPS：443	与 vCenter API 的 Web 服务连接。需要有效凭据和证书指纹。
VCM 收集器	VCM 数据库服务器	SQL：1433	Windows 身份验证连接。
VCM 收集器	VCM 数据库服务器	DCOM：135	在两层配置中，收集器和数据库服务器之间需要 DCOM，以便数据库服务器在各种作业结束时回调到收集器。
VCM 收集器	VCM 数据库服务器	SMB：TCP 端口 139 和 445	VCM 在安装期间向数据库服务器创建共享。
VCM 收集器	VCM 数据库服务器	HTTP：80	从 VCM 服务器到 DB SSRS 实例的 SSRS 连接。
VCM 收集器	VCM 数据库服务器	ICMP	登录详细信息不会发送到代理。使用双向身份验证，代理在 LocalSystem 下运行。数据通过新的 TLS 会话传回到收集器。
VCM 收集器	代理	HTTP：26542	登录详细信息不会发送到代理。使用双向身份验证，代理在 LocalSystem 下运行。数据通过新的 TLS 会话传回到收集器。
VCM 收集器	代理	ICMP	登录详细信息不会发送到代理。使用双向身份验证，代理在 LocalSystem 下运行。数据通过新的 TLS 会话传回到收集器。
VCM 收集器	代理	SMB：TCP 端口 139 和 445	这是 Windows 补丁下载的映射驱动器。
代理软件	RedHat 补丁服务器	HTTPS：443/80	这取决于您如何配置 Apache，用于从补丁库下载补丁。

许可

vRealize Operations 提供两种许可模型：

• 每个处理器带有无限 VM：对于高共享比例的虚拟环境，vRealize Operations 作为 VMware vRealize Suite、VMware vCloud Suite 和 VMware vSphere with Operations Management 的一部分，按处理器提供。

• 每个虚拟机或物理服务器：对于低共享比例的虚拟环境，vRealize Operations 还可以按照 25 VM 或 OS 实例许可包单独购买。

新版本 VCM 5.8.2 支持混合云套件许可密钥，因此 VCM 将不再是 vCloud Suite 的一部分。这些内容随时会变动；您可以联系 VMware 获取当前定价详情或在此处查看更多详情：www.vmware.com/products/vrealize-operations/pricing。

准备我们的 VCM 部署 - 安装 SQL

VCM 需要专用 SQL 系统上的四个数据库。在本文中，我们将学习如何正确安装 SQL Server 组件。

准备工作

根据我们选择的部署类型，我们需要一个专用 SQL Server（用于两层和三层部署），或者我们可以使用用于 VCM Collector 服务器的 Windows 服务器（单层部署）。

我们需要操作系统——Windows Server 2012（或更高版本）——和 SQL 2012。

出于概念验证或测试目的，你可以使用共享 SQL；否则，使用专用 SQL。

如何操作...

安装 SQL 的步骤在所有三种类型的 VCM 部署中都是相同的——只有服务器会根据层级类型的不同而变化。

注意

由于这不是专门的 SQL 安装和配置指南，我们不会包括所有的屏幕截图；如果需要进一步的帮助，请咨询你的 DBA 团队以获取详细的指导。

按照以下步骤操作：

1. 启动 SQL 安装程序。

2. 在安装菜单下，选择新建 SQL Server 独立安装或为现有安装添加功能。

3. 确保所有设置支持规则已通过。

4. 如果没有 Internet 连接，忽略产品更新错误。

5. 输入产品密钥。

6. 接受最终用户许可协议（EULA）。

7. 在设置角色下，选择SQL Server 功能安装。

8. 选择以下功能：

   • 实例功能

     • 数据库引擎服务

       • 全文和语义提取用于搜索

     • 报告服务 - 原生

   • 共享功能

     • 文档组件

     • 管理工具 - 基本

       • 管理工具 - 完整

9. 根据你的服务器配置选择安装文件夹。

10. 确保所有安装规则已通过。

11. 选择默认实例，并在需要时更改安装文件夹位置。

12. 使用服务帐户来运行 SQL 服务总是更好的，如果你将安装一个两层或三层 VCM 实例，你需要一个域帐户。

    注意

    在多层 VCM 部署中，数据库位于不同的服务器上，我们需要一个域服务帐户，以便 SQL 能够通过网络通信。

    提供正确的服务帐户给 SQL 安装向导。

13. VCM 支持的排序规则是SQL_Latin1_General_CP1_CI_AS；请确保选择此项。

14. 从 Active Directory 添加 SQL 管理员组。根据公司政策，启用混合模式并为SA帐户设置密码。

15. 对于报告服务，我们只会安装 SSRS，而不会进行配置。

16. 按照向导步骤安装 SQL。

工作原理...

SQL 将托管 VCM 所需的所有四个数据库。我们现在不需要创建或配置任何数据库；它们将在安装 VCM 时创建。我们需要为 SQL Server 提供特殊权限，如前述的服务帐户小节中所述。

此外，所有与机器相关的活动，如合规性检查和补丁状态检查，都是使用数据库中可用的数据来执行的，这增加了数据库的工作负载，突出了对专用 SQL Server 的需求。所有计划任务都以 SQL 作业的形式存储在 SQL 中，这进一步增加了 SQL Server 的工作压力。

VCM 使用 SSRS 托管报告功能；在部署 SQL 时我们也安装了 SSRS，接下来的教程中我们将对其进行配置。

准备我们的 VCM 部署 - 安装并配置 IIS

另一个重要的部分是 SQL 数据库之后的 IIS。VCM 应用程序是一个连接到数据库的基于 Web 的门户，因此所有操作都是通过 Web 界面执行的，这需要 IIS。在本教程中，我们将安装并配置 IIS。

准备就绪

同样，根据 VCM 部署的类型，您可能需要专用服务器（二层或三层）或单个 VCM 服务器（单层）安装。我们需要 Windows Server 2012 R2 来开始此过程。

如本章第一张图（在 理解 VCM 组件 小节中）和 分布式 VCM 部署 小节所示，IIS 的位置根据部署类型而变化。

如何操作...

VCM Collector 的 Web 组件包括 IIS 和 SSRS 等 Web 应用程序、其他服务和 VCM 软件组件。在安装 VCM 之前，必须先配置 VCM Collector 的 Web 组件。

注意

我们将介绍在 Windows 2012 R2 上的安装过程。Windows 2008 上的安装可能有所不同。

安装 IIS

按照以下步骤安装 IIS：

1. 登录 IIS 服务器并启动 服务器管理器。进入 管理 | 添加角色和功能。

2. 添加 Web 服务器（IIS） 角色。

3. 添加 .NET Framework 3.5 特性。

4. 添加以下组件：

   序号	选项	操作
   1	常见 HTTP 功能	静态内容默认文档目录浏览 HTTP 错误 HTTP 重定向
   2	应用开发	ASP.NET.NET 扩展性 3.5.NET 扩展性 4.5ASPASP .NET 3.5ASP .NET 4.5ISAPI 扩展 ISAPI 过滤器
   3	健康与诊断	HTTP 日志记录工具请求监控追踪
   4	安全性	基本认证 Windows 认证摘要认证 URL 授权请求过滤 IP 和域限制
   5	性能	静态内容压缩动态内容压缩
   6	管理工具	IIS 管理控制台 IIS 管理脚本和工具管理服务

5. 如有需要，提供 Windows 2012 ISO 的路径。

6. 点击 安装，让安装开始；按照向导完成安装，并确保安装成功。

配置 IIS

一旦安装了 IIS，我们需要配置它：

1. 点击 开始，进入 所有程序 | 管理工具 | Internet 信息服务（IIS）管理器。

2. 展开<服务器名称>，展开站点，然后点击默认网站。

3. 在操作窗格中，点击管理网站和浏览网站下的高级设置。

4. 展开连接的限制并将连接超时（秒）设置为3600。

5. 点击确定

配置 IIS 7.5 默认网站

IIS 7.5 提供了一个默认网站，用于定义应用程序和虚拟目录的默认身份验证设置。验证 IIS 7.5 默认网站是否具有正确的设置。

按照以下步骤配置 IIS：

1. 点击开始，进入所有程序 | 管理工具 | Internet 信息服务 (IIS) 管理器。

2. 展开<服务器名称>，展开站点，然后点击默认网站。

3. 在默认网站的主页窗格中，找到 IIS 选项。

4. 双击身份验证并将身份验证设置如下：

序号	选项	操作
1	匿名身份验证	设置为禁用。
2	ASP.NET 假冒身份验证	设置为禁用。
3	基本身份验证	设置为启用。
4	表单身份验证	设置为禁用

你的屏幕应该如下所示：

它是如何工作的...

VCM 使用 IIS 托管展示数据的 Web 应用程序。Web 应用程序将我们从 VCM 控制台发送的命令转发给数据库，操作执行后，最终结果会再次显示在控制台 GUI 上。VCM 在 IIS 中创建多个应用程序，这些应用程序是 VCM 所需的。CMAppPool 和 CMServices 是 IIS 应用程序池，用于 VCM 虚拟目录和 Web 服务。

准备我们的 VCM 部署 - 配置 SSRS

SSRS 被 VCM 用于提供报表功能。

准备中

在本配方中，我们将配置 SSRS 以供 VCM 使用；由于这不是一个专门的 SQL 指南，建议在配置 SSRS 时向 DBA 团队咨询。

为了避免因 SQL 的多重许可证收费，建议将 SSRS 安装在与数据库服务器相同的服务器上，这也是我们在安装 SQL Server 时所采取的做法。

我们需要在数据库服务器上安装 SSRS 才能开始。

如何操作...

使用服务账户凭据连接到数据库服务器，启动报告服务配置管理器，并按照向导操作：

1. 连接到安装了报告服务的 SQL Server 实例。提供正确的服务器名称和实例。

2. 在服务账户页面，使用将用于 VCM 服务的相同服务账户。点击应用。

3. 在Web 服务 URL页面，选择端口80并点击应用。

4. 在数据库下，点击更改数据库并按照向导创建一个新的报告数据库。这包括以下步骤：

   1. 选择创建新的报告服务器数据库。

   2. 在连接到数据库服务器下，提供以下值：

      • 服务器名称：SQL 数据库服务器的名称

      • 身份验证类型：当前用户 - 集成安全性

   3. 使用默认的数据库名称和语言。

   4. 在凭据下，使用服务凭据。

   5. 接受摘要，点击下一步，然后在下一页点击完成来完成数据库创建。

5. 对于报告管理器 URL标签，选择虚拟目录：Reports，然后点击应用。

6. 对于 VCM 其余的参数我们不需要配置；你可以和你的数据库管理员（DBA）团队确认是否需要配置这些参数，如果需要，应该选择哪些最佳选项。

7. 写下 URL（我们在安装 VCM 时需要用到这个）。

如何操作...

在安装 VCM 时，会提供报告管理器和 Web 服务的 URL，VCM 将使用这些 URL 通过其控制台展示报告。

当我们安装 VCM 时，安装程序会在 SSRS 实例上创建默认的报告，用户在开始使用 VCM 时会访问这些报告。

准备 VCM 部署 - 安装其他先决条件

在我们实际开始安装 VCM 之前，还有一些其他的先决条件需要安装。我们将在这个步骤中进行安装。

准备就绪

如果这些安装程序尚未可用，我们需要访问互联网以下载它们。我们需要在 VCM 层级中的所有服务器上安装这些工具。

我们需要按顺序安装它们，否则它们将无法安装。

本书中使用了以下链接；如果你更换了 SQL 版本，这些链接可能会发生变化，例如SQL Native Client和SQL 命令行工具的链接：

序号	描述	下载位置
1	SQL Native Client	go.microsoft.com/fwlink/?LinkID=239648&clcid=0x409
2	SQL 命令行工具	go.microsoft.com/fwlink/?LinkID=239650&clcid=0x409
3	SQLXML 4.0 SP1	www.microsoft.com/en-us/download/details.aspx?id=30403

如何操作...

这是一个非常简单的安装过程，你只需要点击下一步和完成。

只需按顺序进行操作并安装所有三个工具。你必须在所有服务器上安装它们，也就是说，如果你正在部署一个三层的 VCM 安装，这三个工具必须在所有三台服务器上安装。

如何操作...

这些工具被 VCM 用于与 SQL 数据库进行通信。如果服务器上缺少它们，那么基础检查将会失败，你必须安装这些工具并重新启动安装程序。

安装 VCM - 单层部署

在本食谱中，我们将在 Windows Server 2012 R2 上部署 vRealize Configuration Manager 5.8.2。如标题所示，这是一个单层安装；因此，所有 VCM 组件将安装在一台服务器上。因此，VCM 数据库服务器、Web 服务器和 VCM Collector 组件将驻留在一台 Windows Server 2008 R2、2012 或 2012 R2 机器上（在我们的案例中是 Windows Server 2012 R2），这台机器被称为 VCM Collector，如下图所示：

准备就绪

在本案例中，我们将需要一个已经安装了 SQL、配置了 IIS 并通过前面的步骤安装了所有先决条件的单个 Windows Server 2012 R2 安装。

VCM 安装程序可以在www.vmware.com/下载。你需要在my.vmware.com上拥有账户才能下载安装程序。

你需要在 Active Directory 中准备好所有必需的服务账户，并且它们应该具有 VCM 需求文档中描述的权限。服务器应该是 Active Directory 域的一部分，并且你必须使用具有服务器本地管理员权限的 AD 账户登录。

如何操作...

你需要使用希望拥有 VCM 管理权限的账户登录，因为用于安装 VCM 的账户将获得 VCM 应用程序的完全管理员权限，因此你可以选择自己的账户或任何专门创建的 VCM 管理员账户。

从互联网下载安装程序并将其复制到 VCM 服务器。然后，按照以下步骤操作：

1. 安装 ISO 并通过双击setup.exe启动安装向导。选择典型安装。

   注意

   典型安装：主要用于单层或双层安装，所需信息较少。

   高级安装：主要用于三层安装，在这种类型中，我们需要将 Collector 和 Web 服务器的安装分布到不同的服务器上。

2. 阅读并接受许可协议，并选择“我是客户/最终用户的授权代理人和/或代表”以及“我已阅读并同意上述条款和条件”。

3. 它将执行先决条件检查并运行一些测试；测试完成后，选择查看先决条件检查的完整结果。

4. 结果将在 Internet Explorer 中启动，并检查是否有任何错误和/或警告；如果有警告可以继续安装，但如果有错误则无法继续。

5. 一旦看到任何错误，你可以点击报告中的错误链接进一步查看，它会告诉你为何出现错误。

在我们的案例中，我们没有安装 ServerSideIncludes IIS 角色服务，以下是错误报告：

安装缺失的组件后，我们可以继续安装程序。

1. 在下一步中，我们需要提供以下信息：

   • VCM 数据库服务器（本地或远程 SQL Server 实例）: 我们安装的服务器，因为这是一个单层部署。

   • SQL Server Reporting Services WebService URL: 在配置 SSRS 时你必须记下这个 URL；如果没有，去启动 SSRS 配置向导来查看 URL。默认值为 http://<Server-Name>/ReportServer。

   

2. 点击 验证... 在 SSRS Web 服务下，提供以下信息：

   • 数据库服务器: SSRS 服务器的主机名

   • 域: Active Directory 域

   • 用户名: 用于连接到 SSRS 实例的帐户

   • 密码: 用户的密码

   • 端口: 配置 SSRS 时配置的端口

   • 虚拟目录: 配置 SSRS 时配置的目录

   点击 验证，确保验证成功。

   填写完信息后，屏幕应显示如下：

   

3. 输入许可证密钥，提供服务帐户的用户名和密码，然后点击 验证。

4. 提供安装路径。

5. 选择 使用 HTTPS。默认情况下会生成一个自签名证书。这里可以选择其他证书。

   它将自动生成一个证书；如果需要，你也可以在此处添加自己的证书：

   

   安装过程可能需要最多一个小时，具体取决于服务器的配置。

   

6. 完成后，使用 https://<Collector 的 IP 或主机名>/VCM 启动控制台。

7. 如本步骤开始所提到的，只有具有访问 VCM 控制台权限的帐户才能用于安装；我们可以稍后添加其他用户。

8. 点击 登录，首次展示 VCM 控制台界面：

它是如何工作的...

我们在一台已经安装了 SQL、SSRS 和 IIS 的单台服务器上安装 VCM。然后可以使用此控制台来管理整个基础架构。在接下来的章节中，我们将使用该控制台执行补丁管理、合规性检查、发布软件导出报告等操作。

安装 VCM - 两层部署

如你所知，VCM 依赖于 SQL，如果我们有中等规模的基础架构，单台服务器承载 SQL、SSRS、Web 和 Collector 组件会成为过重的负担。我们可以通过将 SQL 数据库移至专用服务器，并将 Web 和 Collector 组件移至另一台服务器来分担负载。

这就是两层部署的示意图：

准备工作

我们需要两台服务器；其中一台需要安装 SQL Server 2012 并配置 SSRS，SSRS 配置应根据之前的步骤进行。

在 SQL 和 Collector 服务器上安装所有前提条件。确保所有提到的服务账户已准备好，并在需要的地方打开防火墙端口。

按照准备我们的 VCM 部署 - 安装和配置 IIS 方案安装并配置 IIS。

如何操作...

由于这是一个双层 VCM 部署方案，你应该猜到我们需要在两台服务器上进行安装——其实并不完全正确；我们只需要在 SQL 服务器上安装 SQL、配置 SSRS，并安装前提条件；所有操作都会在 VCM Collector 服务器上进行。

使用具有本地管理员权限的域账户登录到 Collector 服务器；这是你希望在 VCM 应用程序中获得管理员访问权限的账户。

将下载的 ISO 文件复制到服务器并挂载。

双击安装盘中的setup.exe启动安装程序，并按照向导安装 VCM，如下所示：

1. 在此方案中，我们将选择高级安装。

2. 点击下一步进入介绍页面。

3. 点击下一步进入专利信息页面。

4. 阅读并接受许可协议，并选择“我是客户/最终用户的授权代理和/或代表”以及“我已阅读上述条款和条件”。

5. 在选择安装类型下，选择以下选项：

   • VMware vRealize 配置管理器

     • VCM Web 控制台

     • VCM Collector 组件

   • 工具

     • 导入导出工具

     • 基础检查器

     • VMware VCM 包管理器 for Windows

     • VMware VCM 包工作室

   

6. 安装程序将执行前提条件检查并展示结果；检查成功后，点击下一步；如果有错误，点击查看结果，解决任何错误和警告，并重新检查。

7. 除非没有错误，否则不要继续；如果有警告，你可以继续，但不推荐这样做。这是一个成功检查的示例：

8. 在下一页，输入序列号。

9. 在配置组件页面，提供 SQL 服务器的主机名，并输入VCM作为数据库名称；点击验证。

   如果验证成功，它会为你提供数据和日志文件的路径，并提供大小和自动增长选项。你可以选择默认设置。

   

10. 在下一页，提供 Tomcat 服务账户及其密码。

11. 在下一页，提供WebService URL中的 URL；验证详细信息的凭据包括域、用户名和密码。点击验证。接受关于不安全 SRS 的警告，因为我们已将其配置为使用端口80。

12. 提供安装 Web 控制台的路径。

13. 提供一个应用程序的 URL；默认的/VCM是一个不错的选择。

    我们可以提供 SMTP 地址；默认值为收集器服务器。如果现在不知道，稍后可以在 VCM 控制台中配置。

14. 提供安装收集器组件的路径，并接受 SSL3 警告。

15. 提供一个路径用于存储暂存数据；这是数据在添加到数据库之前临时存储的路径。

16. 提供 Collector 服务账户的详细信息。该账户将被授予作为服务登录的权限；接受确认对话框。

17. 提供网络权限账户的详细信息。我们以后可以添加任意数量的账户，但目前至少需要一个。更多细节请参考本章介绍中的服务账户小节。

18. 下一页是关于证书的内容。点击生成，然后点击下一步。

19. 在下一页，您可以选择要运行发现的域，选择特定的 NetBIOS 和 AD 域。

    注意

    如果您有多个 AD 或 NetBIOS 域，检测所有域可能需要超过 24 小时，最终安装可能会失败。为了避免这种情况，请先选择一些域进行开始，等 VCM 准备好后再添加其余域。

    

20. 提供虚拟目录的详细信息和访问凭据。

21. 提供虚拟化客户端插件的凭据。

22. 在下一页，提供安装包管理器组件的路径。

23. 在下一页，提供本地软件包缓存的路径。

24. 在下一页，提供软件库和本地缓存的路径。

25. 提供虚拟目录的名称。

26. 提供 Package Studio 组件的路径。

27. 最后，我们将到达总结页面；检查选项并点击安装。

28. 登录门户并确保安装成功。

工作原理...

我们在两台服务器上安装了 VCM；我们已经在 SQL Server 上安装了 SQL 和 SSRS，而 Web 和收集器组件则安装在 Collector 服务器上。然后，控制台可以用于管理基础架构。我们将在接下来的章节中使用该控制台进行修补、合规检查、发布软件导出报告等操作。

安装 VCM - 三层部署

到目前为止，我们已经讲解了在单一和两层系统上安装 VCM。将来可能会遇到这些配置不够的情况，您需要管理更大的基础架构。为了为这种大型基础架构提供服务，我们可以将负载分配到三个层次，分别是数据库层、Web 层和收集器层。在这个方案中，我们将在三台不同的服务器上安装 VCM。

这就是三层部署的配置方式：

准备工作

我们将需要三台不同的服务器来安装 VCM 服务器的数据库、Web 和采集组件。

我们需要在所有三台服务器上安装所有先决条件。我们应准备好所有提到的服务账户，并确保需要的防火墙端口已打开。

仅需在 Web 服务器上配置 IIS。

必须安装 SQL Server 并按前述步骤配置 SSRS。

如何操作...

尽管这是三层安装，但我们在 SQL 服务器上无需做太多事情；除了安装 SQL Server 2012 外，还需要安装 SQL Native Client、SQL 命令行工具和 SQLXML 4.0 SP1。

我们将详细查看 Web 和采集服务器。

我们先来看看 Web 服务器。

安装 Web 组件

我们需要使用具有本地管理员权限的域账户登录到 Web 服务器。挂载VCM ISO 文件，并双击安装盘上的setup.exe。按照向导中的步骤安装 VCM 的 Web 组件，具体如下：

1. 选择高级安装，因为这是一个三层安装。

2. 点击下一步进入介绍页面。

3. 点击下一步进入专利信息页面。

4. 阅读并接受许可协议，然后选择“我为客户/最终用户的授权代理人和/或代表”以及“我已阅读上述条款和条件”。

5. 在选择安装类型下，选择以下选项：

   • VMware vRealize Configuration Manager

     • VCM Web 控制台

   • 工具

     • VMware VCM Package Manager for Windows

     • VMware VCM Package Studio

   

6. 在弹出的对话框中点击确定，接受你已故意选择拆分安装。

7. 安装程序将进行先决条件检查并显示结果。如果检查成功，点击下一步；如果有失败，点击查看结果，修正所有错误和警告后进行重新检查。直到没有错误才能继续操作。

8. 在下一页，输入序列号。

9. 在配置组件页面，提供 SQL 服务器的主机名并输入VCM作为数据库名称；点击验证。

   如果验证成功，系统将为数据和日志文件提供路径，并提供大小和自动增长选项。你可以使用默认值。

   

10. 在下一页，提供 Tomcat 服务账户的详细信息及其密码。

11. 在下一页，在WebService URL中提供网址。验证详细信息的凭据包括域名、用户名和密码。点击验证。接受 SRS 不安全警告，因为我们已将其配置为使用端口80。

12. 提供安装 Web 控制台的路径。

13. 提供应用程序的 URL；使用默认值也是可以的。

    我们可以提供一个 SMTP 地址，默认是采集器服务器。如果现在不清楚，可以在 VCM 控制台中进行配置。

14. 提供虚拟化客户端插件的凭证。

15. 在下一页面，提供安装包管理器组件的路径。

16. 在下一页面，提供本地包缓存的路径。

17. 在下一页面，提供软件仓库和本地缓存的路径。

18. 提供虚拟目录的名称。

19. 提供 Package Studio 组件的路径。

20. 之后，你将进入总结页面。检查选项并点击安装。

21. 点击完成退出向导。

这完成了 Web 组件的安装；接下来，我们需要在采集器服务器上执行类似的步骤。

正在安装采集器服务器组件

完成 Web 服务器配置后，使用具有本地管理权限的域账户登录到采集器服务器。从下载位置复制 VCM 安装程序的 ISO 文件并挂载。

双击已挂载安装介质中的setup.exe文件，并按照这些步骤完成向导。

1. 从高级安装开始。

2. 点击下一步进入介绍页面。

3. 点击下一步进入专利信息页面。

4. 阅读并接受许可协议，选择“我是客户/最终用户的授权代理人和/或代表”以及“我已阅读上述条款和条件”。

5. 在选择安装类型下，选择以下选项：

   • VMware vRealize 配置管理器

     • VCM 采集器组件

   • 工具

     • 导入导出工具

     • 基础检查器

     • VMware VCM 包管理器（Windows 版）

   

6. 接受你有意选择分离安装–点击确定。

7. 安装程序将执行前提检查并展示结果。如果检查成功，请点击下一步；如果检查失败，请点击查看结果，修复任何错误和警告，并重新检查。出现零错误之前，请不要继续操作。

8. 在下一页面，输入序列号。

9. 提供安装采集器组件的路径，并接受 SSL3 警告。

10. 指定与你安装 Web 组件时相同的数据库服务器和数据库名称。

11. 提供采集器服务账户的详细信息；该账户将被授予作为服务登录的权限；接受相应的对话框。

12. 提供网络权限账户的详细信息。我们可以稍后添加任意数量的账户，但目前至少需要一个。更多信息可以在本章介绍的服务账户小节中找到。

13. 下一页面是证书页面；点击生成并点击下一步。

14. 在下一页面，为了选择运行发现的域，选择特定的 NetBIOS 和 AD 域。

    注意

    如果你有多个 AD 或 NetBIOS 域，检测所有域可能需要超过 24 小时，并且安装最终可能会失败。为了避免这种情况，建议先选择几个域进行启动，并在 VCM 准备好后再添加其他域。

15. 在下一页，提供安装包管理组件的路径。

16. 在下一页，提供本地包缓存的路径。

17. 现在，你将进入总结页面；检查选项并点击安装。安装收集器服务器组件

18. 在向导的最后页面，点击完成以关闭它并启动 VCM 控制台。

19. 一旦连接到控制台，你将能察觉到单层和双层部署与三层部署的不同之处。

    之前，我们的收集器和 Web 服务器是相同的，但现在，收集器与 Web 服务器是不同的。当然，这一点是预期的，因为我们刚刚完成了它们的单独安装。

    

它是如何工作的...

对于较大的环境，比如需要管理超过 2000 台机器的环境，建议使用三层架构部署。在这里，收集器充当前端 IIS Web 组件和后端 SQL 数据库组件之间的中介。这样可以在所有三个组件之间分配负载。

在三层架构的安装中，当你需要连接到 VCM 控制台时，你需要使用 Web 服务器，而不是收集器服务器。所以，链接将类似于这样：

https://<Web Server IP/Hostname>/VCM

VCM 安装后任务 - 数据库优化调整

VCM 在操作中高度依赖其 SQL 数据库。为了优化 SQL Server 性能，你必须更新默认设置。我们将为 VCM 数据库创建一个维护计划。

准备中

使用具有 SQL 管理员权限的帐户登录到 SQL Server。

如何操作...

我们将在以下子章节中详细说明，如何在三个不同的层次上进行优化调整。

SQL Server - 数据库设置

为确保 VCM 在生命周期内的高效运行，并且需要较少的操作员干预，请设置定期维护计划。可以参考VCM 管理指南。

打开 SQL Server 管理工作室并连接到 VCM SQL Server 实例。然后，按照以下步骤操作：

1. 右键点击你安装的 SQL 实例，并选择属性。

2. 在选择页面区域，选择数据库设置。

3. 配置以下设置：

   • 默认索引填充因子：将填充因子设置为80%，以确保每个索引页面保留 20%的空闲空间。

   提示

   注意：此设置为每个索引页面重建时可用的空闲空间设置一个百分比值。将填充因子设置为80%，以确保每个索引页面保留 20%的空闲空间。此设置是 SQL 维护计划向导的一部分。如果你使用此设置配置默认填充因子，当运行维护计划时，保持索引页面的空闲空间。

   • 恢复间隔（分钟）：将值设置为5

   提示

   注意：此配置了 SQL Server 执行恢复过程所需的大致时间。默认设置为0，这会使 SQL Server 调整此值，并根据服务器的历史操作来基于该值进行计算。在大型环境中，恢复间隔可能会影响 VCM 的整体性能。由于 VCM 不断更新与 SQL Server 的交互方式，以处理那些间隔不同的活动，如检查请求和合规运行，因此服务器会花费大量时间不断调整此值。通过将恢复间隔设置为5分钟，SQL Server 将不再需要调优此值。

4. 点击确定保存设置。

SQL Server - 维护计划

为确保 VCM 在整个生命周期中保持最佳性能，并且需要的操作员干预最小，必须设置常规维护计划。VCM 的运行严重依赖其 SQL 数据库。

该维护计划使用 SQL Server 实例上的自动化维护功能，这些实例托管着 VCM 数据库。

在 VCM SQL Server 实例上，执行以下步骤：

1. 点击开始。

2. 选择所有程序 | Microsoft SQL Server {version} | SQL Server Management Studio。

3. 展开管理文件夹，右键点击维护计划，然后选择维护计划向导。

4. 在维护计划向导页面，点击下一步。

5. 在选择计划属性页面，输入维护计划名称，选择整个计划的单一计划或无计划，然后点击更改。

6. 在作业计划属性 - 维护计划页面，设置计划属性，使维护计划在 SQL Server 空闲或负载低时运行。

7. 点击确定返回到选择计划属性页面，然后点击下一步。

8. 在选择维护任务页面，选择以下维护任务并点击下一步：

   • 检查数据库完整性

   • 重建索引

   • 更新统计信息

   • 清理历史

9. 在选择维护任务顺序页面，排列维护任务顺序并点击下一步。

10. 在定义数据库完整性检查任务页面，定义维护计划如何检查数据库完整性：

    1. 点击数据库下拉菜单。

    2. 选择以下数据库并点击确定：

       • VCM

       • VCM_Coll

       • VCM_Raw

       • VCM_UNIX

       提示

       注意：你必须选择VCM_Raw数据库，因为它包含其他数据库所使用的临时数据。

    3. 选择包括索引，然后点击下一步。

11. 在定义重建索引任务页面，定义维护计划如何重建索引：

    1. 点击数据库下拉菜单。

    2. 选择以下数据库并点击确定：

       • VCM

       • VCM_Coll

       • VCM_UNIX

       提示

       注意：不要重建VCM_Raw数据库的索引。

    3. 在高级选项区域，选择在 tempdb 中排序结果，然后点击下一步。

12. 在定义更新统计信息任务页面，定义维护计划如何更新数据库统计信息：

    1. 点击数据库下拉菜单。

    2. 选择以下数据库并点击确定：

       • VCM

       • VCM_Coll

       • VCM_UNIX

       提示

       注意：不要更新VCM_Raw数据库的统计信息。

13. 在定义历史数据清理任务页面，定义维护计划如何清理 SQL Server 机器上的历史数据，然后点击下一步：

    1. 选择备份和恢复历史。

    2. 选择SQL Server Agent 作业历史。

    3. 选择维护计划历史。

    4. 设置清理任务以删除超过 4 个月的历史数据。

14. 在选择报告选项页面，保存维护计划操作的报告：

    1. 选择将报告写入文本文件。

    2. 选择一个文件夹保存报告并点击下一步。

15. 在完成向导页面，验证你在维护计划向导摘要中的选择，展开选择以查看设置，然后点击完成。

16. 当维护计划向导进度完成时，验证每个操作是否成功。

它是如何工作的...

在本教程中，我们试图确保 VCM 的 SQL Server 运行最优，并且我们不需要太多操作员干预来进行 VCM 维护。

我们安排了一个维护计划，以保持我们的数据库整洁并帮助其更好地运行。

第二章。配置 VCM 以管理您的基础设施

在本章中，我们将涵盖以下几篇指南：

• 添加 vCenter 服务器实例

• 添加 vCloud Director 和 vShield 实例

• 从管理的机器收集数据

• 添加发现规则

• 添加网络权限账户以管理多个域中的机器

• 配置用于虚拟环境管理的管理代理机器

• 在 Windows 服务器上安装代理

• 在 Linux 服务器上安装代理

• 创建机器组

介绍

一旦安装了 VCM，我们需要对其进行配置，使其适应我们的环境；默认配置需要根据环境特定的变化进行修改。为了管理我们的基础设施，我们需要在 Windows 和 Linux 服务器上安装代理。这可以通过多种方式实现，例如通过脚本安装，或者如果我们使用自动化来部署机器，也可以使用自动化工具本身，或将其推送到 VCM 识别的服务器。

我们需要将 vCenter、vCloud 和 vShield 服务器实例添加到 VCM，以便开始利用这些系统中可用的详细信息，如已部署的机器和 vApp，这些可以用来创建各种报告。同时，捕获的详细信息还包括基础设施中部署的虚拟机，这些虚拟机可以被 VCM 用来部署代理并纳入管理。

我们需要创建各种机器组；机器组基本上是可以根据不同目的（例如修补、报告和合规性检查）将机器集合成一个实体的集合。

在本章中，我们将开始配置 VCM，以便它为日常操作做好准备。

我们开始吧。

添加 vCenter 服务器实例

在我们开始管理虚拟基础设施之前，我们需要将这些组件添加到 VCM。我们将从以下几篇指南开始添加它们，从 vCenter 开始。

准备工作

我们将需要一个具有管理权限的用户来访问我们要添加到 VCM 的 vCenter 实例，以及其完全限定域名（FQDN）或 IP 地址。

如何操作...

要将 vCenter 实例添加到 VCM，请登录到 VCM 服务器 UI 并按照以下步骤操作：

1. 使用管理员帐户登录到 VCM。

2. 转到管理 | 机器管理器 | 许可机器 | 许可虚拟环境。

3. 点击添加机器。

4. 在向导的第一页上选择基础。

5. 输入机器名称的主机名（此处不使用 FQDN），从下拉菜单中选择机器所属的域，选择DNS作为类型，选择vCenter Windows作为机器类型。

6. 点击添加，然后点击下一步。

7. 点击完成以关闭向导。

   注意

   通过这些步骤，我们将 vCenter 实例添加到 VCM，但我们仍然需要进行配置，以便能够收集详细信息。

8. 现在，选择刚才添加的 vCenter 实例，然后点击配置设置。

9. 在此向导中，选择 vCenter 实例。

10. 提供以下信息：

    • 管理代理：您的收集器服务器

    • 端口：443

    • 用户 ID：具有 vCenter 管理员访问权限的用户

    • 密码：用户密码；输入两次以确认

    • 忽略不受信任的 SSL 证书：是

11. 填写完所有细节后，点击下一步。如何操作...

    注意

    注意：用户必须具有 vCenter Server 管理员角色或只读角色。然而，您无法使用只读角色执行操作。

12. 点击完成以关闭向导。

13. 在 VCM 控制台上，vCenter 实例的名称前应该有一个绿色圆圈。

它是如何工作的...

我们将 vCenter 添加到 VCM，以便收集关于该实例中所有 ESXi 主机、所有虚拟机等的信息，并根据这些信息，我们可以为我们的虚拟基础设施创建合规性检查，发现虚拟机作为 VCM 中的管理机器，进而安装代理，并收集它们的信息。

VCM 从 vCenter 收集以下信息：

• vCenter 概览

• vCenter 自定义信息

• vCenter 来宾

• vCenter 主机

• vCenter 主机配置文件

• vCenter 清单

• vCenter 网络

• vCenter 设置

• vCenter 资源池

• vCenter 角色

添加 vCloud Director 和 vShield 实例

VCM 可以管理三个虚拟元素：vCenter、vShield 和 vCloud。在前面的步骤中，我们添加了 vCenter。接下来，我们将继续进行vShield和vCloud Director（vCD）的配置。

VMware vShield 是一套为 VMware vCenter Server 集成而构建的虚拟安全设备。vShield 安全组是您创建的逻辑信任区，并为其分配资源进行 vShield 保护。

通过将 vCloud 添加到 VCM，您可以使用 vCloud Director 属性创建机器组等。

准备就绪

我们将需要 vShield Manager 和 vCloud Director 实例的 IP 地址以及具有管理员权限的用户账户。

在添加 vShield 之前，您必须先收集 vCenter 实例的数据，如下一个步骤所示。

如何操作...

我们将把此操作分为两个部分，如下所示。

• 添加 vShield 实例

• 添加 vCloud Director 实例

添加 vShield 实例

这与添加 vCenter 略有不同。在添加 vCenter 实例并收集数据后，VCM 会识别 vShield 虚拟机并使其在 VCM 控制台上可供配置，因此我们无需像添加 vCenter 时那样执行额外的步骤；只需要配置它，接下来我们将按如下步骤进行配置：

1. 前往管理 | 机器管理器 | 授权机器 | 授权虚拟环境。

2. 选择 VCM 识别的 vShield 设备，点击配置设置。添加 vShield 实例

3. 确保在启动的向导中选择了 vShield 实例。

4. 提供以下信息：

   • 管理代理：您的收集器服务器

   • 端口：443

   • 用户 ID：具有对 vShield 的管理访问权限的用户

   • 密码：用户的密码；输入两次以确认

   • 忽略不受信任的 SSL 证书：是

   • 提供此 vShield 实例负责的 vCenter 服务器实例的名称

   

   注释

   注意：用户必须具有 vShield Manager 的管理角色或无限制的只读角色。

5. 点击完成以关闭向导。

再次，在 VCM 控制台上您应该看到刚刚配置的 vShield 实例前面有一个绿色圆圈。

如果没有，请确保您提供了正确的用户名和密码。

添加一个 vCloud Director 实例

登录到 VCM 服务器并按照以下步骤操作：

1. 转到管理 | 机器管理器 | 已许可的机器 | 已许可的虚拟环境。

2. 点击添加机器。

3. 在向导的第一页中选择基本。

4. 在机器名称中输入您的主机名，从下拉列表中选择机器所属的域，选择DNS作为类型，选择vCloud Director作为机器类型。

5. 点击添加，然后点击下一步。

6. 点击完成以结束向导。

   注释

   通过这些步骤，我们将 vCloud 实例添加到 VCM，但我们仍然需要配置它以便收集详细信息。

7. 现在，选择我们刚刚添加的 vCloud Director 实例，然后点击配置设置。

8. 在此向导中选择 vCloud Director 机器。

9. 提供以下信息：

   • 管理代理：您的 Collector 服务器

   • 端口：443

   • 用户 ID：具有对 vCloud Director 的管理访问权限的用户

   • 以user@System格式的本地用户

   • 密码：用户的密码；再次输入以确认

   • 忽略不受信任的 SSL 证书：是

   

10. 点击完成以关闭向导。

11. 在 VCM 控制台上，vCloud Director 实例名称前应该有一个绿色圆圈。

工作原理...

我们在 vShield 实例中提供信息，即暴露给 VCM 的安全组及其成员。这些详细信息也存储在 VCM 数据库中，可以在需要时使用。

添加并执行集合后，我们从 VCM 控制台中的 vCloud Director 数据库获得以下信息：

• vCloud Director 组织

• vCloud Director 虚拟机和 vApps

• vCloud Director 组织目录

• vCloud Director 虚拟数据中心（vDC）和网络

• vCloud Director 组织用户

• vCloud Director 组织群组

• vCloud Director 组织设置

此信息可用于根据 vCloud 组织创建机器组以便相应管理。

收集来自受管理机器的数据

一旦我们完成添加和配置虚拟环境，就可以开始收集数据，进而用于检查合规性、创建必要的机器组、导出报告等。

我们需要收集虚拟环境中的数据以及我们计划管理的所有机器的数据，即 Windows 或 Linux 服务器。

准备就绪

我们要管理的所有服务器应已添加到 VCM 控制台中，可以通过遵循虚拟基础设施的先前步骤或通过本章中的代理安装步骤来完成。

如何操作…

我们将把这个步骤分为两个部分：

• 从虚拟基础设施收集数据

• 从受管机器收集数据

从虚拟基础设施收集数据

要从 vCenter、vShield 管理器或 vCD 实例收集所有数据，请按照以下步骤操作：

1. 登录到 VCM，并按照步骤收集虚拟基础设施数据。

2. 你可以在 VCM 控制台的任何地方，确保机器组是所有机器（要了解更多关于机器组的信息，请查看创建机器组的步骤），然后点击左上角的收集。

3. 这将启动一个向导；在收集类型下选择机器数据。

4. 选择你要收集数据的机器，在本例中，可以选择任何或所有 vCenter、vShield 和 vCloud 服务器。选择它们并确保它们在右侧，然后点击下一步。

5. 选择选择数据类型来收集这些机器的数据。

6. 在数据类型下，勾选虚拟化下的每个复选框：

7. 确保没有冲突，然后点击完成。

8. 点击 VCM 控制台左上角的作业。

9. 确保收集数据的任务已成功完成。

从受管机器收集数据

在本小节中，我们将收集来自受管机器的数据，如 Windows 和 Linux 服务器。请按照以下步骤操作：

1. 登录到 VCM，并按照步骤收集虚拟基础设施数据。

2. 你可以在 VCM 控制台的任何地方，确保机器组是所有机器（要了解更多关于机器组的信息，请查看创建机器组的步骤），然后点击左上角的收集。

3. 这将启动一个向导；在收集类型下选择机器数据。

4. 在下一页，选择你想要收集数据的机器/机器组。选中的机器必须位于右侧。

5. 你有两种选择来决定如何收集数据：根据数据类型或根据收集筛选器集。

   注意

   注意：如果你选择数据类型，那么你将看到可以从操作系统的各种实体中选择的选项，如账户、账户策略、磁盘空间、设备驱动器等，这些选项与我们所选的机器的操作系统相关。如果选择筛选器集，VCM 会预先创建一组筛选器，可以用于从受管机器收集数据。这些筛选器集可以在安装 VCM 时或在导入任何合规模板时手动创建。

   

6. 根据你选择的内容，下一页面将有所不同。

7. 对于数据类型窗口，选择单独的数据类型或选择全部数据类型。

8. 对于过滤器集窗口，选择适当的过滤器集以收集数据。

9. 确保没有冲突，并关闭向导。它将启动一个采集任务，VCM 将访问指定的机器并根据数据类型或选定的过滤器集收集详细信息。

如何工作...

在之前的步骤中，我们添加了 vCenter、vCD 和 vShield Manager；现在，我们需要导入这些元素的数据。通过执行采集操作，我们将这些系统中的详细信息添加到 VCM 中，以便我们可以通过一个单一的界面查看所有细节。

从这些系统获取的详细信息已经在之前的步骤中提到。当 VCM 执行采集操作时，它会进入每个应用的数据库，提取所有相关信息，然后将其存入自己的数据库。例如，当我们执行 vCenter 采集时，它会收集所有虚拟机、ESXi 主机、其版本、虚拟机的快照详情、虚拟机配置等信息。所有数据都将在 VCM 控制台下的控制台 | 虚拟环境中展示。

对于 vCD，VCM 会获取有关 vApp、虚拟机、目录、本地用户、组等的信息。

这些信息可以通过报告导出，用于合规性检查。这些信息也可以用于创建动态过滤器，进而创建机器组。

从受管机器（如 Windows 和 Linux 服务器）捕获的详细信息将用于分析它们当前的合规性和补丁状态。

还有更多...

如果你想了解过滤器集的详细信息，请查看 VMware 的以下文章：

www.vmware.com/support/vcm/doc/help/vcm581/Content/Core_CS/AdminSettingsCollFltr.htm

添加发现规则

VCM 必须先发现你环境中的机器，然后才能从中收集数据。你可以创建一个发现规则来自动发现所有机器，或者可以应用过滤器来限制 VCM 发现的机器。发现规则用于自动发现受管机器。

准备工作

你必须配置并收集来自 vCenter 和 vCloud 的数据，才能添加数据库发现规则。

你必须为虚拟环境以及 Windows、Unix 和 Linux 机器配置许可，以便用于数据收集。当你为这些虚拟或物理机器配置许可时，它们会出现在已许可机器列表中。

VCM 可以从 Active Directory、浏览器列表、域控制器、数据库或通过 IP 地址发现机器。

我们将在本步骤中执行数据库发现操作；你可以在实验室中查看其他选项。

如何操作...

我们将通过以下步骤配置 VCM 以发现 vCenter 虚拟机：

1. 以管理员身份登录 VCM。

2. 转到管理员 | 机器管理器 | 发现规则；点击绿色加号按钮以添加新发现规则。

3. 这将启动一个向导；提供一个名称和描述。

4. 选择通过数据库发现：复选框。

5. 在发现查询下选择vCenter 来宾系统。

6. 另外两个选项是使用 vCloud Director 或直接从主机。

7. 在下一页，根据此表格选择/填写选项：

   选项	描述
   机器名称格式	VCM 显示来宾机器的格式。您可以选择NetBIOS、DNS或VM/vCenter名称格式。
   域名	添加新机器时的域。该域与手动发现添加机器时的域名属性相同。
   域类型	从Active Directory、DNS或NetBIOS域类型中选择一个。
   协议	选择DCOM或HTTP。
   HTTP 端口（默认为空时使用）	这将使用目标机器上的 HTTP 监听器。监听器配置为在指定端口上监听。端口26542是默认设置。接受的端口值范围为1到65535。其他应用程序不得使用此端口。
   使用代理服务器	否
   连接字符串	这是要联系的虚拟机的地址。此地址可能与 DNS 或其他名称解析系统通过机器名称解析得到的地址不同。当 VCM 必须通过网络地址转换（NAT）地址联系 vApp 虚拟机时，请使用此地址。
   ESX 主机名称过滤器	根据您输入的信息，此过滤器将查询虚拟环境中的 ESX 主机名称。
   虚拟机来宾名称过滤器	根据您输入的信息，此过滤器将查询虚拟环境中 ESX 主机上的来宾虚拟机名称。
   来宾 DNS 名称过滤器	根据您输入的信息，此过滤器将查询域名服务器。
   来宾操作系统名称过滤器	根据您输入的信息，此过滤器将查询虚拟环境中的来宾操作系统。
   电源状态	根据您输入的信息，此过滤器将查询虚拟环境中来宾虚拟机的状态。

   在按照表格中所述做出适当选择后，您的屏幕应该如下所示：

   

8. 选择是以在规则创建结束后启动发现，如果需要，您还可以选择许可并在发现的机器上安装代理。

9. 单击完成以关闭向导。

它是如何工作的...

由于这是对 VCM 数据库执行的查询，我们必须在运行此发现规则之前至少对一个 vCenter 服务器进行数据采集。

如果你选择不为机器授权，VCM 会将机器添加到机器管理器中的可用机器列表；如果选择将其作为发现规则的一部分进行授权，则它们将归类为授权的 Windows 或 Unix 机器。

更多内容...

这是从 VCM 帮助文档中提取的所有可用方法的表格，地址：www.vmware.com/：

序号	方法	描述
1	通过活动目录	通过此方式可以发现所有在所选 AD 域中有账户的机器。发现过程根据当前的域控制器数据识别机器。
2	通过浏览列表	此方式通过启用计算机浏览器服务的机器来发现机器。当规则通过浏览列表发现机器时，VCM 会返回每台机器的 NetBIOS 域名。
3	通过域控制器	通过此方式可以发现所有在所选域中有账户的机器。当域控制器执行定期更新时，现有机器可能不会显示，而已删除的机器可能会出现。
4	通过 IP 地址	此方式通过特定的 IP 地址范围来发现网络中所有机器。发现的机器会出现在可用机器列表中。
5	通过数据库发现	此方式通过用于发现规则的 SQL 查询来发现机器。该发现类型使用 VCM 已经从其他来源收集的数据作为发现新系统的基础。你可以发现由 vCD 管理的虚拟机、虚拟机客体和虚拟机主机。

更多内容请参见这里：

www.vmware.com/support/vcm/doc/help/vcm581/Content/Core_CS/AdminMachMngrDiscAECWiz.htm

添加网络授权账户以管理多个域中的机器

对于中型到大型基础设施，通常会有多个活动目录域可用。我们可以使用 VCM 管理多个域中的服务器。本节解释了你需要做的工作。

准备工作

必须有适当的名称解析。如果中间有防火墙，则第一个章节中提到的端口必须开放。

我们需要为每个域提供一个网络授权账户，以便管理该域中的机器，以及执行 VCM 功能，如数据收集、打补丁等。

如何操作...

我们需要添加域和网络授权账户，并最终将它们关联在一起。

转到管理 | 设置 | 网络授权

我们有三种选择：

• 可用域（在执行安装时识别的域）；如果需要，我们可以添加新的域

• 可用账户（在执行 VCM 部署时，我们分配了一个 NAA）

• 分配账户

可用域

在执行 VCM 服务器安装时，域会在某个步骤中进行标识；现在，我们可以添加额外的域。在可用域下点击添加，并提供域名称和类型。

可用账户

在可用账户下，我们可以看到哪些网络权限账户是可用的，然后可以添加任何额外的账户或删除不需要的账户。

分配的账户

这是我们将可用账户与可用域关联的地方。

转到分配的账户 | 按域 | Active Directory，然后点击编辑分配的账户，并将可用账户与此域关联。

它是如何工作的...

基本上，通过遵循这个过程，我们为将由 VCM 管理的各个域中的所有机器分配了具有本地管理员权限或第一章中解释的权限的账户。

我们可以根据需要分配任意数量的账户。当启动 VCM 功能时，将按指定顺序尝试分配的账户。当某个账户被再次启动时，将优先使用最后成功使用的账户。账户按分配顺序从上到下列出。

如果一台机器出现在多个列表中（如域和机器组），则用于与其联系的权限账户的顺序如下：

• 最后一个成功使用的账户

• 分配给域的账户

• 被分配给任何机器组（包括默认的所有机器组）的账户

我们只需要对 Windows 进行此操作，因为在 Linux 的情况下，我们需要在 VCM 控制台中接受证书。除非我们接受该证书，否则无法通过 VCM 修补 Linux 机器。要接受证书，在 VCM 控制台中，转到管理 | 证书，选择机器，然后点击更改信任状态。按照向导操作，您将看到机器前面有一个握手符号。这样，您就可以通过 VCM 控制台修补 Linux 机器。执行此操作的步骤将在下一篇食谱中介绍。

为虚拟环境管理配置管理代理机器

管理代理是管理收集器与我们通过 VCM 管理的虚拟环境之间通信的系统，即 vCenter Server、vCD 和 vShield Manager。在本食谱中，我们将指定一个系统作为管理代理。

准备工作

我们需要在机器上安装版本 5.5 或更高版本的代理，并收集其数据，这将被指定为管理代理。请参考下一篇食谱。

管理代理机器必须安装版本 5.5 或更高版本的代理。

我们可以指定任何能够与 VCM、vCD、vShield 和 vCenter Server 通信的服务器作为管理代理。

如何操作...

登录 VCM 并按照以下步骤指定一个管理代理，然后将其更改为受管虚拟环境：

1. 转到管理 | 证书。

2. 选择你想要指定为管理代理的机器。

3. 选择更改信任状态。

4. 勾选信任框或取消勾选以取消信任所选计算机框，点击下一步，然后在下一页点击完成以完成向导。

5. 再次选择机器，并点击顶部菜单中的管理代理。

6. 选择启用，点击下一步，然后在下一页点击完成以完成向导。

   注意

   注意：管理代理的选择完全取决于你管理的基础架构的大小；你可以使用收集器作为管理代理，也可以使用另一台 Windows 机器。如果你的单个 vCenter 实例管理 1 到 30 个主机，并且最多有 1,000 个虚拟机，那么你可以将收集器作为管理代理。否则，请指定一个专用的管理代理。

   

7. 所选服务器现在将成为管理代理。

8. 一旦指定了管理代理，我们可以将其更改为受管虚拟环境。

9. 转到管理 | 机器管理器 | 许可机器 | 许可虚拟环境。选择你想要更改管理代理的机器，并点击配置设置。

10. 如有必要，选择已添加的机器。

11. 在顶部，有一个下拉框可以选择其中一个可用的管理代理。更改为新的管理代理并点击下一步（截图中不可见），然后在下一页点击完成以关闭向导。

12. 对基础架构中其余的虚拟环境重复步骤 8 到 10。

工作原理...

管理代理是管理收集器与虚拟环境之间通信的系统，它使用各个产品的 VMware API。它们必须配置为管理虚拟环境实例与收集器之间的安全通信。

如果任何 vCenter 实例的管理主机数量在 1 到 30 台之间，并且最多有 1,000 个虚拟机，建议 VCM 收集器充当管理代理。默认的管理代理是收集器服务器，但随着工作负载的增加，我们可以开始添加其他代理。在本食谱中，我们介绍了如何指定受管机器作为受管代理。

我们正在指定另一台服务器与虚拟环境通信，以便将一些工作从 VCM 收集器中卸载。该服务器必须能够连接到虚拟环境服务器和 VCM 收集器。

在 Windows 服务器上安装代理

在开始管理任何机器之前，我们需要在其上安装一个代理。这可以通过多种方式完成，例如从 VCM 控制台推送、手动安装或通过脚本安装。

在此步骤中，我们将介绍如何在 Windows 服务器上手动安装代理和使用脚本安装代理。

准备工作

准备服务器以安装代理；安装程序位于 VCM 收集器服务器上的X:\Program Files (x86)\Vmware\VCM\AgentFiles，证书位于X:\Program Files (x86)\Vmware\VCM\CollectorData，其中X是安装 VCM 的驱动器。

从共享位置复制安装程序和证书，可以将其复制到希望安装的服务器上。

我们需要在将安装代理的服务器上获得管理员访问权限。

本地防火墙应禁用（不推荐）或在管理的机器和 VCM 收集器之间必须开放端口26542。

对于代理推送，我们需要将机器注册为 VCM 控制台上的许可机器，并且网络权限账户必须是本地管理员组的一部分，还需在推送代理的机器上开放端口26542。

如何执行...

我们将这个步骤分成三个部分，如下所示

• 手动安装代理

• 从控制台推送代理

• 许可 Windows 机器

手动安装代理

使用管理员帐户登录服务器，将带证书的安装程序复制到本地，并按以下过程操作：

1. 启动VCMAgentInstall.exe。

2. 再次点击下一步，然后在目标位置屏幕上，继续使用默认值C:\Windows\CMAgent。

3. 选择允许 HTTP，并使用默认端口26542。

4. 在此页面上，浏览到复制证书的位置。

5. 点击下一步三次，然后它将开始安装代理。

6. 安装代理后，登录到 VCM 控制台。

7. 转到管理 | 机器管理器 | 许可机器 | 许可的 Windows 机器，然后点击添加机器。

8. 选择基本并自动许可机器。

9. 提供安装代理的机器详细信息，如下所示：

   • 提供机器名称参数的主机名

   • 从下拉列表中选择该机器所属的域

   • 将类型选择为DNS

   • 选择Windows 服务器作为机器类型

10. 点击下一步，然后点击完成以关闭向导。

11. 将机器添加到 VCM 后，我们需要在控制台上点击刷新按钮，并点击收集以开始数据收集。

12. 监控数据收集作业，最后，将机器添加到 VCM 完成。

从控制台推送代理

该机器应在 VCM 控制台中，可以通过运行发现规则或手动添加来实现。现在，我们可以从控制台执行代理推送。

登录到 VCM 控制台，并按以下步骤在机器上安装代理：

1. 转到管理 | 机器管理器 | 许可机器 | 许可的 Windows 机器，并选择要添加代理的机器。

2. 在菜单中点击 安装。

3. 向导将会打开。确保机器出现在 已选择 框中。

4. 在下一个页面中，设置以下值：

   • 安装地点： 保持默认设置。

   • 安装来源： 保持默认设置。

   • 选项： 选择 HTTP 并将端口设置为 26542，其余保持默认。

   

5. 在计划屏幕上，选择 立即运行。

6. 确认选择后点击 完成。

7. 点击 作业 查看作业是否成功，完成后返回控制台，向右滚动，检查机器的代理状态是否从 未知 变为 当前代理，并显示其代理版本为 5.8.2。

8. 一旦机器安装了代理，进行初始数据收集。

授权 Windows 机器

我们将执行以下步骤为受管理机器授权。这些步骤对于 Windows 和 Linux/Unix 机器是相同的。

1. 使用管理员账户登录 VCM 控制台。

2. 点击 管理。

3. 前往 机器管理器 | 可用机器。

4. 选择需要授权的 Windows 机器。

5. 点击 许可证。

跟随向导完成机器授权，如果可用数量为负且显示为红色，请联系 VMware 购买更多授权。

如何运作...

通过本操作，我们确保要管理的机器已安装代理、在 VCM 中已授权，并且已经执行了数据收集。

VCM 拥有足够的信息来启动软件部署；将机器放入正确的机器组。我们可以执行更具体的收集操作，了解合规状态或修补状态，并根据情况修复机器或安装缺失的补丁。

还有更多...

我们可以使用脚本来安装代理。

这是脚本的代码：

cd C:\VCM_Agent 
CMAgentInstall.exe /s INSTALLPATH=C:\Windows\CMAgent PORT=26542 CERT=C:\VCM_Agent\VMware_VCM_Enterprise_Certificate_E5D8927D-A9A7-43E8-8E6F-5C88D1E40F12.pem 

下面是各个选项的含义：

序号	选项	描述
1	C:\VCM_Agent	BAT 文件、安装程序和证书复制的路径
2	CMAgentInstall.exe	VCM 代理安装程序
3	/s	静默安装选项
4	INSTALLPATH	安装 VCM 代理的服务器位置
5	PORT	VCM 代理通信所用的端口
6	CERT	VCM 企业证书路径

只需运行批处理文件，然后按照步骤 6 至 11 完成代理安装。

你也可以使用 PowerCLI 命令 Copy.VMGuestFile 和 Invoke-VMScript 来自动化部署。

在 Linux 服务器上安装代理

我们需要一个代理来管理 Linux/Unix 机器；在本操作中，我们将手动在 Linux 机器上安装代理。

准备中

如果是 Linux 安装程序，请确保从与管理的机器所在的同一台 VCM 服务器复制，因为 VCM 证书已嵌入安装程序中。如果我们使用来自另一台 VCM 服务器的安装程序，然后尝试从不同服务器管理它，将失败。

从 VCM 服务器将正确的安装程序复制到 Linux 服务器。

安装先决条件并验证目标机器上是否安装了 glibc.i686、net-tools 和 redhat-lsb-core 软件包。

如果防火墙已启用，请打开 26542 端口。

我们需要机器根密码来安装代理。

代理程序位于 VCM Collector 服务器的 X: \Program Files (x86)\VMware\VCM\Installer\Packages\CMAgent.5.8.2.linux，与 Windows 不同，不需要像在 Windows 上那样复制证书，因为证书已嵌入安装程序中。

如何做...

按照以下步骤在 Linux 机器上安装代理程序：

1. 使用 scp 或 winscp 在服务器上复制安装程序。

2. 以 root 用户登录 Linux 服务器。

3. 运行 chmod u+x CMAgent.5.8.2.linux 。

4. 运行 ./CMAgent.5.8.2.linux 。

5. 将修改后的 savedcsi.config 文件复制到解压后的位置。

   注意

   注意： csi.config 是 VCM 代理用于安装代理的配置文件。

   有关配置选项的更多详细信息，请访问 www.vmware.com/support/vcm/doc/help/vcm581/Content/NIX/CM_Ref_UNIX_csi_config_options.htm。有很多选项可用于配置 csi.config 文件。

   我们需要设置 CSI_AGENT_RUN_OPTION = daemon 以将其作为守护进程启动；至于其他方面，您可以与您的 Linux 管理员协商并决定。

   例如： # cp /<Shared_location> csi.config /<extractedlocation>/CSIInstall/csi.config 。

6. 完成后，运行安装程序脚本 ./CSIInstall/InstallCMAgent -s 。

   安装代理后，从第 6 步开始按照先前的步骤操作；只需将位置从 Licensed Windows Machines 更改为 Licensed UNIX Machines，并在输入详细信息时，根据操作系统设置 Machine Type 为 Red Hat Server 或任何其他操作系统，并按照以下截图：

   

工作原理...

我们还将代理添加到 Linux/Unix 机器上，以便收集受管机器的详细信息；然后，这些详细信息将用于检查合规性和补丁状态。

还有更多...

我们可以创建一个预配置的 csi-config 文件，并将其与安装程序一起复制到 /opt/CMAgent。

将以下脚本内容复制到 .sh 文件中。

赋予执行权限： chmod CMAgentInstall.sh 755 。

然后运行 ./CMAgentInstall.sh 命令。

IPTABLES="/sbin/iptables" 
grep -i suse /etc/issue >/dev/null || rc=$? 
if [ $rc -ne 0 ]; then 
  IPTABLES="/usr/sbin/iptables" 
fi 

${IPTABLES}-save > /opt/APPL/iptables.CMAgent.preinstall 
${IPTABLES} -I INPUT -m state --state NEW -p tcp --dport 26542 -j ACCEPT 

grep -i suse /etc/issue >/dev/null || rc=$? 
if [ $rc -ne 0 ]; then 
  /sbin/SuSEfirewall2 open EXT TCP 26542 
else 
  grep -i maipo /etc/redhat-release >/dev/null || rc=$? 
  if [ $rc -ne 0 ]; then 
    /sbin/firewall-cmd --zone=public --add-port=26542/tcp --permanent 
  else 
    /sbin/service iptables save 
  fi 
fi 

cd /opt; /opt/APPL/CMAgent.5.8.2.Linux 
cp /opt/CMAgent/csi.config.CMAgent /opt/CSIInstall/csi.config 
/opt/CSIInstall/InstallCMAgent -s 

脚本识别机器的操作系统，并基于此在本地防火墙上打开 26542 端口。然后，它复制预配置的 csi.config 文件，并最终从 /opt/CSIInstall 文件夹安装代理。

创建机器组

机器/虚拟对象组用于将管理的机器和虚拟对象组织成小的逻辑组。VCM 部署时会提供默认组（更多细节见更多内容...部分）。

准备就绪

作为管理员，你必须有一定的想法，了解哪些机器应该放在一起。你可以利用这个概念，根据需求创建机器组。

如何操作...

一旦你对要通过组实现的目标有了基本的了解，登录到 VCM 控制台，并按照接下来详细描述的步骤进行操作。

我们将创建一个机器组，包含所有属于Study.local活动目录组的机器，并且一旦有新机器从相同域添加到 VCM，它将自动添加这些机器。

1. 进入管理 | 机器管理器 | 机器/虚拟对象组 | 所有机器，然后点击添加组。

2. 提供名称和适当的描述，然后点击下一步。

3. 设置成员类型为动态或静态。

4. 在我们的例子中，我们选择了动态，所以在下一页点击完成以完成向导。

5. 再次执行第 1 步，但这次，进入我们刚刚创建的机器组。点击该组，然后点击过滤器。在这里，我们将定义将机器添加到此组的标准。

6. 在过滤器下，点击添加过滤器。

7. 提供一个有意义的名称和描述，然后点击下一步。

8. 现在，我们从 vCenter、vCloud 和所有管理机器中收集的所有细节都可以在这里进行过滤。

9. 创建过滤器时，你的想象力是唯一的限制，你可以使用从 VCM 收集的所有信息。在我们的例子中，我们选择了机器作为数据类型；这就是你通过经验和期望共同作用来创建你想要的机器组的地方。

10. 在规则类型下选择基本。

11. 现在，添加你的条件，比如域名 = 'STUDY'。

12. 点击下一步，然后点击完成关闭向导。

13. 现在，进入机器组，刷新后，你将看到所有属于STUDY域的机器。

它是如何工作的...

当你使用管理机器时，可以创建静态组，其中成员由手动选择，或者动态组，其中过滤器动态决定成员资格。机器可以属于多个组。

你可以在主工具栏上设置活动机器组，并且可以在文本框右侧定义机器过滤器，正如这个截图所示。机器组过滤器进一步限制所选机器组。

除了在管理滑块中的节点外，所有节点中的活动机器组都会将显示的数据限制为所选机器组中定义的管理机器。

还有更多...

这是安装 VCM 时创建的默认组列表：

名称	描述
所有机器	VCM 中的所有已许可机器
AD 自动创建	Active Directory 自动创建的机器组
所有 Unix 机器	所有 Unix 机器
所有 VM 客户端机器	来自受管理 vCenter、vCloud 和 vShield 环境的所有受管理 VM 客户端
所有 VM 客户端 Unix 机器	所有 VM 客户端 Unix 机器
所有 VM 客户端 Windows 机器	所有 VM 客户端 Windows 机器
所有 VM 主机机器	所有 VM 主机机器
所有 Windows 机器	所有 Windows 机器

动态组

在动态组中，我们定义一个或多个过滤器，并根据这些过滤器来填充组。如果定义了多个过滤器，那么它们之间会进行逻辑 AND 操作。

你的想象力是唯一的限制，考虑到你在 VCM 中拥有的数据量，并且在创建组的过滤器时，这些数据都是可以使用的。

静态组

在静态组中，我们在创建组时定义成员，然后根据需要更新它们。与这些组没有关联任何过滤器。

最佳的使用案例是为所有 vCenter Server 实例创建一个静态组，因为我们不会每天添加成员，如果添加了成员，也可以手动添加。

第三章：Linux 补丁管理

本章我们将涵盖以下内容：

• 安装 SCR 所需的先决条件

• 安装 SCR 工具

• 设置 SCR 配置文件

• 安排内容下载

• 配置 Apache

• 在 VCM 中配置补丁仓库选项

• 配置 VCM 中的暂存选项

• 配置 SCR 工具的补丁库基础路径

• 创建补丁评估模板

• 在 Linux 机器上部署补丁 - 按需

• 在 Linux 机器上部署补丁 - 定时

简介

在进行 Linux/Unix 或 Macintosh 补丁管理之前，我们需要配置一个可以下载供应商提供格式的补丁的仓库。一旦补丁下载完成，我们需要确保它们可以被我们计划补丁的机器访问。这时，VMware 的 软件内容仓库（SCR）工具就派上用场了。SCR 是一个基于 Java 的工具，安装在一个独立的 RHEL 7 虚拟机上。SCR 从 内容分发网络（CDN）下载补丁签名文件和操作系统供应商补丁内容，并从操作系统供应商的网站下载仅限订阅的内容。

自 SCR 6.1 版本发布以来（该版本与 VCM 5.7.3 一起发布），VMware 仅支持在 RHEL 7.x 上安装（请参阅 VCM 7.5.3 发布说明）。

注意

请注意，您必须具备基本的 RHEL 7 或基本的 Linux 命令知识，才能顺利完成本章内容。

请注意，如果您需要为 RHEL 7 目标机器打补丁，您必须使用基于 RHEL 7 Server（64 位）的新 SCR 工具 6.1 版本。然而，VCM 仍然支持在 RHEL 6 Server（64 位）上使用 SCR 工具进行早期 Linux 平台的补丁管理。

SCR 不涉及补丁管理、配置或部署。它仅充当一个仓库，供需要补丁的客户端通过 HTTP、HTTPS、FTP 和 NFS 等多种方式访问。作为 VCM 管理员，我们需要定义受管机器访问内容的方式，例如通过 HTTP、HTTPS 或 NFS 下载。我们需要在 SCR 服务器上进行必要的更改，如安装 Web 服务器以通过 HTTP 提供补丁，添加适当的证书以便通过 HTTPS 访问等。

Linux 补丁管理工作原理

以下是来自 VMware 文档的图示，展示了 VCM 如何与 SCR 配合工作：

以下是根据前述图示使 Linux 补丁管理正常工作的步骤：

1. 我们在 RHEL 机器上配置 SCR 工具（最大的蓝色框）；我们可以为负载均衡配置多个此类工具。

2. 补丁通过 CDN 或供应商下载到 SCR 服务器上配置的相应文件夹中。

3. 同时，VCM 服务器（最大的绿色框）检查已管理的 Linux 机器（较小的绿色框）的补丁状态。然后，VCM 管理员决定安装哪些补丁。VCM 从 www.vmware.com/ 下载补丁通告，以获取有关补丁的最新信息。

4. 一旦 VCM 管理员决定要安装哪些补丁，所有的 Unix/Linux 机器都会访问 SCR 服务器以获取这些补丁。

5. 管理的机器安装补丁并将最新状态通知 VCM 服务器；基于此，如果需要，VCM 管理员可以采取进一步措施，例如故障排除或安装未成功的补丁。

SCR 虚拟机要求

让我们看看您应该考虑的一些值，以便为 SCR 虚拟机进行规划。

各平台所需 SCR 存储空间估算

支持的平台	补丁内容文件和负载所需的最小存储空间
AIX	130 GB
CentOS	80 GB
HP-UX	15 GB
Mac OS X	210 GB
Oracle 企业版 Linux (OEL)	80 GB
RedHat	80 GB
Solaris	325 GB
SUSE	60 GB

SCR 虚拟机硬件要求

以下是部署 SCR 所需的基本硬件要求：

硬件	规格
操作系统	RHEL 7.x x86_64
硬盘	20 GB 基础操作系统 + 按前表所列的额外磁盘。此磁盘需要挂载在服务器的/opt/vcmpatches目录下。请按照www.techotopia.com/index.php/Adding_a_New_Disk_Drive_to_an_RHEL_6_System中的步骤，这适用于 RHEL 6，但在 RHEL 7 上也能很好地工作。
处理器	如果是虚拟机，需 2 个 vCPU
RAM	4 GB
网卡	1 GBps，具有互联网访问

SCR 的补丁网站列表

这是我们需要访问的用于下载相应操作系统补丁的网站列表：

平台	下载网址
所有平台	configuresoft.cdn.lumension.com/configuresoftnovell.cdn.lumension.com/a248.e.akamai.net/f/60/59258/2d/vmware.cdn.lumension.com/
CentOS	vault.centos.org 你也可以使用 Web 服务返回的镜像：mirrorlist.centos.org
RedHat	xmlrpc.rhn.redhat.com/XMLRPC
SUSE	you.novell.com/update/nu.novell.com/repo/$RCE/

注意

查看www.vmware.com/pdf/vrealize-configuration-manager-software-content-repository-tool-61-guide.pdf获取更多 SCR 支持的操作系统详细信息。

安装 SCR 先决条件

如前所述，SCR 是一个基于 Java 的工具，因此它有一些先决条件，比如在基础操作系统上安装最新版本的 JRE 和 JDK。现在我们将检查启动 SCR 所需的所有要求。

准备工作

在开始之前，我们必须部署一个 RHEL 7 服务器，RHEL 安装程序的最低安装选项会安装我们启动时所需的必要功能。我们将需要安装 Apache 和一些其他工具，但这些可以稍后安装。最新的 JRE 和 JDK RPM 文件可以从 Oracle.com 下载。我们还需要 root 凭据来安装补丁。

如何操作...

使用 SSH 工具（如 PuTTY）登录到 RHEL 服务器，进入已复制安装程序的文件夹。然后，按照以下步骤操作：

1. 下载中：

   访问 www.oracle.com/index.html，下载适用于 RHEL 7 x64 的最新 JRE 和 JDK RPM 文件。

   一旦 RPM 文件下载完成，您可以使用 winscp 等工具将安装程序复制到 SCR 服务器。

2. 使用 RPM 安装 JDK：

   使用 cd 命令进入您复制了安装程序的文件夹，然后运行此命令：

   rpm -ivh <jdk Installer filename>.rpm
   
   

3. 安装 JRE：

   继续之前的操作，运行此命令以安装 JRE：

    rpm -ivh <jre Installer filename>.rpm
   
   

4. 验证 Java 加密扩展（JCE）：

   默认情况下，当您安装包含 JCE 的 Java 工具时，无需单独再次安装 JCE。

   运行以下命令验证 JCE 是否已安装：

   find / -iname US_export_policy.jar
   
   

   

它是如何工作的...

由于 SCR 是一个基于 Java 的工具，因此我们需要安装最新的 JRE 来使工具正常工作。

您可以安全安装的最低 Java 版本是 JRE 8u72，这是我们在本书中使用的版本。AIX、HP-UX、RedHat、Solaris 和 SUSE 需要 JCE。它在我们使用第三方凭据的属性文件中加密密码，这些属性文件用于下载补丁内容。

VCM 从 www.vmware.com/ 下载关于补丁的元数据。

VCM 完全不了解 SCR 服务器上有哪些补丁可用；它从 www.vmware.com/ 获取数据，而 SCR 从其他位置获取更新。

SCR 和 VCM 之间没有同步，因此建议您将 SCR 服务器在夜间同步，以确保所有补丁都已下载，然后从 VCM 开始推送补丁。

安装 SCR 工具

在本教程中，我们将在之前准备的 RHEL 虚拟机上安装 SCR 工具。

准备工作

您应该已经确认满足了前面教程中提到的所有先决条件。

从 www.vmware.com/ 下载最新版本的 SCR，本文撰写时为 SCR 6.1.21。将 ZIP 文件复制到 SCR 虚拟机的 /tmp 目录中。

我们还需要 RHEL 和 SUSE 等供应商的登录凭据，以便加密密码以便稍后在配置文件中使用。

如何操作...

使用 root 凭据登录到 SCR 虚拟机，并按照以下步骤安装并进行 SCR 的基本配置。

安装 SCR

1. 使用以下命令创建 /opt/SCR 文件夹：

    mkdir /opt/SCR
   
   

   从现在开始，我们将此位置称为 scr_root

2. 解压 SCR 安装文件：

   tar -zxvf /tmp/SCR-vmware-6.1.21.tar.gz -c /opt/SCR
   
   

加密内容仓库的密码

从我们在第 2 步停下的地方继续，并开始使用以下命令加密密码：

1. 使用以下命令进入 /opt/SCR/bin 目录：

    cd /opt/SCR/bin
   
   

2. 运行加密密码的脚本：

   ./lumension_encryptor_tool.sh
   
   

3. 提供密码（并确认密码）。

4. 复制加密的密码字符串，并保留它以备后续配置步骤使用。

不仅供应商连接密码，如果需要，代理密码也需要以这种方式加密。

注意

请注意，如果你提供的是未加密的密码，SCR 会假设它已加密，因此无法连接并下载补丁。

它是如何工作的…

我们现在正在准备解压安装程序并加密所有必需的密码，例如 RedHat 网络访问密码、用于从 SUSE 下载内容的密码或用于通过代理的密码。

我们需要在 SCR 使用的明文属性文件中输入密码作为配置输入，以便在开始下载补丁时使用。如果我们输入的是未加密的密码，任何有权限访问该文件的人都能读取它。为避免这种情况，有一个脚本可以加密密码，我们可以在配置文件中提供这个加密后的密码。

这些密码可以在明文配置文件中设置，以便 SCR 进一步处理。

SCR 服务器必须对所有的仓库应用程序文件拥有执行权限，才能访问和更新属性文件。要提供这些权限，请按照以下步骤操作：

1. 在 SCR 服务器上，切换到 scr_root 目录。

2. 要更改权限模式，运行 chmod -R a+x **/* 命令。

设置 SCR 配置文件

SCR 的核心是它的配置文件；如果我们在这里犯错，就无法下载补丁，也无法让我们的 SCR 实例准备好。请注意你所选择的内容；如果某个通道不需要，就不要在配置文件中提到它。

在本节中，我们将查看各种配置选项，它们的含义以及如何配置它们。

准备工作

按照 安装 SCR 配方安装 SCR，并准备加密密码。

请咨询你的操作系统支持团队，了解哪些 Linux/Unix 操作系统将由 VCM 打补丁，这样你可以提前下载这些补丁。

如何操作…

在本节中，我们将为 RedHat Linux 打补丁做准备；然而，同样的原则适用于所有 Linux 操作系统。

示例属性文件位于 scr_root/conf/ 目录中。

如果你到目前为止一直按正确步骤操作，那么 RHEL 属性文件将位于 /opt/SCR/redhat-rt.properties。

如前所述，我们需要配置一个属性文件，SCR 工具将使用该文件来获取配置详细信息并据此执行操作。

要配置文件，请使用你喜欢的 Linux 编辑器打开它。

我们将保持默认值的选项在这里没有讨论。

这里是需要配置的选项：

• platform

  platform参数指定要下载的补丁内容类型。

            platform=LINUX
  

• arch

  arch参数指定指定平台的有效架构字符串。

            arch=X86, X86_64
  

• dist

  dist参数指定 Linux 的发行版。多个值必须用逗号分隔，且不能有空格。

            dist=REDHAT
  

• folder

  folder参数指定存储 SCR 工具输出的根文件夹。默认情况下，此folder为/tmp/SCR/download。

  将其更改为folder=/opt/vcmpatches（我们已将第二个硬盘挂载到此文件夹下；如果你不理解这一点，请咨询你的 Linux 管理员）。

  SCR 工具会在根输出文件夹下创建子目录树。

• thirdparty

  将值设置为true以支持 CentOS、Oracle Linux、RedHat、Solaris 和 SUSE 的第三方下载。

            thirdparty=true or false
  

• user

  user参数指定第三方供应商下载的用户 ID，例如 SUSE 或 RHEL。

            user=string
  

• pwd

  pwd参数为user参数指定的用户 ID 指定一个加密密码。更多详细信息请参见安装 SCR 配方。

            pwd=[encrypted password string]
  

• configlog

  此参数指定输出文件，包含参数和值的列表。这些值反映了 SCR 工具在之前或当前执行过程中使用的参数配置，并可以用于排查问题。

            configlog=config_log_file_path/filename.log
  

• checkPayload

            checkPayload=true or false
  

  将此设置为true。

• dependencyCheck

  这会关闭 Linux 平台的依赖 RPM 下载。

            dependencyCheck= Valid values (not case sensitive): NONE, DIRECT,
            and TRANSITIVE
  

  VMware 建议使用TRANSITIVE，因为这将下载所有相关的补丁。

• channels

  渠道基本上是 Linux/Unix 操作系统的版本；例如，在 RHEL 的情况下，我们有client-x、server-x或workstation-x。

  这是一个针对 RedHat 的示例：

            channels=es-4, server-5
  

  如果你只想下载 RHEL 7 的补丁，请选择server-7。SCR 将只下载此版本的补丁。

  这是你需要与 Linux 团队咨询的地方，了解他们支持哪些操作系统版本，以便仅将这些版本作为渠道并避免不必要的补丁下载。

• downloadPayload

  如果值为true，则下载所有补丁。如果值为false，则只下载包含在缓存请求文件夹中的补丁。如果值为false并且没有缓存请求 XML 文件，则内容会被处理，但不会下载补丁。

            downloadPayload=true or false
  

  建议将此项保持为true。

• cacheRequestFolder

            cacheRequestFolder=path/CacheRequest.xml
  
            /opt/SCR/cacherequest
  

  缓存请求 XML 文件用于限制下载的补丁，仅限于那些你从 VCM 数据库中的ecm_sysdat_patch_pls表中获取到 UID 的补丁。

  即使你没有使用这个选项，也不要取消它，否则补丁下载将失败。

• proxyServer

  这指定了您的基础设施中用于互联网访问的代理服务器 IP 地址。

            proxyServer=IP_address
  

• proxyPort

  这指定了您的基础设施中用于互联网访问的代理服务器端口。

            proxyPort=port_number
  

• proxyUser

  这指定了代理服务器身份验证的用户 ID（如果适用）。

• proxyPwd

  这指定了代理服务器的加密密码（如果您需要代理用户）。此密码是使用lumension_encryptor_tool.sh脚本生成的，正如前面配方中所解释的那样。

            proxyPwd=string
  

• 证书

  将其指向包含您的 RedHat 授权证书的文件。此文件由订阅管理器在您将订阅附加到已注册的 RedHat 系统时创建，路径为/etc/pki/entitlement。证书的文件名各不相同，但始终采用XXXXXXXXXXXXXXXXXXX.pem的形式，其中X是十进制数字。

  如果您在没有设置证书的情况下尝试下载 RedHat 7 RPM 文件，将出现以下错误信息：

   java.lang.IllegalArgumentException: certificate cannot be null or
            not 
  a file 
  
  

  此参数的示例值：

   certificate=/etc/pki/entitlement/5280746408908734973.pem 
            privateKey=/etc/pki/entitlement/5280746408908734973-key.pem
  
  

以下命令用于将 RHEL 7 与 RedHat 订阅管理进行注册：

subscription-manager register --username <User_Name> --password <Pass_Word> -auto-attach

这是我们无法使用任何其他版本的 Linux 作为 SCR 服务器的原因。

注意

大部分细节都来自www.vmware.com/pdf/vrealize-configuration-manager-software-content-repository-tool-61-guide.pdf。

保存属性文件。

此文件还有另一个问题；我们需要将工作中的redhat-rt.properties文件复制到REDHAT-rt.properties文件中，因为在错误日志中观察到 VCM 尝试查找大写的REDHAT文件时失败，而且在 Linux 中，REDHAT-rt.properties和redhat-rt.properties是两个不同的文件。

配置完成后，文件应如下所示：

文件保存后，转到/opt/SCR/bin并运行以下命令：

./startup.sh redhat-rt

然后，检查日志文件和下载文件夹；如果日志文件中没有错误日志，则 SCR 将开始同步补丁。

它是如何工作的...

当我们使用 SCR 工具开始下载补丁时，它会使用配置文件中提供的信息然后执行操作；例如，它将使用配置文件中提供的代理和配置的凭据进行身份验证。

它将使用文件夹路径下载补丁，并使用共享的凭据与操作系统供应商进行身份验证。

它将只下载在通道配置中提到的操作系统版本的补丁；如果我们按照这种方式配置文件，它可能不会下载任何补丁，并且在使用 VCM 进行部署时可能会遇到失败。

SCR 工具首先尝试从 CDN 下载有效负载。如果在 CDN 中未找到补丁，SCR 工具则从供应商的网站（例如 RedHat、SUSE 或 Solaris）下载，使用在用户和密码参数中提供的凭据。

如果现在发生类似情况，您知道该从哪里开始查看。这里提到的日志文件位置非常有用，前提是您已正确配置了所有内容。如果 SCR 无法下载补丁，可以查看配置文件中提到的日志文件。

如果您是 Linux 新手，可以使用一个叫做 winscp 的工具；它允许您浏览 Linux 文件系统并操作文件。

在 winscp 中打开日志文件，查找某些信息，确认系统正在注册到 RHN，以确保一切正常：

我们将在第九章中查看关于排查 SCR 下载问题的食谱，排查 VCM。

安排内容下载

操作系统厂商持续发布补丁。我们不能仅仅登录 SCR 手动同步补丁；我们可以设置一个计划任务，让 SCR 自动处理所有所需补丁的下载。

准备工作

SCR 虚拟机必须能够访问互联网，并按前两个步骤配置。

配置redhat-rt.properties文件，设置正确的配置，例如 RHN 用户详情和代理设置，并保存文件。

如何操作...

要设置定时任务，我们需要创建可以自动运行的脚本。

按照以下步骤创建脚本并安排其执行。

1. 登录 SCR 服务器后，进入 SCR 安装位置（对我们来说是 /opt/SCR）。

2. 将以下内容复制到文件中：

    vi /opt/SCR/bin/start_all_nix_replication.sh
   
   

   按 i 进入编辑模式

   输入或复制以下内容：

             #echo Running startup.sh hp-rt 
             #./startup.sh hp-rt 
             #echo Running startup.sh osx-rt 
             #./startup.sh osx-rt 
             echo Running startup.sh redhat-rt 
             ./startup.sh redhat-rt             
             #echo Running startup.sh solaris-rt 
             #./startup.sh solaris-rt 
             #echo Running startup.sh suse-rt 
             #./startup.sh suse-rt 
   
   

   删除 RedHat 条目前面的 #，因为我们需要同步该条目的补丁，如果您有其他版本的 Linux，也请对它进行相同操作。

   完成后，按[ESC]键，然后输入 :wq 保存内容并退出 vi。

3. 为创建的文件分配可执行权限：

    chmod +x  /opt/SCR/bin/start_all_nix_replication.sh 
   
   

   一旦脚本准备好，我们需要安排它执行。

4. 安排定时任务每天下载补丁：

    cd /etc/cron.daily 
          touch /etc/cron.daily/SCR 
          chmod +x /etc/cron.daily/SCR
   
   

   提示

   请注意，以下脚本每天运行并同步您的补丁内容：

   vim /etc/cron.daily/SCR

5. 将以下代码添加到文件中：

    #!/bin/sh 
          cd /opt/SCR/bin 
          echo "### Get all new Unix content" 
          ./start_all_nix_replication.sh 
   
   

主机必须对所有的仓库应用文件赋予执行权限，才能访问并更新配置文件。要授予此权限，请在主机上运行以下命令。

切换到 SCR 根目录（/opt/SCR）。

提示

请注意，在 /opt/SCR 目录中执行以下命令：**cd /opt/SCR** **chmod -R a+x **/***

运行 SCR 文件以创建目录结构：

1. 切换到 /etc/cron.daily 目录。

    cd /etc/cron.daily
   
   

2. 运行 SCR 文件以创建目录结构并下载内容：

    ./SCR
   
   

3. 通过运行以下命令来监视文件大小：

    du -sh /opt/vcmpatches
   
   

工作原理...

我们创建一个每日调度任务，它将在凌晨 12:00 执行，然后使用属性文件中提供的配置设置，下载补丁到 SCR 服务器。补丁随后可以用于通过 VCM 部署。在开始使用 VCM 部署补丁之前，必须将其下载到 SCR 服务器，因为 VCM 不知道哪些补丁是可用的，哪些是不可用的。

配置 Apache

到目前为止，我们已经将所有补丁下载到 SCR 服务器；接下来，我们需要一个机制，使它们在被管理的机器需要安装时能够获取。

我们可以配置一个 Web 服务器来分发来自 SCR 仓库的补丁。

正如前面所述，我们可以通过 HTTP/HTTPS 分发补丁；我们将配置 Apache Web 服务器，使包含补丁的文件夹（/opt/vcmpatches）可以通过 HTTP 访问。然后，我们将在 VCM 服务器中进行必要的修改，指示 Linux/Unix 机器根据我们的 Web 服务器配置下载补丁。

准备工作

由于你已经将 SCR 服务器注册到 RedHat 网络，这是下载 RHEL 7 补丁的前提条件，因此你已经拥有一个仓库，准备安装 Apache。

安全增强 Linux（SELinux）应禁用或配置为允许我们在端口 80 或 443 上连接。

如果你不清楚如何实现此操作，可以查看以下文章：

access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/SELinux_Users_and_Administrators_Guide/chap-Managing_Confined_Services-The_Apache_HTTP_Server.html#sect-Managing_Confined_Services-The_Apache_HTTP_Server-The_Apache_HTTP_Server_and_SELinux

防火墙应禁用或配置为允许我们通过端口80/443访问补丁。

查看这篇文章，了解如何操作 RHEL 防火墙：

access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Using_Firewalls.html

你还可以使用以下文章来配置端口 80，并对端口443做必要的修改：

linuxconfig.org/how-to-open-http-port-80-on-redhat-7-linux-using-firewall-cmd

如何操作...

这是一个比较长的操作步骤，我们将其分成多个部分，如下所示：

• 安装 Apache

• 配置 httpd.conf 以设置 Apache

• 配置 .htaccess 文件

• 在 Apache 中配置 HTTPS

安装 Apache

为了使补丁在我们的基础设施中可用，我们可以将 SCR 服务器作为 Web 服务器来使用，并在 VCM 中进行配置，使受管理的机器通过端口 80 或 443 从 SCR 服务器访问这些补丁。

我们将通过以下步骤来实现：

1. 使用 root 账户登录到 SCR 服务器。

2. 安装 Apache：

    # yum install httpd
   
   

3. 确保 httpd 在操作系统启动时自动启动：

    # systemctl enable httpd
   
   

4. 现在启动 httpd 服务：

    # systemctl start httpd.service
   
   

现在，我们需要配置位于 /etc/https/conf 的 httpd.conf 文件，以使 Apache 按照我们的需求运行。

配置 Apache 的 httpd.conf

Apache 的配置存储在 httpd.conf 文件中，位于 /etc/https/conf。继续执行以下步骤以在配置文件中做必要的更改。

1. 在对 httpd.conf 进行更改之前，我们需要在我们用来下载补丁的文件夹（/opt/vcmpatches）和 httpd.conf 中暴露的文件夹（/var/www/html）之间创建一个符号链接。

2. 使用 root 账户登录到 SCR 服务器。

3. 使用 cd /var/www/html 命令进入 /var/www/html。

4. 运行 ln -s /opt/vcmpatchs vcmpatches 命令。

5. 编辑 httpd.conf：

    # vi /etc/httpd/conf/httpd.conf
   
   

6. 输入 I 进入编辑模式，并在 AccessFileName 部分下方添加以下行：

          AccessFileName /vcmpatches/.htaccess 
   
   

   注意

   请注意，我们将在本教程的下一部分创建这个 .httaccess 文件。

配置 .htaccess 文件

为了确保安全，我们可以添加一个 .htaccess 文件，以便只有配置过的用户可以访问补丁。

在 /opt/vcmpatches 创建并编辑 .htaccess 文件：

# vi /opt/vcmpatches/.htaccess

将以下行添加到文件中：

AuthType Basic 
AuthName "Restricted Area" 
AuthUserFile /opt/vcmpatches/.htpasswd 
require valid-user 

现在，为 httpuser 用户创建一个加密的密码：

#  htpasswd -c /opt/vcmpatches/.htpasswd  httpuser

它会提示你输入密码；请输入你想要设置的密码。

这将在相同位置创建另一个文件 .htpasswd，并存储加密的密码，你可以通过以下命令查看它：

# cat /opt/vcmpatches/.htpasswd 
httpuser:$apr1$1UgtgyfY$ed2kr8fDOB7XVd6UoytgE0

配置 Apache 中的 HTTPS

Apache 的默认安装将为我们提供一个 HTTP 连接到补丁库。我们需要在 Apache 中创建并配置证书，以便我们的受管虚拟机可以从 SCR 服务器安全地下载补丁。要配置 HTTPS，我们需要按照以下步骤操作：

1. 安装 Mod SSL

   为了设置自签名证书，我们首先需要确保 Apache 和 Mod SSL 已经安装。你可以通过一个命令同时安装这两者：

    rpm -ivh mod_ssl-2.2.15-29.e16_4.x86_64.rpm
   
   

2. 创建一个新目录

   接下来，我们需要创建一个新目录，用于存储服务器密钥和证书：

    mkdir /etc/httpd/ssl
   
   

3. 创建一个自签名证书

   当我们请求新的证书时，可以通过修改 1000 参数为我们希望的天数，来指定证书的有效期：

    Openssl req -x509 -nodes -days 1000 -newkey rsa:2048 -keyout 
    /etc/httpd/ssl/apache.key -out /etc/httpd/ssl/apache.crt
   
   

   使用此命令，我们将同时创建自签名的 SSL 证书和保护它的服务器密钥，并将它们放入新目录中。此命令会提示终端显示需要填写的字段列表。最重要的一行是 Common Name。在这里输入你的官方域名，或者如果你还没有域名，可以使用你网站的 IP 地址。

   您将被要求输入信息，这些信息将被纳入您的证书请求中。

   提供以下详细信息：

   • 国家名称（两字母代码）：IN

   • 州或省的全名：Maharashtra

   • 地方名称（例如，城市）：Pune

   • 组织名称（如公司名称）：VCM_Cookbook

   • 组织单位名称（例如，部门名称）：信息技术

   • 通用名称（例如，服务器的完全限定域名或您的名字）：VCMCookbook.com

   • 电子邮件地址：Abhijeet@vcmcookbook.com

   注意

   请注意，示例值需要根据您的基础设施进行更改。

4. 设置证书：

   我们现在已经具备了完整证书所需的所有组件。接下来的工作是设置虚拟主机以显示新的证书。

   打开 SSL 配置文件：

    vi /etc/httpd/conf.d/ssl.conf
   
   

   现在，将以下代码块添加到文件中：

             ## SSL Virtual Host Context 
             <VirtualHost *:443> 
                 ServerAdmin root@localhost 
                 DocumentRoot /var/www/html 
                 ServerName SCR Server FQDN 
                 ServerAlias SCR Server hostname 
                 SSLEngine on 
                 SSLCertificateFile /etc/httpd/ssl/apache.crt 
                 SSLCertificateKeyFile /etc/httpd/ssl/apache.key 
   
             </VirtualHost> 
             <VirtualHost _default_:443> 
   
   

5. 重启 Apache：

   您完成了。重启 Apache 服务器将重新加载它，并应用所有更改。

    #systemctl restart httpd.service
   
   

完成此步骤后，您应通过浏览器访问 VCM 补丁文件夹，网络上应该会显示如下截图。

当您访问该链接时，它会要求进行身份验证。请使用在之前步骤中创建的 httpuser 用户和密码。

它是如何工作的...

Linux 和 Unix 管理的机器可以使用 HTTP/HTTPS 直接从 RedHat Linux 补丁仓库机器获取补丁。

VCM Collector 协调并组织所需的任务，以使用安装在补丁仓库机器上的 VCM 代理和目标受管机器上的 VCM 代理，下载、存放和部署补丁以及执行自定义的预部署、后部署和重启操作。

补丁可在 SCR 服务器上获取，在 Apache 服务器的帮助下，我们创建了一个 Web 服务器，将补丁提供给受管机器。

还有更多...

配置完成后，我们需要在 VCM 控制台中进行必要的配置更改，并将暂存选项设置为 HTTP，同时将受管机器重定向到 /opt/vcmpatches 文件夹以下载补丁。我们将在接下来的配方中执行此操作，在 VCM 中配置补丁仓库选项 和 配置暂存选项。

在 VCM 中配置补丁仓库选项

一旦 SCR 方面的一切配置好并准备就绪，我们应当开始配置 VCM 中的仓库。这是我们设置作为仓库的机器（SCR 服务器）的位置。

准备就绪

在开始之前，我们应该完成所有之前的配置步骤，因为这些步骤是相互依赖的。按照 第二章 配置 VCM 以管理您的基础设施 章节中的 在 Linux 服务器上安装代理 配方描述，安装 VCM 代理，并为 SCR 机器执行初步数据收集。

如何操作...

要在 VCM 中设置补丁仓库，请登录到 VCM 控制台并按照以下步骤操作：

1. 转到管理 | 证书并选择 SCR 服务器。点击屏幕顶部的更改信任状态。如何操作...

2. 在向导中，选择 SCR 机器并勾选勾选以信任，取消勾选以不信任所选机器选项。

3. 你应该能在 SCR 服务器前看到一个握手标志。

4. 现在，保持选中 SCR 机器并点击屏幕顶部的补丁仓库。

5. 确保选中 SCR 服务器，然后选择启用 - 允许将选定的机器作为补丁仓库。点击下一步。

6. 点击完成以关闭向导。

7. 最终结果应该类似于这样：如何操作...

它是如何工作的...

我们将补丁仓库设置为我们将管理的所有 Linux/Unix 机器的指定补丁仓库。现在，VCM 知道如果机器需要补丁时，应该重定向到哪里；我们需要进行进一步的配置更改，比如设置机器可以从哪里下载补丁，但这些将会在下一个配方中进行。

配置 VCM 中的阶段选项

阶段选项是我们设置 VCM 将虚拟机精确地重定向到https://<SCR Server>/<Patch location>的地方。目前，我们已经下载了补丁并添加了一个服务器作为仓库，现在，我们将设置文件夹的名称并配置机器组映射到阶段选项。

准备中

我们是在前面的配方基础上构建的，所以在继续这个配方之前，我们应该已经完成了所有的配方。如果需要任何特殊的机器组，它们应该在我们开始这个配方之前就准备好。

如何操作...

登录到 VCM 服务器控制台并按照以下步骤配置补丁阶段：

1. 以 VCM 管理员身份登录到 VCM 控制台。

2. 转到管理 | 设置 | 常规设置 | 补丁 | UNIX | 补丁阶段。点击添加。

3. 给一个名称并添加描述。

4. 在仓库类型下，选择从补丁仓库获取补丁：<SCR 服务器名称>。

5. 在下一页中，提供以下详细信息：

   • 仓库路径：/vcmpatches（这是我们下载补丁的相对路径）

   • 协议：选择HTTPS

   • 端口：输入443，除非你已经在httpd.conf中做了更改并使用了其他端口。

   • 选择所需的凭证

   • 用户名：httpuser（或在.htaccess文件中设置的任何用户）

   • 密码：明文密码（不要在这里使用加密密码）

6. 点击完成。

现在我们已经设置了阶段选项，我们需要将其分配给机器组，这样机器就知道从哪里下载补丁了。

1. 转到管理 | 设置 | 常规设置 | 补丁 | UNIX | 机器组映射。

2. 选择机器组并点击编辑。

3. 将补丁路径值设置为标准部署和源，用于分阶段补丁到SCR-HTTP。

4. 协议和路径将自动填充，即，如果您没有创建证书，它将分配端口 80，如果您通过创建自签名证书来确保您的 Apache 设置，那么它将像这样：

   • HTTP://scr:80/vcmpatches

   • HTTPS://scr:443/vcmpatches

5. 点击下一步并点击完成以保存设置。

6. 对所有包含 Linux/Unix 机器并将使用 VCM 进行打补丁的机器组执行此操作。

它是如何工作的...

如果我们没有设置暂存选项，则机器打补丁将失败，因为机器不知道从哪里获取安装程序。作为最佳实践，请使用 HTTPS。

配置 SCR 工具基路径以进行打补丁仓库

VCM 中 SCR 工具基路径的设置必须指向您在打补丁仓库机器上安装 SCR 工具的位置。

基路径目录包含 SCR 二进制文件、配置文件和日志的目录。

准备就绪

如同以往，我们正在构建一个打补丁机制，因此所有之前的操作步骤对于继续进行后续步骤至关重要。这一点对于本食谱同样适用：在开始本食谱之前，完成所有前面的食谱。

如何操作...

在本食谱中，我们将对 VCM 配置进行一些更改；只需按照以下步骤操作：

1. 导航到管理 | 设置 | 常规设置 | 打补丁 | UNIX | 附加设置。

2. 选择打补丁期间临时文件的默认机器组映射，并将其更改为一个您知道有足够空间下载补丁的文件夹，供安装前使用。

   足够的空间取决于部署的补丁数量。

   如果整个 Linux/Unix 服务器具有标准分区，请选择一个有足够空间的路径。

   在我们的案例中，它是/var/tmp，如图所示：

   

3. 点击下一步（截图中不可见）并点击完成以关闭并保存设置。

4. 列表中的下一个是默认 UNIX>Linux 包仓库路径。

5. 这是我们下载补丁的路径；在我们的案例中，它是/opt/vcmpatches。

6. 点击下一步（截图中不可见）并点击完成以关闭并保存设置。

7. 列表中的最后一个设置是默认 UNIX/Linux 包仓库 SCR 基路径。

8. 这是我们从www.vmware.com下载并解压或安装 SCR 文件的目录。

9. 在我们的案例中，它是/opt/SCR。

10. 点击下一步（截图中不可见）并点击完成以关闭并保存设置。

它是如何工作的...

每个设置的详细信息仅在此处解释；这基本上是确保 SCR 文件的位置，以便找到位于/opt/SCR/conf文件夹中的properties文件。

要检查manifest.pkl文件，该文件位于/opt/vcmpatches文件夹下，其中列出了所有的 RPM 包。

创建补丁评估模板

补丁评估模板基本上是将要安装在受管机器上的补丁列表，或者用于检查补丁合规性的。

准备就绪

我们需要在 Collector 服务器上有互联网访问权限，以便下载补丁元数据。

如何操作...

登录到 VCM 控制台并按照以下步骤创建所需的评估模板：

1. 导航到打补丁 | 所有 UNIX/Linux 平台 | 评估模板，然后点击添加。

2. 模板也可以在各个 Unix/Linux 平台上创建。

3. 给模板起一个描述性的名称并添加描述。

4. 选择静态作为模板类型。静态模板和动态模板的区别如下：

   • 静态模板： 使用此模板，我们可以选择哪些补丁要包含在模板中。

   • 动态模板： 使用此模板，VCM 会根据我们设置的查询选择补丁。

   

5. 如果我们选择了动态模板，我们可以设置查询条件，如操作系统名称、操作系统版本和严重性，并且可以创建多个查询并选择与/或操作符。

   注意

   请注意，所有查询只能使用一个与/或操作符。

   

6. 如果我们选择静态模板，我们可以自由选择所有想要的补丁。

7. 我们可以应用一个临时筛选器来限制选择的补丁数量。

   注意

   请注意，多个产品公告可以通过这种方式打包。VCM 只会尝试修补受影响的产品，也就是说，如果虚拟机运行的是 RedHat 6，那么 VCM 不会尝试应用 RedHat 7 的公告。

   

8. 选择所有需要的补丁后，点击下一步。

9. 点击完成来关闭向导。

如何操作...

我们不能在没有创建评估模板的情况下部署补丁；这些模板将用于评估机器的状态，检查缺失的补丁，然后进行部署。

我们无法确保在模板中选择的补丁是否存在于 SCR 服务器上，因此为了避免失败，我们应该始终将所有补丁下载到 SCR 服务器上。

另见

• 此补丁评估模板将用于按需部署 Linux 机器上的补丁和按计划部署 Linux 机器上的补丁配方。

在 Linux 机器上部署补丁 – 按需部署

这就是我们执行所有这些配方的目的：为服务器打补丁。到此时，我们已经准备好在受管机器上安装补丁。我们可以选择按计划安装补丁，也可以按需安装。在本配方中，我们将直接从控制台安装缺失的补丁。

准备就绪

确保你想要修补的虚拟机在 VCM 中是受信任的；如果不是，请按照我们为 SCR 服务器建立信任时所遵循的步骤，在配置 VCM 中的修补存储库选项中操作。

我们必须确保 Linux 机器与待修补机器以及 SCR 和 VCM 服务器之间可以进行 DNS 解析。

受管机器必须能通过其 IP 与 VCM 和 SCR 服务器连接。

我们应该执行一个集合，使用修补 - Unix 评估结果作为过滤集选项，如在第二章中的从受管机器收集数据食谱所解释的那样，配置 VCM 以管理你的基础设施。

如何操作...

使用管理员权限登录 VCM 控制台并按照以下步骤开始安装补丁：

1. 转到修补 | RedHat | 评估模板并选择你创建的评估模板。

2. 点击右上角的查看报告。

3. 一旦看到报告，将推荐操作拖动到过滤器栏；现在，默认视图会发生变化，你可以看到它根据推荐操作进行排序。

4. 点击安装路径前的小箭头，选择补丁并从顶部菜单点击部署。如何操作...

5. 选择项目并点击包括前提补丁。

6. 验证补丁。

7. 点击高级，并查看是否对你或你的 Linux 管理员有兴趣。

8. 确认补丁部署并选择阶段选项。

   注意

   请注意，如果你想修补的机器属于一个没有分配阶段选项的机器组，你将只看到一个选项，即无：手动阶段补丁。

   

9. 在下一页，选择是否要重启服务器。

10. 点击完成以关闭向导。

11. VCM 将开始安装补丁，你可以查看它运行的作业状态：所有三个作业——下载、阶段和部署——应该以成功的结果结束。

    如果你选择重启服务器，那么在重启后，像我们在食谱的第 3 步和第 4 步中所做的那样检查状态；它应该显示成功并列出我们刚刚安装的路径名称。

    在管理 | 作业 | 经理 | 其他作业 | 过去 24 小时的作业历史中，它将呈现如下：

    

12. 你可以在 VCM 控制台中检查补丁的状态，它会显示补丁已安装。要检查状态，请前往修补 | RedHat | 评估模板 | "模板名称" :

它是如何工作的...

当我们从 VCM 控制台推送补丁时，它首先评估机器，检查自上次评估以来是否已经安装了补丁。如果仍然需要补丁，那么在配置的暂存位置中准备好的补丁将被安装，随后 VCM 代理会检查补丁是否正确安装。

如果我们在此之后安排重启，那么 VCM 中将配置另一个作业并开始，具体取决于我们在部署补丁时选择的配置。如果补丁安装花费的时间超过了计划中的固定重启时间，则重启作业将失败。

在 Linux 机器上部署补丁 - 计划任务

当我们执行按需补丁时，我们确保为 Linux 或 Unix 机器设置的补丁基础设施正常工作。现在，我们需要将其提升到一个新的层次，通过自动执行所有操作。在这个教程中，我们将配置所有必需的作业，以便 VCM 能够按计划对 Linux/Unix 机器进行补丁。

准备工作

准备工作与之前相同。确保你要打补丁的虚拟机在 VCM 中是受信任的；如果不是，请按照我们在配置 VCM 中的补丁库选项教程中所做的步骤，信任 SCR 服务器。

我们应该确保 Linux 机器和待打补丁的 SCR 及 VCM 服务器之间能够进行 DNS 解析。

虚拟机所在的机器组应配置适当的暂存。

如何操作...

我们现在知道，补丁 Linux 是一个三步过程：

• 使用补丁 - Unix 评估结果作为筛选集选项来收集最新数据。

• 执行实际的补丁操作

• 再次收集数据（这算是可选的，因为 VCM 也会收集数据——这只是一个预防措施）。

所以，让我们从在 VCM 中安排所需任务开始，以便我们的机器能够自动打补丁：

序号	名称	计划	原因
1	初步收集	第一个星期天上午 08:00	实际补丁前 12 小时
2	部署补丁	第一个星期天晚上 08:00	计划补丁维护窗口
3	最终评估	第一个星期天晚上 11:00	补丁后 3 小时，给自动收集留出时间（发生在补丁安装和重启后的 30 分钟）

步骤 1 – 初步收集

1. 登录到 VCM 控制台并进入管理 | 作业管理器 | 计划任务。

2. 点击添加，在向导启动后选择收集，然后点击下一步。

3. 提供一个合适的名称和描述。

4. 选择补丁 - Unix 评估结果作为筛选集选项。

5. 选择要在此计划中打补丁的机器组。

6. 选择一个计划，最好是实际补丁前最多 24 小时。

7. 点击下一步，并最终在验证没有冲突后，点击完成。

8. 这完成了我们的第一阶段。接下来是实际的补丁计划。

步骤 2 – 部署补丁

要安排补丁操作，请按照以下步骤进行：

1. 进入 Patching | 所有 Unix/Linux 平台 | 自动部署

2. 给部署指定一个名称并添加描述。

3. 选择我们要打补丁的 机器组，并且该机器组的数据在之前的初始采集步骤中已经被收集。

4. 选择用于部署补丁的 评估模板。

5. 在下一页中，选择以下内容：

   • 计划的自动部署运行

   • 根据组织的政策，选择是否需要重启。

   • 阈值数据年龄：2 天应该没问题，因为我们正在对过去 24 小时的数据进行采集。如果数据比配置的天数更旧，则服务器将不会被打补丁。

   

6. 选择计划并在最后一页点击 完成 以保存计划的补丁。

第 3 步 – 最终评估

• 补丁安装完成后，VCM 执行一次采集，选择 Patching - Unix 评估结果 作为 过滤集 选项。仍然，我们可以再安排一个任务来收集详细信息。

• 按照我们为配置预补丁数据收集时的相同步骤操作，但这次需要更改名称和采集时间表，使得此次采集会在补丁安装完成后几小时开始。

它是如何工作的...

基本上，我们正在将之前手动执行的任务进行计划安排，这样可以节省时间，并且不需要在午夜时分醒来为服务器打补丁。VCM 会按时启动计划的任务，收集数据，检查缺少哪些补丁，安装这些补丁，最后收集补丁后的数据，以便我们在运行补丁报告时，能够看到托管机器的最新状态。

要查看报告，可以查看 第四章 中的 补丁报告 配方，Windows 补丁。我们在这里唯一可以期待的不同之处是名称不同；我们需要将 Windows 替换为 Unix。

第四章。Windows 补丁更新

在本章中，我们将涵盖以下内容：

• 配置 VCM 以使用 Microsoft 更新

• 自动化补丁更新简介

• 创建补丁评估模板

• Windows 补丁更新——按需

• Windows 补丁更新——定期

• 在多域环境和工作组中进行机器补丁更新

• 补丁虚拟机模板

• 补丁报告

介绍

到目前为止，我们已经讨论了如何在一个或多个层级上部署 VCM，如何配置它，以及如何在我们想要管理的机器上部署代理。在本章中，我们将探讨如何对 Windows 服务器和桌面进行补丁更新。

尽管所有产品都经过严格的质量测试，但总会留下些未修复的漏洞，如果不修复，这些漏洞可能会被利用。补丁管理的作用就是来完成这个任务。在 VCM 的帮助下，我们可以对基础设施进行自动化、定期的补丁缺失分析，并根据需要部署补丁。市场上有许多工具，如 Microsoft System Center Configuration Manager 或 BMC BSA，能够完成这项任务，但使用 VCM 的好处是它是 vRealize Operation 套件的一部分，因此你不需要为 VCM 额外付费。它不仅可以为 Windows 和 Linux 进行补丁更新，还可以用于补丁 Unix 和 Mac OS。我们可以安排补丁任务，VCM 会执行补丁操作并在中央控制台上更新状态。

借助 vRealize Automation 和 vRealize Orchestrator，我们可以自动化 Windows 补丁更新的部署。我们可以在虚拟机中创建一个注册表项，这个项将在 VCM 执行收集时被捕获，并根据这个注册表项，虚拟机会被放入正确的机器组，该组专门用于在相同的时间表上进行补丁更新。

为了执行定期补丁更新，我们需要配置至少四个任务。第一个是初始收集，它将收集Patching - Windows Security Bulletins筛选器集的状态详情。一旦这些详细信息被存入 VCM 数据库，另一个任务将启动初步评估，检查服务器上缺失哪些补丁。一旦 VCM 获得了缺失补丁的详细信息，补丁评估模板中的补丁将开始实际的补丁任务。在每个补丁任务完成后，VCM 会启动自己的数据收集任务，以获取服务器的更新状态。最后，我们需要安排最终评估，以更新补丁部署后的补丁状态。

配置 VCM 以使用 Microsoft 更新

在这个步骤中，我们将配置 VCM 与 Microsoft 同步补丁元数据，以便我们可以选择一个或多个补丁并检查我们的基础设施合规性。如果 VCM 检测到不合规的情况，我们可以部署补丁。

准备工作

我们需要一个完全部署的 VCM 服务器来执行此操作。为了使用 VCM 进行修补，我们需要通过互联网将补丁从 Microsoft 下载到 VCM 收集器服务器。我们应该有代理的相关信息，如 IP 地址、端口名称和用户凭证。如果您在一个安全的网络中，请确保至少能够访问www.microsoft.com/和www.vmware.com/。

防火墙要求在 vRealize 配置管理器端口和协议摘要的安装 VCM章节中进行了讨论。

注意

请注意，在修补 Windows Server 2008 和 Windows 7 机器之前，您需要验证 Windows Update 服务是否正在运行，这意味着它的设置不是禁用状态。

如何操作...

为了准备 Microsoft 补丁，我们将这项任务分为几个步骤。只有在通过代理访问互联网时，才需要执行代理步骤。

配置代理

在实际场景中，VCM 服务器需要通过代理才能访问互联网上的修补网站；我们需要在 vRealize 配置管理器中更新这些设置。我们可以按照以下步骤进行操作：

1. 使用管理员权限登录 VCM。

2. 转到管理 | 设置 | 常规设置 | 修补 | 互联网。

3. 分别选择HTTP 代理服务器和登录。点击顶部的编辑按钮并提供代理详细信息。

4. 输入在准备阶段中获取的凭据。

5. 点击下一步，然后点击完成。

一旦我们填写了代理选项，VCM 就可以连接到互联网并下载 Microsoft 补丁。

如果您可以直接访问互联网，则无需填写这些详细信息。您可以跳过这一部分。一旦代理配置完成，我们可以设置检查更新的频率以及需要下载的补丁语言。

除非在将补丁部署到受管机器时需要，否则 VCM 不会在收集器上下载任何补丁，并且管理员选择下载它时才会下载。VCM 仅同步来自www.vmware.com/的 Windows 和 Linux/Unix 机器的元数据，然后，这些信息会以可分发补丁的形式呈现给 VCM 管理员。

下载设置

下载设置是我们定义同步计划和额外语言的地方，若有需要。补丁有多种语言版本，适用于我们已安装的操作系统；在这里，我们可以选择我们基础设施所需的语言。Microsoft 补丁每月第二个星期二发布，也就是补丁星期二，但有些补丁可能会在非定期发布，因此我们可以将计划设置为每日，以确保我们不会错过这些非定期发布的补丁信息。

要配置下载设置，请按照以下步骤操作：

1. 转到管理 | 设置 | 常规设置 | 补丁管理 | Windows | 公告和更新。

2. 更改调度以满足您的需求，或者使用默认设置。

已替代的补丁

这些更新中的一些可能会替代之前安装的更新，也就是说，微软可能会重新发布一个补丁或发布一个替代/取代先前补丁的新补丁。只需要安装补丁的新版本。

一个例子是补丁 MS15-024 替代了补丁 MS15-016，而 MS15-016 又替代了补丁 MS14-085。这意味着只需要下载补丁 MS15-024。

微软的替代信息可以在安全公告顶部的更新替代列中的受影响软件表格中找到：

网络权限帐户

如第一章中服务帐户小节所解释的，安装 VCM，我们需要网络权限帐户。现在，我们将这些帐户与计算机组或域进行关联。

首先按照以下步骤操作：

1. 转到管理 | 设置 | 网络权限。

2. 现在我们有以下选项：

   已识别的可用域

   在安装 VCM 时，我们添加了域。请查看第一章中安装 VCM – 两层部署食谱的第 19 步，了解更多细节。

   可用帐户

   在 VCM 部署过程中，我们分配了一个网络权限帐户；请查看第一章中安装 VCM – 两层部署食谱的第 17 步，了解更多细节。

   已分配帐户

   对于这个食谱，我们将选择已分配帐户。

   为了能够在多个域中进行补丁修复，我们需要将可用帐户分配给可用的域或计算机组。为此，请转到已分配帐户 | 按域 | Active Directory。

   以下截图展示了study.local Active Directory 域的已分配网络权限帐户：

   

与微软同步补丁

一旦我们有了互联网连接（无论是直接连接还是通过代理），我们可以通过以下步骤与微软同步补丁元数据：

1. 转到补丁管理 | Windows | 公告 | 按公告并点击检查更新。

2. 要监控同步状态，请转到补丁管理 | 作业管理 | Windows | 作业管理器 | 正在运行。

3. 完成工作后，您可以查看补丁管理 | Windows | 公告 | 按公告下的公告，这些可以用来创建补丁评估模板。

现在，您可以在右侧查看补丁的详细信息：

在 VCM 的早期版本中，曾经有一个同步问题。即使同步完成，补丁也不可见。这里有一篇知识库文章提供了解决方法：kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2053975。幸运的是，在最新版本的 VCM 中，我们不需要做这个操作。

它是如何工作的...

我们正在进行必要的初始配置，以便 VCM 能够访问互联网，并同步补丁元数据，借此检查基础架构中的机器缺少哪些补丁，哪些补丁不需要。

VCM 中的代理配置用于补丁的同步和下载，一旦我们开始部署补丁，它们将从互联网下载到 Collector 服务器。

下载目录

默认下载目录是X:\Program Files (x86)VMware\VCM\WebConsole\L1033\Files\SUM Downloads。

该目录共享为\\collector_name\cmfiles$\SUM Downloads。

请注意，如果没有互联网连接，你必须手动获取补丁并将其存储在 VCM Collector 上的\\collector_name\cmfiles$\SUM Downloads目录中。

另见

• 更多关于网络权限账户的详细信息可以参考第二章中的将网络权限账户添加到多个域中管理机器一节，配置 VCM 以管理基础设施。

自动化补丁简介

完成准备工作后，我们将看看如何利用 VCM 自动填充特定机器组，以便它们可以按计划自动打补丁。正如本章介绍中所讨论的，如果你使用 vRealize Automation 和 vRealize Orchestrator 来部署新的虚拟机，你可以使用它们来创建一个注册表项，该项将在初始数据收集中被 VCM 捕获。根据该注册表项，单个虚拟机会被分配到相应的机器组，这些机器组将用于自动化补丁。

如果你没有使用自动化部署工具来创建注册表项，则必须每次部署新机器/服务器时，手动填充机器组。

准备工作

向 vRA 和 vRO 专家寻求帮助，他们将在门户上为用户提供请求机器的选项；否则，创建脚本，向管理机器添加所需的注册表项。

对于这个操作，我们将手动进行，以模拟整个过程。

如何操作...

使用 vRA 和 vRO 进行自动化补丁的说明不在本书的范围之内；有关此方面的内容，请联系你的 vRA 和 vRO 专家。

以下是可以用来添加注册表项的示例脚本。每行代表一个脚本，并将添加所需的注册表项：

REG ADD HKLM\Software\VCM-CookBook /v VCMPatchWindow /t REG_SZ /d "MW01" 
REG ADD HKLM\Software\VCM-CookBook /v VCMPatchWindow /t REG_SZ /d "MW02" 
REG ADD HKLM\Software\VCM-CookBook /v VCMPatchWindow /t REG_SZ /d "MW03" 
REG ADD HKLM\Software\VCM-CookBook /v VCMPatchWindow /t REG_SZ /d "MW04" 

您可以使用任何工具来执行此操作，或手动在每台机器上运行它们。我们已经在第二章中的创建机器组食谱里查看了如何使用它来创建机器组，配置 VCM 以管理您的基础设施。

工作原理...

它为我们提供了一个变量，该变量将用于在机器组中创建过滤器，然后，这些过滤器将确保相应机器组中的机器可以按计划进行补丁更新。要根据此捕获的注册表项创建机器组，请查看第二章中的创建机器组食谱，配置 VCM 以管理您的基础设施。

另请参见

• 如食谱中所述，请查看第二章中的创建机器组食谱，配置 VCM 以管理您的基础设施。

• 要设置计划的补丁更新，请参考本章后面的Windows 补丁更新-计划食谱

创建补丁评估模板

补丁评估模板基本上是将补丁按组排列的列表，例如，所有 Windows Server 2008 的补丁、某一特定月份的所有安全补丁，或所有 Windows 操作系统的安全更新。我们可以创建静态模板或动态模板。在静态模板中，我们手动选择补丁，而在动态模板中，我们根据补丁发布日期、补丁的严重性、产品等定义标准。

准备工作

在开始此操作之前，我们需要一个完全正常工作的 VCM 设置，并且按照配置 VCM 以使用 Microsoft 更新中提到的步骤进行操作。

如何操作...

您的任务是为 Windows 服务器实施组织的补丁策略，并且您的安全团队将每月测试并向您提供批准的补丁列表。您需要创建一个补丁模板，并确保所有服务器根据批准的补丁进行更新。

首先，您需要创建一个补丁模板并每月更新。由于您将获得批准的补丁列表，因此最好创建一个静态模板并每月添加补丁。

要创建补丁评估模板，请遵循以下过程：

1. 登录 VCM 后，转到Patching | Windows | Assessment Template，点击Add。这将启动向导。

2. 给模板命名，提供适当的描述，并根据需求选择动态模板或静态模板。

3. 在我们的案例中，我们需要选择静态模板。

   • 对于静态模板，选择所需的补丁并保存模板。

   

   • 对于动态模板，定义条件；VCM 将根据这些条件填充补丁。

   

注意

请注意，一旦选择并保存了模板类型，就无法更改为另一种类型。

它是如何工作的……

在创建评估模板之前，我们不能部署补丁；这些模板将用于评估机器的状态，检查缺失的补丁，然后再进行部署。

如前所述，您可以创建一个动态的月度模板，用于评估并更新 vCenter 中的 Windows 模板，因为这些模板每月都会进行补丁更新，我们不需要通过一个庞大的长评估模板来评估它们。

我们可以创建一个大型评估模板，用于扫描和检查整个基础设施中的实时机器，并且只包括公司安全团队批准的补丁。

您需要注意，如果某些具有管理员权限的用户卸载了某个补丁，那么这个大型评估模板将派上用场，因为它会列出被卸载的补丁，然后 VCM 会重新安装该补丁。

这是不同模板类型的对比：

动态模板：此模板会根据我们在创建过程中提供的条件更新补丁列表。请参阅之前的截图：我们有选项根据公告名称或过去 X 天等参数来筛选补丁，这样我们就可以为当前月份准备一个月度评估模板；或者按严重性筛选，以便只包括安全补丁。

静态模板：此模板不会自动更新；管理员需要登录 VCM 来添加/移除列表中的补丁。如果您的安全团队每月发布批准的补丁列表，您可以创建一个主模板，并持续添加新的补丁，移除已被替代的补丁，并保持一个更新的评估模板以供部署使用。

每个模板在 VCM 数据库中都有一个唯一的 ID；如果我们创建一个模板，使用它进行部署，删除它，然后重新创建一个具有相同名称的模板，那么新创建的模板将被 VCM 视为不同的模板，并且不会自动在之前使用旧模板的部署中使用。

Windows 补丁 – 按需

一旦补丁评估模板准备好，我们需要首先评估机器以查找缺失的补丁，然后使用该评估来为其打补丁。评估还将用于检查补丁合规性，形式为报告，我们将在本章末尾讨论。

准备就绪

我们需要将 VCM 服务器连接到互联网，并按照配置 VCM 使用 Microsoft 更新和创建补丁评估模板配方中的步骤进行配置。我们可以使用 VCM 创建的默认机器组，或根据需要创建新的机器组；该过程在第二章的创建机器组配方中进行了说明。

如何操作……

我们将使用刚才提到的食谱中列出的默认机器组，目前不创建任何新组。因此，我们将首先登录 VCM 并按照以下步骤操作：

1. 转到补丁|Windows|评估模板。

2. 选择评估模板，确保在顶部选择了正确的机器组（机器组用于筛选选择的机器，而不是显示 VCM 管理的所有机器）。

3. 如果你点击数据网格，你将能够查看所有已安装 VCM 代理并且属于选定机器组的机器的状态。如果数据年龄为N/A，那么我们需要对这些机器执行数据收集。以下截图显示了dc01机器的建议补丁值为必须重新评估 - 评估运行后添加的机器：

4. 只需选择机器并点击左上角的收集。这将启动一个向导；确保所有必需的机器都位于右侧的已选择框中。

5. 选择选择一个要应用于这些机器的收集过滤器集，并不限制收集仅为增量；任何优先级都可以，选择默认即可。

6. 在过滤器集下，选择补丁 - Windows 安全公告。

   确保任务成功完成；添加详细信息到 VCM 数据库将需要 10 分钟时间。

7. 收集完成后，点击评估。这将检查每台机器的补丁状态。评估模板的内容将与管理的机器的补丁状态进行对比。然后，将展示缺失或已安装补丁的详细结果。

8. 评估完成后，你将看到如安装缺失的补丁或未安装受影响的产品等选项。要安装缺失的补丁，请选择它们并点击部署。这将再次启动一个向导。

9. 在第一页，选择你要部署的补丁。

10. 在下一步中，它将尝试查找补丁的位置。它会报告补丁是否找到，并包括公告编号：

    • 在收集器上找到：Windows 补丁文件已在下载目录中找到。

    • 在互联网上找到：Windows 补丁文件已在下载站点找到并且必须下载。

    • 未找到：在收集器或互联网中未找到 Windows 补丁文件。

11. 在安装之前，我们需要先下载补丁，因此请选择立即下载：

    • 运行时下载：这将在部署补丁时，将补丁下载到默认的下载目录或备用的本地补丁路径。由于部署可以安排定时执行，因此你可以在网络负载较轻时运行部署并下载文件。

    • 立即下载：这会将补丁文件立即拉取到默认下载目录或备用的本地补丁路径中。根据网络负载和要下载的文件数量，你可以立即下载补丁文件。

12. 由于这是按需补丁，选择 在部署期间将补丁复制到目标机器 和 立即运行操作。

13. 根据需要选择 重启选项。

14. 下载补丁后，部署将开始。

    部署过程可以在 Patching | Job Management | Windows | Job Manager | Running 中监控。

    

15. 一旦补丁部署到目标机器上，它将显示如下消息：

在我们启动部署后，可能需要监控其进展。为此，请点击 VCM 控制台中的 Jobs，然后跟踪 Patching 任务。一旦补丁部署完成，我们需要检查 VCM 控制台中的状态更新，也就是说，在 Suggested Patch 下，它之前显示了 Install the Patch，现在应该显示 None (Patch Already Applied)。为此，返回 Patching | Windows | Assessment Template | <你在开始时使用的补丁模板> 并开始收集。一旦收集完成，执行评估（点击顶部菜单中的 Assess），刷新后将显示你想要的结果，即受管机器的状态——无论补丁是否已部署，机器是否失败，或仍在等待重启（如果没有，请在部署补丁时设置重启）。

以下截图展示了在补丁部署、重启和数据收集后的受管机器上运行评估的状态：

注意

请注意，VCM 会运行 Job Summary: Patching Automated Collection - Patching - Windows Security Bulletins 在补丁部署后进行收集，但有时运行该收集会花费一些时间。我们可以像开始时一样运行收集，并进行评估。

工作原理...

在初步评估后，VCM 根据服务器上缺少的补丁，给出建议的补丁安装建议，例如安装缺失的补丁。你可以选择安装这些缺失的补丁。现在，VCM 会尝试查找补丁是否可以在 Collector 服务器上获取——已下载用于在其他服务器上安装——或者是否可以从互联网获取；这时代理配置就显得特别有用。如果 Collector 服务器上没有这个补丁，它会提供下载补丁的选项。

一旦修补程序下载完成，它会在管理机器上进行修补准备并开始安装。安装完毕后，如果修补程序需要重启，根据我们选择的选项，服务器将会重启。重启完成后，系统会执行修补后的数据收集，并将安装状态更新到 VCM。如果我们在修补和数据收集后进行另一次评估，我们可以检查修补程序的当前状态：它必须已经安装。

Windows 修补 - 已安排

在之前的操作中，我们按需部署了修补程序，并发现我们需要执行一些任务才能完成工作。我们无法每次都站在服务器前执行按需修补程序，因此，我们可以做的是安排修补程序的部署。因为评估仅针对 VCM 数据库中的数据运行，我们必须在进行评估之前和之后收集管理机器的修补数据。

准备中

我们需要一台具备 Internet 连接的 VCM 服务器，并且已经完成了早期的配置，如为 Windows 修补配置 VCM和创建修补评估模板。对于定时修补，建议在开始之前先创建机器组。

如何操作...

正如在之前的操作中看到的，我们需要遵循四个步骤才能完全执行修补任务；因此，我们将为一个修补维护窗口安排四个任务。

任务安排如下：

• 初始收集：在修补程序之前从机器收集修补状态数据

• 初步评估：在修补程序之前，将收集到的数据与评估模板进行比较

• 部署修补程序：根据计划安装修补程序

• 最终评估：在修补程序之后，将收集到的数据与评估模板进行比较

这是一个计划的时间表，具体如下：

序号	名称	时间安排	原因
1	初始收集	每月第一个星期天早上 08:00	实际修补程序前 12 小时
2	初步评估	每月第一个星期天下午 02:00	实际修补程序前 6 小时
3	部署修补程序	每月第一个星期天晚上 08:00	定时修补维护窗口
4	最终评估	每月第一个星期天晚上 11:00	修补后 3 小时，以便进行自动化收集（发生在修补和重启后 30 分钟）

初始收集

我们无法安装修补程序，除非 VCM 知道是否需要它；在初始收集中，我们将使用这些信息更新 VCM 数据库。VCM 创建一个名为修补 - Windows 安全公告的过滤器集，并在每次 Microsoft 发布新修补程序后更新该过滤器。

在这个示例中，我们将使用一个名为VCM-CookBook-MW01的机器组，这是我们为本演示创建的。

按照以下步骤开始自动化 Windows 修补部署配置：

1. 要执行初始收集，我们需要以管理员权限登录到 VCM，进入管理 | 任务管理器 | 已安排，点击添加，然后选择收集。

2. 提供合适的名称并添加描述。

3. 确保选择补丁管理 - Windows 安全公告作为筛选集。

4. 选择正确的机器组以便进行此计划的维护窗口。

5. 提供与本配方开始时表格中描述的相符的时间表。

一旦按照要求的筛选集安排了初始数据收集，我们可以进入下一个步骤，初始评估。

初始评估

初始评估涉及检查前一步收集的数据中，机器上补丁的状态。我们给 VCM 六个小时的时间来从所有机器上正确收集数据，因此，此任务可以在初始数据收集后的六小时内，和实际补丁时间前的六小时内安排。请按照以下步骤进行：

1. 导航到补丁管理 | 任务管理 | Windows | 已安排 | 评估，然后点击添加。

2. 提供与维护窗口相关的合适任务名称和描述。

3. 选择正确的模板。

4. 选择相关的机器组。

5. 选择合适的时间表，如本配方开始时所讨论的。

部署补丁

此时，VCM 服务器已经知道哪些补丁在属于该机器组的机器上缺失，现在我们可以通过以下步骤安排实际的补丁部署任务：

1. 导航到补丁管理 | Windows | 自动部署。点击添加。

2. 选择与维护窗口相应的正确机器组。

3. 选择所需的评估模板。

4. 在此页面上，选择计划的自动部署 运行，如果公司的政策允许，选择部署后立即重启。

5. 对于阈值数据年龄，我们可以使用默认值2，因为我们已经安排了任务来收集数据并在实际补丁时间前 12 小时进行评估。

6. 最后，选择我们在本配方开始时决定的时间表，并点击下一步。

7. 第三步完成后，我们点击确定。

最终评估

到目前为止，我们已经计划了数据收集和评估，并完成了实际的补丁安装。现在，我们将安排一个任务，使用这些更新来更新 VCM 数据库。在前面的步骤中，我们了解到，在执行补丁部署后，当机器重启时，VCM 会启动数据收集任务，收集补丁安装后的机器详细信息。因此，我们只需要按照最初评估步骤中所做的方式安排评估任务；只需确保名称和描述表明这是最终评估，并且它被安排在补丁安装后的某个时间（如开始时决定的 3 小时后），以便给 VCM 服务器一些时间完成任务。按照以下步骤操作：

1. 导航到补丁管理 | 作业管理 | Windows | 已计划 | 评估，然后点击添加。

2. 提供一个与维护窗口相关的适当作业名称以及合适的描述。

3. 选择正确的模板。

4. 选择关联的机器组。

5. 选择合适的计划，正如开始时所讨论的那样。

完成最终评估后，VCM 将更新用户界面上的当前详细信息并生成报告。

它是如何工作的……

这让负责补丁管理的管理员的工作变得轻松许多。所有补丁管理所需的活动都可以被计划，这样管理员就不需要一直坐在 VCM 控制台前手动推送补丁。

我们计划了初始数据收集，使用了补丁管理 - Windows 安全公告筛选集，确保我们在 VCM 数据库中拥有托管服务器的最新详细信息。根据收集的数据，我们进行了初步评估。此评估会检查补丁模板并为我们提供补丁需求信息。

接下来，如果收集服务器缺少补丁，它会从互联网下载实际的补丁，并将其阶段性地安装到托管的机器上。一旦时间合适，VCM 代理就会安装补丁，并根据配置执行重启操作。补丁安装完成后，VCM 会使用相同的筛选集重新启动数据收集，筛选集为补丁管理 - Windows 安全公告，但这一次，我们会得到更新后的详细信息，因为补丁已安装。

这些更新的信息会添加到 VCM 数据库中，并在最终评估中使用，以获取当前补丁的状态。

还有更多……

除了常规选项外，如果您计划管理中到大型基础设施，还应该注意一些附加设置。

以下是配置基础设施所需的详细信息。您需要以 VCM 管理员权限登录，并进入管理 | 常规设置 | 补丁管理 | Windows | 附加设置。

序号	设置	说明
1	自动补丁部署 - 阈值数据年龄（天）	此项设置自动补丁部署的触发条件，基于阈值数据年龄。当补丁公告的数据年龄大于阈值时，VCM 不会部署补丁。要更新补丁公告的数据年龄，必须运行新的收集和评估。默认值为2天，必要时可以修改。
2	整个补丁部署作业的超时时间（分钟）	运行补丁部署作业的时间，直到进程超时。默认值为60；如果你一次性修补大量机器，则需要将此值更改为更高的值，例如120或180，具体取决于机器数量和批准的维护窗口。
3	执行补丁后收集前的等待时间（分钟）	这决定了补丁部署完成后，VCM 在从重启的托管机器收集补丁状态数据之前等待的时间。默认值为30分钟；如果你觉得这个时间太长或太短，可以进行更改。

你需要以 VCM 管理员权限登录，并进入管理 | 常规设置 | 补丁 | Windows | 部署。

将最大并发代理安装的值从21更改为更高的值。

如果在附加设置中你选择了60分钟作为整个补丁部署作业的超时时间，并且将最大并发设置为默认的21，那么如果你有一个非常大的评估模板，一些机器可能会超时而未部署补丁。这可能会造成问题，因为一个月后可能会有一些机器没有补丁。

在多域环境和工作组中修补机器

通常，在中型到大型的组织中，会存在多个 Active Directory 域。我们可以使用 VCM 修补多个域中的服务器。以下是你需要做的步骤。

除了多个域外，还有一些机器不属于任何域，或者它们在工作组中。要管理和修补工作组中的机器，你需要为机器组分配一个网络权限帐户，该机器组中包含位于工作组中的机器。

准备工作

我们需要遵循第二章中将网络权限帐户添加到管理多个域中的机器的流程，配置 VCM 以管理你的基础设施，并为修补多域服务器提供正确的域及其相应的 NAA 帐户。

为了修补工作组中的机器，我们需要创建一个具有静态成员资格的机器组，并将所有不在域中的机器添加到该组。

在 VCM 服务器和托管服务器之间打开必要的端口，无论是在工作组中还是在其他域中。

如何操作...

我们将以两种方式接近此方法：

首先，我们将讨论多个域。

我们需要做的第一件事是根据第二章的将网络权限帐户添加到多个域中管理机器 配方配置所有所需的网络访问帐户（NAA）帐户，配置 VCM 管理您的基础设施。

然后，您可以按需从本章的Windows 补丁-按需 配方进行补丁，或者按计划进行的Windows 补丁-定期 配方进行补丁。

第二种方法适用于工作组服务器。

我们需要添加一个带有.（点）域和用户名及密码通用于工作组机器的可用帐户。按照以下步骤进行：

1. 转到管理 | 设置 | 网络权限，在可用帐户下点击添加。

2. 添加帐户后，我们需要将其与为工作组机器创建的机器组关联。

3. 如果没有通用帐户可用，则可以按以下格式为每台服务器添加一个帐户。在这里，域是机器的名称：

4. 现在，转到按机器组分配的帐户，为工作组机器选择一个机器组，并分配先前添加的帐户。

如前面的配方所述，VCM 尝试所有帐户，直到找到一个有效帐户；将所有帐户分配给机器组没有问题。

注意

请注意，我们不能有多个具有相同帐户名和域的帐户，因此对于.（点）域，我们不能在可用帐户中注册超过一个管理员作为用户。

还有另一种选择：如果出于某种原因，您不希望将所有帐户分配给机器组，可以创建网络权限帐户，然后为每台机器分配一个帐户，并确保在添加可用帐户时，将域定义为机器名称。

1. 一旦添加了所需的帐户，进入管理 | 授权机器 | 授权的 Windows 机器。

2. 选择需要更改网络权限帐户的机器；在菜单中点击符号，将启动向导。

3. 确保我们要更改其 NAA 的机器在选定下是可用的。

4. 选择此机器的关联网络权限帐户。

5. 点击下一步，然后完成向导。

6. 为确保帐户已正确更改，请向右滚动，并在网络权限列下验证该机器。

完成此更改后，我们可以通过 VCM 成功管理机器，包括数据收集、软件和补丁安装以及合规性检查和强制执行。

然后，您可以根据需求选择按需进行 Windows 补丁或定时进行 Windows 补丁的方法。

工作原理...

定义的网络授权帐户将被 VCM 用于管理工作组中机器的补丁。

对 VM 模板进行补丁

当 VM 首次创建时，使用的虚拟机模板必须是最新的。这将减少 VM 最终用户进行补丁时的停机时间，并减少系统范围内的漏洞。

如何操作...

按照以下步骤对 VM 模板进行补丁：

1. 要对 VM 模板进行补丁，将其转换为 VM，提供 IP，并确保能够访问 VCM 服务器。

   每个模板上都应该有代理安装程序可用。

2. 一旦代理程序安装完成，请在 VCM 中为机器许可证并进行收集。

3. 机器应该作为模板补丁的一部分进行管理。执行按需补丁。

4. 安装补丁并重新启动 VM 并由 VCM 验证补丁状态后，卸载代理。

5. 在 VCM 中清除 VM。

6. 将 VM 转换回模板。

工作原理

这是一个完全手动的过程，我们将模板转换成虚拟机，安装代理，然后安装补丁。补丁完成后，在卸载代理并最终将机器转换为 vCenter 模板后，我们从 VCM 控制台清除该机器。

补丁报告

基础设施补丁完成后，我们需要一些精美的报告来向管理层展示我们在补丁方面的绿色情况。在报告方面，VCM 不会让您失望——有多个预配置报告可供选择，可以定期或按需运行，并导出到多种格式，如.xls、.doc、.csv和.pdf。

准备工作

在进行操作之前，我们必须准备一个合规性模板。

如何操作...

登录 VCM 后，转到报告部分是必要的。

1. 导航至报告 | 机器组报告 | VCM 补丁。

   这些是 VCM 用于 Windows 补丁的默认报告：

   序号	名称	描述
   1	基于 VCM 补丁评估的 VCM 补丁评估	这些报告使用由 VCM 补丁评估（在 VCM 补丁滑块上）生成的数据来生成其补丁状态结果
   2	补丁状态摘要	显示企业范围内 Windows 和 Unix 的补丁状态
   3	VCVP Windows 补丁状态详细信息	显示虚拟化机器的 Windows 补丁状态详细信息
   4	按公告信息进行 Windows 补丁评估	这使得可以通过公告信息对 VCM 进行补丁修复
   5	Windows 产品信息补丁评估	这使得通过产品信息对 VCM 进行补丁修复成为可能。
   6	Windows 补丁评估结果详细信息	这显示按机器、通告或模板分组的 VCM 补丁评估详细信息
   7	按通告显示的 Windows 补丁评估结果详细信息	这显示按通告分组的 Windows 补丁评估结果详细信息
   8	按机器显示的 Windows 补丁评估结果详细信息	这显示按机器分组的 Windows 补丁评估结果详细信息
   9	按模板显示的 Windows 补丁评估结果详细信息	这显示按模板分组的 Windows 补丁评估结果详细信息
   10	按模板显示的 Windows 补丁评估结果趋势	这显示按天、周、月或季度的 VCM 补丁评估模板趋势
   11	Windows 补丁评估趋势	这显示按天、周、月或季度的 VCM 补丁评估趋势
   12	Windows 补丁状态	这显示 Windows 补丁状态
   13	按模板显示的 Windows 补丁状态详细信息	这提供按模板分组的 VCM 补丁状态详细信息
   14	按模板显示的 Windows 补丁状态概述	这提供按模板分组的 VCM 补丁状态概述
   15	Windows 补丁状态详细信息	这提供 Windows 补丁状态的详细信息

2. 从 VCM 控制台中，选择你要运行的报告，并点击 运行；向导将开始。一旦填充了详细信息，它将显示报告。如前所述，报告可以导出为多种格式供管理员使用。

3. 我们需要记住的一个重要点是顶部的机器组选择；这会筛选出将包含在报告中的机器。

4. 我们也可以安排报告的生成。我们将在 第八章中的调度报告配方里介绍更多细节，与 vROps 的集成和调度。

它是如何工作的...

这里有一个很大的现有报告列表，我们可以运行并导出这些报告。我们甚至可以安排这些报告的定期生成，然后，它们可以被导出到指定位置，或者如果配置了有效的 SMTP 邮件服务，还可以发送到指定的电子邮件地址。

还有更多...

你可以查看 第八章中的调度补丁报告配方，了解如何调度报告，与 vROps 的集成和调度。

第五章：Windows 软件配置

在本章中，我们将涵盖以下内容：

• 在 Windows 上安装软件仓库

• 在代理上部署附加组件

• 创建软件包

• 将软件包发布到仓库

• 向 VCM 添加仓库

• 向包管理器添加仓库源

• 部署软件包

介绍

VCM 的软件配置提供了用于创建和管理软件包的工具、资源和机制，以便最终将软件安装到受管机器上。VCM 的软件分发仅适用于 Windows，而不支持其他操作系统。

在本章中，我们将介绍软件配置的概述，并讲解通过 VCM 在受管机器上安装软件所需的步骤。

软件配置是一个过程，通过该过程我们可以创建软件包，将这些包发布到仓库，然后将其安装到目标机器上。

为支持配置过程，VCM 的软件配置组件包括以下内容：

• 软件包仓库

• 包管理器

• VMware vCenter 配置管理器 Package Studio

Windows 软件仓库

Windows 软件仓库是一个共享位置，软件包由Package Studio发布到该位置，并且包管理器从该位置下载软件包以便进行安装。

Windows 的包管理器

包管理器是安装在每台机器上的应用程序，用于管理软件包中软件的安装和卸载。包管理器配置为使用一个或多个仓库作为包的来源。

该图展示了 VCM 收集器服务器、软件仓库和包管理器实例之间的关系：

注意

这些定义和图表摘自 vCenter 配置管理器管理指南（www.vmware.com/pdf/vcenter-configuration-manager-57-administration-guide.pdf）。

VMware vCenter 配置管理器 Package Studio

Package Studio 是用于构建软件包以便在目标 Windows 服务器和工作站上安装的应用程序。

软件包提供了安装和卸载程序所需的文件和元数据。软件包的一个重要功能是关于依赖关系、冲突和其他关系的元数据，这些内容在软件安装文件中没有体现。此元数据用于确定是否具备必要的依赖项，以确保安装成功；如果没有，元数据会说明为使安装成功所需的内容。

在软件包创建并准备分发后，它会被发布到软件仓库。然后我们使用包管理器将软件包从仓库下载到本地机器，并在 Windows 系统上安装它。

在 Windows 上安装软件仓库

软件仓库至少在基础设施中的一台 Windows 机器上安装，Package Studio 需要安装在同一台机器上，并且仓库必须先于 Package Studio 安装。

准备工作

由于仓库默认安装在 Collector 服务器上，如果我们需要另一个仓库，则需要安装另一台带有 IIS 的 Windows 服务器。IIS 的要求与 Collector 服务器中提到的相同，请参见第一章，安装 VCM，以及准备 VCM 部署——安装和配置 IIS食谱。

如何操作...

要在其他服务器上部署软件仓库，请按照此流程操作：

1. 首先，我们在以下位置找到Repository.msi：

    X:\Program Files (x86)\VMware\VCM\AgentFiles\Products (on the VCM 
          collector Server) 
   
   

2. 当我们双击Repository.msi文件时，它会启动向导，接受最终用户许可协议（EULA）并选择安装位置后，它会要求你提供一个虚拟目录：

   我们可以选择使用默认名称或更改名称。

3. 按照向导完成安装。

它是如何工作的...

仓库由 Package Studio 用于存储创建的软件包，这些包将用于配置管理机器。我们可以创建多个仓库并将其靠近管理机器，以避免通过广域网（WAN）消耗带宽；此外，本地配置会更快。

由于仓库将用于存储安装程序，因此需要提供足够的磁盘空间，具体取决于你计划分发的应用程序数量和类型。它就像一个文件服务器，所有 VCM 管理的机器将从这里复制软件包并进行安装。具有两个 vCPU 和 8GB 内存的服务器应该足以满足专用软件仓库的需求。

在代理上部署附加组件

软件包管理器安装在目标机器上，负责管理软件包的安装。它不包含软件包，而是包含指向其所知仓库源中软件包的指针。当被指示进行安装时，软件包会从仓库复制到目标机器上的cratecache文件夹中。软件包管理器将文件解压到%TMP%目录，并运行配置的安装程序。

注意

这适用于 VCM 5.7.3 或更早版本；如果你已经使用 5.8.0 或更高版本，请忽略此部分。

准备工作

对于此食谱，我们需要一个正在运行的 VCM 服务器和安装了 VCM 代理的管理机器。

如何操作...

我们将按照以下流程检查代理扩展是否已安装。如果没有安装，我们将进行安装。

这仅适用于 VCM 5.7.3 或更早版本。步骤如下：

1. 登录到 VCM 并具有管理员权限后，进入管理 | 机器管理器 | 许可机器 | 许可的 Windows 机器。

2. 在数据表格中，找到你正在验证所需代理扩展存在性的机器，并验证代理扩展.用于提供版本列是否包含 5.3 或更高版本的值。

3. 你需要向右滚动才能看到代理扩展.用于提供版本列：

4. 如果没有，你需要从 VCM 控制台安装或升级 VCM 代理。请参阅第七章中的升级 VCM 代理教程，VCM 维护。

它是如何工作的...

用于提供的代理扩展必须安装在我们需要提供软件的受管机器上。通过遵循此过程，我们确保它们已经安装，如果缺失，我们将采取必要的措施来安装它们。

注意

请注意，包管理器是在目标机器上安装的，而 VCM 代理版本 5.3 或更高版本是从 Collector 安装的。

创建软件包

Package Studio 是用于构建安装包，以便在由 VCM 管理的目标 Windows 计算机上安装的软件包应用程序。

注意

请注意，我们想要为其创建包的软件必须能够在没有用户交互的情况下安装和卸载。这被称为静默安装。通常使用命令行选项。

准备就绪

在我们开始之前，我们需要一个完全安装的 VCM 服务器和安装好的包管理工具，以便创建包。

如何操作...

在本教程中，我们将为从www.rarlab.com下载的WinRAR.exe创建一个包。

要这样做，请按照以下步骤操作。

启动 VMware vCenter 配置管理器 Package Studio。转到开始 | VMware vCenter 配置管理器 | Package Studio。

注意

请注意，在 Windows 2008 服务器上运行 Package Studio 时，我们必须以管理员身份运行该应用程序。

点击管理包，并根据以下选项卡中的选项配置包内容：

1. 点击属性，输入名称、版本和描述，并选择架构。这些字段是必需的。你可以根据需求更新其他字段：

2. 点击文件，导入安装文件，并按如下方式配置命令：

   1. 点击选择文件夹，然后进入安装程序所在的位置。

   2. 点击导入文件。

   3. 点击设置命令，然后在命令文本框中，命令将被创建。在我们的例子中，它将是winrar-x64-530.exe。

   提供任何额外的参数；在这种情况下，/s用于静默安装 winrar。

   你可以从你尝试安装的软件供应商那里获取所需的选项，或者可以访问像www.itninja.com这样的站点。

   请参考www.itninja.com/question/what-switches-to-use-with-exe-files-in-silent-mode上的博客。

3. 我们有两个选项：安装或移除。在这种情况下，我们将选择安装：

4. 点击保存以保存项目文件，以便在需要时我们可以返回并编辑它：

5. 点击生成；这将生成一个.crate文件，用于在托管机器上提供 winrar：

这就是我们如何创建一个可以用于供应的软件包。

它是如何工作的...

通过这个配方，我们可以创建一个 VCM 识别的软件包（.crate格式），该包会发布到多个仓库，然后由托管机器上的 VCM 代理下载并处理，以安装实际的软件。

将软件包发布到仓库

在前一个配方中，我们创建了一个.crate格式的软件包。接下来的第一步是将包分发到仓库，并从那里分发到托管机器的临时文件夹，以进行安装。

现在，我们将把在之前配方中创建的包发布到仓库，以便进行进一步处理。

准备就绪

我们需要在包管理器中创建一个包，比如在之前的配方中创建的那个包，并且需要按照在 Windows 上安装软件仓库配方中的步骤安装一个仓库，才能完成这个配方。

如何操作...

我们可以从前一个配方中继续操作，或者重新启动包管理器并打开之前创建的项目文件。

按照以下步骤将包发布到你的仓库：

1. 点击左侧的管理仓库按钮。进入仓库页面后，点击添加平台。基本上，这是我们可以确定哪个包放入哪个文件夹的方式。这些平台和部分会分配给托管的机器（或在以下配方中提到的软件包管理器）。

   我们可以创建多个平台，比如 Windows Server 2008 或 Windows Server 2012：

   

2. 每个平台有多个部分；我们可以添加任意数量的部分，并按照需要命名。建议你将它们命名为 x86 和 x64，以便相应地分类你的软件：

3. 一旦添加了各个部分，选择适当的部分——x86或x64——然后点击发布包。浏览到.crate文件的位置并选择它：

4. 选择部分(s)：

5. 我们现在准备好了：

你可以通过以下方式之一或两者来检查包是否已发布：

1. 转到X:\Program Files(x86)\VMware\VCM\Tools\Repository\Crates\。

   您将找到一个单字母名称的文件夹。该字母将是我们 .crate 文件的首字母。

   在那里，您会找到一个准备好部署的 .crate 文件：

   

2. 在 Internet Explorer 中，访问 http://<Repository Server name/ IP>/SoftwareRepository/Crates/X。

   再次强调，X 是一个字母，它是 .crate 文件名的首字母。

   

如何操作...

在此操作中，VCM 将 .crate 文件复制到仓库服务器的正确位置，以便包管理器在尝试部署已发布的软件包时可以访问它们。

关于平台：平台值可用于定义软件包可以安装的操作系统架构。我们可以创建并使用平台来帮助管理基于操作系统平台的软件包分发。当我们使用更高层次的特定性时，结果是更小的包群，并提高了安装哪些软件包的可预测性。

关于章节：章节用于进一步细化每个平台上软件包的组织方式。它们用于指定包管理器的仓库源，允许我们控制哪些软件包对哪些机器可用。如何使用章节可以根据您的特定业务需求进行调整。以下是使用章节的一些示例：

• 业务线组：市场营销、销售、人力资源部门和工程部门

• 开发状态：开发、验收和生产

• IT 软件管理结构：软件发布者、部门和业务组

将仓库添加到 VCM

一旦软件包被创建并发布到仓库中，我们需要将仓库分配给受管机器，以便它们能够下载并安装该软件包。

要查看 VCM 中的软件包和包管理器信息，我们必须从受管机器收集包管理器数据。

准备就绪

我们需要准备好安装了包管理器的代理，也就是说，我们需要按照 在代理上部署附加组件 这一操作步骤进行，并且仓库应根据之前的步骤发布我们计划部署的软件。

如何操作...

这是一个两步过程。在第一步中，我们将收集所有需要安装软件的受管机器的数据并检查它们的状态；在第二步中，我们将收集来自仓库服务器的数据，检查哪些软件包可供部署。

收集软件部署包管理器数据

我们需要在所有需要部署软件且已安装包管理器的机器上运行此操作。按照以下步骤收集数据：

1. 一旦以管理员身份登录 VCM，点击 VCM 控制台左上角的 收集：

2. 这将启动向导；选择机器数据，在下一步中，选择所有需要收集详细信息的机器。

3. 在数据类型下，确保已选择软件配置 - 包管理器：

   确保没有冲突，并让任务完成。

4. 你可以前往管理 | 任务管理器 | 历史记录 | 即时收集 | 过去 24 小时，查看任务状态。它应该是成功的。你可以点击查看详情查看更多信息：

5. 一旦数据被收集，可以通过前往控制台 | 操作系统 | Windows | 软件配置 | 包管理器来查看详细信息：

收集软件仓库数据

收集仓库数据，以识别哪些软件包在什么仓库中。从收集的信息中，你可以根据可用的包来决定将哪些仓库分配给机器。

我们需要对那些已经创建了软件仓库的机器执行此操作。

这个过程与之前的步骤类似，但有两个不同之处：

• 我们对所有仓库服务器执行此操作

• 数据类型的值更改为软件配置 - 仓库

你可以前往管理 | 任务管理器 | 历史记录 | 即时收集 | 过去 24 小时，查看任务的状态。它应该是成功的：

在控制台 | 操作系统 | Windows | 软件配置 | 包管理器 | 仓库下，它是这样的显示。

它是如何工作的...

在这个两步的过程中，我们收集来自被管理机器和软件仓库的数据。在第一步中，我们从所有被管理机器中收集数据，获取 VCM 中的包和包管理器信息。

在第二步中，我们收集仓库数据，以识别哪些软件包在什么仓库中。当我们需要根据包的可用性将仓库分配给机器时，这些信息非常有用。

将仓库源添加到包管理器

仓库源是包管理器将能够下载并安装包的位置。我们需要手动在包管理器（管理的机器）中定义这些位置，并且可以定义多个位置。然后，VCM 包管理器将按照其流程下载包。

准备就绪

我们需要将仓库发布到 VCM，按照将仓库添加到 VCM的步骤，并收集包管理器数据，以便将仓库分配给它。

如何操作...

添加源会让所选机器上的包管理器实例能够访问指定章节中可用的软件包。源按优先级编号。当你添加新的源时，可以指定是将其添加到列表的开头还是末尾。你也可以删除源。

按照这些步骤，我们可以将源添加到包管理器：

1. 使用管理员权限登录到 VCM 服务器，进入控制台 | Windows | 操作系统 | 软件配置 | 包管理器。

2. 点击添加源：

   这将启动一个向导。

3. 在选择机器页面，确认下方窗格中显示的机器是你要添加源的机器，然后点击下一步。

4. 在浏览源页面，选择VCM 管理的仓库，选择仓库，并点击确定：

   如果有多个仓库，可以选择将源添加到现有源列表的开头或将源添加到现有源列表的末尾，这取决于包管理器与仓库之间的距离。

5. 在发布软件包时，验证平台名称和章节名称是否与仓库中使用的完全一致：

6. 在调度页面，选择一个调度选项并根据需要进行配置。

7. 在确认页面，检查信息并点击完成。

8. 添加的源会显示在包管理器 – 源数据表格中。

它是如何工作的...

我们并不依赖于包管理器下载发布的软件包的位置，而是简单地分配仓库，并决定从哪些位置按顺序获取软件包。

还有更多...

一旦仓库被添加到包管理器中，剩下的工作就是安装软件包。

部署软件包

最后，我们准备好部署软件包——换句话说，我们准备好配置软件。

准备工作

我们需要完成本章中所有前面的步骤，才能继续执行此步骤。

如何操作...

要在托管机器上配置软件，请按照以下步骤操作：

1. 使用管理员权限登录到 VCM 服务器，进入控制台 | Windows | 操作系统 | 软件配置 | 包管理器 | 软件包。

2. 选择要安装的软件包并点击安装软件包：

3. 跟随向导，必要时可以添加更多机器来安装选定的软件包（本例中为 winrar），或者点击下一步：

4. 由于我们没有签名软件包，因此接受警告并允许未签名的软件包：

5. 安排操作或选择立即执行操作。

6. 接受确认后，你就可以开始了：

如果你选择了立即运行操作，那么将立即启动软件包安装过程；如果你设置了计划，则将在稍后的时间启动安装。

它是如何工作的...

如果你按照所有步骤操作，那么你将会理解软件供应中各种 VCM 组件之间的关系，创建并发布了一个软件仓库，创建并发布了一个软件包，并将仓库源添加到包管理器中。

让我们看一下安装软件包的最后一步。

.crate 文件被复制到受管机器上的 C:\Program Files (x86)\VMware\VCM\Tools\Cratecache：

从这里，包管理器解压 .crate 文件，并使用创建软件包时提供的安装命令和参数来安装应用程序。

该应用程序可以在程序和功能中看到：

这就结束了我们关于使用 VCM 进行软件供应的探索。

第六章：合规性管理

本章将介绍以下内容：

• 导入合规包

• 创建合规规则组

• 为 Windows 创建自定义合规规则

• 为 Linux 创建自定义合规规则

• 为虚拟化创建自定义合规规则

• 修改默认过滤器集

• 创建合规模板

• 检查基础设施的合规性

• 导出合规规则

• 合规报告

• 创建合规例外

介绍

合规性意味着满足要求。它也用于指代行业或政府的规定，说明如何管理数据，以及组织必须遵守这些规定。

考虑一个关于密码复杂度的规则，比如密码长度不得少于 12 个字符。现在，您需要检查您的基础设施中的所有机器是否符合此要求。假设您需要检查几千台机器，如果它们不符合要求，还需要重新配置。

您可以想象，逐一检查每台机器、查看设置并在发现不合规时进行修正需要多长时间。现在，如果需要针对几百条规则进行类似操作，您如何记录所有状态以供审计员查看？当您需要遵守多个政府和行业标准，如 ISO、HIPAA 和萨班斯-奥克斯利法案时，情况会变得更加复杂。每个标准可能有几百条规则，并且每个操作系统可能会有不同的变更。此外，您可能还有自己独特的合规规则，这些规则可能与其他标准不同，您也需要检查这些规则。对于某些规则，可能需要您的安全团队批准偏差，因此，违反该规则不应影响您的合规性评分，您需要将这些作为例外情况处理。

现在，合规性的复杂性更加清晰，我们需要一种可以轻松处理这一切的工具。市场上也有其他工具，如 System Center Configuration Manager、BMC BSA 和 Puppet，它们都可以完成此任务，但 VCM 在以下几个方面优于这些工具：

• 有超过 50 个现成可用的行业和政府标准合规包

• 创建您自己的合规包是一个非常简单的过程

• 规则是在 VCM 服务器上捕获并存储的数据上处理的，以便我们获得在服务器上配置的设置

• 它更加具有成本效益，因为它是 vRealize Operations 套件的一部分

• 我们可以在一个控制台中检查 VMware 虚拟基础设施以及受支持的管理机器的合规性

• 我们可以强制执行不合规规则的合规性（尽管并非所有规则和操作系统都受支持）

在我看来，这个列表已经足够让我们理解为什么我们应该使用 VCM 而不是其他工具来管理基础设施的合规性。

VCM 合规的构成

为了衡量合规性，我们需要在 VCM 中创建各种元素。让我们来了解一下它们。

规则

我们已经了解到，合规性意味着满足标准所提出的要求，因此要检查合规性，我们需要创建一个规则。基本上，规则是对标准所提出的要求的解释，然后 VCM 可以理解它。继续我们之前的示例，我们的要求是密码长度至少为 12 个字符。当我们将这一要求转化时，在 VCM 中得到的就是一个规则。

规则可以是简单的也可以是复杂的。一个简单的规则仅检查数据属性的内容，而一个复杂的规则可以利用逻辑检查条件。

过滤器

过滤器用于根据条件筛选机器。例如，我们创建了一些规则，想让这些规则仅对某一操作系统进行检查。那么，我们就为该操作系统创建一个过滤器。

规则组

规则被归类在规则组下；例如，我们可以将适用于 Windows Server 2012 R2 的所有规则放在一个规则组下。

模板

模板用于将多个规则组组合在一起。它们用于检查机器组的合规性。

例如：在我们公司，我们有一些规则，这些规则可能因不同版本的 Windows 而有所不同。我们可以为每个操作系统创建所需的规则组，并根据每个规则组中创建的过滤器进行过滤。然后，所有规则组将被组合在一个单一的模板中，该模板可以用来检查基础设施的合规性。

导入合规包

提供超过 50 个合规包可供下载，且随着 VMware 不断添加新的合规包，列表还在不断增长。

准备工作

我们需要 VCM 服务器的互联网连接才能从 VMware 下载合规包。内容向导工具将使用系统级别配置的代理；有关代理详细信息，请参阅本食谱中的更多内容...部分。

如何操作...

现在我们将从互联网下载一个合规包：

1. 登录到 VCM 服务器的操作系统。

2. 从桌面启动内容向导工具（开始 | VMware vRealize Configuration Manager | 内容向导工具）。

3. 在向导的下一页，选择从互联网获取更新。

   另一个选项是从本地文件系统获取更新；为此，所有文件必须存放在C:\ProgramData\CM\Content文件夹中。您必须从 VMware 获取更新的文件并手动将它们复制到该目录。可从vcmupdates.vmware.com/CPC/VCM/5_7/下载文件。

4. 向导将检查互联网连接，并开始从 VMware 下载Updates.xml文件。

5. 接下来，它将显示可供下载的包列表。选择适用于您基础设施的包；在此示例中，我们选择了Windows 的 ISO 27001-27002：如何操作...

6. 选中的包将被下载并准备导入。

7. 下载完成后，它将作为向导的一部分开始导入。

8. 一旦导入完成，它将呈现日志结果页面，并提供保存日志的选项。点击关闭。

9. 在下一页，点击完成以完成合规包的导入。

10. 你可以通过登录 VCM 控制台并进入合规性|机器组合规性|模板来检查已导入的合规包：

它是如何工作的……

如介绍中所述，我们可以创建自己的合规规则，或者通过导入 VMware 创建的合规包来导入规则。这将为我们提供衡量合规性所需的所有必要构件，例如 ISO 27001、SOX 和 HIPPA 等标准。

该工具将规则以 XML 格式下载，然后导入 VCM 数据库。该包包括规则、规则组、过滤器和模板，这些都是为了选定的标准；在我们的例子中，是针对 Windows 的 ISO 27001-27002 标准。

一旦合规包导入完成，我们可以使用新创建的模板来检查我们的基础设施是否符合 ISO 27001-27002 行业标准。请参阅本章中的检查基础设施的合规性食谱。

还有更多……

如果你的互联网访问需要使用代理，可以通过更改一些注册表设置来实现。进入HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Internet Settings Proxy Server检查代理详细信息；如果配置了代理且你所在的环境不需要代理，或者代理已被更改，你需要在开始排查为什么内容向导无法连接到www.vmware.com/之前检查这一点。

创建合规规则组

在前一个食谱中，我们导入了一个合规包，创建了所需的规则、规则组、过滤器和模板。当我们想要检查与自己标准的合规性时，我们需要创建它们。在本食谱中，我们将创建一个合规规则组。

准备工作

我们需要一个正常工作的 VCM 服务器以及管理员登录凭据。

如何操作……

这是一个分为两部分的过程；首先，我们将创建一个规则组，然后创建所需的过滤器。

创建规则组

以下是创建规则组的步骤：

1. 使用管理员账户登录 VCM。

2. 进入合规性|机器组合规性|规则组。

3. 点击绿色加号创建一个新的规则组。

4. 它将启动一个向导；填写适当的名称并提供描述。创建此类内容时，最好遵循一些命名约定。我们将在附录 A 中详细介绍命名约定——定义命名约定。在这种情况下，我们为公司的规则创建了一个 Windows Server 2012 的规则组，因此将使用以下名称：

   • 规则组名称：01_MyCompany_Win2k12

   • 描述：提供合适的描述。

   • 过滤器集：使用默认过滤器集。

   

   注意

   请注意，所选的收集过滤器集用于计算合规性模板中规则的数据年龄。过滤器集必须收集规则组中规则所包含的相同数据类型。如果过滤器集没有收集相同的数据类型，则不会计算数据年龄。

5. 通过点击确定，接受规则组创建确认框。

一旦规则组创建完成，我们需要创建必要的过滤器，以便仅检查该规则组中预期的机器。

创建过滤器

这是该配方的第二部分；在这里，我们将为规则组创建必要的过滤器。步骤如下：

1. 点击新创建的规则组，也就是01_MyCompany_Win2k12，然后点击过滤器。

2. 点击绿色的+按钮以添加新过滤器。

3. 提供合适的名称和描述。

4. 选择数据类型。

   我们选择正确数据类型的想象力是唯一的限制；VCM 代理捕获的所有属性都可以在 VCM 数据库中找到，所有这些属性都可以用来创建过滤器。在我们的例子中，我们将使用操作系统名称作为过滤标准；因此，我们选择了机器。你可以浏览并查看其他可用选项：

   

5. 现在，所选的数据类型将用于创建规则。因为我们只需要检查操作系统名称，所以我们选择了基本：

6. 在这里，我们也有多个选择来进行过滤，我们将选择操作系统名称全称，然后选择条件运算符，再输入值。

   由于我们正在为 Microsoft Windows Server 2012 创建过滤器，我们选择了操作系统名称全称 = Microsoft Windows Server 2012 %（%是通配符）：

   

   注意

   VCM 中的通配符：

   通配符	含义
   %	匹配所有字符
   _（下划线）	匹配一个字符
   *****	相当于%
   ?	相当于_

7. 点击完成以完成过滤器创建。

8. 要验证我们的过滤器，点击预览，它应该显示基础架构中所有带有 Windows Server 2012 的机器，因为我们的规则只查找这样的机器：

   注意

   请注意，如果在一个规则组中创建了多个过滤器，它们作为逻辑AND一起工作，也就是说，只有当所有条件为真时，才会显示机器，因此在创建多个过滤器时需要小心。

工作原理...

在这个配方中，我们只创建了一个规则组，该规则组将包括我们公司要通过 VCM 测量的安全规则，并选择了默认过滤器集，因为信息将作为默认过滤器集的一部分进行收集。

之后，我们创建了一个筛选器，能够在 VCM 中仅筛选出 Windows Server 2012 机器。

为 Windows 创建自定义合规规则

VCM 将合规性分为两大类：

• 机器组合规性

• 虚拟环境合规性

机器组合规性

在此类别中，合规性在操作系统级别进行检查，例如所有受支持的 Windows 或 Linux 版本。

虚拟环境合规性

在此类别中，将检查 vCenter 中存在的 ESXi 主机、vCenter 和虚拟机的合规性。

现在，既然我们已经准备好规则组，让我们开始为组织填充规则。我们可以通过两种方式创建规则：要么复制我们在第一步中下载的标准合规性包中已创建的规则并根据需求进行修改，要么从头开始创建规则。

在本步骤中，我们将基于机器组合规性创建一个自定义合规规则。

准备工作

我们需要一台完全准备好的 VCM 服务器，并且为了从另一个规则组复制规则，我们应该完成 导入合规性包 的步骤。我们还需要创建自己的规则组，以便可以在其中创建规则。

如何做到这一点...

我们将继续以要求密码复杂性和最小密码长度为 12 个字符为例；首先，我们会尝试在导入的合规性包中查找规则，然后我们将创建自己的规则。

从另一个规则组复制规则

我们可以从已下载并添加到 VCM 的合规性包中复制规则，然后根据我们的需求修改它们，或根据需要将不同合规包或标准中的规则组合起来，以支持我们的内部公司标准。

按照以下步骤从另一个规则组复制规则：

1. 使用管理员权限登录 VCM，进入 合规性 | 机器组合规性 | 规则组。

2. 由于我们想复制规则，我们必须知道原始规则的位置；在我们的例子中，规则位于 最佳实践 - ISO 27001-27002 Windows 2008 R2 Mbr 规则组中，因此我们将前往该组并选择所需的规则：

3. 点击 复制，在向导启动时，选择您想要复制规则的规则组：

4. 在下一步中，确认您想要复制的规则，并点击 完成。

5. 现在，规则已被复制到我们的规则组中。

6. 它应如下所示：

创建新规则

现在，既然你已经看到如何复制规则，我们将继续考虑如果找不到我们需要的规则，则需要创建规则的情况。

按照以下步骤创建所需的规则：

1. 再次登录 VCM，进入 合规性 | 机器组 合规性 | 规则 组。

2. 选择为存储我们规则而创建的机器组，进入规则，点击添加，并按照向导进行操作。

3. 提供规则的名称和描述。

4. 选择正确的数据类型；在我们的例子中，它是帐户策略。

5. 选择基本规则。

6. （有关规则类型的更多详细信息，请参见VCM 合规性的构建食谱中的规则子部分）。

7. 选择一个最小长度值大于（>）12，作为条件，以便如果条件未满足，它将标记为不合规。

8. 选择中等严重性，确认规则创建并点击完成。

9. 我们刚刚为 Windows 创建了我们的第一个内部标准规则。

它是如何工作的…

为了衡量合规性，我们需要为每个已声明的要求创建规则；在本示例中，我们首先复制了一个从导入的标准中获得的规则，然后为了理解流程，我们创建了相同的规则。该规则将存储在规则组中，并将检查 Windows 机器的密码长度合规性。

为 Linux 创建自定义合规规则

在之前的示例中，我们查看了一个为 Windows 创建的检查最小密码长度的规则；我们将在这里继续相同的要求，只不过是针对 Linux。过程将类似，只是数据类型会发生变化。

准备就绪

我们需要一个功能完全的 VCM 和一个用于存储 Linux 规则的规则组。

操作步骤...

就像在之前的示例中一样，这里我们也有两种方法来创建这样的规则，即从另一个导入的合规包规则组中复制，或者创建我们自己的。复制过程与 Windows 相同，因此我们不会再重复它。

我们将通过完成以下步骤为 Linux 创建一个新规则，以检查最小密码长度：

1. 再次，我们需要以管理员权限登录 VCM，并转到合规性 | 机器组合规性 | 规则组。

   转到为 Linux 规则创建的机器组，点击规则组名称前的箭头，并选择规则。

2. 点击添加，它将启动一个向导来创建一个新规则。

3. 在向导的第一页，提供名称和描述。

4. 在数据类型的下一页，选择Unix | 自定义信息。

5. 如果你是 Linux 管理员，你已经知道在哪里找到所需的详细信息；如果不是，请咨询你的 Linux 管理员。

   在我们的例子中，我在咨询了我的 Linux 管理员后填写了相关信息。

   这是我们填写的内容：

   • 信息类型：builtin:login.defs

   • 文件路径：/etc/login.defs

   • 内部路径：/builtin:login.defs

   

6. 选择PASS_MIN_LEN条件大于（>）12，也就是说，如果找到的值小于 12，那么我们就不合规，VCM 会通知我们。

7. 将严重性设置为中等，按照向导步骤进行，并接受规则创建，最后点击完成来完成设置。

它是如何工作的...

就像 Windows 合规规则一样，该规则将被存储，并处理从 Linux 机器收集的存储数据，给出它们的合规状态。

为虚拟化创建自定义合规规则

到目前为止，我们为机器组合规性创建了规则，即为 Windows 和 Linux 创建了规则。现在，我们将为虚拟环境合规性创建规则。在虚拟环境中，我们无法继续使用最小密码长度的示例，因此我们将其更改为我们另一个要求，即虚拟机的快照不应保存超过 10 天。

那么，让我们开始，首先创建一个规则，看看有多少虚拟机不符合我们的规则。

准备开始

我们需要创建一个规则组，用于在已完全部署且功能正常的 VCM 服务器中存储虚拟化合规规则。

如何做到这一点...

像我们之前处理规则的经验一样，如果你知道从哪里复制，它也可以从另一个标准包中复制；这个过程与 Windows 规则类似，所以我们在这里不再重复。

我们将通过以下步骤开始创建一个新规则：

1. 我们需要再次以管理员身份登录 VCM，并进入合规性 | 虚拟环境合规性 |** 规则组**。

2. 选择为存储虚拟环境合规规则而创建的规则组。点击它旁边的箭头，进入规则。

3. 点击添加以启动向导。填写规则名称和描述，然后点击下一步。

4. 查看之前我们为 Windows 和 Linux 创建规则的截图，并根据这些步骤为虚拟化进行相应的修改。

5. 在向导的下一页中，选择数据类型，选择vCenter - 客户机 - 快照，因为我们要检查快照的年龄。

6. 选择基本作为规则类型，然后点击下一步。

7. 要形成一个条件，选择快照年龄小于或等于（<=）10，也就是说，如果快照年龄小于 10，那么我们是合规的，但如果超过 10，我们就不合规，需要标记出来。点击下一步。

8. 选择中等严重性，确认规则创建，并点击完成以关闭向导。

这完成了所有类型的合规规则的创建。

它是如何工作的...

该过程与 Windows 和 Linux 的机器组合规性和规则相同；在虚拟环境中，所需的数据将从 vCenter 服务器收集，并且 vCenter 服务器的合规得分会发生变化，而不是单独虚拟机的合规得分。

修改默认过滤器集

现在你知道 VCM 检查的是已收集并存储在数据库中的数据的合规性，而不是直接检查实时机器上的数据。这带来了一个限制：如果某个特定数据类型未被采集，那么它将无法使用，因此我们无法衡量该规则的合规性，VCM 会告诉你该规则的结果中没有收集到相关数据。

为了克服这种情况，我们可以设置多个包含不同类型过滤器集的采集，这些过滤器集由 VCM 创建，或者我们可以修改默认过滤器集并添加所需的过滤器。

注意

请注意，VMware 不建议修改默认集。请创建你自己的过滤器集，包含所需的过滤器，并使用它来执行数据采集。

那么，什么是过滤器和过滤器集？

VCM 过滤器：过滤器定义了 VCM 代理在执行数据采集时应收集哪些数据；例如注册表设置、服务状态、文件权限等。

VCM 过滤器集：这些是过滤器的集合，可以用来从管理的机器收集数据。大多数情况下，我们使用默认过滤器集，但在安装 VCM 时会默认创建几个过滤器集，导入合规包时也会添加一些过滤器集。合规包创建所需的过滤器和过滤器集，以便收集数据并在运行合规性检查时处理这些数据。

我们需要在执行数据采集时选择正确的过滤器集，以便将所需的详细信息添加到 VCM 数据库中，修改默认过滤器集，或创建一个新的过滤器集，并使用该过滤器集来收集数据。

准备工作

我们需要一个完全功能的 VCM 服务器，并且我们应当知道需要添加哪些数据过滤器到默认过滤器集中，因此我们应该像在第一个食谱中那样导入合规包。

如何操作...

我们将添加一个 Linux 过滤器，用于收集在为 Linux 创建自定义合规规则食谱中使用的所需数据类型，其中我们使用了来自:/etc/login.defs文件的详细信息，而这些信息并不包含在默认过滤器集中。在这个示例中，我们正在修改默认过滤器集，但你也可以使用相同的过程，首先创建一个过滤器集，然后将所需的过滤器添加到其中。

让我们进入 VCM 控制台来修改默认过滤器集吧：

1. 首先，登录到 VCM 并转到管理 | 数据采集过滤器 | 过滤器集。

2. 选择默认过滤器集并点击编辑过滤器集。

3. 向导将启动；如你所见，有 9000 个筛选器可用；我们无法逐个搜索它们，所以创建一个筛选器，点击定义，它将弹出一个窗口。

4. 由于我们希望在筛选器中查找登录详情，请创建一个像Name类似于%log%的筛选器（%充当通配符）。

5. 现在，我们需要检查的筛选器只有 169 个。浏览它们并选择符合我们要求的筛选器，在这种情况下是CIS - RHEL 7 - 自定义信息 - /etc/login.defs。

6. 选择并点击向下箭头，然后点击下一步。

7. 确保没有冲突，然后点击下一步。

8. 在下一页，它将显示此筛选器集中的筛选器列表；点击完成接受它们。

它是如何工作的……

如前所述，我们需要指示 VCM 收集哪些数据；否则，我们将错过数据收集，无法检查这些规则的合规性。我们可以通过两种方式来做：使用多个筛选器集多次收集数据，或者像这里一样，添加所需的筛选器集并准备一个主筛选器集来收集所有详细信息。

我们选择了第二个选项。从现在开始，每当我们使用默认筛选器集收集数据时，它将从 Linux/Unix 管理的机器中收集有关/etc/login.defs文件的详细信息，我们可以使用这些信息。

创建合规模板

现在，所有必需的规则组和所需的筛选器都已准备好，并且它们已经填充了所有规则以满足安全官员的要求，我们需要继续并开始检查合规性。但等一下，我们不能直接检查规则或规则组的合规性；我们需要一个合规模板，它可以包含所有所需的规则组。

所以我们先从为与 Windows 相关的规则组创建合规模板开始。

准备就绪

我们需要创建所有必需的规则组，并确保它们已填充与之关联的规则，且在完全功能的 VCM 服务器上运行。

如何操作...

到目前为止，你应该已经知道在哪里创建合规模板；如果不知道，只需按照这个过程，你也将学会如何操作：

1. 转到合规性 | 机器组合规性 | 模板，然后点击添加。

2. 启动创建新模板的向导后，提供一个合适的名称和描述值。

3. 选择所有应该包含在此模板中的规则组。

4. 确保它能够提供合规和不合规的详细信息，并处理合规例外（更多内容请参见本章末尾的创建合规例外部分）。

5. 确认模板的创建并点击完成。

工作原理...

我们可以为每个版本的 Windows 创建规则组，例如 Windows Server 2003、Windows Server 2008、2008 R2、Server 2012 和 2012 R2。每个规则组会有自己特定的过滤器，使得这些规则仅应用于为其创建的操作系统。现在，我们可以有一个单一的模板，应用于包含所有 Windows 机器的大型机器组；VCM 会为它们选择正确的规则，这样我们就可以避免需要多个模板和相关机器组来检查合规性（检查基础设施的合规性是我们的下一个教程）。

当被称为“合规”的规则通过并且失败时，我们在某个设置上就是不合规的。现在，可能需要对规则做出一些例外，就像本章最后的教程《创建合规性例外》中，我们会创建这样的例外。

检查基础设施的合规性

我们已经完成了创建所有规则、规则组和模板的繁重工作，达到了这一步：检查基础设施的合规性。现在，我们准备好检查我们是否符合内部标准，或者我们可以直接使用我们在第一个教程中下载并导入的标准合规性包。

由于我们只创建了测试规则，我们将使用我们在第一个教程中导入的标准模板。

准备工作

所有繁重的工作应该已经在 VCM 服务器上完成；例如，模板应该已经准备好，并且至少有一个机器组，其中包含我们需要检查合规性的机器，或者我们可以使用默认的机器组。更优的选择是我们自己的机器组。

如何操作...

如前所述，我们将使用一个名为国际标准化组织 27001-27002- Windows 2008 R2 Mbr 服务器控制的标准模板，并将其应用于默认机器组所有机器。

按照此流程检查 Windows 服务器的合规性：

1. 登录 VCM 后，前往合规性|模板。

   注意

   请注意，您应该确保在顶部选择了正确的机器组；这是 VCM 决定将哪个机器应用于模板并进行合规性测量的方式。如果您想更改机器组，请点击机器组，在弹出的窗口中选择正确的机器组。

2. 在右侧选择所需的模板，然后点击运行。

3. 根据组织的政策，决定是否执行合规性检查。

   注意

   请注意，并非所有规则都可以强制执行；此外，我们还可能会创建问题，例如破坏一个正在工作的应用程序。例如，如果要求禁用打印后台处理程序服务，而当我们强制执行合规性时，我们禁用了该服务，那么这将导致打印机组出现问题，因为它将无法正常工作。因此，最好先了解哪些是非合规的，然后做出必要的例外，再从 VCM 强制执行，或者要求相应的服务器拥有者采取必要的措施。

4. 根据你在机器组中需要检查的机器数量，合规性检查将在几分钟内完成。点击关闭。

5. 可以通过导航到左侧的模板并从顶部选择正确的机器组来查看合规性状态。

   对我们来说，我们的支持团队需要做很多工作，因为我们是非合规的。

   

它是如何工作的...

当我们请求 VCM 检查合规性时，它首先应用规则组中可用的过滤器，然后，只有通过这些过滤器的机器才会被考虑。

合规性检查是基于 VCM 收集并存储在数据库中的数据进行的，与一些其他工具不同，这些工具是在客户端端进行检查，并由客户端提交数据。VCM 所采用的流程更好，因为它可以在当时处于离线状态的服务器上执行，并且当我们检查结果时，可以得到导致机器违反规则的具体值。

但是，这样也有一些问题：首先，我们需要确保我们的 VCM 是干净的；我的意思是，当一台机器被退役时，它应该从 VCM 中清除；否则，我们会保留那些在基础设施中已不存在的机器的详细信息，这可能会影响我们的最终合规性评分。

第二个问题是它没有给我们实时的详细信息，因为它是基于数据库中的数据进行工作的；这可能会导致一些误报。

为了应对这个问题，我们可以在对机器组进行全面数据收集后安排合规性检查；这样我们就不会处理过时的数据。

一旦完成合规性检查，如果我们选择执行合规性，它将创建任务来强制执行这些规则，并开始在受管理的机器上执行；例如，如果我们有规则检查服务的状态，并且期望某些服务处于运行状态，那么 VCM 将启动这些服务。

导出合规性规则

我不知道你怎么样，但我可是个懒管理员——我喜欢一次性做完事情，然后尽可能多次使用它。创建完整的合规性配置是一个庞大的任务，可能需要几个月的时间；现在假设你又有另一个部署了 VCM，你想要重新创建所有规则、规则组和模板。没人会同意几个月的重复工作，你自己也不会喜欢这种重复的工作。

这时，VMware 提供的与 VCM 捆绑的导入导出工具就派上用场了。你可以将所有设置导出为一个 XML 文件，然后根据需要导入任意数量的 VCM 部署，一旦导入，你也可以根据需求进行修改。

在本教程和接下来的教程中，我们将探讨这两个操作。首先，我们将导出配置文件到一个 XML 文件中，然后再导入回来。

准备就绪

在开始之前，我们需要一个完全功能的 VCM，且所有所需的规则组、过滤器、规则和模板应该在开始之前准备好。

如何操作...

要进行此操作，你无需登录到 VCM 控制台，但需要从 VCM 服务器的桌面启动 导入导出 工具。请按照以下步骤操作：

1. 一旦 导入导出 工具启动，点击 连接源。

2. 选择数据库服务器并点击连接。选择 VCM 数据库并点击 确定。

3. 由于我们想要导出合规性模板（这将包括所有规则组、过滤器和规则），点击 合规性模板；工具将显示右侧可用的合规性模板。

4. 接受依赖警报——如果我们修改或创建新的过滤器集，我们需要适当的文档，以便在新环境中重新创建它们，届时我们将再次导入此模板。

5. 选择你创建并希望导出的合规性模板，然后前往 文件 | 保存源文档。

6. 在下一步中，使用箭头按钮移动你想导出的模板，然后点击 确定。

7. 在 保存选项 下输入评论。

8. 提供一个描述性名称并点击确定。

9. 点击 确定 完成保存。

10. 现在，我们已经完成了导出，并准备与大家分享我们的辛勤工作成果。

如何操作...

数据以 XML 格式导出，可以在任何其他环境中使用相同的工具重新创建合规性细节，这些细节可能需要几个月才能重新创建。

合规性报告

不管你有多合规，除非你能提供一份完整的报告，显示所有基础设施的详细信息，否则都无济于事。VCM 在这方面也不会让你失望：有 15 个默认报告可供导出。我们将在本教程中了解如何实现这一点。

准备就绪

我们需要一个完全部署的 VCM 服务器，且应该完成基础设施的合规性检查，这样我们就能查看生成报告的选项。

注意

请注意，如果我们没有运行合规性检查，就无法看到报告——这点显而易见，但我们确实偶尔会忽视它。

如何操作...

要从 VCM 导出报告，请按照以下步骤操作：

1. 登录到 VCM 控制台，进入报告 | 机器组报告 | 合规性。

2. 选择所需报告；使用此列表了解报告中能看到的内容：

   序号	名称	描述
   1	按对象显示合规性徽章映射结果	显示按对象详细列出的合规性徽章映射结果
   2	按模板显示合规性徽章映射结果	显示按模板详细列出的合规性徽章映射结果
   3	合规性徽章汇总详情	显示合规性徽章的详细汇总
   4	合规性徽章汇总摘要	显示合规性徽章汇总摘要
   5	合规性变更历史	显示一系列合规性检查的变更历史
   6	合规性机器组汇总	显示按机器组划分的合规性汇总
   7	按机器显示合规性结果详情	显示按机器分组的合规性检查结果，并包括规则描述
   8	按规则显示合规性结果详情	显示按规则名称分组的合规性检查结果，并包括规则描述
   9	合规性结果详情	按合规性模板显示合规性结果详情
   10	按机器组显示合规性结果详情	显示按机器组分组的合规性检查结果
   11	合规性结果汇总	按合规性模板显示合规性结果汇总
   12	按规则显示合规性结果汇总	按合规性模板为资产分类和规则严重性显示合规性结果汇总
   13	合规性结果趋势	显示所选模板的合规性结果趋势
   14	按规则组显示合规性规则详情	显示现有的合规性规则详情以及包含这些规则的规则组
   15	合规性模板列表	按模板显示合规性模板列表，并附带规则组详情

3. 选择报告后，点击顶部菜单中的运行。这将启动一个向导，供你跟随操作。

   注意

   请注意，你必须确保从顶部选择了正确的机器组；如果你之前从未对该机器组进行过合规性检查，下一窗口的下拉选项将为空。

   

4. 选择选项（这些选项会因所选报告不同而有所不同）；下拉选项会根据你用来检查合规性的模板而有所变化。

5. 剩下的选项可以根据你的需求进行选择；一旦选择了所有必需的选项，点击查看报告。

6. 报告将显示，并且可以导出为多种格式，如 XML、CSV、PDF 和 MHTML。

操作步骤...

VCM 使用 SSRS 进行报表功能。当我们点击运行按钮时，为了显示报表，VCM 会启动另一个 Internet Explorer 窗口，这会带我们到 SSRS。然后，报表会询问我们一些选项，比如合规模板、机器和严重性（这些根据报表不同而变化），然后它会访问 VCM 数据库并提取数据。数据将以漂亮的报表形式显示在屏幕上，或者可以导出为前面截图中所示的格式。

创建合规性例外

正如您所知，每条规则都有一个例外，合规性规则也是如此。您可以为所有服务器创建一条禁用打印后台处理程序服务的规则，然后您会有需要运行此服务的打印服务器。现在，如果我们知道这是一个已知并接受的偏差，我们就不能禁用此服务，而且我们不希望由于此原因影响我们的合规性得分。我们可以做的是添加一个例外，这样在检查合规性时就不会产生问题。

准备工作

我们的组织有一项政策，要求在服务器上禁用不必要的服务，而打印后台处理程序被认为是一个不必要的服务，因此必须在所有服务器上禁用。当然，打印服务器是例外。我们将为打印服务器机器组创建一个例外，允许其不受此规定约束。

我们需要在 VCM 中创建所需的规则，并且需要一个包含所有打印服务器的机器组。

如何操作…

让我们通过以下步骤为打印服务器创建一个例外：

1. 登录到 VCM 并转到合规性|机器组合规性|例外。

2. 点击添加。

3. 提供一个描述性的名称和描述，然后点击下一步。

4. 选择要将此机器组排除在外的模板。

5. 在这种情况下，我们选择的是由我们组织规则创建的选项；点击下一步。

6. 选择为此例外创建的机器组——在我们的案例中，它被命名为打印服务器——然后点击下一步。

7. 选择将不合规结果覆盖为合规。

8. 我真的不知道为什么会有另一个选项，但一定有我不知道的使用案例。

9. 我们只想为打印后台处理程序服务器的规则创建此例外，称为Service_Print_Spooler，因此选择了该规则。根据您的需求，您也可以为整个规则组创建例外。但在我们的情况下，单个规则的例外就足够了。

10. 点击完成。

11. 您可以根据需要启用/禁用此例外。

它是如何工作的…

在执行合规性检查时，会考虑到例外情况，并计算出最终得分。通过创建例外，我们确保不会因为需要让某些事项不合规而导致得分不好。此外，这在执行合规性时也很有帮助。例如，在之前的案例中，如果我们强制要求服务状态应该禁用，那么 VCM 将会在包括打印服务器在内的所有服务器上禁用打印后台处理程序服务，这将影响生产力。

因此，创建合规性例外对于两个团队来说都是双赢的局面——安全团队拥有一个良好的合规环境，而打印管理员团队则拥有一个正常工作的打印服务。

第七章. VCM 的维护

本章将涵盖以下食谱：

• 从先前版本升级 VCM - 就地

• 从先前版本升级 VCM - 并行

• 从另一个域迁移 VCM

• 应用新许可证密钥

• 升级 VCM 代理

• 更改服务帐户密码

• 用户管理

• 弃用虚拟机 - 手动虚拟机清除

• 弃用虚拟机 - 定期虚拟机记录清除

介绍

安装和配置完成后，另一个极为重要的方面是我们需要关注 VCM 的生命周期管理。VMware 会不断改进 VCM，为了实施这些改进，我们也需要投入时间来维护我们已构建的基础设施。

这不仅仅限于 VMware 的更新和升级，还包括我们自己基础设施的变动；例如，搬迁数据中心可能需要我们更改 IP，或者我们可能决定更改我们的 Active Directory 域，并且需要将管理服务器迁移到新创建的域。这一切都属于维护范畴，我们将看看可以为 VCM 做些什么。

除此之外，我们还在管理我们的基础设施，它有自己的生命周期需要管理；例如，一旦服务器被弃用，我们需要将其从 VCM 中移除，升级 VCM 后，我们还需要在托管服务器上升级 VCM 代理。

为了管理 VCM，我们将有一个支持团队；并不是每个人都需要在服务器上拥有管理员权限。为了遵循最小权限的安全原则，我们需要创建一些组，并给予他们适当的 VCM 访问权限。

我们将在本章中查看这些要点，以确保我们拥有一个维护良好的 VCM 基础设施，从而更好地管理我们的基础设施。

从先前版本升级 VCM - 就地

在本节中，我们将进行 VCM 就地升级，意味着我们将进行常规升级，而不会更改底层的操作系统。如果你想更改底层操作系统，可以参考以下食谱。

准备工作

要开始此活动，你必须确保所有用户帐户都已就位，并且他们拥有第一章中“理解 VCM 的要求”食谱下的服务帐户小节中所描述的权限。你必须拥有除服务帐户之外的一个用户帐户，这个帐户可以是你自己的，并且在 VCM 收集器服务器上具有管理员权限。

如果你使用的是物理服务器，那么使用你在基础设施中使用的工具对服务器进行备份；否则，如果该收集器服务器是虚拟机，则对虚拟机进行快照。

对数据库（Excel VCM_Raw）进行备份，这样如果出现问题，你可以恢复到升级前的状态。如果你不知道如何操作，可以寻求 SQL 管理员的帮助进行数据库备份。

你必须能够访问my.vmware.com以下载最新的 VCM 安装 ISO 文件。

如何执行...

在以下示例中，我们将执行一个两层 VCM 部署的就地升级：

注意

请注意，您不应使用 VCM 服务账户来升级 VCM。使用任何在 VCM 服务器上具有管理员权限的域账户。如果您有权限，可以使用您自己的账户登录到 VCM Collector 服务器；如果没有，请暂时为您的账户分配这些权限。

1. 将从互联网下载的 ISO 文件挂载到您的 VCM Collector 虚拟机上。

2. 使用 [用户权限/角色] 登录到 Collector 操作系统。

3. 打开资源管理器窗口，导航到刚挂载的光驱。

4. 右键点击 setup.exe 并选择 以管理员身份运行。

5. 选择 升级 并点击 下一步：

6. 接受许可协议，然后点击 下一步。

7. 确认需要升级的组件，并点击 下一步：

8. 等待检查完成，检查成功后点击 下一步；如果失败，检查需要修复的内容，解决问题后重新检查。

   注意

   请注意，在执行升级时，向导中要求的详细信息应该会自动填充。如果没有，填写适当的详细信息；如果您想进行任何更改，现在是进行更改的时机，例如更改服务账户。

9. 如果您想更改 Tomcat 服务账户，提供详细信息；否则，使用默认值并点击 下一步。

10. 在此输入 SQL 报告服务详细信息和凭据，并点击 验证；验证后，点击 下一步：

11. 输入 Collector 服务账户（如果需要），然后点击 下一步。

12. 如果未自动填写，输入默认的网络权限账户并点击 下一步。

13. 证书应该已自动选择。如果没有，点击 选择 选择您的证书，选择完毕后，点击 下一步。

14. 如果未自动填写，输入您的远程虚拟目录详细信息并点击 下一步。

15. 如果未自动填写，输入您的虚拟化客户端插件详细信息并点击 下一步。

16. 如果未自动填写，输入安装目录，并点击 下一步。

17. 您无法更改本地软件包缓存位置的路径；点击 下一步。

18. 软件仓库路径选项已预选，无法更改；点击 下一步。

19. 输入 Package Studio 文件夹位置并点击 下一步。

20. 确认详细信息并点击 升级：

21. 升级所有组件的过程可能需要半小时或更长时间。

22. 通过检查 VCM 的版本来验证升级是否成功。

23. 安装完成后，登录 VCM 并检查版本；它应该是 5.8.2.160，如以下截图所示，或者是您从 www.vmware.com/ 下载的版本：

如何操作...

我们在同一服务器上安装了最新版本的 VCM，并使用我们基础设施收集的旧数据。

以下是升级选项，用于升级版本：

• 直接从 VCM 5.6 或更高版本升级，通过运行 VCM 5.8.x 安装管理器

• 将 VCM 版本低于 5.6 的版本升级到 VCM 5.6，然后再从 VCM 5.6 升级到 VCM 5.8.x。

较早的版本包括 VMware VCM 5.5.x、5.4、5.3、5.2.1，EMC Ionix SCM 5.0 或更高版本，或 Configuresoft ECM 4.11.1 或更高版本。

后续照料

升级 VCM 后，我们需要将代理升级到最新版本；请查看本章中的升级 VCM 代理食谱以进行操作：

• 从旧版本升级到 5.8.1 版本的代理存在一个小 bug（已在 5.8.2 中解决）；请查看第九章中的故障排除代理升级问题食谱及其后面的内容，了解如何解决该问题。

• 升级完成后，浏览 VCM 控制台，检查是否所有以前管理的服务器（如 vCenter、vCloud 和 VCNS）都能看到。

还有更多……

如果你在基础设施中指定了管理代理，那么在升级后，管理代理和 VCM Collector 之间的信任可能会被破坏。为了解决这个问题，请按照以下步骤操作：

按照第九章中故障排除代理通信问题一节的问题 1 - 相互认证失败子节的步骤操作，故障排除 VCM。

要重新启用服务器作为管理代理，我们需要 VCM Collector 再次信任该服务器；为此，登录到 VCM 控制台并按照以下步骤操作：

1. 转到管理|证书，选择管理代理服务器。点击顶部的更改信任状态。

2. 在向导中，选择管理代理机器，并勾选选中以信任，取消选中以不信任所选机器选项。

你应该能看到管理代理服务器前的握手标志。

现在，我们需要重新启用旧的管理代理，让它像在第二章中配置用于虚拟环境管理的管理代理机器一节那样继续工作。

从以前的版本升级 VCM——并行升级

如果你不仅想升级 VCM，还想升级其底层的操作系统，那么这就是你需要参考的食谱。VCM 5.8.2 现在支持 Windows Server 2012 R2，这是进行升级的好机会。

准备工作

要开始这项工作，你必须确保所有用户账户已经配置好，并且具有第一章中描述的权限。你需要有一个除了服务账户外的用户账户，这个账户可以是你自己的账户，且需要有 VCM Collector 服务器上的管理员权限来执行安装。

如果使用的是物理服务器，请使用您在基础设施中使用的工具备份服务器；如果该收集器服务器是虚拟机，请为该虚拟机创建快照。

备份数据库，以便在出现问题时能够恢复到升级前的状态。如果您不清楚如何操作，可以向您的 SQL 管理员寻求帮助，以备份数据库。

您必须访问my.vmware.com才能下载最新的 VCM 安装 ISO 文件。

部署另一台最新支持的操作系统服务器，即 Windows Server 2008 R2、Windows Server 2012 或 Windows Server 2012 R2。请在第一章的理解 VCM 的要求部分下查阅 VCM 的要求，安装 VCM。

如何执行此操作...

在以下示例中，我们将执行一个两层 VCM 部署的并行升级。

本食谱分为多个部分。

迁移 VCM 证书

首先，我们将导出 VCM 企业证书，然后开始安装 VCM。

那么，让我们登录到旧的 VCM 服务器，并按照以下步骤导出证书：

1. 启动mmc.exe并添加证书（本地计算机）的管理单元。

2. 进入受信任的根证书颁发机构 | 证书；选择VMWare VCM 企业证书...，然后右键点击证书，选择所有任务 | 导出...:

3. 这将启动向导；导出私钥。

4. 对于文件格式，选择个人信息交换并执行以下操作：

   1. 如果可能的话，包含证书链中的所有证书。

   2. 导出所有扩展属性。

5. 输入并确认密码；将其保存在安全的位置——我们稍后会用到它。

6. 提供一个名称和路径来保存文件，证书导出就完成了。

7. 对于证书收集器，在个人 | 证书下执行相同的过程。

8. 将证书复制到新的 VCM 服务器，然后从导出的原文件夹中导入它们。导入这两个证书时，请使用之前设置的相同密码。

9. 在禁用并停止 VCM 服务后，关闭旧的 VCM 服务器。

将 VCM 迁移到新服务器

一旦证书可用，我们可以通过以下步骤开始部署新的 VCM 实例：

1. 登录到新创建的 VCM 服务器并挂载从my.vmware.com/下载的 VCM 安装 ISO。

2. 导航到挂载的 ISO，右键点击setup.exe，选择以管理员身份运行。

3. 选择高级安装。

4. 单击下一步进入介绍页面。

5. 单击下一步以进入专利信息页面。

6. 阅读并接受许可协议，选择我为客户/最终用户的授权代理人和/或代表和我已阅读上述条款和条件。

7. 在选择安装类型下，选择以下选项：

   • VMware vRealize 配置管理器

     • VCM Web 控制台

     • VCM 收集器组件

   • 工具

     • 导入导出工具

     • 基础检查器

     • VMware VCM 包管理器（Windows 版）

   • VMware VCM 包工作室

8. 安装程序将执行先决条件检查，并在检查成功时显示结果。点击下一步；如果有失败，请点击查看结果，解决任何错误和警告，然后重新检查。

   提示

   在没有错误之前不要继续。

9. 在下一页，输入序列号。

10. 在配置组件页面，提供与早期 VCM 实例一起使用的 SQL 服务器的主机名和 VCM 作为数据库名称（如果你将 VCM 数据库命名为其他名称，请提供该名称），然后点击验证：

11. 在下一页，提供 Tomcat 服务账户及其密码。

12. 在下一页，提供WebService URL中的详细信息（这是 SQL 服务器的路径——与旧 VCM 部署相同）。提供安装 Web 控制台的路径。以下截图提供更多详情：

13. 提供应用程序的 URL，默认即可。

14. 我们可以提供 SMTP 地址；默认是收集器服务器的。如果你现在不知道，也可以稍后在 VCM 控制台中配置。

15. 提供安装收集器组件的路径并接受 SSL3 警告。

16. 提供用于存储暂存数据的路径；这是在将数据添加到数据库之前暂时存储数据的路径。

17. 提供收集器服务账户的详细信息；该账户将被授予作为服务登录的权限；接受提示。

18. 提供网络权限账户的详细信息；我们可以稍后添加任意多个账户。目前我们至少需要一个。关于此账户的更多信息可以在第一章的服务账户部分中找到，安装 VCM。

19. 下一页是证书页面；在这里，我们需要重用从旧的 VCM 服务器导出的证书。

20. 点击选择并提供收集器和企业证书：

21. 提供虚拟目录的详细信息以及访问它的凭证。

22. 提供虚拟化客户端插件的凭证。

23. 在下一页，提供安装包管理器组件的路径。

24. 在下一页，提供本地包缓存的路径。

25. 在下一页，提供软件库和本地缓存的路径。

26. 提供虚拟目录名称。

27. 提供包工作室组件的路径。

28. 最后，你将进入总结页面。检查选项并点击安装:

29. 一旦 VCM 成功安装，使用安装 VCM 时所用的账户登录控制台。检查所有受管机器是否可用，以及你配置的所有虚拟基础设施元素是否存在。

30. 还要检查版本—它应该是5.8.2.160，如下截图所示：

31. 对控制台上任何可用的受管虚拟机进行采集。

工作原理...

我们升级到了最新的 Windows 操作系统，然后将 VCM 安装迁移，以获得优势。也就是说，如果你使用的是微软不再支持的旧版本操作系统，或者该操作系统不被支持作为 VCM 的基础操作系统，那么你可以在保留所有旧数据的情况下进行迁移。如果你的旧服务器是物理服务器，还可以进行硬件刷新。

当我们执行并行升级时，我们从旧操作系统迁移，但仍然使用旧数据库。由于保留了旧数据库，因此所有采集的数据在升级后都会保留下来。我们保留了所有代理和所有已经配置的 vCenter 服务器。这有助于我们将旧配置与 VCM 的最新版本和最新支持的基础操作系统保持一致。

选择正确的证书是成功的关键。如你所知，安装代理时会使用证书。如果我们重新生成或使用错误的证书，代理与服务器之间的通信将中断，届时我们将不得不安装一个新的代理，并从服务器获取最新的证书。

后续操作

请参考前一个食谱中相应部分的后续操作说明。

还有更多...

请参考前一个食谱中的相应部分。需要按照相同的步骤进行。

将 VCM 从一个域迁移到另一个域

在某些情况下，我们需要从一个域迁移到另一个域，并且不能丢失我们管理的机器的所有历史数据。在本食谱中，我们将查看如何将 VCM 服务器从旧域迁移到新域。

准备工作

确保 VCM 收集器服务器的网络和 DNS（正向和反向）配置正确。将 VCM 收集器添加到新域中，并根据第一章中理解 VCM 的要求小节下的服务账户部分的描述，创建或识别你要使用的域账户。

如何操作...

要将 VCM 服务账户更改为使用不同的域账户运行，请按照以下步骤操作：

1. 在 VCM 数据库服务器上，运行以下 SQL 更新查询，针对核心 VCM 数据库进行操作。根据需要替换适当的名称：

          DECLARE     @collector_service_account NVARCHAR(128) 
          SET @collector_service_account = N'domain-name\account-name'      
   
          DECLARE     @collector_config_id INT 
          SELECT @collector_config_id = c.configuration_id       
                FROM dbo.ecm_sysdat_configuration_values c       
                WHERE c.configuration_name = 'collector_service_account'      
   
          EXEC dbo.ecm_sp_configuration_values_update       
                @configuration_id = @collector_config_id,       
                @configuration_value = @collector_service_account      
   
          EXEC dbo.ecm_sp_security_collector_service_account_setup       
                @collector_service_account = @collector_service_account 
   
   

2. 选择并停止以下服务：

   • VCM 收集器

   • VCM 数据库服务

   • VCM 补丁管理

3. 右键点击每个服务，选择属性，然后选择登录选项卡。

4. 将账户凭据更改为新账户，并点击 确定。

5. 进入 开始 | 管理工具 | 组件服务。

6. 在左侧，进入 控制台根 | 组件服务 | 计算机 | 我的电脑 | DCOM 配置 | LicenseDcom。

7. 右键点击，选择 属性，然后选择 身份 标签。

8. 选择 此 用户，输入新域账户凭据，并点击 确定。

9. 从 开始 | 管理工具 | 服务，重新启动你停止的服务。

10. 进入 开始 | 管理工具 | 服务器管理器。

11. 在左侧，导航到 服务器管理器（主机名） | 配置 | 本地用户和组。

12. 双击 组。

13. 选择 VCM_LDP_GROUP，右键点击并选择 属性。

14. 删除旧账户并添加新账户。

15. 导航到 服务器管理器（主机名） | 配置 | 服务，双击 组，选择 CSI_COMM_PROXY_SVC，并重复此过程来更换账户。

    注意

    注意，如果你运行 VCM 安装程序的 修复 选项，账户更改会恢复为安装时所指定的账户。

    注意，如果你运行 VCM 安装程序来升级到 VCM 的新版本，账户更改将默认为你在旧版本安装时所指定的账户。升级过程中请输入你想要的账户更改。

16. 将新域添加到 VCM 的网络权限中。

17. 添加新域所需的任何新用户。

它是如何工作的…

VCM 在安装时使用你指定的账户运行服务。安装完 VCM 后，你的站点条件可能需要你将服务的运行账户从最初的域账户更改为其他域账户。

此过程同样适用于你需要将服务从内置 Windows 账户更改为域账户的情况。要从域账户更改为内置账户，请参阅下一个操作步骤，我们将在那里提供新的凭据来运行新域中的服务，并在 VCM 中保留历史数据。

应用新许可证密钥

在你安装 VCM 时，你可能使用了临时许可证密钥，或者基础设施的规模可能比预期增长，现在你需要提供新的许可证来管理基础设施。此时，你需要提供新密钥，输入新的序列密钥并不是一个简单的控制台选项；这里有一个名为 jlicense.cmd 的命令行工具可以帮助你完成此操作。

准备就绪

获取要使用的新密钥。你必须在 VCM 控制台上拥有管理员权限。

如何操作…

使用 VCM 管理员权限登录到 VCM 服务器，并按照以下步骤操作：

1. 以管理员权限启动 CMD，并进入 X:\Program Files (x86)\VMware\VCM\Tools（X 是 VCM 安装所在的驱动器）。

2. 运行 jlicense.cmd -k xxxxx-xxxxx-xxxxx-xxxxx-xxxxx（这是你要添加到 VCM 的新密钥），如以下截图所示：

它是如何工作的…

它将附加到 VCM 的现有容量上，也就是说，它将增加我们可以管理的机器数量以及密钥的过期日期。

使用jlicense.cmd工具，您可以：

• 更新单个服务器的许可证密钥

• 更新单个工作站的许可证密钥

• 输入服务器和工作站的两个密钥

• 输入单个服务器或工作站的许可证密钥，或者输入两个用于服务器和工作站的许可证密钥。

以下是如何使用 JLicense 工具：

• 若要显示 JLicense 帮助信息，请运行以下命令：jlicense -h

• 若要评估许可证密钥但不安装它，请运行以下命令：

   jlicense -n -k xxxxx-xxxxx-xxxxx-xxxxx-xxxxx
  
  

  在此，xxxxx-xxxxx-xxxxx-xxxxx-xxxxx是许可证密钥

• 要更改许可证，请运行以下命令：

   jlicense -k xxxxx-xxxxx-xxxxx-xxxxx-xxxxx
  
  

  在此，xxxxx-xxxxx-xxxxx-xxxxx-xxxxx是许可证密钥

升级 VCM 代理

在 VCM 服务器升级后，您需要升级 VCM 代理。本篇内容涉及 Windows 和 Linux 的 VCM 代理从先前版本的升级。

准备工作

您必须拥有一些旧版代理，以便将它们升级到最新版本，并且它们应该与 VCM 服务器进行通信。

如何执行...

在 Windows 的情况下，有两种方式来升级代理。从控制台中，您可以选择升级作为选项，或者选择安装并在向导中选择移除当前代理。这两个过程都完成同一任务——将代理升级到最新版本——但安装并移除当前版本需要更多时间。两种选项都保留所有以前收集的数据。

我们将在本篇中使用升级方法。

Windows

这是在 Windows 中执行的方法：

1. 使用管理员权限登录 VCM。

2. 导航至管理 | 机器管理器 | 授权机器 | 授权 Windows 机器。

3. 右键点击机器并选择升级代理:

4. 在机器页面，选择要升级的 Windows 机器，并点击箭头将机器移至选定面板。点击下一步。

5. 在安装选项页面，选择或验证代理安装选项，并点击下一步。

6. 在计划页面，安排操作并点击下一步。

7. 在重要页面，验证摘要并点击完成。

8. 点击作业按钮，查看作业是否已成功完成。

9. 作业完成后，检查控制台以查看代理版本。它应该是最新版本，如下图所示：

Linux

以下是在 Linux 中执行的方法：

1. 使用管理员权限登录 VCM。

2. 点击控制台，并进入UNIX 远程命令 | UNIX 代理升级。

3. 在UNIX 代理升级数据网格中，点击适合操作系统和机器版本的远程升级包：

4. 点击运行，并按照向导将远程命令和升级包发送到所选机器上的代理。

   代理将执行包升级。

5. 选择你想要升级代理的管理机器。

6. 在计划页面，选择立即运行远程命令或安排稍后操作，然后点击下一步。

7. 在重要页面，验证总结并点击完成。

8. 验证任务是否成功完成。

9. 在管理机器上执行一次收集。

10. 在 VCM 控制台上检查代理的状态；它应该看起来像下面的截图：

它是如何工作的...

我们从 VCM 控制台推送最新的安装程序，它被复制到管理机器上，开始升级旧的代理文件，最终在管理机器上创建一个 VCM 服务，并返回成功状态。

代理安装完成后，你可以执行一次收集，以确保升级过程中没有出现任何问题。

在 Linux 升级的情况下，过程将从 VCM 控制台复制最新的代理安装程序，并附带在 Linux/Unix 机器上运行的远程命令。然后，执行脚本来安装代理。

还有更多...

观察到在大多数代理或服务器升级后，我们需要按照问题 1 - 互认证失败小节中的步骤操作，故障排除代理通信问题配方，见第九章，故障排除 VCM，因为升级后的代理与 VCM 收集器之间的信任被破坏。

你将看到前面配方中描述的错误消息，因此只需按照步骤解决即可。

另请参阅

• 在从旧版本升级到 5.8.1 版本的代理时，有一个小 bug（在 5.8.2 中已解决）；请查看第九章中的故障排除代理升级问题配方，故障排除 VCM。

更改服务账户密码

有时我们需要更改服务账户的密码；在这个配方中，我们将学习如何操作。

准备中

你必须有新的密码可供替换。

如何操作...

我们将查看 VCM 使用的各种服务账户，如果需要，我们可以更改它们。

要更新 VCM 服务账户的密码，请按以下步骤操作。

收集器服务账户

1. 在收集器上，转到开始 | 管理工具 | 服务。

2. 选择并停止以下服务：

   • VCM 收集器

   • VCM 数据库服务

   • VCM 补丁管理

3. 右键点击每个服务，选择属性，然后选择登录标签。

4. 更新账户密码并点击确定。

5. 转到开始 | 管理工具 | 组件服务。

6. 在左侧，转到控制台根目录 | 组件服务 | 计算机 | 我的计算机 | DCOM 配置 | LicenseDcom。

7. 右键点击，选择属性，然后选择身份标签。

8. 在此用户下，更新密码并点击确定。

VCM 远程服务账户

我们在安装过程中提供了 VCM 远程用户的详细信息。

VCM 远程服务帐户由 VCM 远程客户端用于匿名访问 Web 服务器上的 VCM 远程虚拟目录。请按照以下步骤操作：

1. 在 Web 服务器上，进入开始 | 管理工具 | IIS 管理器。

2. 在左侧，导航到{web-server-hostname} | 站点 | 默认网站 | ECMRemoteHTTP。

3. 双击身份验证。

4. 选择匿名身份验证。

5. 在右侧的操作窗格中，选择编辑。

6. 点击设置。

7. 输入现有的域名/用户名，然后输入新密码，点击确定。

8. 导航到{web-server-hostname} | 站点 | 默认网站 | VCMRemote，并重复这些步骤来更改密码。

网络权限帐户

请按照以下步骤为网络权限帐户操作：

1. 在 VCM 中，点击管理，进入设置 | 网络权限 | 可用帐户。

2. 点击编辑密码。

SSRS

对于 SSRS 帐户，请运行RSConfig命令以更改嵌入的帐户信息。

它是如何工作的...

VCM 在安装过程中运行在您指定的帐户下。安装 VCM 后，您所在位置的条件可能要求更改帐户的密码，这时也需要在 VCM 中更新密码。

我们可以使用刚才讲解的步骤进行这些更改。

管理用户

您需要管理 VCM 登录并分配角色给有访问权限的用户。角色决定每个用户的访问级别，可以针对特定机器组和 VCM 功能进行调整。

准备就绪

如果您计划创建自定义角色，它们必须在开始本步骤之前准备好。

如何操作...

按照以下步骤添加新用户和组，并授予他们适当的权限：

1. 导航到管理 | 用户管理器 | VCM 登录。

2. 点击添加用户。

   注意

   请注意，您不能将 Collector 服务帐户添加为 VCM 登录。

3. 选择输入域帐户并点击下一步。

   注意

   请注意，也可以添加单个 Active Directory 帐户。添加组确保通过 Active Directory 进行基于角色的访问控制。

4. 输入DOMAIN\Group格式的安全组并点击下一步。

5. 双击管理员（或用于一般访问的较低角色），点击下一步。

6. 点击完成。

它是如何工作的...

当 VCM 安装时，安装者会在控制台上获得管理员权限。我们需要添加用户或组来授予他们访问权限。通过遵循这个步骤，我们可以为需要访问的用户添加权限。

注意

请注意，当用户启动 VCM 时，如果分配了多个角色到他们的登录账户，会出现一个下拉列表，允许用户选择所需的角色。要使用特定角色自动登录 VCM，用户可以勾选 自动使用此角色登录 选项。要切换角色或不自动登录，用户可以选择不同的角色或取消勾选此选项。

默认角色

这是 VCM 默认角色列表及每个角色的简短描述：

序号	名称	描述
1	管理员	顶级角色。管理员对数据库中的所有内容都有权限。
2	域控制器管理员	对域控制器动态机器组具有完全访问权限的角色。
3	只读	仅对所有机器和数据具有读取权限的角色。
4	帮助台	仅允许更改域控制器的密码。
5	IIS 管理员	对 Microsoft Internet Information Servers 动态机器组具有完全访问权限的角色。
6	服务器管理者	对服务器动态机器组具有完全访问权限的角色。
7	SQL Server 管理员	对 Microsoft SQL Server 动态机器组具有完全访问权限的角色。
8	工作站管理员	对工作站动态机器组具有完全访问权限的角色。
9	VCM 审计员	具有对许可证管理器的读取权限的角色。
10	AD_Admin	内置角色，具有访问 AD 数据和 AD 管理的权限。
11	AD_User	内置角色，仅具有访问 AD 数据的权限。
12	变更受限	VCM 变更受限 角色。拥有此角色的用户可以发现机器，从中收集数据，评估它们，显示公告和模板详情，检查更新并查看历史记录。用户可以添加、编辑和删除报告、合规性规则和规则组，以及合规性和补丁评估模板。拥有 变更受限 角色的用户还可以安装 VCM 代理、升级 VCM 或卸载它。

还有更多...

在创建角色时，我们需要了解访问规则，因为它们定义了用户可以访问的 VCM 区域以及他们可以执行的操作。

VCM 角色和访问规则是相辅相成的；角色定义了谁可以访问哪些区域，而规则定义了用户可以获得的访问权限类型，如 无权限、只读、完全访问 或 自定义。当您选择 自定义 时，它将细化到非常具体的权限，您可以选择单个特权，如仅 添加自动部署 或 运行报告。

您可以使用 14 个默认访问规则，或根据您的需求创建新的规则：

1. 要创建新的访问规则，请登录 VCM 控制台，进入 管理 | 用户管理 | VCM 访问 | 访问规则，然后点击 添加规则。

2. 提供一个友好的名称和描述。

3. 在 规则类型 下，选择 基础规则（这定义了要访问的 VCM 数据类型和区域）或 管理员访问规则（访问 VCM 管理区域）。

4. 对于 基本规则，在 数据类型 下，包括数据类型，即机器数据或 Active Directory 数据，然后定义对 VCM 控制台的访问，除了 管理 标签。

5. 管理员访问规则 定义了在 管理 标签中定义的访问类型，如 无、只读、完全控制，或者使用 自定义 进行详细设置。

6. 最后，在向导的 重要 页面上点击 完成，关闭并创建这条新的访问规则。

如前所述，已创建了 12 个默认角色，但如果您仍有需要其他角色的用例，则可以创建自己的角色。请按照以下步骤操作：

1. 登录到 VCM 控制台，转到 **管理 **| 用户管理器 | VCM 访问 | 角色。

2. 点击 添加角色 按钮并按照向导操作。

3. 创建角色时，您将需要一些信息。首先，为新创建的角色提供名称和描述。

4. 对于 角色访问，我们可以选择 机器数据（根据所选机器组访问数据）、Active Directory（根据 AD 结构访问 Active Directory 对象）或 管理员（访问管理功能）访问。

5. 在下一页中，您可以根据 机器数据访问 过滤此新角色用户可以访问的机器组。

6. 在 Active Directory 页面下，选择应用于 AD 根目录的 访问规则，如果已配置。

7. 对于 管理员访问，选择适当的规则以提供访问权限。

8. 在 登录 下，选择要分配此角色的任何登录名，并在 重要 下查看后，关闭向导以完成。

停用 VMs – 手动 VM 清除

作为受管理机器的生命周期管理的一部分，我们需要从 VCM 控制台中删除受管理机器的详细信息。

准备工作

您必须提供要从 VCM 中移除的机器名称。

如何操作...

这是一个两步过程：首先释放许可证并保留数据。接下来，清除所有内容并从 VCM 数据库中移除受管理机器。

取消许可受管理机器

1. 使用管理员特权登录 VCM。

2. 转到 管理 | 机器管理 | 已许可的机器 | 已许可的 Windows 机器 或 已许可的 UNIX 机器。

3. 右键单击要从显示中移除的机器名称。

4. 选择 取消许可 选项并按照提示操作。

注意

请注意，这将将机器返回到 可用机器 列表，并释放机器的许可证以便重用。

清除该机器

1. 使用管理员特权登录 VCM。

2. 转到 **管理 **| 机器管理 | 可用机器。

3. 从这里，如果需要，我们可以为机器授权并将其移到 已许可的 Windows 机器 或 已许可的 UNIX 机器，或从 VCM 数据库中移除。

4. 选择机器，然后在顶部菜单中点击 清除。

5. 按照向导操作；它将完全从 VCM 数据库中移除该机器。

它是如何工作的...

该过程将从 VCM 数据库中获取记录和收集的数据，帮助我们清理 VCM 中的杂乱数据，因为我们想删除的机器已经被停用。如果这些机器没有从 VCM 中删除，我们可能会得到不正确的合规评分。我们总会有一些机器无法安装补丁，并且永远无法达到预期的评分。

还有更多...

如果您熟悉 vRealize Orchestrator，VMware 已经发布了一个 VCM 的包（可以在my.vmware.com下载）。借助这个包，您可以创建一个工作流来移除/清除托管机器。

停用虚拟机 – 计划虚拟机记录清除

在云时代，我们希望虚拟机停用能够自动完成，这样我们的运维团队可以做更多创意性工作，而不是清理 VCM 数据库。

准备工作

您必须有权限访问托管 VCM 数据库的 SQL 服务器，并且需要了解 SQL 管理工作室的基本操作。

如何操作...

以下存储过程可以在 VCM 数据库（VCM）中作为计划任务实现。该任务将清除过去 3 周未联系的虚拟机记录。

在脚本中修改@expire int = xx（机器未联系的天数）值：

USE [VCM] 
GO 
/****** Object:  StoredProcedure [dbo].[ecmSVC_sp_remove_noncollected_machines]    Script Date: 11/20/2012 11:40:58 ******/ 
SET ANSI_NULLS ON 
GO 
SET QUOTED_IDENTIFIER ON 
GO 
ALTER PROCEDURE [dbo].[ecmSVC_sp_remove_noncollected_machines] 
@expire int = 21, 
@value NVARCHAR(5) = 'True' 
 AS 
/**************************************************************************/
Procedure:  dbo.ecmSVC_sp_remove_noncollected_machine 
--------------------------------------------------------------------------- 
REVISION HISTORY 
Modified:  <YYYY.MM.DD> by <Author> 
    Description - 
    Issue/ATS# - 
Created:   2006-05-11 by Chris Lennon 
--------------------------------------------------------------------------- 
DESCRIPTION 
  Check for machines not pingable and haven't been collected over x amount
  of days 
  Removed from the Licensed Machines into the Available Machines and as an 
  option purge from ECM. 
---------------------------- Copyright Notice ----------------------------- 
This code may not be copied, altered, reused, or redistributed in any way without the express written consent of Configuresoft, Inc. 
   Copyright 1998-2006 Configuresoft, Inc.  All rights reserved. 
---------------------------- Configuresoft, Inc. -------------------------- 
**************************************************************************/ 
BEGIN 
    DECLARE 
        @uids VARCHAR(8000), 
        @creator_id int, 
        @owner_id int 
    SELECT @uids = '' 

    --Locate machines with no ping and not collected over x amount of days 
    SELECT @uids = @uids + ISNULL(LTRIM(CAST(machine_id AS NVARCHAR(32))), 
    '') + N'|' 
    FROM ecm_view_rpt_machine_info_all 
    WHERE (connection_state = 'ICOStatusConnectionNoPing16' 
    or connection_state = 'ICOStatusConnectionNoName16') 
    and [date last contacted] < DATEADD(dd, -@expire, GETUTCDATE()) 
    and managed = '1' 
    -- remove trailing pipe if it exists 
    IF RIGHT(@uids, 1) = '|' 
    BEGIN 
        SELECT @uids = SUBSTRING(@uids, 1, LEN(@uids) - 1) 
    END 
    IF @uids <> '' 
    BEGIN 
            --Remove from Licensed Machines 
            exec dbo.ecm_sp_machines_set_state @uids, N'|', 5 

            --Purge from ECM if @value is TRUE 
            IF @value = 'TRUE' 
            BEGIN 
                SELECT @creator_id = dbo.userid() 
                SELECT @owner_id = dbo.role_current() 
                exec dbo.ecm_sp_machine_delete_all_data @uids, 1, N'|',             
                @owner_id, @creator_id 
            END 
    END 
END 

在 SQL 中计划任务

1. 展开SQL Server 代理节点，在SQL Server 代理的作业节点上右键点击，并选择新建作业：

2. 在新建任务窗口中，在常规标签页中输入任务名称和描述：

3. 在窗口的左侧选择步骤，然后点击底部的新建。

4. 在步骤窗口中，输入步骤名称并选择您希望查询运行的数据库：

5. 将您想要运行的T-SQL命令粘贴到命令窗口中，然后点击确定。

6. 点击新建任务窗口左侧的计划菜单，并输入计划信息（例如，设置为每天并指定时间）。

7. 点击确定，就完成了。

它是如何工作的...

该任务将按照您提供的时间表运行，并清理过去 21 天没有通信的托管机器；如果这个时间段看起来太长，您可以根据需求在脚本中修改为适当的天数。

第八章：第 8 章。与 vROps 和调度集成

在本章中，我们将涵盖以下步骤：

• 安装和配置 vROps 管理包以支持 VCM

• 配置 vROps – VCM 合规性映射和调度

• 调度操作系统和合规性数据收集

• 调度合规性

• 调度报告

• 调度 vCenter 收集

• 调度 vCenter 发现

介绍

在本章中，我们将讨论两个不同的主题。首先，我们将在 vROps 中安装 VCM 适配器并集成它们，以便可以从 VCM 发送合规性数据到 vROps。

没有人喜欢坐在控制台前面做工作，自动化是一切的关键。在本章中，我们将介绍 VCM 的调度器功能，例如调度作业以收集来自托管机器的数据，推送合规性详细信息到 vROps，或者导出报告并保存在共享位置或通过电子邮件发送给某人。

所以，让我们从 vROps 和 VCM 的集成开始。

安装和配置 vROps 管理包以支持 VCM

将 VCM 与 vROps 集成，可以从 VCM 向 vROps 控制台提供合规性和事件详细信息。这意味着在故障排除时，您可以了解特定服务器的情况。事件可以提供信息，例如服务器何时重新启动，路径何时完成，或者从 VCM 安装软件的时间。除此之外，VCM 还可以推送关于托管机器的合规性详细信息及其已创建的映射。

准备工作

我们需要一个已配置的 VCM，其中包含完成的合规性配置，并且有管理员访问权限的工作中的 vROps 服务器。我们还需要可以登录 VCM 并在 VCM 应用程序中具有管理员访问权限的用户凭据。我们需要从 solutionexchange.vmware.com/ 下载最新的 VCM 解决方案。

vROps 必须监控由 VCM 管理的相同 vCenter 服务器。

如何操作...

在这个步骤中，我们将安装 vROps 的 VCM 适配器。我们将登录 vROps 并按照给定步骤操作：

1. 使用管理员帐户登录 vROps，或其他具有管理员权限的帐户，并转到解决方案。单击解决方案下方的绿色加号符号，如下图所示：

2. 点击浏览，转到从互联网下载 VCM 解决方案的位置，然后点击上传。然后，您将看到类似以下截图的屏幕：

3. 如果 vROps 显示未签名解决方案警告，请接受它。

4. 接受 EULA。

5. 让 vROps 完成安装，完成后点击完成。

6. 这完成了适配器的安装。现在我们需要配置适配器实例。

7. 这次，在 解决方案 下，选择 vSphere 的 VCM 管理包，然后点击顶部带有两个齿轮的 配置 按钮：

8. 提供以下信息：

   • 显示名称：这是适配器的显示名称

   • 描述：提供一个好的描述，以便其他人在你不在时能够理解它是什么。

   • 数据库主机：这是 VCM 数据库服务器的 IP 或名称（对于单层架构，这是 VCM 收集器服务器）

   • 数据库端口：这是 VCM 服务器上的 SQL 端口

   • 数据库名称：这是 VCM 数据库的名称；默认值是 VCM

   • 数据库实例：如果你安装了 SQL 作为 实例，提供名称，如果是默认的，可以留空！如何操作...

9. 提供以下信息以完成 管理凭证 窗口：

   • 凭证名称：这是凭证的描述性名称

   • 数据库用户名：这是 VCM 数据库的数据库用户账户

     注意

     注意，你需要在 Active Directory 中创建一个专用服务账户，并赋予该账户在 VCM 中的管理员角色。

   • 数据库密码：这是用户账户的密码

   • 数据库认证：这将是 SQL 或 Windows 认证（推荐）

   • Windows 域：在使用 Windows 认证时，提供域名，如下图所示：

   

10. 提供完信息后，点击 测试连接。

11. 测试成功后，点击 保存设置。不用担心高级设置，暂时可以保留默认设置。

12. 等待 2 分钟，并检查 管理员 | 集群管理 是否已收集对象和指标：

工作原理

现在我们准备连接到 VCM 数据库并获取所需的信息，以便在 VCM 控制台上显示。vROps 会连接到 VCM 数据库并开始收集所需的详细信息，如合规分数或事件；这些会显示在 vROps 控制台上：

注意

图片来源：www.vmware.com

还有更多...

用于适配器配置的账户不能是用于交互式用户登录的账户。适配器账户会频繁地登录和退出 VCM。如果你将其作为交互式账户使用，必须定期刷新连接，这会影响你的 VCM 体验。

配置 vROps – VCM 合规映射和调度

一旦 VCM 与 vROps 集成，我们需要继续操作，使其能够运行合规性检查并将合规分数显示在 vROps 控制台上。我们将在 VCM 中创建一个映射，它将运行合规性检查并将结果更新到 vROps 中。

准备就绪

要执行此任务，你应该已经完成了之前的操作步骤，安装了管理包并进行了配置。

如何操作...

我们需要以管理员权限登录 VCM 控制台以执行此操作。登录后，请按照步骤完成映射：

1. 导航至 合规性 | 机器组合规性 | vCenter 操作经理徽章 | 映射，然后点击 添加：

2. 启动向导时，提供适当的名称和描述：

   • 选择徽章：风险合规性

   • 汇总类型：简单百分比

   • 选择组上下文：根据需求

3. 选择 正确的机器组。

   当映射运行时，它将针对所有属于此机器组的机器进行运行。

4. 选择 对应的合规性模板。

   选择需要与之前选定的机器组进行合规性检查的模板。您可以选择为您的组织创建的合规性模板，或者选择从互联网下载的任何标准模板。

5. 点击 完成。这将保存映射。

   一旦映射创建完成，我们需要运行此映射，以便计算属于机器组的机器的合规性分数，然后将结果告知 vROps 以便在 vROps 控制台显示。

6. 选择映射，然后点击顶部的 运行 按钮。

7. 它将首先对 机器组 运行合规性检查，然后当 vROps 通过管理包更新详细信息（如 vROps 管理包的安装和配置 食谱中所述）时，状态将更新。

   根据机器组中机器的数量和合规性模板中的规则数量，可能需要一些时间。

8. 要检查 vROps 中的合规性选项卡，请登录 vROps 控制台并导航至 环境 | vCenter 适配器 | 虚拟机，然后选择 机器转到分析 | 合规性。

   您将看到机器的合规性状态。

   它将显示通过和失败的规则数量，并显示用于检查合规性的合规性模板以及 VCM 报告的整体合规性状态：

   

一旦映射完成，我们可以安排此映射，以便它按照计划更新 vROps。从我们上次停下的地方继续：

1. 导航至 管理 | 作业管理器 | 已计划，然后点击 添加。

2. 在向导的 作业类型 页面上选择 vCenter 操作经理合规徽章映射运行。

3. 提供 名称 和 描述。由于 名称 有字符限制，您可以自由创意，所有计划任务都将集中在 VCM 中的同一位置。

4. 选择您要安排的映射：

5. 选择计划并点击 完成。由于这与合规性相关，请确保在操作系统和合规性数据收集之后安排此任务，因为那时我们将拥有最新的数据来进行合规性检查。

它是如何工作的...

要获取详细信息，vCenter 服务器必须由 vROps 监控并由 VCM 管理。

当我们添加并配置 VCM 管理包时，它会从 VCM 中提取合规性详细信息，并将其显示在 vROps 控制台上。

VCM 合规性数据基于合规性模板，这些模板是针对从与 vRealize Operations Manager 中监控的相同 vCenter Server 对象收集的数据执行的。模板是必须在目标对象上存在的配置设置，以便该对象被视为符合模板标准。标准可能是 VMware vSphere 硬化指南、支付卡行业标准、健康保险携带与责任法案（HIPAA）或其他 VMware 或行业标准。

当我们选择映射时，它将首先使用所选模板进行合规性检查，然后更新 vROps 控制台上的合规性得分。得分会在受管虚拟机的分析|合规性标签中显示。该标签将显示与各种模板（如果已配置）相关的合规性状态、百分比、规则数量等。一旦我们安排了任务，该作业将确保合规性得分在 vROps 控制台上得到更新。

安排操作系统和合规性数据采集

集合是根据筛选集从受管机器中提取数据。如你所知，VCM 并不会在每次需要处理与受管机器相关的内容时（如补丁或合规性状态）都去访问受管机器，而是使用数据库中已有的数据，处理完数据后给出结果，例如是否需要补丁，或当前的合规性水平。

如果关于受管机器的数据没有频繁更新，VCM 会处理过时数据，这可能导致误报或合规性得分非常差，即使我们是符合要求的。

为了克服这种情况，我们可以进入 VCM 控制台，自己开始收集详细信息，或者在 VCM 中安排任务并要求它去执行。

持续的服务器管理基于从目标服务器收集的最新数据。Windows 和 Linux 数据会出现在 VCM 中，并可用于多个管理操作，包括控制台仪表盘和报告、合规性视图以及VCM 补丁管理。

准备就绪

我们需要配置好的 VCM，其中已经创建了所有必要的机器组，如在第二章中的创建机器组配方和配置 VCM 以管理您的基础设施所述。

如何操作...

要执行此操作，请使用管理员帐户登录 VCM，并按照以下步骤进行操作：

1. 导航到管理|作业管理器|已安排，然后点击添加：

2. 在向导的作业类型页面中选择集合。

3. 提供名称和描述。你可以发挥创意，虽然名称有字符限制，但如果使用命名规范会更好。可以参考第二章，配置 VCM 以管理您的基础设施，因为所有调度的任务都会集中在 VCM 的同一位置：

4. 根据需求选择过滤器集。如果你希望每次调度的收集任务收集所有数据，还是仅收集自上次收集以来的增量数据，请进行选择。你可以根据数据收集的频率来决定这一点。如果频率过高，并且你需要管理庞大的基础设施，可以选择增量，因为增量会更快：

5. 选择你在准备就绪部分计划的机器组：

6. 提供调度信息，这将根据你的需求和你实际收集的内容而有所不同，使用你的想象力来安排此任务为每日、每周、每月或一次性：

7. 确认没有冲突后，点击完成。

如何操作...

基本上，我们是在 SQL 中创建一个调度任务，该任务将根据我们创建的调度触发。然后，它将要求所有受管机器提供在选定过滤器集中定义的详细信息。数据将存储在 VCM 数据库中，进一步用于各种目的，例如检查合规性、补丁状态或获取报告。

注意

请注意，显示的数据仅限于上次收集时的数据。

更多内容...

收集过滤器控制 VCM 从受管实体收集的数据。通常，收集过滤器与合规性模板配对，只收集合规性模板要求的数据。例如，ISO 基准过滤器- Windows 收集集定义了需要导入的额外信息，用于衡量 ISO 27001 合规性。

注意

请注意，收集任务应与所使用的合规性模板一起安排额外的收集过滤器。此过程与 Windows 和 Linux 操作系统的收集过程相同。

另见

• 在开始创建此调度任务之前，请确保按照第二章中的创建机器组食谱，已创建所需的机器组，配置 VCM 以管理您的基础设施。

调度合规性

合规性是一个持续的过程，我们需要定期检查它，以准确了解我们所在的位置，并判断是否需要采取修复措施来保持良好的状态。在之前的步骤中，我们安排了数据收集，现在是时候利用这些数据了。

准备就绪

我们需要确保 VCM 数据库中的最新数据可供处理，因此请在数据收集后几个小时安排合规性检查，以便它有足够的时间更新数据库。

如何操作...

要执行以下操作，使用管理员账户登录 VCM 并按照步骤操作：

1. 导航到管理 | 作业管理 | 已调度，然后点击添加：

2. 在向导的作业类型页面选择合规性。

3. 提供名称和描述。你可以发挥创意，因为名称有字符限制，你可以使用任何命名约定，因为所有调度作业最终都会出现在 VCM 中的同一个位置：

4. 选择你想要检查合规性的模板。

5. 有一些规则可以强制执行合规性，比如启动或停止服务，如果你希望自动执行合规性，可以在这里选择。

   注意

   请注意，只有复杂规则可以用于强制执行合规性。当你执行合规性时，可能会破坏现有的配置，例如，如果你的安全策略要求禁用打印后台处理程序服务，那么强制执行合规性时，VCM 将禁用该服务。然而，如果你有由 VCM 管理的打印服务器且在 VCM 中没有创建例外，这可能会导致问题。

   

6. 选择适当的机器组。

7. 提供调度，确保将其安排在收集作业之后，并确保给 VCM 一些时间来收集数据并将其插入数据库。

8. 点击完成以关闭向导：

它是如何工作的...

每个调度作业都是 VCM 数据库中的调度作业，合规性作业使用 VCM 数据库中的数据进行处理。一旦作业完成，它将更新 VCM 控制台上的合规性统计信息，然后可以将其导出为报告，报告也可以调度。

调度报告

我们不希望一直坐在 VCM 控制台前导出报告。我们可以调度这些报告，并且当我们登录时它们会出现在我们的收件箱中。修补和合规性报告也可以安排自动发送给安全官员查看基础设施。由于报告是自动发送的，管理员可以利用这个时间来修复实际问题，而不是导出和发送报告。

准备就绪

为调度报告准备合适的名称，并创建与应运行的报告相关的机器组。对于合规性报告，确保已执行合规性检查，以便报告中有一些数据。

如何操作...

要执行此操作，使用管理员账户登录 VCM 并按照步骤操作：

1. 导航到管理 | 作业管理 | 已调度，然后点击添加。

2. 查看之前配方中的截图

3. 在向导的作业类型页面选择运行报告(s)。

4. 提供名称和描述，你可以发挥创造力，因为名称有字符限制，你可以使用任何命名约定，所有安排的任务都会出现在 VCM 的同一位置：

5. 在向导的报告文件夹页面上，选择你要安排的报告。在这种情况下，我们将选择与修补相关的报告。

6. 提供一个位置来保存导出的报告，该位置可以是一个共享位置，所有报告都会保存在该位置。

7. 选择仅选择某些要运行的内容：

8. 选择要运行的报告：选择你要安排的报告，悬停在报告名称上以查看完整名称：

9. 点击报告名称前面的箭头以提供输入详情，详情会根据你在前面步骤中选择的报告而变化：

10. 提供你需要的文件格式，如果你已经配置了 SMTP，也可以通过电子邮件发送报告，并在 SSRS 上保存一些报告副本：

11. 选择你希望运行报告的机器组。

12. 选择安排并点击完成以关闭向导。

它是如何工作的...

VCM 会访问数据库并准备所请求的报告，然后根据选择的选项，它将以请求的格式将报告转储到共享位置并/或发送到配置的电子邮件地址。

确保你已经提前安排了依赖任务，并在开始此报告之前完成，比如在此情况下，你应先配置合规性检查，一旦完成后，你可以安排此报告，或者在已安排的修补程序完成后配置修补报告。

安排 vCenter 集合

要管理虚拟机，VCM 必须从注册的 vCenter 收集虚拟基础架构数据。我们可以直接在 vCenter 集合添加的机器上添加、授权并安装代理。

准备工作

确保通过遵循第二章中的添加 vCenter 服务器实例食谱，已将 vCenter 添加到 VCM 中，配置 VCM 以管理你的基础设施。你已按照第六章中的导入合规性包食谱导入了 vSphere 5.5 硬化的合规性包，合规管理。通过遵循第二章中的创建机器组食谱，创建一个仅包含 vCenter 服务器的机器组，配置 VCM 以管理你的基础设施。

如何操作...

1. 转到管理 | 任务管理器| 已安排，然后点击添加。查看早期食谱中的截图。

2. 在向导的任务类型页面上选择收集。

3. 提供 名称 和 描述。你可以发挥创意，因为 名称 有字符限制，你可以使用任何命名约定，因为所有调度的任务都会在 VCM 中到达同一个地方。

4. 选择 VMware vSphere 5.5 加固指南过滤器。该收集过滤器集是在你准备工作部分时下载的：

5. 选择 vCenter 服务器机器组。该机器组是在你准备工作部分时配置的。

6. 安排 vCenter 收集任务为每日收集。

   注意

   请注意，这意味着任何新部署的服务器将每天被发现。如果你知道这些机器会频繁部署，并且希望它们尽早被发现，你可以根据需要更改调度。

工作原理...

在本配方中，VCM 从已经添加到 VCM 中进行管理的 VCM 服务器收集数据，然后通过执行发现和管理（如检查合规性和打补丁）使新的虚拟机可以安装代理。

另见

• 在第二章中的 添加 vCenter 服务器实例 配方，配置 VCM 来管理你的基础设施：确保 vCenter 已经在 VCM 中添加

• 来自 第六章的 导入合规性包 配方，合规性管理：导入 vSphere 5.5 加固的合规性包

• 在第二章中的 创建机器组 配方，配置 VCM 来管理你的基础设施：创建一个仅包含 vCenter 服务器的机器组

安排 vCenter 发现

发现用于确定是否有任何新的机器可以添加到 VCM 进行管理。如果不进行此操作，则需要手动添加和授权需要管理的机器。

在你可以从机器中收集数据之前，VCM 必须先发现环境中的机器。你可以创建一个发现规则以发现所有机器，或者你可以应用过滤器来限制 VCM 发现的机器。

注意

请注意，vCenter 发现必须在 vCenter 收集之后进行。这看起来有些反直觉，但简单来说，vCenter 发现是通过 vCenter 收集来发现那些已经通过 vCenter 管理的新虚拟机。

请注意，对于服务器和工作站，超出许可证密钥的限制会产生警告，但不会限制 VCM 操作。

在本配方中，我们计划执行一个 vCenter 发现，以便所有新创建的虚拟机可以被添加，并且代理可以在 VCM 中安装并授权。

准备工作

检查是否有足够的许可证可容纳新添加的虚拟机，确保 vCenter 已通过遵循第二章中的添加 vCenter 服务器实例的食谱添加到 VCM 中。你必须通过遵循第二章中的添加发现规则的食谱创建发现规则。在运行此发现之前，必须已安排 vCenter 收集。如果超过了许可证密钥的限制，请通过遵循第七章中的应用新许可证密钥的食谱来添加一个许可证密钥。

如何操作...

1. 导航到管理 | 任务管理器 | 已安排并点击添加。

2. 查看之前食谱中的截图。

3. 在向导的作业类型页面上选择发现。

4. 提供名称和描述。由于名称有字符限制，你可以自由发挥，使用任何命名规范，因为所有已安排的任务都将统一进入 VCM 的同一位置。

5. 选择在第二章中创建的 vCenter 发现规则，配置 VCM 以管理您的基础设施：

6. 点击下一步并选择一个日程安排。

   注意

   请注意，最好在收集之后安排发现。对于大多数环境，间隔两到三小时应该足够，但对于大环境，请再次检查 vCenter 收集任务的状态。

它是如何工作的...

创建了发现规则；我们只是要求 VCM 按照计划运行它。如果每天有太多虚拟机安装，我们可以通过选择每 XX 小时发生一次来增加频率，并按此安排。这将进入数据库，检查 vCenter 收集获取的详细信息，并将新创建的虚拟机添加到已授权的机器中。如果在发现规则中选择了安装代理，则它会在发现后跟随并安装代理。

另见

• 在第二章中，添加 vCenter 服务器实例的食谱，配置 VCM 以管理您的基础设施：将 vCenter 添加到 VCM。

• 在第二章中，添加发现规则的食谱，配置 VCM 以管理您的基础设施：创建一个用于该日程安排的 vCenter 发现规则。

• 在第七章中，应用新许可证密钥的食谱，VCM 的维护：如果超过了许可证密钥的限制，添加许可证密钥。

第九章。故障排除 VCM

本章将涵盖以下方法：

• 故障排除工具 - EcmDebugEventViewer

• 故障排除工具 - 作业管理器 | 历史记录

• 故障排除工具 - 机器收集状态

• 故障排除代理通信问题

• 故障排除代理升级问题

• 故障排除 SCR 下载问题

• 故障排除 VCM 控制台登录失败

• 故障排除 vCenter 和 vCloud 数据收集问题

• 故障排除推荐操作：调查 Linux 服务器补丁错误

• 故障排除无法在控制台上看到任何任务

• 故障排除在调度作业页面看不到每月选项

介绍

故障排除是识别问题来源并消除它的过程。开始故障排除时，你从最明显的可能问题入手，然后确定具体问题。做到这一点需要两样东西：故障排除对象的经验和能够查看详细信息（如日志和错误代码）的好工具。

本章将讨论这两个问题。在前三个方法中，你将学习到这些工具，因为它们是 VCM 故障排除中必要的基础，然后我们将讨论一些常见问题及其解决方案。

我们将介绍的故障排除工具包括EcmDebugEventViewer.exe、VCM 日志、作业管理器 | 历史记录和SQL 日志查看器。如果你熟悉 SQL，你也可以尝试 SQL 跟踪。

常见问题包括数据收集问题、补丁安装问题以及代理通信问题。

代理通信消息过于晦涩；它们对每个问题都显示Pingfailed，你需要检查到底发生了什么问题。

那么，让我们开始故障排除 VCM 吧。

故障排除工具 - EcmDebugEventViewer

你可以使用 EcmDebugEventViewer 工具，深入查看存储在 VCM 数据库中的所有事件。这将帮助你查找环境中的事件错误。

准备就绪

我们需要以管理员权限访问 VCM 操作系统。

该工具名为 EcmDebugEventViewer.exe。它是一个独立的可执行文件，位于C:\Program Files (x86)\VMware\VCM\Tools（如果你按默认设置安装了 VCM）。

如何操作...

这个方法分为两个部分：启动和过滤。

访问事件

该工具可以从其所在位置启动，或者你可以将.exe文件复制到任何位置并启动。按照以下步骤操作：

1. 以管理员权限连接到你的 VCM 操作系统。

2. 打开资源管理器窗口并浏览到X:\Program Files (x86)\VMware\VCM\Tools（X是安装 VCM 的驱动器）。

3. 右键点击EcmDebugEventViewer.exe并选择以管理员身份运行。

4. 现在，你会看到一个空白的屏幕。你可以从三种选项中选择：数据库、收集器数据库或打开文件以打开保存的.dbe文件。在本示例中，选择数据库。

5. 按下F5，它将从数据库中获取日志内容。

6. 双击某一行以打开更多细节。以下截图显示了一个错误消息，表示 VCM 服务器无法解析邮件服务器。

7. 您可以使用详情窗口中的上和下按钮查看其他日志条目。

8. 点击关闭以关闭事件详情。

过滤事件

由于条目很多，您可能想通过部署过滤器来减少数量。继续按照以下步骤操作：

1. 点击筛选设置，然后定义筛选条件，例如消息的来源或类型，如下图所示：

2. 您还可以选择应显示的特定时间段。点击顶部菜单中的日期/时间并修改持续时间，如下图所示。

3. 您可以通过转到文件 | 另存为 dbe来导出选定的日志。这将保存所有的行。

4. 要仅保存选定的行，选择这些行，然后转到文件 | 另存为 dbe。

这就总结了我们对 EcmDebugEventViewer 工具的概述。

工作原理

您可以打开主VCM数据库以及VCM_Coll数据库或任何已保存的文件。

当您排查 VCM 问题时，这是开始的第一步。始终选择主要的 VCM 数据库，因为它包含来自 VCM 代理的系统数据以及所有正在执行的进程。

让我们举个例子：

您正在尝试为一台 Linux 机器打补丁，但失败了，并且返回了 PingFailed 错误代码。您检查后发现，您可以成功 ping 通该受管 Linux 机器，并且可以 Telnet 到该端口——关于与 Linux 机器的通信一切正常。这里的小问题是，VCM 首先尝试通过端口26542与 SCR 服务器通信，如果由于某种原因无法访问该端口，它会返回一个含糊的 PingFailed 错误。现在，如果您启动 ECMDebug 工具，并且已将调试日志级别设置为 info，您可以看到它正在尝试与 SCR 服务器进行通信，但失败了。

进一步排查时，您发现代理由于某种原因没有进行通信。重新启动后，您可以继续进行修补操作。

下一个选项是 VCM 收集数据库。VCM_Coll数据库包含有关 UI 的信息，例如收集器设置和选项。坦白说，我几乎没有使用过它，因此没有实际的用例。

最后一个选项是打开一个 DBE 文件。VCM 代理也将其日志保存在.dbe文件格式中，因此在排查代理问题时，您可以将该文件从代理复制到服务器并读取，或者有人可以从他们的 VCM 安装中将已保存的.dbe文件发送给您，您可以查看该文件并提供建议。当您与 VMware 合作时，他们会要求您生成这个.dbe文件并将其发送给他们，以便他们可以进行审查并提供解决方案。

故障排除工具 – 作业管理器 | 历史

历史工具内置到 VCM 中。使用此工具，您可以查看之前完成的作业的状态，并提供日志以进一步进行故障排除。

准备工作

需要访问 VCM 控制台并具备基本的 VCM 理解才能在控制台中漫游。

如何操作...

要查看之前完成的作业的详细信息，请启动 VCM 控制台，然后转到管理 | 作业管理器 | 历史。

这里您有四个选项：即时收集、计划收集、其他作业和VCM 远程。如果您不是在解决收集问题，则最有可能需要转到其他作业并在左上窗格中选择作业，然后在底部窗格中查看详细信息。

选择作业历史，然后点击查看详细信息。如果作业涉及多台机器，您将可以选择其中之一，然后查看出了什么问题。

在以下屏幕截图中，当我们悬停在状态上时，我们可以看到双向认证存在问题。

我们可以使用顶部的菜单选项复制数据，然后可以用于在互联网上搜索或向 VMware 提供精确的日志以进一步进行故障排除。

VCM 作业管理器 | 历史

如何工作

每次 VCM 执行计划或按需作业时，都会在此位置记录；您可以查看它们，并查看它们是失败还是成功。如果它们失败，它将提供错误信息，供进一步故障排除使用。

当您点击作业并选择查看详细信息时，将会弹出一个窗口，您可以选择查看选定的机器或所有机器。您可以从这里重新提交作业。

让我们看看一个实际的经验。我们无法为 Linux 服务器打补丁。我们已按预期配置了 SCR 服务器和 VCM，但仍然失败。在这里检查日志后，我们发现 VCM 正在寻找一个名为REDHAT-rt.ptoperties的文件，而根据文档，我们已配置了一个名为redhat-rt.properties的文件。在更正文件名称（改为大写字母）后，我们成功地为服务器打了补丁。

故障排除工具 – 机器集合状态

在 VCM 控制台中的机器集合状态，您可以查看从哪个服务器收集了哪些数据，以及它是完整集合还是增量集合。在解决数据收集问题时，这可能会派上用场。

准备工作

需要访问 VCM 控制台并具备基本的 VCM 理解才能在控制台中漫游。

如何操作...

转到管理 | 机器管理器 | 机器集合状态。

正如提到的，我们可以查看收集了哪些数据，使用了哪个过滤器集以及哪些过滤器成功获取了数据。

假设您正在创建一个带有特定动态规则的机器组，并且机器没有被填充，可能是因为您用于筛选的数据类型没有被收集。

您正在运行合规性报告，发现进行合规性测试时显示数据不可用；如前所述，可能是数据未被收集。

您可以通过在控制台应用多个筛选器来查看详细信息，如果您的基础设施很大，这将是一个很大的表格。

VCM 下的机器收集日志位于管理部分

工作原理

当我们从受管机器收集数据时，我们收集的数据以及收集时间都会被记录。

我们正在与一台 RHEL 7 机器一起收集数据。作业成功，但当我们尝试修补服务器时，它没有显示状态，即是否需要修补。当我们在机器收集状态工具中检查时，未找到我们的机器，这意味着详细信息没有被捕获。检查日志后，我们得出结论：VCM 收集器无法捕获详细信息。在解决机器问题后，我们进行了另一次收集操作，发现详细信息可用，并且机器出现在机器收集状态中。

排查代理通信问题

现在，我们将查看代理通信中遇到的多个问题及其解决方法。

准备就绪

在本指南中，我们将查看以下问题：

• 问题 01：相互认证失败

• 问题 02：重新抛出的证书问题

• 问题 03：Ping 失败

• 问题 04：凭证失败

问题 01：相互认证失败

升级后可能会发生相互认证失败的情况。当您尝试收集数据时，它会失败，并显示如下截图中的错误：

VCM 代理通信问题：相互认证失败

您可以在管理|作业管理器|即时收集下看到错误。

然后，选择适当的子部分。之后，选择左上角的作业，您将在左下角的窗格中看到详细信息。

如何操作...

要解决此问题，请按照以下步骤操作：

1. 选择无法收集数据的机器。

2. 点击重新建立相互认证（菜单栏中的握手符号）。

3. 选择遇到问题的机器。

4. 点击完成关闭向导。

5. 通过再次执行收集操作来确认问题是否已解决。

问题 02：重新抛出的证书问题

代理-服务器通信基于我们在安装代理时使用的证书；如果代理上的证书与服务器上的证书不匹配，则会出现以下错误信息：

VCM 代理通信：重新抛出的证书问题

如何操作...

要解决此问题，请执行以下操作：

1. 使用正确的证书重新安装代理，并重新执行数据收集。

2. 如果是 Linux 服务器，使用来自正确 VCM 服务器的安装程序，因为证书是嵌入在安装程序中的。

问题 03: PingFailed

这个问题可能由多种原因引起：

• 管理的机器无法进行 DNS 解析

• 防火墙正在阻止端口 26542（可能是代理上，或者是服务器和代理之间的防火墙）

• 服务未运行

• 代理未安装

• 机器已关闭

• 存在路由问题，因此机器 IP 无法访问

VCM 代理通信问题：PingFailed

如何操作...

要解决此问题，请按以下步骤操作：

1. 确保管理机器已开机。

2. 使用主机名或 FQDN ping 管理机器，检查是否能解析出 IP 地址。

   使用以下命令：

    ping -a 10.20.30.40 
    ping server01.study.local
   
   

   确保后两个主机名解析到相同的 IP 地址，并且第一个命令返回正确的主机名。已经观察到有时名称解析未按预期工作，需要进行修正。

3. 跟踪从 VCM 服务器到目标 IP，检查是否可以从 VCM 服务器访问目标机器，且没有路由问题；如果有，添加所需的路由。

   使用以下命令执行此操作：

    tracert server01.study.local
   
   

   从管理服务器上运行以下命令：

    tracert vcm.study.local
   
   

   您必须能从两端进行访问。

4. 从 VCM 服务器检查 Telnet 端口 26542；如果不可用，检查管理机器上的本地防火墙。如果防火墙已关闭，也请与网络和安全团队确认，是否存在防火墙在管理机器与 VCM 服务器之间，且是否已打开端口 26542。

   从 VCM 服务器，尝试执行以下命令：

    telnet server01.study.local 26542
   
   

   有关所需端口的详细信息，请查看 第一章，安装 VCM 部分的 理解 VCM 的要求。

5. 检查本地服务器上的防火墙。

   这应该被禁用或确保相关端口已打开。

   Windows 和 Linux 的处理方法不同。请查看以下文章：

   对于 Windows：technet.microsoft.com/en-us/library/cc753558.aspx

   对于 RedHat：access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sect-Security_Guide-Firewalls-Common_IPTables_Filtering.html

6. 检查是否已安装 CMAgent。可以通过多种方式进行检查：

   对于 Windows：

   1. 检查 CMagnet 服务是否可用。

   2. 检查 C:\Windows\CMAgent 文件夹是否存在且不为空。

   3. 检查 CMAgent 是否出现在 添加/删除程序 中。

   对于 Linux：

   运行 netstat -an | grep 26542。

   确保服务正在监听端口 26542。

   执行以下命令检查服务是否正在运行：

    netstat -l | grep csi-agent
   
   

   该命令应返回 tcp 0 0 :csi-agent *: LISTEN。

   使用 top 实用程序监控进程。如果已安装并可用，你可以使用它来监控进程。操作方法如下：

   1. 启动 top 实用程序。

   2. 输入u。

   3. 在用户（空白表示所有用户）：提示符下，输入代理安装时使用的用户账户（csi_acct）。

   4. 输入s。

   5. 在更新之间的延迟：提示符下，输入1。

7. 检查 CMAgent 服务是否正在运行。

   根据操作系统的特定操作检查状态。

   对于 Windows：

   运行 services.msc 并确保 CM Socket Listener 服务已启动。

   对于 Linux：

   使用 root 权限登录到被管理服务器。

   进入 /etc/init.d。

   执行./csi-service status并确保它正在运行。

问题 04：CredentialsFailed

如下图所示，你可能会遇到一个名为 CredentialsFailed 的错误。这发生在为被管理机器配置的网络权限账户没有在该机器上具有足够权限时。

很可能，你正在管理的机器来自另一个域或处于工作组中，且你没有将所需的凭据作为网络权限账户添加。

VCM 代理通信问题：CredentialsFailed

如何操作...

查看 第四章中在多域环境和工作组中修补机器的配方、Windows 补丁管理，以及 第二章中的添加网络权限账户以管理多个域中的机器的配方，配置 VCM 来管理你的基础设施，然后为被管理的机器添加适当的网络权限账户，再尝试重新收集。

如何操作

我们在这里讨论了多个问题：如果我们想要管理代理，VCM 必须与代理进行通信。VCM 与代理的通信基于服务器上的证书；如果证书不符合预期，则服务器无法通信，我们需要通过重新安装代理并使用正确的证书来替换它。

我们需要确保可以解析被管理机器的主机名并连接到 26542 端口，因此需要开放中间的防火墙端口。

故障排除代理升级问题

在将 VCM 升级到版本 5.8.1 后，你可能在将代理升级到最新版本时遇到一些问题。升级失败，但如果你从 VCM 控制台选择安装并移除当前版本，代理就会安装/升级到最新版本。

注意

请注意，在撰写本书时，这个问题已经在 VCM 的最新版本（VCM 5.8.2）中得到解决。仅在你升级到 VCM 5.8.1 时适用。

准备就绪

当您在 VCM 控制台选择一台机器，选择升级选项并运行任务时，在为托管机器创建服务时应该会失败，并根据以下代码抛出错误，该代码位于C:\Windows\CMAgent。

    ***  Installation Started 03/03/2016 3:57  ***
    Title: EcmComSocketListenerService
    Source: C:\windows\TEMP\GLB90C6.tmp | 03-03-2016 | 03:57:04 | 71680
    Rem Wise Error Number: 141
    Rem Function Name: EcmCreateService
    Rem Error Message: Caught an exception from wise : Call to 
    EcmCreateService for service CSI Socket Listener failed with error code 
    of 1072 : error code 141
    141

如何操作...

在 5.8.1 版本中，VMware 推行了 HTTP 监听器模块，它在升级前会停止监听器服务，同时采集器会等待它。在监听器升级时，采集器会联系代理以获取升级状态。因此，采集器会收到 ping 失败的响应，并将信号发送给采集器以使升级任务失败。

以下设置允许在 HTTP 连接失败时，采集器回退到 DCOM：

1. 在选择 VCM 作为数据库时，在 SQL 管理服务器中运行以下查询：

    UPDATE dbo.ecm_sysdat_configuration_values SET configuration_value = 
    '1' WHERE configuration_name = 'config_allow_http_failover_to_dcom' 
   
   

2. 同时，使用此查询修正ECMSocketListenerService模块的文件名：

    UPDATE dbo.ecm_sysdat_install_modules SET module_file_name =
    'EcmComSocketListenerService6_6.exe' WHERE module_name = 
    'EcmComSocketListenerService'   AND module_version = '6.6' 
   
   

3. 重启 SSRS 和 VCM 采集器服务。

之后，您可以从控制台升级代理。

排查 SCR 下载问题

正如您所知道的，SCR 是一个工具，用于将 Linux/Unix 操作系统的补丁从供应商网站同步到本地仓库。有时，同步失败，无法从供应商网站下载内容。

准备中

我们能够使用相同的账户登录 RedHat 门户，但补丁下载失败并出现错误。当我们尝试从 SCR 与供应商（此处为 RedHat）同步补丁时，抛出如下错误，代码如下：

    Nov 19, 2015 9:11:32 AM com.lumension.scr.log.CommonsLogging error
    SEVERE: Error processing architecture X86_64
    com.lumension.scr.exception.AuthenticationFailedException: Failed to
    establish login session with RHN
            at
    com.lumension.scr.pojo.SCPackage.getAllPackageFiles(SCPackage.java:508)
            at
    com.lumension.scr.pojo.SCPackage.download(SCPackage.java:363)
            at  
    com.lumension.scr.client.StandaloneSCRepositoryClient.download 
    (StandaloneSCRepositoryClient.java:596)
            at
    com.lumension.scr.client.StandaloneSCRepositoryClient.process
    (StandaloneSCRepositoryClient.java:492)
            at
    com.lumension.scr.client.StandaloneSCRepositoryClient.main
    (StandaloneSCRepositoryClient.java:644)

由于这表示登录问题，首先怀疑的，和往常一样，是用于与 RHN 同步仓库的账户。我们可以用相同的账户登录 RHN，并且如果更换为其他账户，问题依然存在。

如何操作...

解决方法如下：

1. 重新同步 SCR 工具与 RedHat 仓库。

2. 选择 SCR 工具输出文件夹并删除所有SystemId*.xml文件：

    cd "PatchRepo/Repos"/unix 
          rm SystemId*.xml
    [root@scr unix]# pwd/opt/vcmpatches/unix[root@scr unix]# 
          lsSystemId_5Server_i386.xml    
          SystemId_6Server_i386.xml
   SystemId_5Server_x86_64.xml  
          SystemId_6Server_x86_64.xml
   
   

   对每个文件运行以下命令备份文件：

   [root@scr unix]# cp SystemId_5Server_i386.xml 
             SystemId_5Server_i386.xml.bak
   [root@scr unix]# rm -f *.xml
   [root@scr unix]# ls
   [root@scr unix]#
   
   

   unix文件夹的路径位于properties文件中，并通过folder=value参数定义。

   例如，folder=/PatchRepo/Repos。

3. 手动运行复制过程或允许其按计划运行：

    [root@scr unix]# cd /etc/cron.daily/ 
          [root@scr cron.daily]# ./SCR
   
   

4. XML 文件将在之前的位置（/PatchRepo/Repos）创建，并且同步将开始：

    [root@scr unix]# pwd 
          /opt/vcmpatches/unix 
          [root@scr unix]# ls 
          SystemId_5Server_i386.xml    SystemId_6Server_i386.xml 
          SystemId_5Server_x86_64.xml  SystemId_6Server_x86_64.xml
   
   

它是如何工作的

真正的问题是源机器信息在Red Hat Network（RHN）上被更改或删除。

当我们删除 XML 文件并重新启动同步时，机器信息会再次更新，并且我们可以从 RHN 下载补丁。

排查 VCM 控制台登录失败问题

您尝试登录 VCM 时，系统抛出错误：您的 ID 已禁用。

准备中

您将需要访问 SQL 服务器来解决此问题。

请考虑以下情况：你没有任何人可以帮助你启用该 ID，或者更糟的是，你正在设置 VCM，却还没有添加任何人，因此你是唯一可以登录并进行必要设置的帐户。

不用担心，我们有解决方案。

你需要 SQL Management Studio 和对存放 VCM 数据库的 SQL 服务器的访问权限。

如何操作…

按照以下步骤解锁用户：

1. 登录到 VCM SQL 服务器并启动 SQL Management Studio。

   选择 VCM 作为数据库并运行第一个查询：

             select * from ecm_sysdat_logins 
   
   

   这将显示所有用户及其登录 ID。

2. 请记下你尝试的用户的登录 ID，并运行以下查询：

             update ecm_sysdat_logins set login_active = 1 where login_id = X 
   
   

   X 是你之前记录的用户登录 ID。

现在已经启用登录。尝试登录到 VCM 控制台，如果你是唯一的管理员，开始添加其他管理员。

它是如何工作的

VCM 将它所执行的所有操作信息存储在 SQL 数据库中。在此案例中，我们发现我们尝试登录的帐户被锁定，需要重置。

运行第一个 SQL 查询后，我们检查了数据库中帐户的状态，发现它被锁定（即 login_active = 0），于是我们运行了另一个查询并启用了该帐户（即 login_active = 1）。

之后，我们可以登录到 VCM 控制台。

建议将一个 AD 组添加到 VCM 中以便进行管理，具体内容请参考第七章中的用户管理部分，VCM 维护。

排查 vCenter 和 vCloud 数据采集问题

问题：尝试从 vCenter 和 vCloud Director 收集数据时，操作失败。

正在准备中

你可能遇到的问题是：当你尝试从 vCenter 或 vCloud Director 收集数据时，它要么失败，要么你无法在 VCM 控制台的控制台 | 虚拟环境下看到任何详细信息。

如何操作…

可能有几个原因导致此问题。

可以使用 EcmDebugEventViewer 工具或在 作业管理器 | 历史记录 中查看错误或失败的详细信息；根据错误代码，你可以尝试以下任何或所有解决方案：

• 配置 vCenter 和/或 vCloud 时设置的凭证可能不正确，请尝试更改它们。

• 配置 vCenter 和/或 vCloud 时设置的证书指纹可能不正确。

  如果是这种情况，那么在作业管理器 | 历史记录中，VCM 会显示配置的指纹和预期的指纹；你可以复制预期的指纹。确保它是正确的，然后更改错误的证书指纹。

• 如你所知，我们有过滤器集，大多数情况下，我们选择默认的过滤器集来执行数据采集。验证默认的过滤器集是否包含所有 vCenter 和/或 vCloud 相关的过滤器；如果没有，添加它们并进行数据采集。

  设置位于管理|收集过滤器|过滤器集下。选择默认过滤器，点击编辑，并添加任何缺失的 vCenter 和/或 vCloud 过滤器，如下图所示。

  您可以定义一个过滤器，使用类似于截图中的条件来限制过滤器：

  

  这将限制过滤器仅应用于 vCenter、vCloud 和 vShield。确保这些已经是默认过滤器集的一部分；如果没有，使用下拉箭头将它们添加到默认过滤器中，然后点击下一步。完成向导后，执行 vCenter、vCloud 和/或 vShield 的收集操作。它会生效。

  

  修改默认过滤器集

工作原理

VCM 使用过滤器集，这些过滤器集包含用于从各种托管对象收集数据的过滤器。过滤器定义了需要收集的数据，例如操作系统名称、某些注册表值或文件权限。有成千上万的过滤器可用，并非所有过滤器都在同一个过滤器集中使用。我们有一个默认的过滤器集，其中包括适用于所有托管机器类型的过滤器，如 vCenter、vCloud Director、Windows 和 Linux。有时，某些必需的过滤器会从过滤器集中丢失。我们需要将它们添加回来，以便下次使用时，VCM 知道需要收集哪些数据。

在这个故障排除步骤中，我们做了同样的事情，并将缺失的过滤器添加到默认过滤器集中。

故障排除：推荐操作“调查问题”导致的 Linux 服务器补丁错误

在尝试为 Linux 服务器安装补丁时，您可能会收到一条消息，显示建议操作：调查问题，因此无法为服务器安装补丁。

准备就绪

错误将类似于以下截图。推荐的操作是调查问题：

如何操作...

1. 要解决此问题，请在 VCM 数据库上按照以下步骤操作：

2. 运行此 SQL 查询以了解显示调查问题的machine_id：

          select machine_id, machine_name from ecm_dat_machines where 
          machine_name = '<Machine Name>' 
   
   

3. 机器名称是导致问题的服务的名称。

4. 使用以下查询更新machine_id值的时间戳：

          update ecm_sysdat_imd_machine_timestamp_xref set timestamp = 0 where 
          machine_id = <> 
   
   

5. 对该机器进行另一次评估，它会告诉您需要安装补丁。

排除无法在控制台中查看任何任务的故障排除

问题：VCM 没有运行或显示任何任务。当手动启动任务时，它们无法执行，这使得 VCM 几乎变得毫无用处。

准备就绪

当我们运行任何任务，如数据收集、补丁安装或合规性检查时，它们可能无法启动，并且在任务窗口中无法显示。因此，VCM 数据库没有更新，您无法为托管机器安装补丁，也无法执行合规性检查。

我们需要访问托管 VCM 数据库的 SQL 服务器。

如何操作...

这是解决方案。要确定是否启用了 SQL Server 服务代理，请在 SQL Server Management Studio 中运行以下脚本：

1. 启动 SQL Server Management Studio 并创建一个新的查询，如下所示。

          USE master;
          GO
          SELECT name, is_broker_enabled FROM sys.databases;
          GO 
   
   

2. 检查 VCM 数据库中 is_broker_enabled 的值是否为 0（零），并通过在 SQL Server 中运行以下脚本重新启用 SQL Server 服务代理：

          USE master;
          GO
          ALTER DATABASE {db-name} SET ENABLE_BROKER WITH ROLLBACK IMMEDIATE;      
          GO 
   
   

这里，db-name 是你的 VCM 数据库的名称。默认情况下，数据库名称是 VCM。

它是如何工作的

通过 Microsoft SQL Server 中的服务代理功能，内部或外部进程可以发送和接收保证的异步消息。消息可以发送到与发送者相同数据库中的队列、同一 SQL Server 实例中的另一个数据库，或另一个 SQL Server 实例，无论是在同一服务器上还是远程服务器上。我们修复了 VCM 数据库中损坏的代理服务，使其能够重新运行。

无法在调度作业页面看到月度选项的故障排除

有时，当我们尝试在 VCM 中安排任务时，快要完成向导时，在调度页面上，月度选项会被禁用（灰色显示），我们无法设置月度调度。

准备中

如下所示，月度调度选项被禁用：

如何操作...

如果启动控制台的 VCM 用户的时区设置与 VCM 数据库的时区设置不同，则月度调度选项将被禁用。

确保用于连接到 VCM 服务器的机器的时区与 VCM 数据库服务器的时区相同。

第十章：定义命名规范

我们需要创建大量实体，如机器组、补丁模板、合规模板等，为了保持这些内容的整洁，我们需要遵循一定的命名规范。以下是我们将为其创建命名规范的实体列表：

• 机器组

• 机器组过滤器

• 补丁模板

• 补丁作业

• 补丁评估

• 合规模板

• 合规规则组

• 合规过滤器

机器组

你可以使用机器所属的操作系统和维护窗口来创建机器组，例如此示例：

MW01-Win-xxxxYYYY

名称中的各部分含义如下：

• MW01：第一次维护窗口

• Win/Lin：Windows 或 Linux

• 第一/二/三/四（xxxx）：月份中的周数

• 日期：补丁计划的星期几

机器组过滤器

机器组过滤器继承自它所属于的机器组的名称，因此其名称与机器组名称相同。

补丁模板

补丁模板是一组我们可以按照命名规范使用的补丁。

对于每月补丁模板，使用以下命名规范：

Win-XXX-YY-Template

组件含义如下：

• 前三个字符表示操作系统（Win/Lin）

• 接下来的三个字符（XXX）表示月份

• 接下来的两个数字（YY）表示年份

• 最后的词（Template）用于指定这是一个模板

计划补丁作业

以下命名规范可用于计划补丁作业：

XXXYY-OS- MWZZ Monthly Patching

名称中的各部分含义如下：

• XXX：月份

• YY：年份

• OS：Win/Lin

• ZZ：维护窗口编号 01/02/03/04

• Monthly Patching：描述性标签

计划补丁状态收集

以下命名规范可用于计划补丁状态收集：

OS-MWZZ-XXXPatchStatus

名称中的各部分含义如下：

• OS：Win/Lin

• ZZ：维护窗口 01/02/03/04

• XXX：评估执行时间——补丁前/补丁后

• 最后一个词：Status

计划补丁评估

以下命名规范可用于计划补丁评估：

WinMWZZ-InitialAssessment

名称中的各部分含义如下：

• OS：Win/Lin

• ZZ：维护窗口 01/02/03/04

• 下一个词：评估执行时间——Initial/Final 评估

• 最后一个词：Assessment

合规模板

以下命名规范可用于合规模板：

01-MyCompany-MyCompany ISO 27001-27002 Windows 2003

名称中的各部分含义如下：

• 前两个数字：序列号

• 接下来的三个字符：MyCompany

• 之后：规则组创建此模板的名称/标题来源

合规规则组

以下命名规范可用于合规规则组：

01-MyCompany-MyCompany ISO 27001-27002 Windows 2003

名称中的各部分含义如下：

• 前两个数字：序列

• 接下来的三个字符：MyCompany

• 之后：规则组的名称/标题

第十一章：理解 VCM 控制台

在开始使用 VCM 之前，让我们先了解一下控制台，因为我们在整个书中都用到了它，最好先对它有所熟悉。

以下是如何连接到 VCM 控制台：

序号	VCM 部署	默认控制台链接
1	单层	https://<VCM Server IP/FQDN>/VCM
2	双层	https://<Collector Server IP/FQDN>/VCM
3	三层	https://<Web Server IP/FQDN>/VCM

唯一支持的浏览器是不同版本的 IE，因此请在浏览器中输入 URL，按下 Enter 键并提供凭证。如果你有多个角色，请选择角色，然后你就可以进入神奇的 VCM 世界。

控制台界面如下所示：

第一行蓝色区域显示了你的采集器服务器名称以及连接到它的用户。

在下一行，你会看到菜单选项。最重要的选项是 任务 和 收集，而其余选项允许你选择、复制和导出控制台中显示的数据。

在第三行，你会看到 机器组：– 这一点非常重要，因为你在左侧滑块中执行的所有操作都会作用于你在此选择的机器组中的机器。例如，如果你想修补一个在控制台视图中不可见的机器，但你确定该机器是 VCM 的一部分，请查看你所选的机器组——该机器不属于你从顶部选择的机器组。

接下来是左侧的滑块，你可以在这里找到以下主要选项：

1. 控制台

   如前面的截图所示，这是你启动时的默认滑块。在这里，你可以执行以下功能——请注意，这不是一个全面的列表，一旦你熟悉 VCM，你可以探索更多：

   • 你可以查看受管机器的完整摘要信息

   • 你可以查看所有的 vCenters、vCloud 和 vShield 实例，以及从它们收集的数据，例如虚拟机、ESX 和 ESXi 服务器，以及 vApps 网络。

   • 你可以查看各种仪表板，可以在不同的演示中使用它们。

   • 你可以运行 Linux 远程命令

2. 合规性

   在这里，你可以检查基础设施的合规性，创建或修改新规则和模板。

3. Active Directory

   在这里，你可以查看你的 Active Directory 基础设施，如 AD 域、AD 对象、架构以及 Active Directory 站点列表，包括站点链接、站点桥接、子网、站点间传输和服务器。

   所有与 Active Directory 相关的内容都在这里。

4. 报告

   这是你可以以各种格式导出从受管对象中提取的详细信息的地方，如 XLS、CSV、DOC 等。

   有很多默认报告可供使用，除此之外，你还可以根据需要创建自己的自定义报告。

5. 修补

   你将花费大量时间在这里，剩余时间在管理部分。这里是你为所支持并想要修补的各种操作系统创建补丁评估模板、安排与补丁相关的任务以及执行按需补丁的地方。

6. 管理

   这是你在使用 VCM 时大部分时间会花费的地方。这里是 VCM 的核心功能。你可以在这里执行以下操作：

   • 添加/移除任何新的管理机器，如果这没有自动发生的话

   • 检查任务的状态，无论是正在运行还是已完成，以帮助故障排除

   • 更改各种设置，以根据你的需求微调 VCM

   • 检查你的许可证状态，以确保在许可证方面不会失去合规性

   • 检查并批准证书

   • 创建各种发现规则、机器组等

这只是一个非常有限的列表；你将随着工作的进行进一步探索。