所有的虚拟机都基于软件,这些软件包括hypervisor、客户操作系统以及运行在每个虚拟实例内的实际工作负载。与任何其他软件一样,在安全缺陷、软件bug被修复,性能或兼容性有所提升或者出现新功能时,有必要给虚拟化平台打补丁并进行升级。
一般来说,给主机或者虚拟机打补丁并没有固定的时间表,但有一些虚拟机补丁管理指南可供参考。虽然关键的更新可能会随时发布,但软件开发人员可能会定期发布补丁。IT专业人士面临的挑战是识别可用的补丁,然后确定补丁解决的问题或者带来的价值对业务是否有利。例如,如果一家软件厂商发布了紧急补丁修复了一个人们非常关注的安全漏洞,那么企业通常要进行测试并尽快安装该补丁—为了安装补丁甚至要容忍服务中断或者宕机。相比之下,修改拼写错误或者改变工具提示布局的补丁很可能会等在更方便的补丁升级窗口安装。
然而,在生产环境中打补丁前,所有的虚拟机补丁管理应该先审查软件依赖关系并在实验环境中进行POC测试。目的是确保同时更新该补丁所必需的支持软件并看到整个补丁更新过程无任何异常,然后确认所有相关的程序仍旧运行正常。例如,如果需要升级Hyper-V服务器的System Center数据保护管理器,那么在应用DPM补丁前可能有必要将集成组件升级至最新版本。否则DPM备份可能会受影响。
最好在实验中对补丁进行评估并查找不可预见的后果,而不是冒着更新补丁对生产系统造成大量破坏的风险。如果在实验中发现了问题,企业可以进一步研究查找问题所在,或者可以等待厂商推出解决该问题的后续补丁。
补丁升级取决于已部署的工具,比如Windows服务器升级服务(WSUS)、VMware vSphere升级管理器、System Center配置管理器或者第三方虚拟机补丁管理工具比如Shavlik Patch。但给虚拟系统打补丁和非虚拟系统并没有本质差别。此外,可以在不同平台下使用不同的补丁管理工具。例如WSUS能够给Windows服务器打补丁,而通过Linux控制台可以很轻松地手动给Linux虚拟机打补丁。