有关虚拟机模板的注意事项

常规注意事项

  • 有关在修补程序扫描、资产扫描和修补程序部署中使用虚拟机模板的信息,请参阅任务路线图
  • 虚拟机模板的类型(服务器模板、工作站模板等)并不重要,Security Controls 支持所有类型。
  • Security Controls 仅支持 VMware Server 上托管的虚拟机模板。 模板使用托管的虚拟机选项卡添加至计算机组。 不支持位于个别工作站上的虚拟机模板。
  • 通过唯一的图标 () 识别虚拟机模板。 将模板添加计算机组时,以及在扫描视图计算机视图中查看扫描结果时,会看到此图标。
  • 正如任何涉及网络中的组件的内容一样,如果出现连接情况不好、服务器关闭、在 Security Controls 访问模板时修改模板等情况,则会发生错误。 一般来说,在扫描或修补程序部署流程中的任何时候,都不应该更改模板。
  • 启动虚拟机模板的修补程序或资产扫描时,Security Controls 会扫描模板的当前状态,并且通过与处理虚拟机和物理计算机的相同方式来报告结果。
  • 扫描期间,使用 VMware Server 凭据访问模板。 忽略为模板提供的任何个别凭据。
  • 应该为将包含在修补程序部署流程中的任何虚拟机模板提供联机凭据。 在修补程序部署流程中,模板会转换为虚拟机,并且开启 -- Security Controls 需要提供的凭据才能访问联机虚拟机。
  • 在扫描或部署离线虚拟机模板时,TCP 端口 902 必须可用才能装载虚拟磁盘。

修补程序部署

  • 将修补程序部署至虚拟机模板时,需要以下 VMware Server 权限才能管理快照以及执行部署:
    • VirtualMachine.State.CreateSnapshot
    • VirtualMachine.State.RemoveSnapshot
    • VirtualMachine.Provisioning.MarkAsTemplate
    • VirtualMachine.Provisioning.MarkAsVM
  • 启动至虚拟机模板的修补程序部署时,Security Controls 会执行以下操作:
  1. 将虚拟机模板转换为脱机虚拟机。
  2. (可选)在将修补程序部署模板配置用于获取预部署快照时获取快照。
  3. (可选)在超出修补程序部署模板上定义的快照阈值时删除旧的快照。
  4. 将修补程序推送至脱机虚拟机。
  5. 在脱机虚拟机上重新配置以下项目:
    • 禁用网络适配器的开启时连接选项。 执行此操作,使计算机在运行修补程序流程时与网络分离。
    • 如果计划运行 Sysprep,则将其禁用,这样它就会在第一次开启计算机时自动配置该计算机的操作系统。
  6. 开启虚拟机。
  7. 安装修补程序。
  8. 关闭虚拟机。
  9. 将计算机配置重置为原始的网络连接和 Sysprep 设置。
  10. (可选)在将修补程序部署模板配置用于获取后期部署快照时获取快照。
  11. (可选)在超出修补程序部署模板上定义的快照阈值时删除旧的快照。
  12. 将脱机虚拟机转换回虚拟机模板。
    • 使用的修补程序部署模板无需指定分发服务器的用途。 脱机虚拟机将与网络断开连接,而且无法从分发服务器下载修补程序。
    • 使用的修补程序部署模板不应该指定预部署重新启动(程序将无法重新启动,因为计算机处于脱机状态),并且应始终执行部署后重新启动(这是部署修补程序时的“最佳实践”)。 对于至虚拟机模板的部署,建议使用虚拟机标准部署模板
    • 在修补程序部署期间,其他用户也可以看见通常可能只有管理员能够使用的虚拟机模板。 这是因为在修补程序部署过程中,模板会暂时转换为虚拟机,并且开启。