VMware|VMware vCenter 6.5/6.7/7.0升级攻略 VMwarevCenter6.5

一、概述写这篇文章是因为VMware 7.0U2A之前版本有个bug，用户可根据LD（CVE-2021-22005）进行提权443端口，直接访问vCenter 443管理界面。然后想着将VMware 7.0U2A升级至最新版VMware 7.0U3C。具体的LD复现可根据KB去查找。
一、正文此文档罗列出部分目录，正文部分尚未全部显示
目录
1 原因和目的 4
1.1 变更原因和目的 4
1.1.1 变更原因 4
1.1.2 变更目的 4
1.2 变更影响 4
2 实施步骤和计划 4
2.1.1 vCenter现有环境 5
2.2 变更前备份 5
2.2.1 Vinchin备份 5
2.2.1 快照备份 5
2.3 实施计划、人员分工 7
2.4 实施步骤 7
2.4.1 vCenter配置备份 7
2.4.2 vCenter升级 8
3 实施后验证计划 12
3.1 验证步骤 13
4 应急、回退措施 13
4.1 操作前备份已有配置 13
4.2 vCenter版本回退 13
5 风险分析和规避措施 14
6 总结 14
三、升级前奏 1、登录VMware官网下载最新的补丁包：（需要注册VMware会员）
下载地址：

https://my.vmware.com/cn/group/vmware/patch#search

文章图片

请根据当前vCenter实际版本选择，注意，该补丁不适合跨大版本，如6.5-6.7，6.7-7.0。但是支持如6.7U1-6.7U3，7.0.0-7.0.3。下载版本名称带有Patch，除非指定版本，否则选择发行日期最新的那个。
四、原因和目的变更原因和目的变更原因 2021年9月21日，VMware发布安全公告，公开披露了vCenter Server中的19个安全LOUDONG，
最为严重的LOUDONG为vCenter Server 中的任意文件上传LOUDONG(CVE-2021-22005)，该LOUDONG存在于vCenter Server的分析服务中，其CVSSv3评分为 9.8。能够网络访问vCenter Server 上的 443 端口的gongji者可以通过上传eyi文件在 vCenter Server 上线远程执行代码。该LOUDONG无需经过身份验证即可远程利用，gongji复杂度低，且无需与用户交互。LOUDONG链接：Workaround Instructions for CVE-2021-22005 (85717) (vmware.com)
建议将现有VMware vCenter 7.0u2a版本升级至VMware vCenter 7.0U3C以解决相关问题。
变更目的升级Mware vCenter至最新版本解决eyi上传执行代码获取vCenter443权限LOUDONG。
变更影响此次变更升级时业务会中断，不影响用户数据.
实施步骤和计划 vCenter现有环境

设备节点	设备IP	产品	软件版本号
单节点	xxx.xxx.xxx.xxx	VMware vCenter	7.0U2A 17920168

vCenter升级

序号	任务	任务详细描述
vCenter升级
1	下载并上传软件包	从VMware官网下载 VMware-vCenter-Server-Appliance-7.0.3.00300-19234570-patch-FP：通过ESXI或者vCenter上传至存储卷
2	升级方法一	PS：本次以SSH升级方式为例来升级VCSA 7.0 将补丁挂载到dvd驱动器之后，除了使用WEB浏览器登录5480端口后台升级，也可以使用root登录shell进行升级： `software-packages stage --iso#转储 ISO software-packages list --staged#查看已转储的内容 software-packages install --staged#安装已转储的 RPM` 1、ssh 登录Vmware vCenter 设备；文章图片 2、运行命令 software-packages stage –iso 3、按照提示一直回车，注意最后输入yes 文章图片 4、安装补丁，software-packages install --staged 文章图片 5、成功升级到7.0U3C 文章图片 6、查看当前版本文章图片
3	升级方法二	0）直接使用覆盖安装方式升级直接使用新版本vcsa覆盖安装，如下图打开安装文件文章图片选择升级文章图片会出现如下如报错，这里我们发现跨小版本是无法通过安装包方式直接更新升级。文章图片以下通过vCenter 6.5和6.7，以及7.0版本的补丁升级，来介绍以上两种升级补丁的步骤： 1）vCenter 6.5 升级补丁：（以方法一：WEB升级方式为例）升级支持离线升级和在线升级，在线升级依赖网络，本文档介绍离线小版本升级，以vcsa6.5u2升级到vcsa6.5u3为例。该方式不适合从vcsa6.5升级到vcsa6.7。 1、登录https://vcip:5480，账户root，密码为安装时的密码，登陆后查看当前版本，如下图，当前版本为6.5.0.20000。（注意升级前记得给该虚拟机打快照……万一遇到问题还能回退！）文章图片 2、编辑虚拟机，将下载好的iso文件挂载到vcsa虚拟机光驱；文章图片 3、导航到左侧，更新，检查CDROM；文章图片 4、检查后提示有可用更新；文章图片 5、安装CDROM更新；文章图片 6、按照提示耐心等待安装更新。文章图片文章图片 7、版本已经升级到6.5.0.30000。按照提示重新引导即刻升级成功。文章图片 2）vCenter 6.7 升级补丁（以方法一：WEB升级方式为例） 1、将下载好的补丁iso文件挂载到vcsa虚拟机光驱文章图片之后登录：https://vcip:5480，账户root，密码为安装时的密码。文章图片 2、左侧，更新，会自动加载挂载的ISO补丁文件，需要点时间，耐心等待。文章图片 3、更新和修补程序是累积的。选择最新的那个补丁包。转储并安装。文章图片 4、按照提示下一页，勾选我已备份（记得一定要提前备份或者给虚拟机做快照）文章图片 5、正在进行安装文章图片 6、安装成功文章图片 7、查看版本，升级成功，没有提示重启。文章图片
5	检查应用	检查应用是否访问正常

实施后验证计划

验证任务

序号	任务	任务详细描述	责任人	成功标准
1	vCenter验证	验证vCenter配置是否正常		通过vCenter管理的平台以及对接ddc电源正常

验证步骤

序号	任务	任务详细描述
VCenter验证
1	Version验证	网页登录5480端口，查看版本文章图片
2

应急、回退措施操作前备份已有配置 vCenter版本回退

序号

任务

任务详细描述

VCenter版本回退

版本回退

通过快照还原；

通过备份还原恢复；

设备重启，版本和升级时一样，检查是否正常管理集群和ddc。

风险分析和规避措施变更风险小，不影响云桌面业务连续性，不影响用户业务数据的安全。如遇紧急情况将会在第一时间通过备份或者快照恢复。
总结此方案主要用于修复VCenter LOUDONG，
官方指出修复措施：
https://www.vmware.com/security/advisories/VMSA-2021-0025.html
【VMware|VMware vCenter 6.5/6.7/7.0升级攻略】https://kb.vmware.com/s/article/86292