Broadcom 旗下的 VMware 近日釋出了 vSphere 8.0 產品線的最新更新,vCenter Server 8.0 Update 3h 與 ESXi 8.0 Update 3h。對於企業 IT 管理員與資安團隊而言,本次更新不僅僅是常規的修補程式(Patch),更引入了極具實用價值的「憑證自動續期」機制,並修復了多項關鍵資安漏洞與驅動程式問題。
憑證自動續期(Certificate Auto-Renewal)
在過去的維運經驗中,有採用安全性憑證的 vCenter 或 ESXi 主機的 SSL 憑證過期是個需要管理員介入處理的問題,且更換憑證的過程相對麻煩。這次在 8.0 Update 3h 中,VMware 終於針對使用 VMware Certificate Authority (VMCA) 的環境推出了自動續期機制,這是一個大幅降低維運負擔的功能。
vCenter Server 機制在 SSL 方面是這樣的,當系統偵測到 Machine SSL 憑證有效期少於 5 天時,會自動將其續期延長 2 年。
ESXi 主機機制在這塊設計上,則是對於支援不中斷(non-disruptive)憑證更新的主機,當憑證有效期少於 10 天時,系統會自動將其續期延長 5 年。
要注意的是,這項功能僅適用於使用預設 VMCA 管理憑證的環境。如果你的企業使用自定義憑證(Custom Certificates),自動續期功能將不會生效,仍需手動介入喔。
vCenter Server 8.0 U3h 升級預檢更智慧
在 vCenter 的維護中,升級失敗往往令人頭痛。本次 Update 3h 優化了升級前的預先檢查(Pre-check)機制。系統現在能提供更具體、更人性化的錯誤訊息,而非過往籠統的代碼。
實裝後,發現這次也有報錯的改善,例如針對「憑證過期」、「磁碟空間不足」或「核心服務未啟動」等問題,會直接在介面上提供清晰的指引,讓管理員能快速排除故障,提升升級成功率。
另一方面,解除了部分 VM 操作限制,在 vSphere Client 中,管理員現在可以更靈活地解除某些虛擬機的操作限制(如遷移限制),這對於處於維護模式或故障排除場景下的操作提供了更大的彈性。
ESXi 8.0 U3h 底層驅動與穩定性強化
ESXi 作為虛擬化底層,本次 Update 3h 聚焦於硬體相容性與系統穩定性,特別是針對高負載環境的優化。
記憶體錯誤預防是一個新的重點,針對配置超過 1TB 記憶體的大型虛擬機(Monster VMs),新增了主動式記憶體錯誤預防措施,能有效減少因記憶體硬體錯誤導致的主機崩潰風險。
驅動程式更新也滿足了一些硬體的更新強化,這次更新了包括 Intel (i40en, icen, irdman) 與 Marvell (qedentv) 等網卡驅動程式,提升了 100GbE 網卡的支援度與 RoCE (RDMA over Converged Ethernet) 效能。
儲存效能最佳化的部分則是新增了在 Datastore 層級控制 UNMAP (空間回收) 負載的功能,避免因儲存設備回收空間而導致的 I/O 延遲。
資安修補是不容忽視的關鍵防線
雖然本次官方 Release Notes 的重點集中在功能改進,但資安人員同樣不能忽略 Update 3h 包含的累積安全性更新。
本次更新修補了多個潛在的安全漏洞(包含對應近期 VMSA 公告的修復),涉及元件包括 ESXi 的管理代理程式與 vCenter 的身分驗證模組。
CyberQ 建議由於近期針對虛擬化平台的勒索軟體攻擊頻傳,建議企業在測試環境驗證無誤後,盡快將生產環境升級至 8.0 Update 3h,以確保基礎架構的安全性。
實測與升級建議
vSphere 8.0 Update 3h 是一個兼顧「安全性」與「可管理性」的成熟版本。對於長期受憑證過期問題困擾的團隊來說,自動續期功能絕對是升級的一大誘因。同時,針對驅動程式與記憶體管理的最佳化,也是執行關鍵任務的虛擬機會需要的。
CyberQ 建議管理員先進行這些檢查:
檢查憑證模式:確認你的環境是否使用 VMCA,以評估是否能享用自動續期紅利。
備份先行:在執行任何升級前,務必對 vCenter 進行檔案級備份(File-Based Backup),並確保 ESXi 設定檔已備份。
相容性確認:請務必至 VMware Interoperability Matrix 確認你的備份軟體、監控工具與硬體韌體是否支援 8.0 U3h 版本,再來進行更新。
CyberQ 實際測試升級,由於這只是一個修補程式(Patch),不是新的次要版本(Minor version)或主要版本(Major version),比較沒有重大的不相容性問題。
不過,升級中確實會收到了關於 vCenter Log 磁碟/分割區大小的警告,會引導你擴充新的 50GB 最低需求。而 vCenter 重新開機後的更新同步一度沒有成功, HA 方面的設定與叢集合規性顯示無法協調(reconcile),這時候必須要手動觸發,它們之間的更新同步才能繼續。
如果你的 VMware 系統在升級 vCenter 至 8.0 U3h 並重啟後,HA 叢集可能會顯示「配置不合規 (Configuration Issue)」或 Agent 無法連線的錯誤時,因為是同步問題,透過手動執行 “Reconfigure for vSphere HA”,進行重新配置 HA)即可修復。
在 VM 備份的部分,我們採用 QNAP 的新版備份軟體 HDP for PC/VM 進行備份測試,是可以運作的,後續有更新內容會再進行補充。
