Host Upgrade scheitert mit Fehler „Cannot execute upgrade script on host“

Kürzlich hatte ich das Vergnügen, einen älteren ESXi 6.0 Host auf Version 6.7U3 zu aktualisieren. Kurz nachdem ich im Update-Manger auf „Standardisieren“ klickte, brach der Prozess mit folgender Fehlermeldung ab:

Cannot execute upgrade script on host

Diese Fehlermeldung ist nicht wirklich spezifisch. Wenn man sie googelt, findert man etwa ein Dutzend möglicher Usachen für das Scheitern. Diese können z.B. sein:

  • inkompatible Treiberpakete
  • volle vfat Partitionen
  • /bootbank/state.XXXXXXXX Verzeichnis ist nicht leer
  • Custom ISOs mit falscher Signatur für intel i40en Treiber Paket
  • Probleme mit FDM Agent (HA)

Keiner der oben genannten Punkte passte zu dem von mir beobachteten Problem. Ein guter Ausgangspunkt sollte ein Blick in vua.log auf dem betroffenen Host sein.

less /var/log/vua.log

Leider half das auch nicht weiter. Also schauten wir (nochmals) in die VMware Upgrade Matrix. Ein direktes Upgrade von ESXi 6.0 auf auf ESXi 6.7 U3 ist erlaubt, aber mit Einschränkung in einer kleinen Fussnote.

KB 76555 besagt, dass es ein Problem mit veralteten VIB Zertifikaten auf Hosts unterhalb einer bestimmten Buildnummer gibt.

  • ESXi 6.0 GA vor Build 9239799
  • ESXi 6.5 GA vor Build 8294253

Tatsächlich hatte unser ESXi Host eine Buildnummer von 7967664 (U3e), die sich im kritischen Bereich befand. Wir mussten also einige Patches nachinstallieren bis zum Stand Juni 2018 (ESXi600-201807001). Danch funktioniete das Upgrade problemlos.

Was war schiefgelaufen?

Natürlich hatten wir die Matrix während der Planungsphase Anfang März 2020 überprüft. Das ist eine Standardprozedur. Leider hat sich in der Zwischenzeit an der Matrix etwas geändert (die Fußnote wurde hinzugefügt). KB 76555 wurde im Mai 2020 aktualisiert, und das Problem betrifft Upgrades auf ESXi 6.7 Versionen nach dem 28. April 2020.

Was kann man daraus lernen? Unmittelbar vor Beginn der praktischen Arbeiten an einem Projekt nochmals alle Abhängigkeiten überprüfen.

Upgrade ESXi 6.5 mit Fujitsu Custom Image

Konflikt mit VIB

Host Upgrade mit angepassten ESXi Images (sog. Custom Images) bieten ein erweitetes Angebot an Treibern und Hardware-spezifischen Agenten. Somit werden etwa Treiber bereitgestellt, die im VMware Standard („Vanilla“) Image nicht vorhanden sind, oder ein erweitetes Monitoring der Hardware mit Agenten ist möglich. Führt man Upgrades von Customized Installationen durch, kommt es immer wieder zu Konflikten mit existierenden Paketen. Ein bekanntes Beispiel aus der Vergangenheit war der LSI-Provider in Fujitsu-Images beim Upgrade auf Version 5.1 oder der Tod durch Upgrade auf Version ESXi 6.0 mit Fujitsu Custom Images. Die Hall of Shame ließe sich beliebig erweitern. Auch andere OEM Hersteller sind hier nicht beser. „Upgrade ESXi 6.5 mit Fujitsu Custom Image“ weiterlesen

vShield zu NSX Migration

Veraltete vShield Plattform durch NSX für vSphere ersetzen

VMware vShield ist Teil der vCloud Networking und Security Suite (vCNS). Die neueste verfügbare Version 5.5 erreichte ihr Supportende (end of general support – EOGS) im September 2016 und wurde durch das Produkt NSX für vSphere ersetzt.

 

Es gibt immer noch viele vShield Installationen in Produktivumgebungen. Hauptsächlich in Kombination mit agentenloser Guest-Introspection und Sicherheitslösungen wie z.B. DeepSecurity von Trendmicro oder MOVE von McAfee. Da mittlerweile viele Kunden über eine Migration zu vSphere 6.5 nachdenken, müssen sie sich auch mit der Tatsache auseinandersetzen, daß vShield ab vSphere 6.5 nicht mehr unterstützt wird. Es ist absolut wichtig, Produktabhängigkeiten zwischen Versionen von vSphere, NSX und Sicherheitslösung zu beachten.

Aus diesem Grund zeige ich unterschiedliche Migrationspfade in diesem Artikel auf.

„vShield zu NSX Migration“ weiterlesen

ESXi PSOD nach Upgrade auf 6.5 U1

Achtung! Es gibt ein bekanntes Problem beim Upgrade von ESXi Hosts auf Version 6.5 Update 1. Das Upgrade endet in einigen Fällen in einem Purple Screen of Death (PSOD), wenn der Host mit 10G Ethernet NICs ausgestattet ist.

Dies wird in KB 2151749 beschrieben. Eine Lösung ist zum heutigen Stand noch nicht verfügbar.