首先准备好VCSA的盘镜像(VMware-VCSA-all-6.7.0-15132721.iso),装载之后运行安装程序。它有macos,windows,linux三个操作系统的安装程序版本,网上看windows的安装程序出问题的情况最多,我用的是mac,没碰到操作系统的问题。启动vcsa-ui-installer/mac/Installer,按照提示一步一步来。
- 准备工作
- 克隆一下原来VCSA,备份vcenter设置
- 检查系统时间都是正常的
- 确认的DNS服务工作正常
选择Upgrade
几步之后,填好原来的VCSA相关信息
如果vcsa登录的root密码很久没改的话,可能会碰到无法登录的错误。解决办法是登录进系统shell用passwd改一次密码即可设置新的VCSA部署的esxi主机。
需要注意的是新的VCSA和老的IP最好在一个子网内,而新的VCSA安装的时候不能部署在分布式交换机网络(Distributed Switch)中,所以需要部署的esxi主机有本机vSwitch且与原来的VCSA在同一子网。安装完之后可以再从本机vSwitch迁移到Distributed Switch。设置新的VCSA的配置。这里的IP是临时的,安装完之后它会顶替原来的vcsa的IP
一路填写,确定,等部署完,Stage 1就结束了。开始第二部分。
备注:第二部分中间中断了可以直接通过访问 http://新vcsa IP:5480 通过web继续,很是方便。第二部分主要是之前的pre-upgrade check,我碰到的问题:
证书过期导致出现无法收集系统信息
这个可以通过openssl 查看1
openssl s_client -connect 原vcsa IP:7444 -verify 2
重新更新证书之后就ok了
Cannot validate target appliance configuration as not enough information from the source appliance can be collected. For more details check out the server logs
升级需要启动vmware update manager服务来。手动启动失败,查记录发现还是证书不匹配。
查vmware论坛找到解决方案
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
261) get the current Machine SSL certificate:
/usr/lib/vmware-vmafd/bin/vecs-cli entry getcert --store MACHINE_SSL_CERT --alias __MACHINE_CERT --output /tmp/machineSSL.crt
1) Get the SSL trust:
/usr/lib/vmidentity/tools/scripts/lstool.py list --url https://localhost/lookupservice/sdk --no-check-cert --ep-type com.vmware.cis.cs.identity.sso 2>/dev/null
1) Create some /tmp/newcert.crt with the content like:
-----BEGIN CERTIFICATE-----
<Insert contents of "SSL trust" field here>
-----END CERTIFICATE-----
1) get the thumbprints:
openssl x509 -in /tmp/machineSSL.crt -fingerprint -noout
openssl x509 -in /tmp/newcert.crt -fingerprint -noout
you can confirm that this is your issue here. If the thumbprints do not match, than this is indeed your issue and you need to do the following:
5)Run this script
/usr/lib/vmidentity/tools/scripts/ls_update_certs.py --url http://localhost:7080/lookupservice/sdk --fingerprint <insert fingerprint from newcert.crt> --certfile /tmp/machineSSL.crt --user administrator@vsphere.local --password <password>忽略几个warning,开始迁移后就很正常了。
6.7U3碰到的几个问题:
新加主机出现Unable to push CA certificates and CRLs to host
解决办法:Center -> Configure -> Settings -> Advanced Settings -> vpxd.certmgmt.mode
改成thumbprint,加完主机再改回vmsa加完主机会有一段时间显示无法同步,等几分钟就好了。不行就重启下主机。这应该是vcenter在升级esxi上的vpxa。
- 本文作者: KCN
- 本文链接: https://www.kcn.me/2020/03/12/VMWare-vCenter-从-6-5-升级到-6-7/
- 版权声明: 未经允许,请勿转载