vSphere 7 が華々しく発表される傍ら、vSphere 6.0 が 2020/3/12 (PST?)終日を以って End of General Support (EOGS)を迎えます。
blogs.vmware.com
ここからは Technical Guidance フェーズとして、パッチや機能追加こそ出ませんが、問い合わせ自体はナレッジベースで対応するサポートフェーズとなります。
正直なところ、予算も無いし、5年も枯れたバージョンであればさほどクリティカルな障害は出ないだろうということで、ハードリプレースに向けて塩漬けさせるという対応を取るところも多いだろうとは思いますし、そういった事情も理解します。
特に vSphere となると機能追加より安定性重視で塩漬けするケースも多いと思います。
ただ、今回は今までの 5.x 時代とは少し異なる事情があり、塩漬けさせておく方がリスクが高いのではという理由がありますので、その辺の話をば…
※ あくまで個人の見解です。
vSphere 7 の話もしたいところではありますが、まだ詳細をキャッチアップできていなかったりするので、その話を知りたい人は VMware Blog 辺りを追っかけてみると今ならいっぱい出てくるかとw
昨今の CPU 脆弱性事情
その昔は脆弱性と言えば OS もしくはソフトウェアレイヤー での話が多く、ある程度稼働実績が長ければ脆弱性も出尽くして安定しているという傾向にありました(勿論 0 ではありませんが…)。また、ESXi の管理インタフェースを DMZ のようなインターネットにさらすケースは極めて稀なので、多少の問題は無影響で潰せるケースも多かったと思います。
ところが最近、Meltdown や Spectre をはじめとした CPU (の特に投機実行まわり)での脆弱性が継続的にポロポロと検出されており、その対応や緩和策として OS レイヤー、つまり ESXi でパッチがリリースされるというケースが多いです。
ネットワーク的に DMZ に置かれていなくても同じ ESXi 上でマルチテナント、もしくは、シングルテナント(同一企業内)であっても VM の管理者が異なるケースであれば、脆弱性が突かれ、(実用的かはさておき)他の VM 情報を盗み見れる可能性が生じます。
ハードウェアの脆弱性とはいえ、OS 側でのパッチがセットとなるケースが多いので、パッチが出てこないとなると特にマルチテナント環境をはじめとして、仮想化集約がかかった環境であればそのリスクは大きくなると思います。
アップグレードパス
原則 vSphere のアップグレードは 2バージョン以内となっているようで、あまり細かい情報はキャッチアップしていませんが、vSphere 6.0 から発表された vSphere 7 への直接アップグレードパスはありません。
なので、vSphere 6.5 or 6.7 経由しての 2段階アップグレードとなります。
で、vSphere 6.5 と 6.7 はリリースが1年半差があるにも関わらず、共に EOGS は 2021/11/15 と (vSphere 6.0 EOGS から)1年半程度の違いしかありません。
https://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/support/product-lifecycle-matrix.pdf
まぁ、どこにアップグレード検証や作業のシワ寄せをするかの話でしか無いですが、6.0 の EOL 付近に慌てて 6.5/6.7 にあげても焼け石に水なので、それならパッチとかアップデートの恩恵を受けられるタイミングで上げておいた方が…というお話。
※ この件については正直、 6.5 と 6.7 で GA が1年半近く違うのに EOGS や EOL が同じタイミングなのはどうなのという気持ちがありますが…
Flash の EOL
個人的にはこの話が一番大きいと思っていますが…
vSphere 6.0 といえば vSphere Web Client がメインで Flash が必須だったりしますが、2020年末に Flash 自体が EOL を迎え、主要ブラウザでの利用ができなくなります。
Flash 環境を維持する = ブラウザアップデートを止めることになり、それはそれで塩漬け以上のセキュリティリスクが発生したり、環境的な制約が出てきます。
そのため、6.0 の EOL まで残したとしても途中で主要管理環境を失うこととなり、運用上で大きな問題となることが懸念されます。
C# クライアント使うとか Flings から HTML5 クライアント入れるとかの代替策もありますが、公式でサポートされているものではなく、機能制限がついてしまう(特にサードパーティ周りのプラグイン)ので、特に塩漬けを考えるようなエンタープライズ系での利用だとネックになりそう。
その他
それ以外にも NSX-T や EPYC、Optane PMEM、は vSphere 6.0 での対応来ず、vSphere 6.5 (Update x) 以降となっており、少なくともvCenterは上げておかないと追加できない状態。
従来の 5.x までとは事情が異なっており、アップグレードに対して塩漬けの方がリスクが高そうな状況なので、保守的に倒すところでも今回は思い切った方が良いのではなかろうか。
