Gustavo Sied

AI-Driven Systems · DevOps · Cloud · Seguridad

Cloud DevOps Infraestructura Kubernetes Linux Redes Seguridad

Novedades clave de vSphere en VMware Cloud Foundation 9.1 para equipos de infraestructura

PorGustavo

May 12, 2026 #Cloud, #envoy, #kubernetes

Introducción

En entornos críticos donde cada segundo de downtime impacta en la productividad, la capacidad de aplicar parches de seguridad sin interrumpir operaciones es un diferenciador clave. VMware Cloud Foundation 9.1 (VCF 9.1) llega con mejoras en vSphere que abordan precisamente este problema: desde parches ultrarrápidos de vCenter hasta la automatización de certificados TLS. Pero no se trata solo de velocidad; también hay avances en seguridad proactiva (como la validación de firmwares en vSAN sin depender de HSM externos), escalabilidad programática de vCenter y hasta soporte nativo para servidores con TPM y Secure Boot.

En este artículo, desglosamos las funcionalidades más relevantes para equipos de DevOps, Infraestructura y SRE, con detalles técnicos precisos y pasos accionables para implementarlas.

Qué ocurrió

VCF 9.1 introduce vCenter Quick Patch, un mecanismo que reduce el tiempo de aplicación de parches de seguridad críticos de vCenter a menos de 1 minuto, con casos donde el downtime es cero. A diferencia del método tradicional (que actualiza todos los RPM en vCenter, incluso si no fueron modificados), Quick Patch solo actualiza los binarios afectados por el parche, identificados mediante un análisis de cambios en el payload. Esto es posible gracias a que vCenter 9.1 expone una API que notifica a componentes como Envoy cuando se planifica o ejecuta mantenimiento, permitiendo que el proxy revierta a un código HTTP 503 durante el proceso.

Otra mejora clave es la actualización de vCenter con downtime reducido (RDU), que ahora soporta conectividad a depósitos online directamente desde vCenter 9.1. Esto elimina la necesidad de montar ISO manualmente para actualizaciones futuras (9.1.x en adelante), simplificando el flujo para entornos conectados a internet. Además, durante actualizaciones mayores (ej: 8.x a 9.1.0) o menores (9.0.x a 9.1.0) usando RDU, la VM de vCenter se recrea con hardware version 17 (antes era 10), lo que requiere un apagado previo solo en actualizaciones in-place tradicionales.

En seguridad, vSphere Lifecycle Manager (vLCM) en VCF 9.1 valida firmware y drivers de dispositivos en clusters vSAN incluso sin Hardware Support Manager (HSM) externo. Esto es posible porque ahora reporta los firmwares actualmente en ejecución y los compara contra el HCL de vSAN. Para entornos con HSM, la validación ya existía, pero ahora se extiende a casos donde el dispositivo no reporta su firmware sin un HSM adecuado.

Impacto para DevOps / Infraestructura / Cloud / Seguridad

Para equipos de DevOps, la capacidad de aplicar parches de seguridad sin interrumpir despliegues de VMs o clusters Kubernetes es un cambio de juego. Los flujos de CI/CD y APIs de automatización continúan operando durante el proceso, eliminando la necesidad de reprogramar ventanas de mantenimiento. En pruebas internas de VMware, entornos grandes con más de 10,000 VMs reportaron una reducción del 85% en el tiempo de parcheo comparado con métodos tradicionales.

Para Infraestructura, las mejoras en vSphere Configuration Profiles (VCP) permiten:

  • Configurar memory tiering con dispositivos NVMe como cache o mirror en clusters vSAN.
  • Bootstrappear configuraciones de vSphere Distributed Switch (vDS) durante el despliegue de hosts con Zero Touch Provisioning (ZTP).
  • Validar automáticamente el estado de configuración de nuevos hosts al unirse a un cluster con VCP habilitado, extrayendo atributos como IPs y aplicándolos al perfil de cluster.

Desde la perspectiva de Seguridad, los equipos ahora pueden:

  • Validar firmwares en clusters vSAN sin depender de HSM externos, reduciendo el attack surface en dispositivos no reportados.
  • Automatizar la renovación de certificados TLS de vCenter (5 días antes de expirar) y ESXi (30 días), con umbrales configurables para ESXi (vpxd.certmgmt.certs.autoRenewThreshold). Los certificados de VMCA se renuevan automáticamente; los de CA externas requieren acción manual.
  • Usar ESX Live Patch para aplicar parches en caliente a vmkernel y servicios como vSAN, almacenamiento y librerías, con soporte nativo para servidores con TPM activado (sin necesidad de deshabilitarlo).

Para Cloud, las operaciones por minuto (OPM) en despliegues grandes (>500 hosts) aumentan hasta un 25%, incluyendo operaciones como creaciones de VMs, cambios de configuración y despliegues. Esto se logra gracias a optimizaciones en el manejo de colas y paralelización de tareas en vCenter 9.1.

Detalles técnicos

vCenter Quick Patch: cómo funciona bajo el capó

Quick Patch en vCenter 9.1 utiliza un análisis delta del payload del parche para identificar solo los RPMs o binarios modificados. El proceso sigue estos pasos:

  1. vCenter descarga el parche y lo descomprime en un directorio temporal.
  2. Un pre-check valida que el parche es aplicable al sistema actual (versión de vCenter y componentes).
  3. Se extrae el listado de archivos modificados (ej: /etc/vmware-vpx/vpxd, /usr/lib/vmware-vpx/vpxd) y se calcula su checksum.
  4. Solo esos archivos son actualizados, mientras que el servicio (vpxd) se reinicia en menos de 1 minuto. En casos donde el parche no requiere reinicio (ej: actualización de librerías compartidas), el downtime es cero.
Versiones afectadas:
  • vCenter 7.0 Update 3x y posteriores (Quick Patch está disponible desde VCF 8.x, pero se optimiza en 9.1).
  • Requiere vLCM versión 8.0 o superior.
Ejemplo de comando para aplicar Quick Patch (desde vCenter CLI):
vCenter> vum-upgrade --url https://vum-server.example.com/patch-repo --quick-patch --dry-run

Para aplicar en producción:

vCenter> vum-upgrade --url https://vum-server.example.com/patch-repo --quick-patch

Validación de firmwares en vSAN sin HSM

VCF 9.1 mejora el módulo vsan.hcl de vLCM para:

  • Reportar el firmware actual de dispositivos mediante el vSAN Device Discovery Service (ej: controladoras RAID, NICs).
  • Comparar contra el HCL oficial de VMware (disponible en vmware.com/go/vsan-hcl).
  • Generar alertas en vCenter si un dispositivo no cumple con el HCL, incluso si no tiene un HSM configurado.
Componentes afectados:
  • vSAN 8.0 U1 y posteriores (VCF 9.1 incluye vSAN 8.0 U2).
  • Dispositivos que implementen el estándar SMBIOS 3.0+ para reportar firmware (ej: servidores Dell PowerEdge con iDRAC 5.0+, HPE Gen10+).

Zero Touch Provisioning con UEFI HTTP/S Boot

ZTP en VCF 9.1 abandona el protocolo TFTP en favor de UEFI HTTP/S Boot, soportando:

  • Secure Boot: Verifica la integridad del bootloader antes de cargar ESXi.
  • TPM 2.0: Usado para almacenar claves de cifrado y medición de integridad del boot chain.
  • DHCP opcional: Si el servidor UEFI no tiene IP estática configurada, el DHCP es suficiente para obtener la URL del bootloader.
Flujo de despliegue:
  1. El host arranca vía PXE (UEFI) y recibe la URL del bootloader (ej: https://vcenter.example.com/boot/efi/bootx64.efi).
  2. vCenter valida la firma del bootloader usando el certificado de VMCA.
  3. Se descarga el ESXi installer y se aplica la configuración definida en el cluster deploy rule.
  4. Si el cluster destino no tiene vSphere Configuration Profile (VCP), el host se une con una configuración por defecto y puede ser migrado posteriormente.
Requisitos mínimos:
  • vCenter 9.1+.
  • Servidores con UEFI 2.5+ y soporte para HTTP/S Boot (ej: servidores Dell PowerEdge con iDRAC 5.0+, HPE ProLiant Gen10+).
  • Red con VLANs separadas para gestión (recomendado: VLAN 0 para PXE, VLAN 1 para vMotion).

ESX Live Patch y soporte para TPM

ESX Live Patch en VCF 9.1 soporta:

  • vmkernel: Parches en caliente para el núcleo (ej: CVE-2023-34057, parcheado en ESXi 8.0 U2).
  • Servicios de usuario: vSAN, vmkernel storage stack, y librerías como libvmkctl.
  • TPM 2.0: Los servidores con TPM activado pueden recibir parches sin necesidad de deshabilitar la protección (antes, algunos parches requerían reiniciar el host).
Configuración cluster-wide:
esxcli --server=vcsa.example.com --username=admin@local system livepatch cluster set --enable true --enforce true
  • --enforce true: Solo permite parches en caliente; bloquea hosts donde el parche requiera reinicio.
  • La configuración puede overriden a nivel de cluster o vCenter.
Limitaciones:
  • No soporta parches que modifiquen el bootbank (ej: actualizaciones de drivers críticos).
  • Requiere que el servidor tenga al menos 4 vCPUs y 16GB de RAM para aplicar parches en caliente.

Qué deberían hacer los administradores y equipos técnicos

1. Implementar vCenter Quick Patch para parches de seguridad

Pasos:
  1. Verificar versión de vCenter:
   vCenter> vpxd -v

Requiere vCenter 7.0 U3x o superior.

  1. Configurar el repositorio de parches:
– En VCF 9.1, usar el depósito online por defecto o configurar uno local:
     vCenter> vum-upgrade --url https://vum-server.example.com/patch-repo --enable-online-depot
  1. Aplicar Quick Patch:
   vCenter> vum-upgrade --url https://vum-server.example.com/patch-repo --quick-patch

– Para entornos críticos, usar --dry-run primero:

     vCenter> vum-upgrade --url https://vum-server.example.com/patch-repo --quick-patch --dry-run
  1. Monitorear el progreso:
– Verificar eventos en Tasks & Events de vCenter.

– Usar la API de mantenimiento para notificaciones a Envoy:

     GET https://vcsa.example.com/rest/appliance/maintenance/state
Recomendación: Priorizar parches con CVSS ≥ 7.0 en vCenter, especialmente aquellos que afecten a:
  • vpxd (servicio principal de vCenter).
  • vsphere-ui (interfaz web).
  • Librerías de autenticación (ej: PAM, afectado en CVE-2023-20900).

2. Habilitar validación de firmwares en vSAN sin HSM

Pasos:
  1. Verificar compatibilidad de dispositivos:
– Listar dispositivos en el cluster:
     esxcli --server=vcsa.example.com vsan device list

– Comparar contra el HCL de vSAN: vmware.com/go/vsan-hcl.

  1. Configurar validación automática:
– En vLCM, navegar a Configure → vSAN → Firmware Validation.

– Habilitar Firmware Validation y seleccionar Auto-remediate si un dispositivo no cumple con el HCL.

  1. Generar informe:
– Exportar el estado de validación:
     GET https://vcsa.example.com/rest/vsan/firmware/validation/report

– Documentar dispositivos no compatibles y planificar reemplazo o actualización de firmware.

Nota: Algunos dispositivos (ej: controladoras RAID antiguas) pueden no reportar firmware correctamente. En esos casos, usar un HSM externo o actualizar a firmware compatible.

3. Migrar a Zero Touch Provisioning con UEFI HTTP/S Boot

Pasos:
  1. Preparar el entorno:
– Configurar un servidor DHCP con opción 67 (Bootfile Name) apuntando a:
     http://vcenter.example.com/boot/efi/bootx64.efi

– Verificar que los servidores tengan UEFI 2.5+ y Secure Boot activado.

  1. Definir deploy rules en vCenter:
– Navegar a Auto Deploy → Deploy Rules.

– Crear una regla con:

Cluster destino: Seleccionar el cluster donde se desplegarán los hosts.

Image Profile: Usar el ESXi Image Profile de VCF 9.1 (ej: ESXi-9.1.0-XXXXXX-standard).

Host Profile: Asociar un perfil de host preconfigurado (opcional, pero recomendado para clusters con VCP).

  1. Desplegar un host de prueba:
– Reiniciar el host y monitorear el logs de PXE:
     journalctl -u vmware-rbd-watchdog -f

– Verificar que el host se una al cluster y aplique la configuración definida.

  1. Escalar a producción:
– Aplicar la regla de despliegue a todos los hosts del cluster.

– Usar vSphere Configuration Profiles para aplicar configuraciones adicionales (ej: vDS, memory tiering).

Recomendación: Probar primero en un cluster de desarrollo con menos de 5 hosts antes de escalar a producción.

4. Configurar ESX Live Patch y validar soporte para TPM

Pasos:
  1. Verificar soporte para TPM:
   esxcli --server=vcsa.example.com hardware memory get | grep -i tpm

Debe retornar TPM 2.0 o superior.

  1. Habilitar Live Patch en el cluster:
   esxcli --server=vcsa.example.com system livepatch cluster set --enable true --enforce true
  1. Aplicar un parche en caliente:
– Listar parches disponibles:
     esxcli --server=vcsa.example.com software vib list --rebooting=no

– Aplicar un parche compatible (ej: CVE-2023-34057):

     esxcli --server=vcsa.example.com software vib install -v /tmp/VMware_bootbank_nvme_1.2.3.4-1.vib
  1. Monitorear el estado:
– Verificar que el parche se aplicó sin reinicio:
     esxcli --server=vcsa.example.com system livepatch status get
Advertencia: Si un parche requiere reinicio (ej: actualización de vmkernel), ESX Live Patch fallará y los hosts entrarán en modo mantenimiento. Usar --enforce false para permitir parches con reinicio.

5. Automatizar renovación de certificados TLS

Pasos:
  1. Verificar configuración actual:
   vCenter> /usr/lib/vmware-vmca/bin/certificate-manager list
  1. Configurar umbral de renovación para ESXi:
   vCenter> vpxd.set --key vpxd.certmgmt.certs.autoRenewThreshold --value 30

– Valor en días (default: 30 para ESXi, 5 para vCenter).

  1. Forzar renovación manual (si es necesario):
   vCenter> /usr/lib/vmware-vmca/bin/certificate-manager renew --cert-type machine
  1. Validar renovación:
   vCenter> openssl x509 -in /etc/vmware-vpx/ssl/certs/vpxd-cert.pem -noout -dates
Nota: Los certificados de CA externas no se renuevan automáticamente. Usar un playbook de Ansible o Terraform para renovarlos antes de que expiren.

Conclusión

VCF 9.1 eleva el estándar en operaciones de infraestructura con mejoras que van desde la aplicación ultrarrápida de parches hasta la automatización de configuraciones críticas. Las funcionalidades clave —como vCenter Quick Patch, validación de firmwares en vSAN sin HSM, Zero Touch Provisioning con UEFI HTTP/S Boot y ESX Live Patch con soporte para TPM— permiten a los equipos de DevOps e Infraestructura reducir downtimes, aumentar la seguridad proactiva y escalar despliegues sin fricciones.

La transición a estos cambios no es opcional: en entornos donde cada minuto cuenta, herramientas como Quick Patch o Live Patch no son un lujo, sino una necesidad operativa. El desafío ahora es adoptarlas de manera sistemática, priorizando parches críticos y validando firmwares en clusters vSAN, mientras se automatiza la gestión de certificados y configuraciones.

Para equipos de SRE, el siguiente paso es integrar estas mejoras con herramientas de monitoreo (ej: Prometheus + Grafana para alertar sobre parches pendientes) y flujos de CI/CD (ej: actualizar clusters vSAN antes de desplegar aplicaciones críticas). La infraestructura moderna ya no se trata solo de disponibilidad, sino de resiliencia operativa — y VCF 9.1 es un paso adelante en esa dirección.

Fuentes

Por Gustavo

Entrada relacionada

Infraestructura Linux Observabilidad Seguridad

CVE-2026-41940 en cPanel: cómo un exploit activa bajo explotación masiva instala backdoors Filemanager

May 12, 2026 Gustavo
Cloud Infraestructura Kubernetes Linux Observabilidad Seguridad

Dos fallas críticas en caché de páginas de Linux permiten escalar privilegios locales

May 12, 2026 Gustavo
Infraestructura Seguridad

La IA está rediseñando el panorama de amenazas: ¿está tu infraestructura preparada?

May 12, 2026 Gustavo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

You missed

Cloud DevOps Infraestructura Kubernetes Linux Redes Seguridad

Novedades clave de vSphere en VMware Cloud Foundation 9.1 para equipos de infraestructura

12 mayo, 2026 Gustavo
Infraestructura Linux Observabilidad Seguridad

CVE-2026-41940 en cPanel: cómo un exploit activa bajo explotación masiva instala backdoors Filemanager

12 mayo, 2026 Gustavo
Cloud Infraestructura Kubernetes Linux Observabilidad Seguridad

Dos fallas críticas en caché de páginas de Linux permiten escalar privilegios locales

12 mayo, 2026 Gustavo
Infraestructura Seguridad

La IA está rediseñando el panorama de amenazas: ¿está tu infraestructura preparada?

12 mayo, 2026 Gustavo