Cómo actualizar VMware Cloud Foundation 5.2.x a 9.1: guía técnica paso a paso

Introducción

Actualizar VMware Cloud Foundation (VCF) de la versión 5.2.x a 9.1 no es un simple parche: es un cambio de arquitectura que unifica la gestión de servicios y exige rigor en la configuración previa. Este proceso introduce un Management Services Layer centralizado, requisitos estrictos de contraseñas, y cambios en la infraestructura de logging. Si tu entorno no cumple con estas nuevas condiciones, el instalador fallará durante la fase de switchover. Esta guía te lleva paso a paso por el proceso orquestado, incluyendo las validaciones críticas antes de iniciar la actualización.

El objetivo es que puedas actualizar sin sorpresas, identificando y resolviendo cuellos de botella comunes como:

• Contraseñas de vCenter que no cumplen el nuevo estándar de longitud.
• FQDNs con mayúsculas que rompen certificados.
• Syslog sin cifrar en el puerto 514.

Qué es y para qué sirve

VCF 9.1 introduce un modelo de gestión unificada donde servicios como Aria Operations, SDDC Manager y vCenter confluyen en una capa centralizada (Management Services Layer). Esto simplifica operaciones, pero exige que el entorno cumpla con nuevas políticas:

• Contraseñas: Deben tener entre 15 y 20 caracteres (antes podían ser más cortas).
• DNS: Solo se permiten FQDNs en minúsculas (ej: vcf.sddc.local válido; VCF.SDDC.local no).
• Logging: El tráfico syslog debe usar TLS en el puerto 1514 (el puerto 514 sin cifrar se bloquea por defecto).
• vCLS: Los servicios de clúster (vSphere Cluster Services) ahora se gestionan desde el backend, no desde la UI.

Esta actualización es obligatoria si quieres soporte para cargas de trabajo modernas (como Kubernetes) y cumplir con estándares de seguridad recientes. Ignorar estos cambios puede dejar tu entorno inoperable tras el switchover.

Prerequisitos

Versiones y componentes

• Cuenta de Broadcom con permisos de Customer Connect para descargar imágenes ISO de VCF 9.1.
• Acceso SSH a los nodos de SDDC Manager y vCenter con usuario root o equivalente.
• Permisos de administrador en vCenter y NSX Manager para reconfigurar políticas de seguridad.

Herramientas obligatorias

1. Upgrade Planner: Verifica la ruta de actualización específica para tu Bill of Materials (BOM). Accede en:

1. Interoperability Matrix:

Validaciones previas

• Contraseñas de vCenter: Asegúrate de que el password de root tenga entre 15 y 20 caracteres. Ejemplo de validación:

  cat /etc/shadow | grep root
  

• DNS: Verifica que todos los FQDNs en tu entorno estén en minúsculas. Ejemplo:

  nslookup vcf.sddc.local | grep "name ="
  

• Syslog: Confirma que tu colector de logs soporte TLS en el puerto 1514. Si usas VMware Aria Operations, actualiza su configuración:

  # /etc/rsyslog.d/vmware-aria.conf
  $ActionSendStreamDriverAuthMode x509/name
  $ActionSendStreamDriverMode 1
  $ActionSendStreamDriverPermittedPeer *.vmware.com
  *.* @@tls(1514)
  

Reinicia el servicio:

  systemctl restart rsyslog
  

Guía paso a paso

Paso 1: Generar el plan de actualización con Upgrade Planner

1. Inicia sesión en VMware Customer Connect y descarga:

– Archivo de Bill of Materials (BOM) en formato JSON.

1. Sube el archivo BOM al Upgrade Planner:

   curl -X POST "https://upgrade-planner.vmware.com/api/v1/plans" \
        -H "Authorization: Bearer <TU_TOKEN>" \
        -H "Content-Type: application/json" \
        -d @bom-vcf-5.2.x.json
   

1. Resultado esperado: Debes recibir un ID de plan (ej: plan_5b3a1c9d). Guárdalo para el siguiente paso.

Paso 2: Validar el entorno con SDDC Manager

1. Conéctate al SDDC Manager:

   ssh [email protected]
   

1. Ejecuta el comando de validación:

   vcf upgrade validate --plan-id plan_5b3a1c9d
   

– Compatibilidad de hardware con la HCL de VCF 9.1.

– Estado de los servicios (ej: que vCLS esté desactivado).

– Error común: Si falla por contraseñas, verifica que el hash de /etc/shadow cumpla con:

     grep root /etc/shadow | awk -F: '{print length($2)}'
     

Paso 3: Pausar y proteger servicios críticos

1. vCLS: Desactívalo manualmente (aunque 9.1 lo haga por defecto):

   kubectl patch ClusterRoleBinding system:vSphereClusterServices \
          -p '{"metadata": {"annotations": {"vmware-system-vcls": "disabled"}}}' --type=merge
   

1. Backup de vCenter: Toma un snapshot con memoria y un backup lógico:

   /usr/lib/vmware-vmkcfg/vmkcfg backup --backupDir /var/log/vmware/vcenter-backup/
   

Paso 4: Actualizar el Management Domain

1. Monta la ISO en el SDDC Manager:

   mount -o loop VMware-Cloud-Foundation-9.1.0-XXXXXX.iso /mnt/iso
   

1. Inicia la actualización:

   vcf upgrade start --plan-id plan_5b3a1c9d --iso-path /mnt/iso
   

1. Monitorea el progreso:

   vcf upgrade status --plan-id plan_5b3a1c9d
   

Paso 5: Validar servicios de Management Services Layer

VCF 9.1 introduce un nuevo dashboard en https://sddc-manager.vcf.local/ui. Verifica:

• Aria Operations: Accede y confirma que los dashboards de rendimiento se carguen.
• SDDC Manager: Que el estado de los Workload Domains sea HEALTHY.
• vCenter: Que los clústeres aparezcan en la pestaña Cluster Management.

   tail -n 100 /var/log/vmware/vcf/sddc-manager/logs/upgrade.log
   

Paso 6: Actualizar los Workload Domains

1. Lista los dominios disponibles:

   vcf domain list
   

1. Actualiza cada dominio en orden (ej: Mgmt-Domain primero):

   vcf domain upgrade --domain Mgmt-Domain --plan-id plan_5b3a1c9d
   

Paso 7: Reconfigurar logging y seguridad

1. Syslog cifrado:

     /usr/lib/vmware-vmkcfg/vmkcfg syslog --set --server=tu-rsyslog.vmware.com:1514 --protocol=tls
     

– Reinicia el servicio:

     systemctl restart vpxd
     

1. Políticas de red:

     {
       "resource_type": "Rule",
       "id": "block-unencrypted-syslog",
       "display_name": "Bloquear Syslog sin cifrar",
       "source_groups": ["any"],
       "destination_groups": ["syslog-servers"],
       "services": ["syslog"],
       "action": "DROP",
       "direction": "IN"
     }
     

Paso 8: Validación final y rollback

1. Pruebas de integración:

– Acceso a servicios (vCenter, NSX, Aria).

– Conectividad con Kubernetes (si aplica).

1. Documenta el estado:

   vcf upgrade status --plan-id plan_5b3a1c9d > upgrade-final-report.txt
   

1. Opción de rollback (si es necesario):

   vcf upgrade rollback --plan-id plan_5b3a1c9d
   

Consideraciones y buenas prácticas

Limitaciones conocidas

• VCF 9.1 no admite downgrades: Si el proceso falla en el switchover, deberás restaurar desde backups.
• Kubernetes: Si usas Tanzu Kubernetes Grid, actualiza sus componentes antes de actualizar los dominios de trabajo (Workload Domains).

Alternativas para entornos grandes

• Actualización por fases: Divide los dominios en grupos (ej: primero los de desarrollo, luego producción).
• Blue/Green: Para entornos críticos, clona el Management Domain y actualiza la copia antes de migrar tráfico.

Buenas prácticas post-upgrade

1. Renueva certificados:

   vcf certificate renew --all
   

1. Aplica perfiles de hardening:

1. Monitorea con Aria:

Conclusión

Actualizar de VCF 5.2.x a 9.1 es un proceso predecible pero no indoloro: exige cumplir con estándares estrictos de contraseñas, DNS y logging. Si sigues esta guía al pie de la letra, evitarás los errores más comunes (como fallos en certificados o servicios bloqueados) y obtendrás una infraestructura lista para cargas de trabajo modernas.

• Revisa la matriz de interoperabilidad cada 3 meses.
• Automatiza las validaciones previas con scripts en Ansible o PowerCLI.

Fuentes

• VCF 9.1 Announcement Blog
• VCF Upgrade Planner
• HCL de VCF 9.1
• Guía de configuración de seguridad de VMware