Компания Citrix анонсировала обновление своей платформы для виртуализации настольных ПК Citrix XenClient, рассказав о новых возможностях XenClient 2.1. Напомним, что продукт позволяет запускать виртуальные машины на рабочих станциях и ноутбуках без хостовой операционной системы, используя тонкую прослойку XenClient.
Новые возможности Citrix XenClient 2.1:
Функция Delta Image Update, которая позволяет компоненту Synchronizer передавать на сторону клиента только различия между файлами образов.
Функция Fast System Updates позволяет передавать обновления в фоновом режиме и применять их во время следующей загрузки.
Возможность очистки изменений в пользовательском профиле и его данных при следующей загрузке (Automatic Image Lockdown, т.е. получение чистого базового образа только с теми приложениями, которые в него закатала служба ИТ).
Возможность отката к прошлой версии образа гостевой ОС Windows (Image Rollback).
Возможность самостоятельного развертывания пользователем приложений, утвержденных со стороны администраторов, через Citrix Receiver for Windows.
Более стабильная работа 3D-графики.
Поддержка виртуализованных USB-устройств.
Расширенная поддержка образов Windows с дисками, которые имеют несколько разделов.
Поддержка соединения компонента Synchronizer к службе каталога с нестандартной структурой OU.
Поддержка нескольких мониторов и новых GPU.
Citrix XenClient 2.1 будет доступен для загрузки в конце этого года.
Как мы уже писали, компания VMware выпустила новую версию своего решения для виртуализации настольных ПК предприятия VMware View 5, имеющую множество улучшений, в том числе в плане производительности протокола PCoIP.
Сейчас стали доступны несколько интересных материалов по View 5. Презентация Родиона Тульского, сотрудника российского подразделения VMware, на русском языке:
Производительность и лучшие практики использования протокола PCoIP:
Продукт VMware Go Pro (о котором мы уже писали) был разработан совместно компаниями Shavlik и VMware и предназначен для упрощения миграции на виртуальную инфраструктуру VMware в небольших организациях и управления ей через веб-браузер. С помощью служб Go можно развертывать новые виртуальные машины на базе бесплатного продукта VMware ESXi (теперь это VMware Hypervisor) и даже делать некоторые процедуры по управлению виртуальной и физической инфраструктурой. Он поставляется в бесплатном издании (Go) и коммерческом (Go Pro). Надо отметить, что продукт поставляется как SaaS-решение и имеет сервисы не только для виртуализации.
Бесплатная версия VMware Go предоставляет следующую функциональность:
IT Advisor - решение для обследования инфраструктуры на предмет виртуализации, которое предоставляет рекомендации по миграции систем.
Мастер установки, настройки и управления бесплатными хост-серверами vSphere hypervisors (ESXi 5)
Создание новых виртуальных машин Virtual Machines
Список программных компонентов в виртуальной среде
Список оборудования
Сканирование систем на обновления, включая ПО не только от Microsoft
Служба Help Desk для управления инцидентами на базе тикетов
Коммерческая версия Go Pro добавляет в решение следующую функциональность:
Управление лицензиями на ПО
Учет оборудования
Развертывание обновлений и патчей
Портал Help Desk для пользователей вашей организации и управление учетными записями
Поддержка SaaS-решения
Возможность использования платной версии продукта VMware Go Pro появится уже до конца года по цене от $12 за управляемую систему в год (для американцев).
Второй продукт - это VMware vCenter Protect Essentials Plus, который раньше назывался Shavlik NetChk Protect. Он позволит управлять обновлениями операционных систем и приложений в физических и виртуальных средах (которое для виртуальных машин раньше было в vSphere как раз от Shavlik). Поставляться он будет в двух издания - Essentials и Essentials Plus (отличия тут).
VMware vCenter Protect Essentials имеет следующие возможности:
Автоматическое сканирование и обновление выключенных виртуальных машин и шаблонов для ПО различных вендоров (например, Microsoft, Adobe, Java)
Работа с группами виртуальных машин
Поиск по domain, organizational unit, machine name, IP-адресу или диапазону IP
Запуск задач по обновлению систем в определенное время и по условиям
Поддержка патчинга для custom-приложений
Накат частных патчей от Microsoft
Custom Patch File Editor - для обновления внутренних продуктов компании
Machine View - информация о системах и их статусе
Поддержка скриптов, например, для сбора логов агентами и др.
Работа с агентами и без них
Поддержка резервного копирования и отката через механизм снапшотов
В решении VMware vCenter Protect Essentials Plus добавляются:
Антивирус на базе Sunbelt VIPRE Enterprise Antivirus and Antispyware
Управление электропитанием серверов через Wake-on LAN (WoL)
Управление конфигурациями систем (Configuration Management)
Расширенная поддержка сценариев, Microsoft PowerShell для автоматизации задач
Возможность использования продукта VMware vCenter Protect Essentials появится уже до конца года по цене от $57 за управляемый сервер в год и от $36 за рабочую станцию (для американцев).
Распространяться оба продукта будут, как я понимаю, через обычных реселлеров.
Приходите - будет интересно, особенно если в вашей компании обрабатываются финансовые данные в виртуальной инфраструктуре. А если вы еще и в банке работаете - то явка обязательна.
Решение Veeam nworks MP 5.7 добавляет в область мониторинга инфраструктуру VMware, позволяя поддерживать единообразие политик и правил для
System Center и отслеживать состояние всей инфраструктуры с помощью уже имеющейся консоли Operations Manager.
Новые возможности Veeam nworks Management Pack 5.7:
Полная поддержка VMware vSphere 5.0
Обработка более 500 событий и более 160 метрик в виртуальной инфраструктуре
Новые виды отчетов, включая отчет по виртуальным машинам, которым выделено слишком много ресурсов
Новые типы представлений (более 20) отчетных данных и обзорные экраны (dashboards)
Поддержка больших инсталляций vSphere
Мониторинг оборудования напрямую с хостов ESXi через интерфейс CIM
Оптимизация производительности и обнаружения объектов
Решение Veeam nworks SPI 5.7 добавляет в область мониторинга инфраструктуру VMware в консоль HP Operations Manager.
Новые возможности Veeam nworks Smart Plug-in 5.7:
Полная поддержка VMware vSphere 5.0
Поддержка HP Operations Manager 9.0 for Windows
ПоддержкаHP Performance Agent 11
Поддержка последней версии Veaam Business View для организации мониторинга по бизнес-объектам
Поддержка больших инсталляций vSphere
Динамическая группировка кластеров, хостов, хранилищ и виртуальных машин
Мониторинг оборудования напрямую с хостов ESXi через интерфейс CIM
Решения Veeam nworks Management Pack и Smart Plug-in 5.7 будут доступны для загрузки в течение 60 дней. Пока можно скачать бета-версии и отслеживать новости на этой странице.
Скоро нам придется участвовать в интереснейшем проекте - построение "растянутого" кластера VMware vSphere 5 на базе технологии и оборудования EMC VPLEX Metro с поддержкой возможностей VMware HA и vMotion для отказоустойчивости и распределения нагрузки между географически распределенными ЦОД.
Вообще говоря, решение EMC VPLEX весьма новое и анонсировано было только в прошлом году, но сейчас для нашего заказчика уже едут модули VPLEX Metro и мы будем строить active-active конфигурацию ЦОД (расстояние небольшое - где-то 3-5 км) для виртуальных машин.
Для начала EMC VPLEX - это решение для виртуализации сети хранения данных SAN, которое позволяет объединить ресурсы различных дисковых массивов различных производителей в единый логический пул на уровне датацентра. Это позволяет гибко подходить к распределению дискового пространства и осуществлять централизованный мониторинг и контроль дисковых ресурсов. Эта технология называется EMC VPLEX Local:
С физической точки зрения EMC VPLEX Local представляет собой набор VPLEX-директоров (кластер), работающих в режиме отказоустойчивости и балансировки нагрузки, которые представляют собой промежуточный слой между SAN предприятия и дисковыми массивами в рамках одного ЦОД:
В этом подходе есть очень много преимуществ (например, mirroring томов двух массивов на случай отказа одного из них), но мы на них останавливаться не будем, поскольку нам гораздо более интересна технология EMC VPLEX Metro, которая позволяет объединить дисковые ресурсы двух географически разделенных площадок в единый пул хранения (обоим площадкам виден один логический том), который обладает свойством катастрофоустойчивости (и внутри него на уровне HA - отказоустойчивости), поскольку данные физически хранятся и синхронизируются на обоих площадках. В плане VMware vSphere это выглядит так:
То есть для хост-серверов VMware ESXi, расположенных на двух площадках есть одно виртуальное хранилище (Datastore), т.е. тот самый Virtualized LUN, на котором они видят виртуальные машины, исполняющиеся на разных площадках (т.е. режим active-active - разные сервисы на разных площадках но на одном хранилище). Хосты ESXi видят VPLEX-директоры как таргеты, а сами VPLEX-директоры являются инициаторами по отношению к дисковым массивам.
Все это обеспечивается технологией EMC AccessAnywhere, которая позволяет работать хостам в режиме read/write на массивы обоих узлов, тома которых входят в общий пул виртуальных LUN.
Надо сказать, что технология EMC VPLEX Metro поддерживается на расстояниях между ЦОД в диапазоне до 100-150 км (и несколько более), где возникают задержки (latency) до 5 мс (это связано с тем, что RTT-время пакета в канале нужно умножить на два для FC-кадра, именно два пакета необходимо, чтобы донести операцию записи). Но и 150 км - это вовсе немало.
До появления VMware vSphere 5 существовали некоторые варианты конфигураций для инфраструктуры виртуализации с использованием общих томов обоих площадок (с поддержкой vMotion), но растянутые HA-кластеры не поддерживались.
С выходом vSphere 5 появилась технология vSphere Metro Storage Cluster (vMSC), поддерживаемая на сегодняшний день только для решения EMC VPLEX, но поддерживаемая полностью согласно HCL в плане технологий HA и vMotion:
Обратите внимание на компонент посередине - это виртуальная машина VPLEX Witness, которая представляет собой "свидетеля", наблюдающего за обоими площадками (сам он расположен на третьей площадке - то есть ни на одном из двух ЦОД, чтобы его не затронула авария ни на одном из ЦОД), который может отличить падения линка по сети SAN и LAN между ЦОД (экскаватор разрезал провода) от падения одного из ЦОД (например, попадание ракеты) за счет мониторинга площадок по IP-соединению. В зависимости от этих обстоятельств персонал организации может предпринять те или иные действия, либо они могут быть выполнены автоматически по определенным правилам.
Теперь если у нас выходит из строя основной сайт A, то механизм VMware HA перезагружает его ВМ на сайте B, обслуживая их ввод-вывод уже с этой площадки, где находится выжившая копия виртуального хранилища. То же самое у нас происходит и при массовом отказе хост-серверов ESXi на основной площадке (например, дематериализация блейд-корзины) - виртуальные машины перезапускаются на хостах растянутого кластера сайта B.
Абсолютно аналогична и ситуация с отказами на стороне сайта B, где тоже есть активные нагрузки - его машины передут на сайт A. Когда сайт восстановится (в обоих случаях с отказом и для A, и для B) - виртуальный том будет синхронизирован на обоих площадках (т.е. Failback полностью поддерживается). Все остальные возможные ситуации отказов рассмотрены тут.
Если откажет только сеть управления для хостов ESXi на одной площадке - то умный VMware HA оставит её виртуальные машины запущенными, поскольку есть механизм для обмена хартбитами через Datastore (см. тут).
Что касается VMware vMotion, DRS и Storage vMotion - они также поддерживаются при использовании решения EMC VPLEX Metro. Это позволяет переносить нагрузки виртуальных машин (как вычислительную, так и хранилище - vmdk-диски) между ЦОД без простоя сервисов. Это открывает возможности не только для катастрофоустойчивости, но и для таких стратегий, как follow the sun и follow the moon (но 100 км для них мало, специально для них сделана технология EMC VPLEX Geo - там уже 2000 км и 50 мс latency).
Самое интересное, что скоро приедет этот самый VPLEX на обе площадки (где уже есть DWDM-канал и единый SAN) - поэтому мы все будем реально настраивать, что, безусловно, круто. Так что ждите чего-нибудь про это дело интересного.
Компания VKernel (о которой мы много писали) выпустила очередную бесплатную, но весьма интересную утилиту - vScope Explorer. Объекты виртуальной инфраструктуры, включая хост-серверы, кластеры хранилища и виртуальные машины, с помощью утилиты можно визуализовать на dashboarde для виртуального датацентра, где видны основные источники проблем производительности, а также перегрузка ресурсов (вычислительных и хранилищ) и необходимые меры по добавлению новых мощностей:
Основные задачи, которые решает VKernel vScope Explorer:
Идентификация проблем с производительностью для виртуальных машин и хост-серверов в пределах не только одного датацентра, но и нескольких площадок под управлением нескольких серверов vCenter. В качестве движка продукта используется технология Capacity Analytics Engine.
Анализ текущего состояния вычислительных мощностей и информирование о том, как их необходимо увеличивать в случае их нехватки для виртуальных машин (Host Capacity Issues).
Анализ эффективности работы виртуальных машин и вывод информации о тех из них, которым выделено слишком много или, наоборот, слишком мало ресурсов.
Отчет об эффективности использования хранилищ: выводятся datastores, где место используется неэффективно (изолированные vmdk, выключенные машины, снапшоты, шаблоны и т.п.) - все это на одном экране для нескольких виртуальных датацентров.
Скачать бесплатный VKernel vScope Explorer можно по этой ссылке.
После выпуска платформы Citrix Xen Cloud Platform (XCP) 1.0, компания Citrix совместно с сообществом разработчиков Xen.org выпустила обновленную версию своей облачной платформы XCP 1.1. Напомним, что проект XCP является свободной облачной платформой на базе XenServer, распространяемой под лицензией GPLv2. Поддержка Xen API позволяет переносить виртуальные машины на платформы Amazon EC2, Rackspace Cloud Servers или GoGrid (например, в случае нехватки ресурсов в своем ЦОД).
Новые возможности Citrix Xen Cloud Platform 1.1:
Поддержка технологии IntelliCache, которая позволяет использовать для кэширования данных виртуальных машин локальные и общие хранилища, что увеличивает быстродействие, особенно в VDI-окружениях.
Локальное хранилище поддерживает все физические диски, объединяемые через LVM.
Поддержка режима "Reset-on-boot" для дисков из репозиториев любого типа (ранее поддерживалось только для NFS и EXT).
Поддержка Red Hat Enterprise Linux (RHEL) 6 в качестве гостевой ОС.
Улучшения интеграции с OpenStack: поддержка ebtables и других возможностей netfilter (отключено по умолчанию). Это фаервол, поддерживающий DNAT/SNAT для MAC-адресов и маршрутизацию по MAC-адресам.
Переопределение Xen API: хосты XCP теперь могут работать как будто они хосты XenServer, что улучшает интеграцию с XenCenter.
Скачать дистрибутив Citrix XCP 1.1 в виде ISO-образа можно по этой ссылке.
Кстати, вот интересная табличка сравнения изданий Citrix XenServer и XCP (кликабельно):
Пусть повисит тут эта инструкция - полезно и часто ищут. SSH на хосте VMware ESXi 5 можно включить двумя способами - через консоль сервера ESXi и через vSphere Client. Надо отметить, что в отличие от предыдущих версий ESX/ESXi, доступ по SSH к хосту ESXi 5.0 полностью поддерживается и является нормальным рабочим процессом.
1. Включение SSH на ESXi 5 через консоль.
Нажимаем <F2> в консоли:
Вводим пароль root и переходит в пункт "Troubleshooting Options":
Выбираем пункт "Enable SSH":
2. Включение SSH на ESXi 5 через vSphere Client.
Переходим на вкладку "Configuration", выбираем пункт "Security Profile" и нажимаем "Properties":
Выбираем сервис SSH и нажимаем "Options":
Устанавливаем режим запуска сервиса SSH на ESXi и включаем его кнопкой Start:
После включения SSH на ESXi 5.0 у вас появятся следующие предупреждения в vSphere Client для хоста:
SSH for the host has been enabled
Если вы включали ESXi Shell, то будет сообщение:
ESXi Shell for the Host has been enabled
Чтобы их убрать, нужно сделать так:
Выбираем нужный хост ESXi.
Переходим в категорию "Advanced Settings" в разделе "Software" на вкладке "Configuration".
Переходим в раздел UserVars > UserVars.SupressShellWarning.
Меняем значение с 0 на 1.
Нажимаем OK.
Но, вообще говоря, так делать не надо, так как SSH лучше выключать в целях безопасности на время, когда вы им не пользуетесь.
Ну и как войти по SSH на ESXi 5 пользователе root читаем тут - ничего не изменилось.
Неожиданно оказался в числе приглашённых на пресс-конференцию, посвящённую официальному открытию представительства Red Hat в России. Мероприятие состоялось 13 октября в отеле «Ренесанс-Москва» и, не считая мелких накладок, было организовано на достаточно высоком уровне. Честно говоря, думал, что пресс-конференция будет скучной и чопорной, но ошибся. Под хабркатом описание всего происходившего на пресс-конференции будет разбавлено моими комментариями (курсивом). Заранее прошу прощения за качество фотографий — снимал на фотокамеру телефона...
Иногда бывает так, что без видимых причин виртуальная машина на хост-сервере Microsoft Hyper-V зависает. В этом случае не хочется перезагружать хост только из-за нее одной, так как в других машинах могут исполняться критичные нагрузки. Поэтому ниже приведен способ обнаружения процесса с ВМ, и рассказано, как убить этот зависший процесс.
Итак, открываем Task Manager и находим процесс vmwp.exe - это и есть процесс с виртуальной машиной. Но процессов этих столько же, сколько у вас исполняется виртуальных машин, поэтому найти нужный сразу не получится:
Поэтому идем в папку с зависшей виртуальной машиной и ищем ее GUID. Для этого заходим в подпапку "Virtual Machines" и видим там xml-файл, имя которого и есть GUID этой машины:
Теперь идем в Task Manager, нажимаем View->Select Columns:
Выбираем колонки Command Line и Description:
Нажимаем Ok и видим в команде запуска процесса vmwp.exe путь с GUID виртуальной машины:
Поскольку мы уже выяснили GUID искомой виртуальной машины из xml-файла, мы можем смело убивать этот процесс:
Мы уже много писали о новом продукте StarWind Native SAN for Hyper-V, который позволит создать кластер отказоустойчивости серверов и хранилищ для виртуальных машин Hyper-V, используя всего 2 хост-сервера (это намного дешевле традиционных решений).
Напоминаем, что продукт выходит завтра, 18 октября.
Вебинар: "StarWind Native SAN for Hyper-V: конвергенция гипервизора и СХД"
18 октября, вторник
StarWind Native SAN for Hyper-V работает на локальном Hyper-V сервере и обеспечивает высокую доступность СХД при минимальных затратах и простоте развёртывания. Продукт идеально подходит для представителей малого и среднего бизнеса, которые не могут позволить себе аппаратные СХД, но хотят использовать следующие преимущества Hyper-V кластера:
Высокая доступность
Защита от сбоя жесткого диска
Защита от единой точки отказа. Безшовная интеграция с Hyper-V
Одно из существенных изменений, Datastore Heartbeating - механизм, позволяющий мастер-серверу определять состояния хост-серверов VMware ESXi, изолированных от сети, но продолжающих работу с хранилищами. Напомним, что в качестве heartbeat-хранилищ выбираются два, и они могут быть определены пользователем. Выбираются они так: во-первых, они должны быть на разных массивах, а, во-вторых, они должны быть подключены ко всем хостам.
Если у вас доступно общее хранилище только одно, вы получите такое предупреждение в vSphere Client:
Теперь еще один момент, на который хочется обратить внимание. Помните, что в настройках VMware HA есть варианты выбора действия для хост-сервера по отношении к своим виртуальным машинам в том случае, когда он обнаруживает, что изолирован от сети (параметр Isolation Responce):
Напомним, что Isolation Responce может принимать следующие значения:
Leave powered on (по умолчанию в vSphere 5 - оптимально для большинства сценариев)
Power off
Shutdown
Выбирать правильную настройку нужно следующим образом:
Если наиболее вероятно что хост ESXi отвалится от общей сети, но сохранит коммуникацию с системой хранения, то лучше выставить Power off или Shutdown, чтобы он мог погасить виртуальную машину, а остальные хосты перезапустили бы его машину с общего хранилища после очистки локов на томе VMFS или NFS (вот кстати, что происходит при отваливании хранища).
Если вы думаете, что наиболее вероятно, что выйдет из строя сеть сигналов доступности (например, в ней нет избыточности), а сеть виртуальных машин будет функционировать правильно (там несколько адаптеров) - ставьте Leave powered on.
Разницу между Power off и Shutdown многие из вас знают - во втором случае машина выключается средствами гостевой системы, а в первом случае - это жесткое выключение средствами хост-сервера. Казалось бы, лучше всего ставить второй вариант (Shutdown). Но это не всегда так. Дело в том, что при действии shutdown у гостевой ОС может не получиться погасить систему (например, вылетит exception или еще что). В этом случае хост ESXi будет пытаться сделать shutdown в течение 5 минут до того, как он уже сделает действие power off.
Это приведет к тому, что время восстановления работоспособности сервиса вполне может увеличиться на 5 минут, что может быть критично для некоторых задач (с высокими требованиями к RTO). Зато в случае shutdown у вас произойдет корректное завершение работы сервера, а при power off могут не сохраниться данные, нарушиться консистентность и т.п. Выбирайте.
Мы уже рассматривали новые возможности платформы VMware vSphere 5, в состав которой входит продукт для резервного копирования виртуальных машин VMware Data Recovery 2.0 (vDR).
Остановимся на них несколько подробнее. Что появилось нового в vDR 2.0:
Виртуальный модуль Data Recovery использует 64-битную ОС CentOS 5.5, что улучшает масштабирование и надежность.
Swap-файлы (внутри гостевой ОС Windows и Linux) больше не включаются в резервные копии, что ускоряет процесс резервного копирования.
Операции Integrity check (проверка консистентности) и reclaim (высвобождение места) теперь можно запускать по расписанию (кроме того, работают быстрее). Кроме того, если процесс проверки будет приостановлен (например, вылезет за пределы окна обслуживания), то его можно продолжить с того же места, не запуская с начала. Кроме того, процесс может выполняться одновременно с другими задачами.
Улучшена устойчивость к нестабильности сетевого соединения.
Можно приостановить виртуальный модуль, чтобы новые задачи бэкапа не запускались.
Доступны оповещения администраторов по email об успешном и неудачном завершении задач.
Улучшенная производительность дедупликации.
Как мы видим, улучшения достаточно небольшие, поэтому vDR до продукта Veeam Backup and Replication еще далеко, шестая версия которого выйдет уже совсем скоро.
В сентябре компания VMware проводила серию вебинаров, в которых раскрывались вопросы лицензирования многих продуктов (vSphere, SRM, vCenter Operations, vCloud, vShield, vFabric и прочих), а также особенности их работы. Ниже представлены данные презентации, изучить которые будет интересно пользователям, особенно учитывая то, что многие продукты из новой линейки VMware (например, vCenter Operations или семейство vFabric) пользователям в России практически неизвестны.
Внимание! Все цены приведенные в презентациях ниже являются рекомендованными розничными ценами для Северной Америки. Для России эти цены существенно выше в связи с особенностями ценовой политики компании VMware.
1. Особенности лицензирования инфраструктурных решений VMware.
Презентация на русском языке по лицензированию инфраструктурных решений, включая VMware vSphere 5, SRM 5 и vCenter Operations.
2. Реальность управления виртуальной инфраструктурой VMware vCenter Operations.
Презентация Александра Пыльнева, консультанта по решениям VMware, на тему мониторинга инфраструктуры VMware vCenter Operations Standard.
Особенности управления виртуальной инфраструктурой
Как обойти эти проблемы стандартными средствами управления
Недостатки традиционного подхода
Недостатки средств управления традиционными средами
Зачем нужен vCenter Operations?
Обзор возможностей vCenter Operations
Подробный технический обзор vCenter Operations
3. Создание публичного облака (VMware vCloud).
Презентация Родиона Тульского, ведущего консультанта по решениям VMware, по вопросам создания публичного облака на платформе vCloud и других продуктов VMware (Chargeback, Service Manager, vShield).
Что такое внешнее облако и его особенности?
Как построить внешнее облако на основе технологий VMware. Концепция.
Как построить внешнее облако на основе технологий VMware. Подробный технический обзор продуктов.
4. Особенности лицензирования облачных решений vCloud, vFabric, vShield.
Презентация Родиона Тульского, ведущего консультанта по решениям VMware, об особенностях лицензирования продуктов vCloud, vFabric, vShield, Chargeback.
Продолжаем рассказывать о продукте vGate R2, который является средством номер 1 для обеспечения защиты виртуальных инфраструктур VMware vSphere на российском рынке. Напоминаю, что он позволяет разделить полномочия администраторов vSphere, автоматически настроить конфигурацию хост-серверов и виртуальных машин в соответствии с лучшими практиками, стандартами, а также требованиями российских регуляторов (ФЗ 152, ИСПДн) и защитить инфраструктуру от несанкционированного доступа. Скоро, кстати, будет выпущена версия под vSphere 5 со всеми необходимыми сертификатами ФСТЭК (список сертификатов продукта тут).
Итак, что новенького. Во-первых, презентация Михаила Козлова об угрозах в виртуальной среде и о том, как с ними справляется продукт vGate R2:
Во-вторых, стала появляться информация о том, что уже начинаются претензии к госструктурам относительно соответствия требованиям ФЗ 152 их виртуальной инфраструктуры, а сертификат есть только на vSphere 4.0 Update 1. В связи с этим эта категория пользователей продолжает оставаться на старых версиях платформы vSphere и не получает новых преимуществ, имеющихся в vSphere 5. Это печально. Тем более, что у компании Код Безопасности есть продукт vGate-S R2, предназначенный как раз для госструктур, который позволит пройти сертификацию на новых версиях vSphere.
А для vSphere 4.0 U1 и с сертификатом ФСТЭК вы хрен пройдете сертификацию, так как есть много требований того же ФЗ 152, которым платформа не удовлетворяет (например, по классу К1 ПДн).
Так что сейчас самое время поставить в известность вашу службу ИБ о том, что есть такой хороший продукт vGate и начать его тестировать.
Мы уже писали о новой версии платформы для виртуализации настольных ПК предприятия VMware View 5, которая имеет множество новых улучшений, позволяющих говорить о возможности внедрения решения в промышленных масштабах.
Как известно, при использовании виртуальных ПК существенно увеличивается риск утери или порчи данных пользовательской инфраструктуры, поскольку теперь десктопы централизованы в ЦОД и появляются различные SPOF-точки отказа (например, система хранения данных). Кроме того, возрастает риск утери десктопа вследствие неправильных кофигураций серверной инфраструктуры или дискового массива. В связи с этим важным оказывается вопрос резервного копирования виртуальных ПК, которому никто, почему-то, не уделяет значения. А вопрос действительно важный, и сложных моментов там хватает: конфигурация View Connection Server, View Composer, бэкапы связанных клонов и прочее.
Компания VMware выпустила очень нужный документ "VMware View Backup Best Practices", который рекомендуется почитать всем тем, кто планирует внедрение решения VMware View или его масштабирование из существующего пилота:
Сначала нам описывают инфраструктуру VMware View с точки зрения компонентов, которые нуждаются в резерировании:
Потом показывают структуру хранилищ:
Потом говорят о том, для каких компонентов необходимо производить резервное копирование.
Основные компоненты (помимо виртуальных машин):
View Connection Server
View Composer (если развернут)
vCenter server и хосты ESX/ESXi
Служба Active Directory
Если говорить о базах данных, то их вот сколько:
Хранилище View Connection Server AD-LDS
БД View Composer для событий (Events - если развернута)
БД vCenter server
Какие еще компоненты могут быть, которые нужно резервировать:
Репозиторий ThinApp, сконфигурированный на общей шаре
Хост View Transfer Server для офлайн-десктопов
База данных
View Error Log
В резервном копировании не нуждается Security Server (он не хранит изменяющихся данных), реплики View Connection Server и сторонние серверы управления VDI-инфраструктурой.
Резервное копирование виртуальных ПК на платформе vSphere. Производится аналогично бэкапу ВМ и конфигураций хостов для серверных нагрузок (лучше всего использовать Veeam Backup and Replication)
Резервное копирование хранилища View Connection Server AD-LDS
Бэкап базы данных View Composer
Бэкап базы vCenter
Для резервирования хранилища AD-LDS на Connection Server используется утилита vdmexport:
Этот файл ldf будет содержать конфигурацию LDAP для View.
Для базы данных View Composer можно использовать встроенные средства бэкапа SQL Server (сначала останавливаем службу View Composer Service).
Лучше если и Connection Server и Composer+vCenter будут в виртуальных машинах - тогда их проще будет восстанавливать вместе с базами (если они не внешние). Как бэкапить базу данных VMware vCenter должен знать любой администратор, обслуживающий vSphere как платформу.
Последовательность восстановления инфраструктуры View выглядит так:
Восстанавливаем базу vCenter
Восстанавливаем базу Composer (если база восстанавливается к по-новой установленному эксземпляру Composer, нужно прочитать
http://www.vmware.com/pdf/view45_admin_guide.pdf на странице 26 для настройки контейнера RSA-ключа)
Восстанавливаем хранилище View Connection Server AD-LDS на новой или старой инсталляции:
Stateful virtual desktops (данные сохраняются после выхода)
Stateless virtual desktop (данные не сохраняются после выхода)
Для связанных клонов все непросто - их можно бэкапить, например, с помощью Veeam Backup, однако восстанавливаются они только как индивидуальные десктопы. То есть их нужно сначала восстановить как ВМ на VMware vSphere, а потом назначить в VMware View как dedicated-десктоп.
Stateful-виртуальные ПК предлагается бэкапить и восстанавливать как обычные виртуальные ПК, а Stateless - в резервном копировании не нуждаются, поскольку там никаких критичных данные нет, такой десктоп может быть развернут по требованию из базового образа, а приложения в нем публикуются, например, с помощью ThinApp (но User Data-диск бэкапить необходимо, если он используется).
Также в документе приводятся основные рекомендации по частоте резервного копирования компонентов VMware View:
Вообще вся эта тема с резервным копированием виртуальных ПК VMware View кажется очень муторной. Пора бы уже какому-нибудь вендору выпустить специализированное решение для этой задачи. А как вы с ней справляетесь в своей инфраструктуре?
Многие из вас используют продукт номер 1 для создания отказоустойчивых хранилищ StarWind Enterprise, позволяющий предоставлять общие хранилища для виртуальных машин через iSCSI. Это очень хорошая технология для небольших компаний и филиалов, использующих VMware vSphere, но не могущих себе позволить полноценную систему хранения с дублированными аппаратными компонентами. Напомним, что скоро продукт будет доступен для двухузловой конфигурации Microsoft Hyper-V, а также выйдет версия StarWind 5.8, где обещают еще больше нововведений.
Некоторые пользователи применяют доступ к таргетам iSCSI для StarWind изнутри виртуальных машин (например, можно использовать бесплатное издание StarWind). Однако с VMware vSphere 5 и адаптером vmxnet3 обнаружилась интересная проблема - согласно KB 2006277, драйвер vmxnet3 из комплекта vSphere 5 некорректно работает с большими кадрами Jumbo Frames. Это приводит к деградации производительности и потере сетевого соединения.
Какие есть выходы:
Использовать драйвер vmxnet3 из комплекта VMware Tools для версии vSphere 4.x (можно загрузить тут)
Использовать виртуальный сетевой адаптер vmxnet2 (Enhanced) или E1000 из комплекта vSphere 5
Надо отметить, что при соединении серверов ESXi 5 с хранилищами StarWind с настроенными Jumbo Frames полностью поддерживается. Также все работает и в конфигурации с томами RDM для виртуальных машин в режиме физической и виртуальной совместимости.
Компания VMware работает над решением проблемы для адаптера vmxnet3 и Jumbo Frames при работе из гостевой ОС. Спасибо Константину Введенскому за новость.
Мы уже писали о том, что такое виртуальный модуль VMware VSA, и как он работает в случае отключения сети синхронизации между хост-серверами VMware ESXi. Сегодня приведем несколько полезных материалов.
Во-первых, это документ "Performance of VSA in VMware Sphere 5", рассказывающий об основных аспектах производительности продукта. В нем приведен пример тестирования VSA на стенде с помощью различных инструментов.
Всем интересующимся производительностью VSA для различных типов локальных хранилищ и рабочих нагрузок в виртуальных машинах документ рекомендуется к прочтению.
Во-вторых, появилось интересное видео о том, как VMware VSA реагирует на отключение сети синхронизации хранилищ и сети управления VSA.
Отключение Front-end сети (управление виртуальным модулем и NFS-сервер):
Отключение Back-end сети (зеркалирование хранилищ, коммуникация в кластере):
Ну и, в-третьих, хочу напомнить, что до 15 декабря при покупке VMware vSphere 5 Essentials Plus + VSA вместе действует скидка 40% на модуль VSA.
Пост в рамках заказанной вами рубрики "Что почитать?". Компания VMware на прошедшей неделе выпустила несколько очень нужных, полезных, а главное интересных для чтения документов. Вот они:
Документ описывает лучшие практики по переходу на VMware vSphere 5 с предыдущих версий, включая хост-серверы VMware ESXi, сервер vCenter и его базу данных. См. также нашу серию статей о миграции на vSphere 5.
В документе описаны основные рабочие процессы по управлению сервером виртуализации VMware ESXi 5, включая интерфейс vCLI, PowerCLI, управление через SSH и многое другое. Документ будет полезен многим, особенно пользователям бесплатного ESXi и изданий Essentials.
Самый нужный документ для тех, кто планирует внедрение инфраструктуры виртуальных ПК VMware View 5 в условиях высокой нагрузки на канал. В документе рассматривается тонкая настройка протокола PCoIP с помощью групповых политик, все с картинками - просто и понятно. Например, выставление maximum frame rate в 15 и maximum initial image quality в диапазоне 70-80 уменьшает требование к каналу в 2-4 раза при сохранении приличного качества картинки при просмотре видео.
Этот документ уже сфокусирован на производительности решения VMware View 5 в целом. Приведены примеры тестирования решения для различных настроек протокола PCoIP и других компонентов.
Продолжение обзора новой документации не заставит себя долго ждать.
Как мы уже писали тут, тут и тут, компания StarWind, выпускающая продукт номер 1 для создания отказоустойчивых хранилищ iSCSI для виртуальной инфраструктуры, выходит на рынок с новым решением - StarWind Native SAN for Hyper-V.
Основная идея продукта - дать пользователям возможность строить кластер отказоустойчивости серверов и хранилищ на базе двух серверов Hyper-V вместо четырех. Это сократит издержки на покупку оборудования и обслуживание решения при увеличении производительности (рекомендуется использовать адаптеры 10G).
Интересно посмотреть на расчеты по экономической составляющей решения - затраты уменьшаются почти в два раза (не нужно покупать еще 2 сервера, использовать порты коммутаторов, меньше тратится электричества и проще обслуживание). У компании StarWind есть подробное описание статей затрат:
Расчеты выглядят вполне правдоподобно. Все это приводит к тому, что стоимость капитальных и эксплуатационных затрат на содержание одного приложения снижается на 20-30%.
Немного скорректировалась дата выхода продукта StarWind Native SAN for Hyper-V - он появится 18 октября (записаться на получение можно тут).
4 октября мы успешно провели мероприятие "Безопасность виртуальных инфраструктур" в рамках конференции "Инфобезопасность 2011". Обсуждение получилось весьма интересным и содержательным, а круглый стол собрал немало народу (хотя в этом году аудитория выставки в целом несколько уменьшилась).
Хочу поделиться с вами презентациями, представленными на мероприятии, среди которых наиболее интересен материал по продукту vGate R2, который предназначен для комплексной защиты виртуальных сред (подробнее тут, тут и тут).
Собственно, моя презентация:
Презентация по продукту vGate R2 от Александра Лысенко, ведущего эксперта по вопросам защиты информации, компания «Код Безопасности»:
Презентация Михаила Козлова, независимого эксперта по вопросам защиты информации в виртуальных инфраструктурах, консалтинговое агентство DevBusiness, о расчетах возврата инвестиций в покупку решения для обеспечения безопасности vGate R2 (за дополнительной информацией о расчетах обращайтесь ко мне - я дам контакт Михаила):
Чтобы попробовать продукт vGate R2, нужно запросить демо-версию по этой ссылке.
Мы уже писали о некоторых анонсах на VMworld 2011, одним из которых был проект по созданию облачного корпоративного хранения данных VMware Project Octopus. Это некий аналог сервиса Dropbox для хранения файлов, который позволит использовать его крупным предприятиям, поскольку в нем будут соблюдаться все необходимые политики безопасности (о дырках в Dropbox можно почитать тут,тут,тут), а также будут инструменты для организации рабочих процессов при работе с файлами. При этом, скорее всего, будет неплохой SLA по доступности.
Надо отметить, что Project Octopus можно будет использовать как из облака сервис-провайдера VMware, так и поставить у себя на серверах в виртуальных машинах, если данные в облако переносить боязно.
Помимо опубликованного нами видео, появился еще один небольшой рассказ о Project Octopus:
Интересно, что согласно исследованиям 80% хранимых файлов в компаниях не используются более двух лет, а значит их надо постепенно удалять на файловых хранилищах. У Octopus будет возможность нотификации пользователей о таких файлах, и если никто из владельцев не подтвердит их актуальность, они будут удалены. Также будут средства отката версий файлов, их сравнения, простое предоставление общего доступа коллегам и подписка на изменения файла.
Octopus предполагается интегрировать со следующими продуктами VMware: Zimbra Collaboration Server for Web-based applications (средства совместной работы), VMware View (использование общих данных в виртуальных ПК), VMware Horizon (управление данными приложений из корпоративного каталога) и AppBlast (доставка приложений через веб-браузер с поддержкой HTML 5 - то есть, открыл браузер - а там каталог приложений, выбираешь - и приложение открывается как будто установленное).
Кстати, вот пример работы Adobe Photoshop CSC в браузере средствами VMware Project AppBlast (на iPad, между прочим):
Естественно, для Octopus будут и клиенты для всех возможных типов устройств: ПК, планшетов, телефонов и смартфонов. И скоро для некоторых из записавшихся в бета-тестеры придут приглашения на этот интересный облачный сервис.
На самом деле, лично меня этот проект интересует больше всего, так как это действительно полезный и нужный сервис, который перетягивает инфраструктуру в облако с точки зрения данных (это проще), а не со стороны комплекса вычислительных ресурсов (IaaS).
С новыми инициативами и продуктами VMware, конечно, молодец. Но кое с чем не молодец вовсе. Например, с тем, что для России (помимо обнаглевшего повышения цен) с 1 октября отменяются преференции Emerging Markets, то есть становится ниже партнерская маржа и выше требования к партнерам. Типа все - рынок виртуализации развит, остальное - детали. При этом тут Hyper-V 3.0 набирает обороты, что все в совокупности приведет к тому, что SMB на VMware положит большой болт (VMware на SMB давно уже положила). Плохо, чо.
Компания Smart-X выпустила утилиту, которая может оказаться интересной пользователям платформы виртуализации настольных ПК Citrix XenApp. Бесплатное средство ControlUp позволяет наблюдать за производительностью сессий виртуальных ПК и терминальных серверов, что включает в себя мониторинг процессов виртуальных машин, дискового пространства, обновление групповых политик, управление файлами и другие необходимые VDI-администратору функции (например, скриншот гостевой ОС).
Все это позволит усилить контроль за активностью пользователей и своевременно обнаруживать и решать проблемы производительности. Скачать ControlUp можно по этой ссылке.
Как вы знаете, не так давно вышла новая версия решения для виртуализации настольных ПК VMware View 5 с полной поддержкой VMware vSphere 5. Поэтому необходимо отметить, что старые версии VMware View 4.x (включая View Manager и View Composer) не поддерживаются на платформе vSphere 5. Об этом написано в KB 2006216:
No version of VMware View Manager 4.x (including Composer 2.6 and earlier) is compatible with vSphere 5 or its associated products
Кстати, для проверки совместимости различных продуктов VMware на ее сайте есть полезный инструмент VMware Product Interoperability Matrix. Из него мы можем, например, узнать какими версиями ПО хост-серверов VMware ESX/ESXi могут управлять различные версии vCenter:
То есть, мы видим, что vCenter 5.0 почему-то не может управлять хостами ESX/ESXi 4.0 Update 2, хотя U1 и U3 подходят. Также хорошая опция в этом инструменте - "Solution/Database Interoperability". Там можно узнать какие версии СУБД поддерживаются тем или иным продуктом.
Ну и вариант Solution Upgrade Path также может оказаться кому-то полезным:
Да, совсем забыл сказать. Завтра в ЦВК "Экспоцентр" я буду вести круглый стол об обеспечении информационной безопасности виртуальных инфраструктур на конференции-выставке Инфобезопасность 2011. У кого есть желание - приходите, вход там бесплатный, но нужно получить свой билетик здесь.
Сам круглый стол всего полтора часа - особо не поговоришь (тем более, что там еще 5 экспертов, некоторые из которых хорошо вам знакомы). Но - я думаю потом, если кому надо, я могу некоторое время пообщаться, но тоже недолго, т.к. потом уматываю в башню Полонского на очередную бесперспективную продажу. Приходите, в общем.
Ведущий: Александр Самойленко, основатель и руководитель сообщества экспертов по вопросам внедрения и эксплуатации виртуализации в компаниях VMGuru
Вопросы к обсуждению:
В чём специфика угроз и уязвимостей в виртуальной среде?
Достаточно ли встроенных возможностей платформ виртуализации для обеспечения защиты от специфических угроз?
На что ориентированы технические решения для защиты виртуальных инфраструктур? Как они соотносятся со встроенными возможностями средств виртуализации?
Можно ли использовать виртуализацию как способ обеспечения безопасности?
Участники: Михаил Козлов, независимый эксперт по вопросам защиты информации в виртуальных инфраструктурах, консалтинговое агентство DEVbusiness; Мария Сидорова, основатель и руководитель сообщества российских экспертов по вопросам обеспечения информационной безопасности виртуализированных инфраструктур Virtualization Security Group Russia; Евгений Климов, вице-президент, Ассоциация RISSPA (Russian Information Systems Security Professional Association); Александр Лысенко, ведущий эксперт по вопросам защиты информации, компания «Код Безопасности»; Троицкий Николай,
начальник отдела системно-технической инфраструктуры
ООО «НИИ СОКБ»
Компания Citrix после бета-тестирования платформы XenServer 6.0 "Project Boston" выпустила окончательную версию XenServer 6.0.
Среди новых и улучшенных возможностей платформы более 20 функций, в числе которых улучшенные средства отказоустойчивости и восстановления инфраструктуры после сбоев, улучшения технологии StorageLink, интеграция с Virtual Machine Manager (SCVMM) 2012, а также уход от требований к наличию виртуальных модулей на базе Windows.
Список новых возможностей Citrix XenServer 6.0:
Integrated Site Recovery (Disaster Recovery) - репликация данных на удаленную площадку с поддержкой технологий fast recovery и failback. Функция Integrated Site Recovery заменяет предшественницу - StorageLink Gateway Site Recovery, используюемую в предыдущих версиях. Теперь нет необходимости в наличии отдельной сервисной ВМ с Windows.
Integrated StorageLink - возможность прямого доступа к функциям дискового массива, таким как репликация, дедупликация данных, снапшоты и клоны (выполняемых средствами массива). Функция появилась вместо StorageLink Gateway и, опять-таки, не требует сервисной ВМ с Windows.
GPU Pass-Through - позволяет напрямую передавать ресурсы видеоадаптера в виртуальную машину (поддержка как single GPU card, так и multi-card GPU card). Это позволит улучшить производительность графической подсистемы в инсталляциях XenDesktop VDI с технологией HDX 3D Pro.
Virtual Appliance Support (vApp) - все виртуальные модули (virtual appliances) теперь построены на базе Linux и поставляются в соответствующих форматах Open Virtualization Format (OVF). Появилась возможность создавать многомашинные конфигурации (виртуальный сервис - vApp), которые можно интегрировать с технологиями Integrated Site Recovery и High Availability.
Rolling Pool Upgrade Wizard - мастер "Rolling Pool Upgrade" упрощает обновления хост-серверов (автоматический или полуавтоматический режим) за счет препроверки требований к обновлениям и пошагового обновления.
Microsoft SCVMM & SCOM Support - управление хостами XenServer и виртуальными машинами из System Center Virtual Machine Manager (VMM) 2012. Также поддерживается мониторинг XenServer с помощью System Center Operations Manager 2012, на который накатывается специальный пакет от Citrix. Более подробная информация тут: Microsoft System Center 2012 Virtual Machine Manager page.
Distributed Virtual Switch Improvements - новый режим "fail safe mode", позволяющий создавать виртуальные частные сети между несколькими хост-серверами, поддержка списков доступа ACL, планировщика QoS, настроек RSPAN и NetFlow.
Increased Performance and Scale - поддержка до 1 ТБ памяти хоста XenServer hosts, до 16 виртуальных процессоров машин и 128 ГБ памяти для виртуальной машины. Также улучшены XenServer Tools, которые имеют меньший размер.
Networking Improvements - устройство Open vSwitch теперь является сетевым стеком по умолчанию в XenServer 6.0 и позволяет создавать группы адаптеров Active-Backup NIC bonding.
VM Import & Export Improvements - импорт виртуальных модулей напрямую из XenCenter с возможностями изменять настройки виртуальной машины (virtual processor, virtual memory, virtual interfaces и репозиторий хранения). Полная поддержка средства XenConvert и импорта виртуальных машин VMware.
SR-IOV Improvements - поддержка технологии SR-IOV и сертификация с пакетом SR-IOV Test Kit. Экспериментальная поддержка SR-IOV с горячей миграцией XenMotion для адаптеров Solarflare.
Simplified Installer - установщик ПО хост-сервера требует только один ISO-образ.
Enhanced Guest OS Support - поддержка гостевой ОС Ubuntu 10.04 (32/64-bit), Debian Squeeze 6.0 64-bit, Oracle Enterprise Linux 6.0 (32/64-bit) и SLES 10 SP4 (32/64-bit). Экспериментальные шаблоны ВМ для CentOS 6.0 (32/64-bit), Ubuntu 10.10 (32/64-bit) и Solaris 10.
Workload Balancing Improvements - новый виртуальный модуль балансировщика на базе Linux вместо модуля на базе Windows.
XenDesktop Enhancements - улучшения технологии HDX для VDI-инсталляций.
VM Protection & Recovery - эта функция теперь доступна для изданий Advanced, Enterprise и Platinum Edition (то есть, для всех платных).
NFS Support for High Availability - теперь в качестве HA Heartbeat disk может использоваться хранилище NFS, соответственно для этих хранилищ работают технологии отказоустойчивости.
XenCenter Improvements - операции XenCenter теперь выполняются параллельно.
Host Architectural Improvements - XenServer 6.0 построен на базе гипервизора Xen 4.1 с поддержкой GPT и улучшения
Мы уже писали о новом продукте "StarWind Native Storage Appliance for Hyper-V" для создания отказоустойчивого кластера хранилищ на базе всего двух серверов Hyper-V (то есть, там же запущены и виртуальные машины). 15 сентября Константин Введенский, сотрудник StarWind проводил по этому продукту вебинар на русском языке, рассказывая об основных особенностях решения (напомним, продукт выходит 15 октября).
Появилась запись этого вебинара, которую всем пользователям платформы виртуализации Microsoft Hyper-V просто необходимо посмотреть (нужно зарегистрироваться на сайте):
RSS
