Наше сотрудничество со спонсором ресурса Rentacloud.su продолжается. Напомним, что компания Rentacloud - надежный облачный провайдер, предоставляющий услуги IaaS-хостинга виртуальных машин на платформах VMware vSphere и Microsoft Hyper-V.
Инфраструктура, предоставляющая сервисы виртуальных машин в аренду, имеет следующие компоненты:
Дата-центр Rentacloud.su расположен в Голландии и является одной из наиболее известных и надежных площадок для размещения облачных аппаратных кластеров. Все услуги, доступные пользователям в России, будут также доступны применительно к европейскому сегменту облака. Сценарии использования европейской площадки весьма универсальны. Компании-операторы высоконагруженных сайтов, доступных в версиях для англоязычных пользователей, могут использовать услуги Rentacloud.su для разделения нагрузки между российским и европейским сегментом облака. Запросы из России будут автоматически отправляться на российский сегмент, а европейские – на европейский. При этом значительно снизится задержка доступа к данным, что особенно критично для интерактивных веб-сервисов и индустрии онлайн-развлечений, переживающих активный рост.
Цены на аренду виртуальных машин VMware и Microsoft просты и понятны:
Кроме того, Rentacloud предоставляет услуги по защите персональных данных на своей облачной платформе. Возможна защита разнообразных систем в полном соответствии требованиям Закона 152-ФЗ, защита персональных данных путем размещения клиентской инфраструктуры в защищенном сертифицированном контуре в облаке. Клиентам обязательно выдается шаблонный административный правовой документ, в котором детально прописаны все действия клиента во время работы с персональными данными в компании.
Rentacloud предоставляет всем желающим 7 дней бесплатного теста для ознакомления с преимуществами облачных технологий.
В январе 2013 года компания Citrix выпустила очередную версию своего продукта для создания инфраструктуры виртуальных ПК в небольших компаниях Citrix VDI-in-a-Box 5.2. В начале июля было выпущено обновление этого решения - Citrix VDI-in-a-Box 5.3 (ранее известное как Project Curacao).
Эта версия Citrix VDI-in-a-Box имеет много общего с флагманским VDI-решением Citrix XenDesktop 7, которое также было выпущено совсем недавно.
Новые возможности Citrix VDI-in-a-Box 5.3:
Улучшенный протокол HDX, с поддержкой DirectX 3D приложений, улучшенным качеством графики и уменьшенными требованиями к пропускной способности канала.
Поддержка Windows 8 и Windows Server 2012 в гостевых ОС виртуальных ПК.
Поддержка формата VHDX виртуальных дисков для Windows Server 2012.
У некоторых виртуальных машин на платформе VMware vSphere может оказаться такая ситуация, что на одном виртуальном диске VMDK окажутся 2 логических раздела - например, диски C и D в Windows. Произойти это может вследствие P2V-миграции физического сервера в ВМ или изначальной конфигурации машины.
При этом, для каких-то целей вам может потребоваться эти логические диски разнести по двум файлам VMDK (например, для целей хранения дисков на разных "ярусах" хранения). Решить эту проблему весьма просто с помощью VMware vCenter Converter (мы писали о нем тут).
Делается так это все так:
Начинаем процесс конвертации виртуальной машины
Идем в мастере конверсии в Options
Для раздела "Data to copy" выбираем "Edit"
Выбираем опцию "Data copy type" и меняем ее на "Select volumes to copy".
Далее на вкладке "Target Layout" в представлении "Advanced" настраиваем разнесение логических дисков по разным vmdk, как на картинке ниже.
Давно у нас не появлялось новых спонсоров, поэтому сегодня я особенно рад представить вам компанию 5nine Software, которая начинает масштабно осваивать Россию со своим продуктом Security Manager для Hyper-V, который обеспечивает безопасность виртуальной инфраструктуры на базе гипервизора от Microsoft.
Сама компания имеет русские корни и ваши коллеги постараются ответить на вопросы на страницах нашего сайта. Напомним также, что о компании 5nine и ее продуктах мы уже рассказывали тут, тут, тут и тут.
Сегодня мы приведем небольшой обзор продукта Security Manager для Hyper-V.
5nine Security Manager для Hyper-V является первым и единственным безагентным решением для обеспечения безопасности, созданным специально для виртуальной платформы Microsoft Windows Server 2012 Hyper-V и Windows 8. Он контролирует сетевой трафик между виртуальными машинами, обнаруживает и блокирует вредоносные атаки, осуществляет быструю антивирусную проверку, обеспечивает управление безопасностью виртуальной среды, логирование, анализ событий и соответствие облака Microsoft Hyper-V стандартам безопасности, включая выполнение требований Федерального закона 152-ФЗ "О персональных данных" и др.
5nine Security Manager сочетает в себе несколько модулей защиты в одном централизованно управляемом программном продукте:
Антивирусный модуль
Программируемый виртуальный Firewall
Система обнаружения вторжений (IDS) и защиты Web приложений
Журнал логов
5nine Security Manager разрабатывался в тесной кооперации с разработчиками Microsoft Windows Server 2012 и является расширением Windows Filtering Platform (WFP), использует новую архитектуру Hyper-V Extensible Switch и API-интерфейсы Microsoft. Приложение вызывается из Virtual Switch Server 2012 и может быть установлено на виртуальной инфраструктуре Hyper-V при помощи специального плагина для Microsoft System Center.
5nine Security Manager создан по техническому заданию клиентов – крупных ЦОД и хостинг-провайдеров. При помощи этого продукта администратор ЦОД может:
Защитить свою виртуальную инфраструктуру от вирусной активности, вредоносных вторжений и сетевых атак.
Увеличить производительность виртуальной инфраструктуры, плотность виртуальных машин и окупаемость проекта за счет безагентной технологии и использования архитектуры самого Hyper-V VirtualSwitch.
Можно использовать любые гостевые ОС для Hyper-V.
Предотвратить «антивирусные штормы» за счет управления работой антивируса с хоста.
Сигнатуры антивируса хранятся на хосте, что увеличивает ресурс ВМ.
Высокая скорость антивирусного сканирования. До 50 раз быстрее любого другого антивируса за счет инновационного инкрементального механизма сканирования.
Объединить управление политиками, правилами, фильтрами и журналами антивируса, firewall и IDS в одной простой консоли.
Выполнить требования Федерального закона 152-ФЗ "О персональных данных" для виртуальной инфраструктуры в соответствии с Microsoft Best Practice.
Иметь возможность регистрации событий для осуществления ИТ-аудита и обеспечения соответствия нормам.
Обеспечить низкую цену построения системы безопасности ЦОД.
Как многие из вас знают, мы своевременно обновляем посты про диаграммы портов и соединений различных компонентов VMware vSphere и других продуктов компании. Об этом можно почитать, например, тут, тут и тут.
Недавно вышло очередное обновление схемы портов VMware vSphere 5.1. Схема уже является официальной и приведена в KB 2054806.
Приятно также и то, что теперь в этом же документе в виде таблицы приведены все порты различных компонентов VMware vSphere 5.x и назначение соединений:
Мы много пишем о проекте VMware Labs, созданный для того, чтобы инженеры VMware выкладывали там свои наработки, которые не были оформлены в виде конечных продуктов компании (заметки об этом можно найти у нас по тэгу Labs).
На этот раз на VMware Labs появилась по-настоящему полезная штука - VisualEsxtop. Как можно догадаться из названия, эта утилита, написанная на Java, позволяет визуализовать данные о производительности в реальном времени, выводимые командой esxtop. Утилита кроссплатформенная и работает под Windows и Linux как .bat или .sh сценарий.
Возможности VisualEsxtop:
Соединение как с отдельным хостом ESXi, так и с vCenter Server.
Гибкий способ пакетного вывода результатов.
Загрузка результатов пакетного вывода и его "прогонка" (replay).
Возможность открыть несколько окон для отображения различных данных одновременно.
Визуализация в виде графика выбранных счетчиков производительности.
Гибкий выбор и фильтрация счетчиков.
Тултип на ячейках счетчиков, объясняющий их назначение (см. картинку).
Цветовое кодирование важных счетчиков.
Также VisualEsxtop можно заставить работать под Mac OS X - для этого почитайте вот эту статью.
Скачать VisualEsxtop можно по этой ссылке. Четырехстрочная инструкция доступна тут.
Те из вас, кто читает нас уже давно, знают, что летом мы публикуем заметки про "магический квадрант" компании Gartner, которая занимается аналитикой (в том числе) в сфере виртуализации. Об этом мы писали, например, тут и тут.
В этом году Gartner Magic Quadrant on x86 Server Virtualization выглядит так:
Напомним, что Magic Quadrant используется для оценки поставщиков какого-либо сегмента рынка информационных технологий, где Gartner использует две линейные прогрессивные экспертные шкалы:
полнота видения (completeness of vision)
способность реализации (ability to execute)
Каждый поставщик, попавший в рамки рассмотрения для исследуемого сегмента рынка, оценивается по этим двум критериям. При этом, полнота видения откладывается на оси абсцисс, способность реализации — на оси ординат. Каждый поставщик, таким образом, оказывается в одном из четырёх квадрантов плоскости, называемых:
Лидеры (leaders) — поставщики с положительными оценками как по полноте видения, так и по способности реализации.
Претенденты (сhallengers) — поставщики с положительными оценками только по способности реализации.
Провидцы (visionaries) — поставщики с положительными оценками только по полноте видения.
Нишевые игроки (niche players) — поставщики с отрицательными оценками по обоим критериям.
Напомним прошлогодний квадрант Gartner в сфере виртуализации от июня 2012 года:
Кроме того, нам удалось раздобыть проект магического квадранта 2016 года, который выражает уже виденье не Gartner, а авторов VM Guru:
Хотим в этом посте пригласить вас в Центр компетенции компании ИТ-ГРАД, который находится в Санкт-Петербурге. Он сочетает в себе опции демонстрационного центра и лаборатории, предназначенной для тестирования существующих решений и их последующей оптимизации, а также для создания персональных решений в процессе совместной работы производителя и заказчика.
Центр компетенции позволяет решать следующие задачи:
Функциональное и нагрузочное тестирование СХД NetApp на реальных задачах.
Апробация и моделирование важных изменений в тестовой среде.
Знакомство с возможностями интеграции с системами виртуализации и приложениями.
Точная оценка эффективности внедрения СХД NetApp в конкретном проекте.
Концентрация компетенций по технологиям NetApp, получение консультаций, обучение.
Организация склада запасных частей.
Для кого создан центр компетенции
Перед вами стоит вопрос выбора системы хранения данных?
Вы хотите увидеть NetApp, Cisco UCS, Nexus... в действии уже сегодня, а не через месяц, когда поставят и установят демо-оборудование?
У вас уже есть СХД, но вы хотите сравнить эффективность имеющейся у вас системы с NetApp?
Comparing both Microsoft Office 2010 and 2013 with Office 2007 there is a negligible capacity impact of 1% with Office 2010, but there is a very substantial difference of 20% with Office 2013. As a result, upgrading to Office 2013 requires 20% more VDI capacity in comparison to Office 2007 and Office 2010.
То есть, готовьтесь увеличивать свои мощности под прожорливый офис.
Не так давно мы писали о новых возможностях, анонсированных в новой версии VDI-решения Citrix XenDesktop 7 (и тут), а не так давно компания Citrix сделала доступной для загрузки финальную версию этого продукта.
Напомним и уточним новые возможности Citrix XenDesktop 7.
Возможности HDX Mobile:
Возможность использовать мультитач-жесты и движения пальцев (swipe) для различных команд навигации и скроллинга. Эти команды в реальном времени исполняются в гостевой ОС виртуального ПК.
Контролы меню, которые позволяют на мобильных устройствах просто обрабатывать всплывающие меню в гостевых ОС и навигацию с помощью мыши.
Средства разработки HDX Windows App Mobilization SDK
Улучшения протокола HDX:
Технологии компрессии и редиректа для обработки задач на конечных устройствах, что позволяет эффективно работать с десктопом в WAN-сетях. Технологии HDX теперь используют компрессию по стандарту H.264. Кроме того, теперь можно оптимизировать битрейт передаваемого HD-видео таким образом, что становится возможным его просмотр в 3G-сетях. То есть битрейт автоматически подбирается под скорость имеющегося соединения.
Новый интерфейс Citrix StoreFront унифицирует доступ к приложениям и виртуальному ПК с повышенной безопасностью в корпоративной сети или из внешних источников через решение Citrix NetScaler Gateway.
Также появились новые средства аппаратного ускорения OpenGL через механизм direct-shared hardware acceleration (технология называется HDX 3DPro).
Улучшения средств развертывания и поддержки:
Упрощенные рабочие процессы и средства автоматической проверки конфигурации (Studio) на 80% снижают время, необходимое для развертывания новых служб.
Установка с помощью мастера теперь позволяет развернуть решение за 20 минут.
Возможности облачного управления предоставляют хелпдеск-консоль и возможности наблюдения за производительностью (именно пользовательских метрик) и решения проблем через продукт Citrix EdgeSight. Кроме того, существенно улучшен компонент Citrix Director, реализующий функции технической поддержки.
Технология Flexcast, оптимизированная для развертывания и персонализации виртуальных ПК Windows Server 2012 and Windows 8
Улучшения в сфере облачных вычислений:
Clientless Receiver - возможность доступа к виртуальному ПК через браузер, без необходимости установки дополнительного ПО.
Упрощенная архитектура доставки приложений Windows Server (RDS) или десктопов Citrix из единой консоли.
Автоматизированная миграция физических приложений в виртуальные пакеты средствами технологии Citrix AppDNA.
Новые возможности администрирования, позволяющие решать задачи управления профилями, функциями безопасности StoreFront, а также публикации приложений и оптимизации хранилищ.
Решение Citrix XenDesktop не привязано к используемому гипервизору и может быть использовано на любой платформе, включая Citrix CloudPlatform.
Полная поддержка XenDesktop 7, включая технологию Windows Media client-side content fetching, мультикастинг, перенаправление папок клиентов, Local App Access и IPv6.
Поддержка StoreFront 2.0 - возможность аутентификации по смарт-картам без браузера.
Различные улучшения интерфейса.
H.264 decoding - улучшенная производительность в WAN-сетях.
HDX Insight support – возможность мониторинга трафика через NetScaler Insight Center.
Lync VDI Plug-in for Windows (2013) - специальный плагин позволяет использовать различные аудио и видеоустройства на хостовом ПК.
Поддержка Cisco Virtualization Media Engine (VXME) для обработки аудио и видео на виртуальных ПК.
Улучшенная поддержка сервиса ShareFile.
Скачать Citrix XenDesktop 7 можно по этой ссылке. Пробную версию на 99 пользователей можно также скачать по этой ссылке.
Для тех, кто интересуется деталями решения XenDesktop 7, компания Citrix выпустила хорошую серию статей:
Не так давно мы писали о том, что скоро выйдет восьмая версия решения для создания отказоустойчивых хранилищ для виртуальных машин VMware и Microsoft - StarWind V8. А именно:
С 7 по 11 июля на всемирной партнерской конференции Microsoft Worldwide Partner Conference 2013 (стенд 1924) компания StarWind подробнее расскажет об обновленной линейке своих продуктов:
Заметка навеяна письмом Владимира, который потерял пароль (master password) на VMware vCenter SSO из состава vSphere 5.1. Как многие знают, при установке служб единой аутентификации vCenter Single Sign-On (SSO) требуется задать master password для аккаунта admin@System-Domain, который нельзя забывать. Под учетной записью admin@System-Domain происходит аутентификация SSO для доступа к службам VMware vCenter.
Даже если вы впоследствии поменяете пароль для аккаунта admin@System-Domain, то пароль, задаваемый при установке (master password), потребуется, чтобы восстановить доступ к этому аккаунту.
Итак, случай 1 - вы помните master password, но забыли актуальный пароль к admin@System-Domain.
Для решения этой проблемы есть статья KB 2034608. Приведем краткое ее содержание:
Залогиньтесь как администратор на машину, где установлен SSO Server.
Запустите cmd.exe и перейдите в папку \Program Files\VMware\Infrastructure\SSOServer\utils
Выполните следующую команду:
rsautil reset-admin-password
введите свой master password, который вы задали при установке SSO.
введите аккаунт SSO, для которого вы хотите сбросить пароль (например, admin).
в случае успеха вы получите сообщение Password reset successfully
Если вы используете VMware vCenter Appliance, то процедура та же, за исключением того, что нужно выполнить команду:
./rsautil reset-admin-password
В следующей директории:
/usr/lib/vmware-sso/utils
Итак, случай 2 - вы забыли заданный при установке master password и ищете в гугле: vCenter SSO master password reset for admin@System-Domain
Сразу отметим, что способ описанный ниже не поддерживается со стороны VMware, а значит никто не несет ответственности за то, что будет сделано. А вот что надо сделать:
Надо поставить еще одну временную копию базы данных SSO и служб.
При установке обязательно запомнить и записать master password!
С помощью SQL-запроса получить хэш пароля этого master password.
Остановить продуктивные сервисы VMware vCenter и vCenter SSO.
С помощью SQL-запроса заменить хэш пароля на продуктивной БД SSO.
Перезапустить все окружение VMware vCenter и SSO.
Войти с заданным для временной базы vCenter SSO.
Как узнать хэш пароля из временной базы:
SELECT [PASSWORD] FROM [Dbo]. [IMS_PRINCIPAL] WHERE LOGINUID = 'admin' AND PRINCIPAL_IS_DESCRIPTION = 'admin'
Как заменить хэш пароля в продуктивной базе:
UPDATE [Dbo]. [IMS_PRINCIPAL] SET [PASSWORD] = 'ваш хэш пароля' WHERE LOGINUID = 'admin' AND PRINCIPAL_IS_DESCRIPTION = 'admin'
Новость, конечно, не свежая, поскольку о выходе Windows Server 2012 R2 Tech Preview стало известно еще на прошлой неделе, однако она заслуживает внимания. Напомним, что мы уже писали о новых возможностях платформы виртуализации Hyper-V в Windows Server 2012 R2, которая теперь полностью синхронизирована по версиям со средством управления Virtual Machine Manager. Новый Hyper-V имеет больше возможностей для масштабирования виртуальной инфраструктуры, а также существенно лучше стали работать средства автоматизации и сервисы динамической инфраструктуры, такие как Live migration, Storage QoS и Storage tiering.
Установка Windows Server 2012 R2 в виртуальной машине на VMware ESXi:
Также был выпущен новый System Center 2012 R2, из которого вам понадобится как минимум Virtual Machine Manager для управления инфраструктурой виртуализации:
Кроме того, стал доступен для загрузки Windows Azure Pack
- решение для сервис-провайдеров и крупных датацентров, которое позволяет создать единый портал управления гибридным облаком Microsoft, включающий в себя собственные мощности предприятия и сервисы публичного облака Azure. Более подробно о Windows Azure Pack можно узнать из этого документа.
В документе простым и доступным техническим языком рассказывается о том, как по шагам развернуть трехузловой кластер хранилищ и начать использовать его для размещения виртуальных машин Microsoft Hyper-V, естественно, с поддержкой Live Migration и всех прочих технологий динамического управления ресурсами от Microsoft.
P.S. Теперь документы StarWind можно скачивать без регистрации.
Некоторое время назад компания VMware инициировала Project Serengeti, целью которого было обеспечение возможности запуска кластеров Apache Hadoop на виртуальной платформе (в частности, VMware vSphere). Это одна из первых серьезных инициатив VMware в сегменте Big Data.
Совсем недавно была выпущена бета-версия расширений VMware vSphere Big Data Extensions v1.0 Beta, которые позволяют применить все наработки Serengeti для создания виртуальных машин с Hadoop на борту. Эти расширения обеспечивают жизненный цикл Hadoop на платформе VMware vSphere и позволяют отслеживать потребляемые ими ресурсы.
Возможности VMware vSphere Big Data Extensions v1.0 Beta:
Графический интерфейс Big Data Extensions. Он позволяет создавать, масштабировать и удалять кластеры Hadoop. Кроме того, доступен отдельный мониторинг и контроль ресурсов этих виртуальных машин.
В целом, VMware заявляет, что Apache Hadoop исполняется в виртуальных машинах практически без потерь производительности (об этом можно почитать здесь):
Скачать VMware vSphere Big Data Extensions v1.0 Beta можно по этой ссылке.
При внедрении средств виртуализации в некоторых государственных структурах иногда требуются сертификаты соответствия ФСТЭК на различные продукты и компоненты, чтобы ИТ-система могла пройти процедуру аттестации или проверки со стороны контролирующих государственных органов. Процедуры эти, в основном, глупые и бессмысленные, так как ИТ-система - это понятие комплексное, и ее нельзя точно подвести под постоянно устаревающие стандарты информационной безопасности.
Особенно все возбуждаются, когда дело касается персональных данных и их защиты в соответствии со всякими там ФЗ. Начинаются поиски бумажек ФСТЭК и прочих фейковых доказательств того, что инфраструктура надежно защищена, хотя дядя Ваня за соседним столом может легко назвать свой CVV по телефону "банковскому работнику", а рядом с продакшеном стоит три года не обновляемый unmanaged-сервер имеющий доступ ко всему и вся.
Но для тех, кому эти бумажки все-таки нужны, выкладываем сертификаты ФСТЭК на самую распространенную платформу для создания инфраструктуры виртуальных ПК - Citrix XenDesktop. Как всегда, парни из ФСТЭК и их коллеги из "Газинформсервиса" оказываются весьма оперативными - в начале этого года провели испытания и сертифицировали решение Citrix XenDesktop 4 Feature Pack 2, анонсированное всего 3 года назад.
Когда на дворе уже почти Citrix XenDesktop 7 представляем вашему вниманию сертификаты ФСТЭК на продукт трехлетней давности - Citrix XenDesktop 4 Feature Pack 2 (о новых возможностях четверки мы писали в свое время тут, тут и тут). Поздравляю вас, коллеги из ФСТЭК - вы проделали по-настоящему нужную работу!
Компания Citrix, видимо, окончательно разочаровалась в своей платформе виртуализации Citrix XenServer, которую она несколько раз пыталась неудачно перепаковать: то делала различные издания с бесплатной версией, то платные средства управления для бесплатного продукта, то снова различные издания. В общем, ничего с этим дельного так и не получилось, поэтому Citrix, в конце концов, решила передать продукт XenServer сообществу Open Source и вместе с другими организациями будет пытаться поддерживать эту платформу на плаву.
Сайт открытого XenServer теперь расположен по адресу www.xenserver.org.
Между тем, Citrix продолжит поставлять коммерческую версию XenServer, включающую в себя поддержку и обновления. Напомним, кстати, что не так давно компания Citrix передала открытый гипервизор Xen сообществу Linux Foundation (он является, помимо прочего, ядром XenServer). Таким образом, Citrix передала в Open Source оба своих серверных проекта, среди которых Xen - наиболее удачное решение, используемое сегодня для построения инфраструктуры многих частных и публичных облаков.
Новые возможности Citrix XenServer 6.2:
До 500 ВМ с гостевой ОС Windows и до 650 машин Linux на одном хост-сервере.
До 3250 виртуальных процессоров (vCPU) на хост-сервер.
Уменьшение потока трафика между ВМ и доменом Dom0.
Автоматическое увеличение памяти, выделенной под Dom0 и количества vCPU машин, на базе доступной памяти хоста и количества доступных физических процессоров.
Полностью интегрированные в продукт средства мониторинга производительности
Возможность "Clone on boot", которая позволяет производить быстрое развертывание сотен виртуальных машин на базе одного образа с возможностью автоматического уничтожения машин при их останове.
Полноценная поддержка следующих гостевых ОС:
Microsoft Windows 8
Microsoft Windows Server 2012
SUSE Linux Enterprise Server (SLES) 11 SP2 (32/64-bit)
Red Hat Enterprise Linux (RHEL) 5.8, 5.9, 6.3, 6.4 (32/64-bit)
Oracle Enterprise Linux (OEL) 5.8, 5.9, 6.3, 6.4 (32/64-bit)
CentOS 5.8, 5.9, 6.3, 6.4 (32/64-bit)
Debian Wheezy (32/64-bit)
Улучшена поддержка VSS для Windows Server 2008 R2
Улучшения журналирования в Dom0: логи не могут переполнить пространство, выделенное Dom0.
Функция динамического перемещения хранилищ ВМ (Live Storage Migration) теперь доступна на вкладке VM Storage в XenCenter.
Поддержка новых CPU (AMD Piledriver, Intel Haswell-DT).
Улучшенные драйверы устройств, идущие в комплекте поставки.
Обновление гипервизора (Xen-4.1.5).
Улучшения механизма DM Multipath (0.4.9.56).
Поддержка фильтрации алертов по их серьезности в XenCenter.
Напомним, что о возможностях предыдущей версии Citrix XenServer 6.1 можно почитать по этой ссылке. Скачать же Citrix XenServer 6.2 теперь можно здесь, а репозитории доступны на GitHub тут.
На днях компания Microsoft выпустила расширение Hyper-V Management Pack Extensions для решения комплексного мониторинга инфраструктуры Microsoft Operations Manager 2012. Данное расширение разрабатывается инженерами Microsoft, и основной его задачей является предоставление дополнительных функций мониторинга производительности в дополнение к уже имеющимся в пакете Hyper-V Management Pack.
Основные функции Hyper-V Management Pack Extensions для Microsoft SCOM 2012 (первые три возможности являются новыми):
Мониторинг версий служб Integration Services
Мониторинг состояния и статусов репликации средствами Hyper-V Replica
Отслеживание задержек к общим SMB-ресурсам (I/O latency monitor)
Мониторинг логических процессоров хоста Hyper-V
Мониторинг виртуальных процессоров машин
Мониторинг состояния ресурсов динамической оперативной памяти Hyper-V Dynamic Memory
Мониторинг виртуальных сетей на хостах Hyper-V
Мониторинг NUMA-страниц памяти
Обнаружение SLAT-совместимых процессоров
Мониторинг виртуальных дисков VHD
Мониторинг физических и логических дисков
Отслеживание свободной памяти хоста
Вывод остановленных и поврежденных ВМ
Мониторинг неудачных горячих миграций
Скачать Hyper-V Management Pack Extensions для Microsoft Operations Manager 2012 можно по этой ссылке. Документация доступна тут.
Мы часто пишем заметки о безопасности виртуальной инфраструктуры VMware vSphere и других продуктов на данной платформе (их можно найти по тэгу Security). И вот на днях я натолкнулся на интересную статью "It’s a Unix system, I know this!", в которой есть одна умная мысль, касающаяся настройки безопасности, и которую я часто пытаюсь донести до заказчиков. А именно: некорректное планирование и исполнение процедур по обеспечению безопасности может привести к еще большим проблемам как с точки зрения конфигурации виртуальной среды, так и с точки зрения самой безопасности.
Итак, обратимся к статье. Есть такая организация в штатах Defense Information Systems Agency (DISA), которая выпускает документ Security Technical Implementation Guide (STIG), являющийся руководящим документом по обеспечению безопасности для правительственных организаций. Есть подозрение, что в части виртуальных машин он сделан на основе VMware vSphere Security Hardening, однако не из самой актуальной версии последнего.
Так вот в этом DISA STIG есть пункты, касающиеся виртуальных машин, например, пункт про отключение операций Copy/Paste с гостевой ОС виртуальной машины из ОС компьютера, где выполняется vSphere Client.
Посмотрим, как рекомендуется выполнить эту процедуру:
To edit a powered-down virtual machine’s .vmx file, first remove it from vCenter Server’s inventory. Manual additions to the .vmx file from ESXi will be overwritten by any registered entries stored in the vCenter Server database. Make a backup copy of the .vmx file. If the edit breaks the virtual machine, it can be rolled back to the original version of the file.
1. Open the vSphere/VMware Infrastructure (VI) Client and log in with appropriate credentials. If connecting to vCenter Server, click on the desired host. Click the Configuration tab. Click Storage. Right-click on the appropriate datastore and click Browse Datastore. Navigate to the folder named after the virtual machine, and locate the <virtual machine>.vmx file. Right-click the .vmx file and click Remove from inventory.
2. Temporarily disable Lockdown Mode and enable the ESXi Shell via the vSphere Client.
3. Open the vSphere/VMware Infrastructure (VI) Client and log in with appropriate credentials. If connecting to vCenter Server, click on the desired host. Click the Configuration tab. Click Software, Security Profile, Services, Properties, ESXi Shell, and Options, respectively. Start the ESXi Shell service, where/as required.
4. As root, log in to the ESXi host and locate the VM’s vmx file.
# find / | grep vmx
Add the following to the VM’s vmx file.
keyword = “keyval”
Open the vSphere/VMware Infrastructure (VI) Client and log in with appropriate credentials.
If connecting to vCenter Server, click on the desired host.
Click the Configuration tab.
Click Storage.
Right-click on the appropriate datastore and click Browse Datastore.
Navigate to the folder named after the virtual machine, and locate the <virtual machine>.vmx file.
Right-click the .vmx file and click Add to inventory. The Add to Inventory wizard opens.
Continue to follow the wizard to add the virtual machine.
Круто, да? Это все для того, чтобы просто отключить копирование из консоли ВМ (для одной машины), которое если уж кому-то очень сильно понадобится - он сделает все равно через принтскрин или еще как.
А теперь подумаем, к чему это все может привести:
В процессе такой настройки администратор может что-то испортить.
Сотни виртуальных машин обработать таким способом очень долго и нудно.
Такая процедура открывает больше дырок, чем закрывает (администратор снимает Lockdown хоста, делает операции в шеле и тыркается по вицентру).
Контролировать исполнение процесса очень сложно - все ли локдауны были закрыты, по всем машинам ли мы прошлись и т.п.
Конечно же, есть простой и элегантный способ сделать все это сразу для всех ВМ и с помощью PowerCLI через методы, описанные в пунктах vm.disable-console-copy и vm.disable-console-paste документа vSphere Hardening Guide.
Однако те из вас, у кого в компании есть отдел информационной безопасности, знают что такое формализм этих ребят, которые может в виртуализации и не разбираются, зато прекрасно понимают, что приведенный выше гайд несколько отличается от двух строчек на PowerShell.
И, хотя это в основном касается западных организаций, в отечественных крупных компаниях тоже возникают проблемы из-за подобных процедур.
Так вот какова мораль сей басни:
При разработке руководящих документов по обеспечению безопасности виртуальной инфраструктуры поймите, какие требования являются обязательными, а какие можно реализовать факультативно (то есть не реализовывать вовсе). Минимизируйте число обязательных требований и по мере необходимости расширяйте.
Используйте последние версии руководящих документов по ИБ от вендоров и всегда обновляйте свои собственные (хотя бы с выходом мажорной версии продукта).
Максимально применяйте автоматизацию при выполнении процедур по конфигурации безопасности. В VMware vSphere и других продуктах VMware можно автоматизировать практически все.
Если выполнение требования к ИБ виртуальной среды потенциально может открыть еще больше дырок, вызвать ошибки конфигурации и причинить еще беды, подумайте - а может стоит отказаться от этого требования или переформулировать его?
Ну а если кратко - с головой надо подходить, а формализм отставить. Больше интересных подробностей - в статье.
Уже подходит к концу программа "Customer Loyalty Upgrade Program", которая позволяет клиентам StarWind iSCSI SAN (для VMware vSphere) или Native SAN (для Microsoft Hyper-V) произвести обновления своих продуктов на более старшие версии со скидкой до 35%. Предложение действует только до конца июня, поэтому поторопитесь с заказом.
Напомним, что StarWind - это средство номер 1 для создания отказоустойчивых хранилищ iSCSI для виртуальных машин.
Вот условия обновления для тех, кто уже использует продукты StarWind:
15% скидка - для обновления на издание на одну ступень вверх (например, с 1TB до 2TB или с 4TB до 8TB).
25% скидка – для обновления на издание на две ступени вверх (например, с 1TB до 4TB).
35% discount – для обновления на издание на три или более ступени вверх (например, с 1TB до 16TB).
Не так давно мы писали про средство PCoIP Log Viewer, предназначенное для просмотра и визуализации логов решения для виртуализации настольных ПК VMware View в части протокола доставки виртуальных десктопов и пользовательских сессий.
Продолжаем знакомить вас с багами VMware vSphere 5.1 - ведущей платформы виртуализации. На этот раз мы расскажем о баге VMware vSphere Client, для чего откроем вкладку редактирования пользователя и посмотрим на его свойства:
Такую картину мы увидим в том числе и тогда, когда пользователь VMware ESXi был создан автоматически, например, при использовании функций AutoDeploy и Host Profiles. Не очень понятно, почему это пользователю при создании по дефолту гарантируются права на доступ к консоли ESXi, а вот в списке групп, где он состоит, наблюдается пустота.
Все на самом деле просто: в vSphere 5.1 поменялся подход к безопасности, а вот сделать обновление vSphere Client забыли, так как сейчас идет переход на vSphere Web Client, и никому нет дела до толстого клиента. Соответственно, аспекты этого бага таковы:
Галка "Grant shell access to this user" ни на что не влияет. Важно только, назначена ли роль Administrator пользователю (что позволит ему войти в консоль сервера).
Поле Group пустое, так как ESXi больше не использует информацию из /etc/groups, а использует свою модель пользователей и групп:
Поэтому вновь создаваемый пользователь с галкой "Grant shell access to this user" не сможет соединиться по SSH и зайти в консоль, то есть это баг UI:
25 июня компания ИТ-ГРАД предлагает принять участие в деловом завтраке, посвященном тематике сетевых устройств нового поколения. Запланированы выступления со стороны партнеров: Aruba Networks проведет обзор новейших решений в области мобилизации бизнеса (Wi-fi), а PaloAlto представит современные методы борьбы с угрозами уровня приложений и вредоносным кодом с помощью межсетевых экранов нового поколения.
«Традиционные средства безопасности не обеспечивают необходимый уровень визуализации, скорости изменений, контроля и защиты от современных угроз. Именно это стало толчком к созданию нового класса решений на рынке ИБ. Межсетевые экраны нового поколения (NGFW) позволяют безопасно развертывать и использовать приложения без ограничения потребностей бизнеса и ИТ-служб» (Дмитрий Рагушин, PaloAlto).
Участие в мероприятии бесплатное. Необходимо заранее зарегистрироваться в связи с ограниченным количеством мест (всего 17). В случае заинтересованности заполните форму, либо отправьте контактные данные на marketing@it-grad.ru - и присоединяйтесь к коллегам!
Место проведения: CleverСlub - специальное пространство для бизнес-профессионалов. Санкт-Петербург, ул. Кирочная, д. 9.
Иногда возникает потребность правильно выключить виртуальные машины VMware vSphere в определенной последовательности, чтобы не нарушить консистентность данных и приложений. Требуется это при различных сценариях обслуживания инфраструктуры, переездах оборудования, подготовке к отключениям электричества и т.п. Ну а потом, соответственно, эти ВМ нужно включить - и тоже в нужной последовательности.
Специально для таких случаев Graham French допилил скрипт на PowerShell / PowerCLI, который автоматизирует процессы Startup / Shutdown для виртуальных машин на ESXi. Грэхам подошел к задаче научно - он разделил все ВМ на 5 слоев, отражающих очередность выключения машин:
Phase 1 - веб-серверы, балансировщики нагрузки, принт-серверы - то есть некритичные машины и машины на краю периметра датацентра.
Phase 2 - серверы приложений и другие серверы, являющиеся фронтэнд-звеном в архитектуре многокомпонентных приложений.
Phase 3 - серверы баз данных и кластеризованные серверы.
Phase 4 - NAS-серверы и файловые серверы.
Phase 5 - сервисы обеспечения инфраструктуры: Active Directory, DNS, DHCP, виртуальные модули (Virtual Appliances).
Соответственно, правильной схемой выключения виртуальных машин является последовательность Phase 1 -> Phase 5. Скрипт принимает на вход имена виртуальных машин в CSV-файлах, а также умеет выключать/включать и физические серверы:
Для включения машин используем обратную последовательность Phase 5 -> Phase 1:
Сам скрипт Startup / Shutdown и примеры CSV-файлов можно скачать по этой ссылке.
Недавно Duncan Epping опубликовал интересную статью о параметре Mem.MinFreePct, который есть в настройках сервера VMware ESXi из состава vSphere. По-сути, этот параметр определяет, какое количество оперативной памяти VMkernel должен держать свободным на хосте, чтобы всегда были доступные ресурсы под нужды системы, и хост не вывалился в PSOD.
В VMware vSphere 4.1 параметр Mem.MinFreePct составлял 6% и его можно было изменять с помощью следующей команды:
vsish -e set /sched/freeMemoryState/minFreePct <Percentage>
Например, вот так можно было установить Mem.MinFreePct в значение 2%:
vsish -e set /sched/freeMemoryState/minFreePct 2
Этак команда, кстати, не требует перезагрузки, но зато после перезагрузки значение Mem.MinFreePct не сохраняется. Поэтому данную команду, если требуется, нужно занести в /etc/rc.local (подробнее в KB 1033687).
Параметр этот очень важный, поскольку от него зависят пороги использования различных механизмов оптимизации памяти хоста ESXi. При этом, если памяти на хосте много (например, десятки гигабайт), то держать постоянно 6% свободной памяти может быть для кого-то расточительством. Поэтому, начиная с VMware vSphere 5.0, параметр Mem.MinFreePct является "плавающим" и устанавливается в зависимости от объема физической памяти на хосте ESXi.
Вот какие значения принимает Mem.MinFreePct в зависимости от того, сколько RAM есть на вашем физическом хост-сервере:
Процент необходимой свободной памяти
Объем памяти хоста ESXi
6%
0-4 ГБ
4%
4-12 ГБ
2%
12-28 ГБ
1%
Больше 28 ГБ
А вот какие механизмы оптимизации памяти на хосте работают, если свободной памяти становится все меньше и меньше:
Состояние свободной памяти хоста
Пороговое значение
Какие механизмы оптимизации памяти используются
High
6%
-
Soft
64% от значения MinFreePct
Balloon, Compress
Hard
32% от значения MinFreePct
Balloon, compress,swap
Low
16% от значения MinFreePct
Swap
Интересно, конечно, но как-то бесполезно. Зачем загонять хост в такие лимиты? Лучше как минимум процентов 10 всегда держать свободными и своевременно покупать новые серверы.
Некоторые из вас помнят, что еще со времен Citrix MetaFrame продукт Presentation Server позволял показывать приложения, запущенные на сервере, в бесшовных окнах (seamless windows) на клиентских ПК. Затем эта возможность перекочевала в продукт Citrix XenApp, где и используется по сей день.
Недавно мы писали о новых возможностях Citrix XenDesktop 7, где появилось множество интересных функций. Одной из таких функций стали обратные бесшовные окна (reverse seamless windows) для виртуальных ПК. Эта штука получила название Local App Access, и она позволяет видеть и использовать окна локально установленных приложений в открытой консоли виртуального ПК. Ярлыки локально установленных приложений складываются в специальную папку "Local Programs".
Надо сказать, что компания Citrix заявляла о подобной возможности еще в 2008 году, когда рассказывала про Project Alice, но только сейчас она была реализована в решении XenDesktop. Давайте попробуем разобраться, для чего эта технология нужна пользователям. Сама Citrix дает вот такие ответы:
Концепция "Bring-Your-Own-Apps" - никто не позволит вам устанавливать медиа-плейер с музыкой и фильмами на виртуальных ПК в датацентре, однако некоторым хочется слушать любимую музыку (а кому-то, может быть, и смотреть что-то на врезке экрана) когда в виртуальном ПК кипит работа. С помощью Local App Access можно слушать музыку из своей ОС, управлять окном медиа-плейера, не выходя из виртуального ПК.
Использование приложений, не переносящихся в VDI - не секрет, что не все приложения должным образом работают в виртуальных ПК (в том числе, и по причине производительности) - например, VoIP-клиенты. В этом случае можно оставить их установленными локально на ПК пользователей, а с помощью Local App Access они смогут работать в единой среде.
Решение проблем чисто клиентских приложений - когда пользователю нужно приложение, которое требует очень малого времени отклика по сети или локального подключения устройств, почему бы не использовать его локально? К этой категории можно отнести использование ТВ-тюнеров, просмотр DVD-дисков и присоединение других устройств (например, веб-камер), используемых приложениями. Local App Access поможет решить эту проблему, не создавая нагрузку на сеть.
Функции обратной бесшовной интеграции Local App Access доступны как в VDI-решении XenDesktop 7, так и в средствах виртуализации и доставки приложений XenApp 6.5 FP2. Немного о Local App Access написано в документах "Integrating Local User Applications in
XenApp 6.5" и "Quick Start Guide for Local App Access". Возможности Local App Access будут доступны через Citrix Receiver 4.0, который ожидается к выпуску в конце июня.
Вообще эта штука видится весьма полезной в некоторых окружениях. Непонятно только, почему столько времени потребовалось, чтобы ее сделать.
Например, давно уже есть такой продукт RES Virtual Desktop Extender, выполняющий такие же функции, и стоит он 15 баксов на пользователя:
Решил вот тут вывести статистику посещаемости нашего портала с процентными соотношениями посетителей из разных городов. За последние полтора года получается вот такая картинка (кликните для увеличения):
Для тех, кому лень тыркать, наиболее виртуализованные города России и постсоветского пространства списком:
1.
Moscow
28,32%
2.
Saint Petersburg
8,31 %
3.
Kiev
6,87 %
4.
Minsk
3,17 %
5.
(not set)
2,51 %
6.
Yekaterinburg
2,42 %
7.
Novosibirsk
1,90 %
8.
Nizhny Novgorod
1,30 %
9.
Rostov-on-Don
1,24 %
10.
Kharkiv
1,15 %
11.
Almaty
1,12 %
12.
Samara
1,12 %
13.
Kazan
1,09 %
14.
Chelyabinsk
1,07 %
15.
Krasnodar
1,06 %
16.
Perm
0,97 %
17.
Krasnoyarsk
0,89 %
18.
Dnipropetrovs'k
0,85 %
19.
Voronezh
0,78 %
20.
Lviv
0,76 %
21.
Omsk
0,76 %
22.
Irkutsk
0,74 %
23.
Ufa
0,71 %
24.
Donetsk
0,70 %
25.
Vladivostok
0,68%
Оказывается, в замкадье тоже есть жизнь - и там сосредоточено более 70% наших читателей. Если, конечно, город "not set" менее чем наполовину состоит из хитропопых москвичей, блокирующих трекинг.
В этом посте мы приведем еще немного забавных картинок и основные посылы восьмой версии продукта.
Во-первых, файловая система LSFS изначально работает с большими блоками данных, что положительно сказывается на сроке службы флеш-накопителей (SSD), на которых размещаются виртуальные машины (это дело недалекого будущего):
Во-вторых, виртуальная среда рождает эффект IO-блендера, когда к системе хранения идут случайные чтения от большого числа ВМ, что создает существенные задержки. Файловая система LSFS преобразовывает small random writes в большие последовательные операции записи, что существенно увеличивает производительность:
Ну и, в-третьих, inline-дедупликация StarWind не создает нагрузку на подсистему хранения и не "крадет" IOPS'ы у продуктивного хранилища:
Компания VMware опубликовала очередной номер своего технического журнала VMware Technical Journal Summer 2013, в котором разбираются наиболее интересные технические аспекты решений для виртуализации на весьма глубоком уровне (зачастую даже с математическими выкладками). Напомним, что о предыдущем выпуске VMware Technical Journal мы писали вот тут. Как и в прошлом выпуске все статьи доступны онлайн и как PDF (5 МБ).
Мне понравились "Redefining ESXi IO Multipathing in the Flash Era" и "Methodology for Performance Analysis of VMware vSphere under Tier-1 Applications".
На днях компания VMware объявила о начале публичного бета-тестирования своего нового средства для анализа логов VMware vSphere - VMware vCenter Log Insight 1.0. Продукт поставляется в виде виртуального модуля (Virtual Appliance), который развертывается как обычный OVF-пакет, после чего становится доступен сбор и анализ данных syslog с серверов VMware ESXi 4.1, 5.0, 5.1, а также vCenter Server Appliance и других источников. Кроме того, Log Insight может быть интегрирован с vCenter Operations Manager.
Возможности VMware vCenter Log Insight 1.0:
High Performance Ingestion - Log Insight принимает данные от syslog или через API на скорости до 1000 Мбит/с на один виртуальный модуль
Near Real-Time Search - входящие данные доступны для поиска почти сразу и могут быть агрегированы с историческими данными в одном большом логе.
Aggregation - данные группируются методом похожим на GROUP-BY в реляционных БД.
Runtime Field Extraction - Log Insight может доставать данные из сырого лога средствами регулярных выражений.
Dashboards - администраторы могут создавать свои дэшборды из запросов к базе логов.
Scalability - инфраструктуру Log Insight можно наращивать за счет добавления дополнительных серверов.
RSS
1.
