Недавно мы писали о бесплатной дедупликации StarWind для пользователей продукта Veeam Backup and Replication, которую вы можете получить вот по этой ссылке, а сегодня приведем некоторые детали этого решения.

Во-первых, StarWind Global Deduplication работает на уровне дисковых устройств (LUN), а не на уровне VMDK-дисков (как Veeam), что должно положительно сказаться на эффективности дедупликации. По оценкам некоторых пользователей, тестировавших решение, эффективность StarWind доходит до +50% по сравнению с встроенной дедупликацией Veeam.

Во-вторых, на сервере StarWind вам понадобится некоторое количество дополнительной оперативной памяти для работы механизма дедупликации. На данный момент сайзить необходимо следующим образом: 3,5 ГБ памяти на 1 ТБ дедуплицируемого хранилища. В следующих версиях StarWind этот показатель будет близок к 2 ГБ на ТБ.

В-третьих, для Veeam придется отключить компрессию для лучшего эффекта дедупликации, но поддержка этого механизма в StarWind будет добавлена в ближайших версиях. Также в следующей версии будет добавлена функция увеличения/уменьшения размеров таких устройств и дедпуликация HA-устройств. Об этом всем мы напишем дополнительно.

Уважаемые коллеги! Как знают многие из вас, 30 мая в Москве, в Центре Международной Торговли, пройдет конференция VMware Forum 2012 - главное российское мероприятие этого года в сфере виртуализации. Так как это мероприятие только для конечных пользователей, то партнеры VMware туда не приглашаются. Так получается, что 30 мая я буду в Москве и постараюсь туда прийти, но мне для этого нужно 10 регистраций от вас (10 разных компаний). Кто захочет пообщаться на конференции - пишите на areconster@gmail.com.

Поэтому регистрируемся на конференцию по ссылке: http://www.vmwareforum2012.com/Moscow/register

Далее в графе "Как вы узнали о мероприятии?" указываем "Другое" и в следующем поле пишем "VMC":

УЧАСТИЕ БЕСПЛАТНОЕ!

Дата и место проведения:

30 мая 2012 с 9:00 до 19:00 в Москве в Центре Международной Торговли, по адресу: Краснопресненская наб., 12, подъезд №4.

На VMware Forum 2012 вы узнаете, как компания VMware, мировой лидер в сфере виртуализации и облачных технологий, вместе со своими партнерами реализует облачные инфраструктуры, предназначенные для решения насущных проблем. К таким проблемам относятся избыточная сложность ИТ-среды, недостаточный уровень безопасности и длительное время разработки, развертывания и запуска приложений в масштабах всей организации. 

VMware Forum — это однодневное мероприятие, которое проводится для администраторов приложений, специалистов групп инфраструктуры и эксплуатации, а также администраторов рабочих станций. VMware Forum предоставит всем участникам возможность получить конкретные рекомендации по реализации стратегии перехода к облачным вычислениям. Примите участие в Форуме и узнайте, как облака повысят эффективность вашей инфраструктуры!

Иногда для целей тестирования какой-нибудь из технологий высокой доступности VMware (например, Fault Tolerance или HA) хочется сделать что-нибудь плохое с хост-сервером ESXi, чтобы посмотреть, как он эту ситуацию обработает. Самый простой вариант - это перезагрузить хост, ну а можно еще вывести его в искусственный PSOD (Purple Screen of Death) - по аналогии с синим экраном смерти в Windows. При этом будет создан также Kernel Dump, который вы можете поизучать.

Вызвать ситуацию Kernel Panic и PSOD на хосте ESXi можно простой командой, зайдя на него по SSH или в DCUI:

# vsish -e set /reliability/crashMe/Panic 1

Результат:

После перезагрузки хоста с ним все будет нормально.

По прошествии достаточно большого времени с момента последнего обновления, компания VMware выпустила сборник иконок, рисунков и диаграмм за 2-й квартал 2012 года в формате PowerPoint, которые удобно использовать в схемах, презентациях и различной документации при проектировании виртуальной инфраструктуры на базе VMware vSphere и других продуктов, таких как VMware Site Recovery Manager, VMware View и vCloud Director.

Ссылки:

• VMW_PPT_LIBRARY_Icons-Diagrams_2Q12_2_of_3.pptx (2.6 MB)
• VMW_PPT_LIBRARY_Icons-Diagrams_2Q12_3_of_3.pptx (2.9 MB)
• VMW_PPT_LIBRARY_Icons-Diagrams_2Q12_1_of_3.pptx (17.4 MB)

Обратите внимание, что VMware настаивает на включении в документы, которые содержат эти картинки, какого-то бредового текста, который вы увидите в начале данных презентаций.

С 21 по 24 мая проводилась конференция EMC World 2012, где одной из главных тем были, конечно же, решения по защите данных и балансировки нагрузки между географически распределенными датацентрами. Прежде всего были анонсированы решения EMC VPLEX 5.1 и RecoverPoint 3.5:

По-прежнему, SRA-адаптера для совместного решения VMware SRM+VPLEX до сих пор нет, потому как, похоже, нет окончательной ясности, нужен ли SRM, когда есть VPLEX Metro с синхронизированными томами между датацентрами и "растянутый кластер" VMware vMSC (vSphere Metro Storage Cluster) между хостами датацентров. Безусловно, сотрудники EMC говорят, что решения взаимодополняющие (т.к. SRM - это план восстановления после сбоев, а не схема катастрофоустойчивости), но пока SRM предлагается использовать только в схеме с решением для защиты данных EMC RecoverPoint, для которого SRA-адаптер уже есть:

На эту тему появился отдельный документ "Improving VMware Disaster Recovery with EMC RecoverPoint".

Появилась также поддержка разнесенных active/active кластеров Oracle RAC в EMC VPLEX:

С точки зрения vSphere Metro Storage Cluster также появилась пара интересных новостей. Во-первых, документ "VMware vSphere Metro Storage Cluster Case Study", описываещий различные сценарии отказов в растянутом кластере высокой доступности (vMSC), построенном между двумя географически разнесенными площадками:

Также напомним про документ "Stretched Clusters and VMware vCenter Site Recovery Manager", который поможет понять, в каких ситуациях пригодится растянутый кластер, а когда без SRM не обойтись.

Во-вторых, к программе сертификации  vSphere Metro Storage Cluster program присоединилась HP Lefthand:

Более подробно об этом можно прочитать в KB 2020097 или в документе "Implementing VMware vSphere Metro Storage Cluster with HP LeftHand Multi-Site storage". В HCL компании VMware решение HP Lefthand появилось в категории "iSCSI vSphere Metro Cluster Storage".

Ну и для тех, кому интересно, о чем еще говорили на EMC World, можно почитать тут и тут.

22 мая компания VMware объявила о достижении соглашения по приобретению компании Wanova Mirage, которая занимается поставкой решений для управления образами пользовательских сред в корпоративной ИТ-инфраструктуре.

Если посмотреть на демо-видео от Wanova, то можно понять, что это решение, которое позволяет создать образ рабочей станции пользователя, разделив его на слои (система, приложения, а также данные и настройки пользователя), а потом централизованно управлять такими образами с двух сторон: обновления, резервное копирование, политики и настройки со стороны системного администратора, а также внесение изменений в данные и настройки ПК со стороны пользователя. Работает это все за счет агентов установленных на конечные устройства, обслуживающих кэширование данных и и их двунаправленную синхронизацию, а также управление слоями в целях обновлений, восстановления из бэкапов и т.п.

То есть, это решение для централизации управления и доставки образов ПК на традиционные компьютеры и ноутбуки. Отметим, что VMware приобрела решение Wanova не только с прицелом на виртуальную, но и на физическую среду. Напомним также, что у VMware есть и свое решение для выделения пользовательского слоя в виртуальную сущность - View Persona Management.

С точки зрения виртуальной среды, этот слоистый образ будет называться Centralized Virtual Desktop (CVD). Уже есть мысли по поводу того, как использовать такую концепцию для VMware View и локальных копий виртуальных ПК, которые на стороне клиентов исполняются в VMware Fusion:

То есть такой "сборный десктоп" можно доставлять в физические и виртуальные машины, работающие на различных платформах, в частности, VMware View Local Mode. При этом VMware View и Wanova могут работать как независимо, так и совместно. Например, в случае совместного использования, View отвечает за исполнение ПК на хост-серверах и их доставку на тонкие клиенты, планшеты и нетбуки, а Wanova за управление и доставку образов в физические и виртуальных ПК и ноутбуки, а также передачу образов в виртуальные машины VMware View при взаимодействии с View Composer. Эта концепция будет удобна также и для тех ПК, которые используются разъездными или филиальными работниками без подключения к интернету (на физической или виртуальной платформе).

В конечном итоге, приобретение наработок Wanova даст компании VMware следующие преимущества в сфере end user compiting:

• Возможность централизованного управления образами физических и виртуальных ПК из одного решения (конфигурация, обновления, безопасность и т.п.).
• Реализация сложных сценариев миграции, например, с Windows XP на Windows 7, где необходимо обновить ОС, оставить приложения, настройки и данные пользователей, а часть десктопов перенести в виртуальную среду на VMware View.
• Централизованное резервное копирование и быстрое восстановление данных виртуальных и физических ПК. Отсутствие необходимости больших объемов для хранения бэкапов (хранятся только оригинальные данные).

На словах все это выглядит красиво, хотя VMware придется серьезно поработать, чтобы сделать администрирование этой штуки простым и без многоконсольности. Но это у них и раньше вроде неплохо получалось.

С момента выпуска последней версии серверной платформы виртуализации Oracle VM Server 3.0 прошло уже 9 месяцев, поэтому компания Oracle, чтобы о ней, как об игроке рынка виртуализации, не забывали, выпустила обновление - Oracle VM Server 3.1.

Основные новые возможности Oracle VM Server 3.1:

• User Interface New Design - теперь многие операции выполняются в виде пошаговых мастеров.
• Drag and Drop - в веб-интерфейсе Oracle VM Manager можно перетаскивать объекты, потому что теперь используется Oracle Application
  Development Framework (ADF).
• Bulk Discovery of Oracle VM Servers - теперь по именам хостов и IP-адресам можно добавлять серверы Oracle VM.
• Hot Add vCPUs - возможность добавления виртуального процессора в работающую виртуальную машину.
• Move or Clone Virtual Machines and Templates - возможность перемещения виртуальных машин между репозиториями с сохранением параметров, а также возможность клонирования ВМ.
• Automatic Creation of Multiple Virtual Machines from a Template - возможность массового развертывания ВМ из шаблона.
• VM Console Take Over - возможность перехвата консоли ВМ другим пользователем.
• Move VM Storage Repositories - репозитории хранилищ теперь можно отвязать от одного пула серверов и привязать к другому.
• Backup/Restore Access to VM Storage Repositories - теперь репозитории экспортируются как NFS-тома, что может быть использовано софтом для резервного копирования.
• LUN Resizing - изменение размера LUN автоматически подхватывается файловой системой OCFS2 (Oracle Cluster File
  System).
• Multipath Boot from SAN - поддержка загрузки из сети хранения.
• Support for Jumbo Frames - поддержка больших кадров.
• Oracle VM Templates - новые готовые шаблоны виртуальных машин с ПО от Oracle.
• Microsoft Server Virtualization Vendor Program Validation (SVVP) - теперь продукт участвует и сертифицируется по программе.
• Updated Xen Hypervisor - используется гипервизор Xen версии 4.1.2.

Полный список нововведений в Oracle VM Server можно посмотреть вот в этом документе. Скачать Oracle VM Server 3.1 можно по этой ссылке.

Не секрет, что абсолютное большинство пользователей VMware vSphere, думающих о защите данных виртуальной среды, использует средство номер 1 для резервного копирования виртуальных машин Veeam Backup and Replication 6. Компании Veeam Software и StarWind Software недавно объявили о запуске совместной компании, в рамках которой всем пользователям Veeam Backup and Replication абсолютно бесплатно предоставляется средство дедупликации хранилищ резервных копий StarWind Global Deduplication, которое позволяет сократить требования к объему хранения до 90%.

Пример эффективности совместного использования Veeam Backup and Replication и StarWind Global Deduplication показан на картинке ниже:

Решение StarWind Global Deduplication предосталяется бесплатно всем пользователям Veeam, сертифицировано со стороны последней, а также включает в себя техническую поддержку в режиме 24/7.

Бесплатно скачать решение StarWind Global Deduplication для Veeam можно по этой ссылке: http://go.starwindsoftware.com/free-starwind-iscsi-san

Мы уже писали о новых возможностях VMware View 5.1 и новых клиентах, а сегодня поговорим о производительности этого решения для виртуализации настольных ПК предприятия. Прежде всего, напомним 2 основных документа, откуда можно узнать о том, какие техники использует VMware View и в каких моментах превосходит Citrix XenDesktop:

• VMware View 5 Performance and Best Practices - тут о самих механизмах оптимизации PCoIP
• Desktop Virtualization with VMware View 5 Compared to Citrix XenDesktop 5.5 - тут исследование (утвержденное компанией VMware) о сравнении View с Citrix XenDesktop.

Приведем также некоторые ссылки на статьи, где мы уже писали о техниках оптимизации протокола PCoIP в VMware View:

• Кэширование в VMware View: CBRC и Client Side Caching - кэширование блоков на чтение на стороне хостов ESXi, а также на стороне клиентов
• Оптимизация протокола PCoIP в VMware View 5 - 4 простых способа - как настроить PCoIP под имеющийся канал
• Конфигурация настроек протокола PCoIP для ПК VMware View 5 из графического интерфейса
• Включение и отключение Build to Loseless (BTL) в VMware View 5 при доступе через LAN/WAN
• Тест на производительность: сравнение PCoIP в VMware View 5 и View 4.6 - очень весомый скачок в производительности PCoIP в пятой версии View

Теперь VMware View 5.1 идет еще дальше по сравнению с версией 5.0:

1. Появилась функция VMware View Storage Accelerator

Этот механизм позволяет использовать оперативную память сервера для кэширования наиболее часто используемых блоков данных виртуальных ПК, запрашиваемых с конечного устройства. Делается это средствами технологии Content Based Read Cache (CBRC), поддержка которой уже имеется в VMware vSphere 5.0. Эта штука, само собой, положительно влияет на скорость обмена данными с конечными устройствами и производительность операций ввода-вывода для виртуальных ПК, поскольку блоки запрашиваются напрямую из памяти хост-сервера:

Этот тест проводился для 50 виртуальных ПК с гостевой ОС Windows 7 и были достигнуты следующие результаты (по сравнению с ситуацией, когда CBRC отключен):

• Увеличение до 80% пиковых IOPS
• Увеличение на 45% средних IOPS
• Увеличение пиковой скорости обмена с ПК до 65%
• Увеличение средней скорости обмена с ПК на 25%

2. Оптимизация клиентов VMware View 5.1

Со стороны клиентов, компания VMware внесла множество улучшений, большинство которых сделано для увеличения производительности воспроизведения видео. По сравнению с версией View 5.0, клиенты View 5.1 дают следующий прирост в плане видео:

При этом отметим, что улучшения были сделаны как для x86, так и для ARM-клиентов.

3. Улучшения коммуникации клиент-сервер в View 5.1.

В механизмах коммуникации клиента VMware View 5.1 с виртуальной машиной на сервере было сделано множество умных и полезных улучшений, сводящихся к тому, что клиент чаще и быстрее взаимодействует с виртуальным ПК, что приводит к приросту производительности операций перетаскивания объектов (и гладкости их прорисовки), а также скроллинга. Вот, например, как отличается прорисовка кривых по протоколам PCoIP (View 5.1) и RDP:

Для тех, кто интересуется тем, как именно это делается, есть специальная техническая статья "Comprehensive User Experience Monitoring" от инженеров VMware.

В общем, если и раньше были объективные причины предлагать клиентам Citrix XenDesktop по причине высокой производительности протокола Citrix HDX, то теперь их практически не осталось. С каждой новой версией видно, что VMware инвестирует в PCoIP, а XenDesktop просто стоит дороже.

Похоже, что кто-то (после 5 лет разработки) наконец додумался до того, что нужно применять виртуализацию GPU со стороны сервера, чтобы реализовывать требовательные к графике нагрузки в инфраструктуре виртуальных ПК предприятия (VDI). 15 мая компания NVIDIA анонсировала скорую доступность платформы VGX, которая представляет собой модуль с четырьмя GPU и 16 ГБ памяти, который будет устанавливаться в сервер через стандартный разъем PCI Express (2 слота).

Платформа NVIDIA VGX основана на трех сущностях:

• Плата NVIDIA VGX. Она имеет четыре GPU (каждый имеет 192 ядра NVIDIA CUDA) и 16 ГБ памяти и подключается к серверам через стандартный интерфейс PCI Express. Рассчитана на количество пользователей на сервер - до 100 штук.
• NVIDIA VGX GPU Hypervisor. Этот программный компонент, который интегрируется в коммерческие гипервизоры (пока говоритя почему-то о Citrix XenServer), обеспечивая поддержку виртуализации GPU со стороны хост-сервера.
• NVIDIA User Selectable Machines (USM). Эта опция позволяет компаниям предоставлять графические возможности индивидуальным пользователям в соответствии с их запросами. Эти возможности варьируются от реальных возможностей ПК, доступных со стандартной NVIDIA USM, до профессиональных функций 3D дизайна и проектирования с помощью GPU NVIDIA Quadro или NVIDIA NVS.

Характеристики платы VGX:

Теперь нам обещают новый уровнеь производительности в ПО для 3D-моделирования:

Воспроизведении видео:

И Windows Aero в виртуальном ПК:

Платформа NVIDIA VGX, включая новые платы NVIDIA VGX, а также компоненты NVIDIA GPU Hypervisor и NVIDIA USM, будет доступна через OEM и VDI партнеров NVIDIA уже в этом году. Ну что - посмотрим, штука интересная, и спрос на нее определенно есть.

Мы уже писали о новых возможностях VMware View 5.1, новой версии решения для виртуализации ПК, а вчера этот продукт стал доступен для загрузки. Скачать VMware View 5.1 можно по этой ссылке:

https://my.vmware.com/web/vmware/info/slug/desktop_end_user_computing/vmware_view/5_1

Из того, о чем мы еще не писали - обновился список всех клиентов для VMware View 5.1. Вот их окончательный набор:

• VMware View Client for Mac    
• VMware View Client for Mac  
• VMware View Client for iPad    
• VMware View Client for iPad in iTunes App Store  
• VMware View Client for Linux    
• VMware View Client for Linux in Ubuntu Software Center  
• VMware View Client for Windows    
• VMware View Client for 32-bit Windows  
• VMware View Client for 64-bit Windows  
• VMware View Client for 32-bit Windows with Local Mode Option  
• VMware View Client for 64-bit Windows with Local Mode Option  
• VMware View Client for Android    
• VMware View Client for Android in Google Play S
• VMware View Client for Kindle Fire in Amazon Android Ap
• VMware View Clients for Cisco Cius in Cisco AppHQ 
• VMware View Client for Android Standalone Package

В целом - весьма неплохо. Централизованно все клиенты VMware View можно скачать по этой короткой ссылке:

https://www.vmware.com/go/viewclients

Что нового появилось в различных клиентах? А вот что:

Новое для всех клиентов:

• Оптимизация для VMware View 5.1
• Улучшение производительности воспроизведения видел (до 3-х раз)
• Улучшения по работе с мышкой и клавиатурой
• Поддержка двухфакторной аутентификации RADIUS с VMware View 5.1
• Улучшения для bluetooth-клавиатур

Новое для всех мобильных клиентов (Mobile View Clients 1.5):

• Возможность сохранить пароль (при условии заданной администратором политики)
• Поддержка французской, немецкой и испанской раскладок
• Тычок в текстовом поле вызывает клавиатуру

Новое для View Client 5.1 под Windows:

• Поддержка режима Local mode для виртуальных машин с hardware version 8

Новое для View Client 1.5 под Linux:

• Клиент с поддержкой устройств на базе ARM в тонких клиентах

Новое для View Client 1.5 под Mac OS:

• Поддержка Mac OS X Mountain Lion
• Улучшенная синхронизация аудио/видео
• Устранены проблемы с мышкой при переключении в клиент

Новое для View Client 1.5 под iPad:

• Поддержка iPad 3 (New iPad)
• Улучшенный интерфейс
• Убран баг, когда расширенная клавиатура закрывала некоторые элементы

Новое для View Client 1.5 под Android:

• Поддержка ОС Ice Cream Sandwich (ICS) - Android 4.0
• Поддержка наведения указателя мыши, правого щелчка и и колесика
• Новый диалог настроек, включая настройки безопасности

Напоминаем, что старые клиенты VMware View не совместимы с серверами View 5.1. Поэтому первым делом - обновляем клиентов, а затем уже серверную часть (иначе не сможете законнектиться). И еще одна полезная ссылка - список сертифицированных клиентов VMware View.

Не секрет, что в последнее время пользователи виртуальной инфраструктуры VMware vSphere серезно задумываются о ее защите, а также о соответствии российскому законодательству, поскольку, зачастую, в виртуальных машинах обрабатываюся персональные данные. Кроме того, организации тратят большие деньги на организацию и исполнение процедур по настройке безопасности виртуальных сред в соответствии с руководящими документами и стандартами (это ручные и трудоемкие операции).

Специально для решения этих проблем и создан продукт vGate R2 - единственное сертифицированное средство для защиты инфраструктуры VMware vSphere. Поэтому приглашаем вас на вебинар "Информационная безопасность и выполнение требований законодательства  при использовании в организации инфраструктуры, построенной на платформе  VMware", который состоится 14 июня в 15:00 по московскому времени.

На вебинаре менеджер по развитию продукта Александр Лысенко расскажет о программном продукте vGate - лидирующем на российском рынке решении для защиты систем управления виртуальных инфраструктур на платформе VMware.

Будут рассмотрены угрозы информационной безопасности, возникающие при использовании виртуализации и способы их нейтрализации. Отдельно докладчик остановится на требованиях законодательства, отраслевых стандартах и лучших практиках в области информационной безопасности виртуализированных систем.

Будут представлены схемы использования vGate и других продуктов разработки «Кода Безопасности» для решения ИБ-задач в виртуальных инфраструктурах.

Регистрируйтесь!

Как известно, в VMware vSphere 5 появилось несколько полезных нововведений, касающихся сетевого взаимодействия, доступных в распределенном коммутаторе VMware vSphere Distributed Switch (vDS), которые облегчают жизнь сетевым администраторам. В частности, посредством dvSwitch доступны следующие новые возможности, которые описаны в документе "What's New in VMware vSphere 5.0 Networking":

• Поддержка Netflow версии 5 - возможность просмотра трафика между виртуальными машинами (ВМ-ВМ на одном или разных хостах, а также ВМ-физический сервер) посредством сторонних продуктов, поддерживающих Netflow.
• Поддержка зеркалирования портов Switch Port Analyzer (аналог технологии SPAN в коммутаторах Cisco) - возможность дублировать трафик виртуальной машины (а также VMkernel и физических адаптеров) на целевую машину (Port Mirroring), которая может реализовывать функционал системы обнаружения или предотвращения вторжений (IDS/IPS).
• Поддержка открытого стандарта Link Layer Discovery Protocol (LLDP, в реализации 802.1AB) - это механизм обнаружения соседних сетевых устройств и сбора информации о них для решения различных проблем сетевыми администраторами. Ранее поддерживался только протокол CDP (Cisco Discovery Protocol), поддержка которого есть не во всех устройствах.
• Улучшения механизма Network I/O Control - пулы ресурсов для сетевого трафика и поддержка стандарта 802.1q. Опредлеямые пользователем пулы для различных типов трафика позволяют приоритезировать и ограничивать пропускную способность канала для них посредством механизма shares и limits.

Все эти новые возможности мы разберем в следующих заметках, а сегодня сосредоточимся на механизме Netflow и его поддержке в vSphere 5. NetFlow — сетевой протокол, предназначенный для учёта сетевого трафика, разработанный компанией Cisco Systems. Является фактическим промышленным стандартом и поддерживается не только оборудованием Cisco, но и многими другими устройствами.

Для сбора информации о трафике по протоколу NetFlow требуются следующие компоненты:

• Сенсор. Собирает статистику по проходящему через него трафику. Обычно это L3-коммутатор или маршрутизатор, хотя можно использовать и отдельно стоящие сенсоры, получающие данные путем зеркалирования порта коммутатора. В нашем случае это распределенный коммутатор vDS.
• Коллектор. Собирает получаемые от сенсора данные и помещает их в хранилище.
• Анализатор. Анализирует собранные коллектором данные и формирует пригодные для чтения человеком отчёты (часто в виде графиков).

NetFlow дает возможность сетевому администратору мониторить сетевые взаимодействия виртуальных машин для дальнейших действий по обнаружению сетевых вторжений, отслеживания соответствия конфигураций сетевых служб и анализа в целом. Кроме того, данная возможность полезна тогда, когда требуется отслеживать поток трафика от приложений внутри виртуальной машины с целью контроля производительности сети и целевого использования трафика.

Синяя линия на картинке показывает настроенный виртуальный коммутатор, который посылает данные Netflow на стороннюю машину (коллектор), которая подключена к хост-серверу VMware ESXi через физический коммутатор. Коллектор уже передает данные анализатору. Netflow может быть включен на уровне отдельной группы портов (dvPortGroup), отдельного порта или аплинка (Uplink).

Для начала настройки Netflow нужно зайти в свойства коммутатора vDS (он должен быть версии 5.0.0 или выше):

Здесь мы указываем IP-адрес коллектора, куда будут отправляться данные, его порт, а также единый IP-адрес коммутатора vDS, чтобы хосты не представлялись отдельными коммутаторами для коллектора.

Включить мониторинг Netflow можно в свойствах группы портов на vDS в разделе Monitoring:

Далее в эту группу портов включаем одну из виртуальных машин:

Теперь можно использовать один из продуктов для сбора и анализа трафика Netflow, например, Manage Engine Netflow Analyzer. Пример статистики, которую собирает этот продукт по протоколам (в данном случае большинство трафика - http):

Netflow можно использовать для различных целей мониторинга, например, в инфраструктуре VMware View, где присутствуют сотни виртуальных машин, можно сгруппировать трафик по группам и смотреть, сколько трафика выжирается видеосервисами (Youtube, к примеру), так как это может сильно влиять на производительность сети в целом:

Применений Neflow на самом деле уйма, поэтому его поддержка в VMware vSphere 5 может оказаться вам очень полезной.

На проходящих сейчас по всему миру мероприятиях VMware Partner Exchange On Tour (PEX) сотрудники VMware все больше рассказывают о возможностях новой версии платформы виртуализации серверов VMware vSphere 5.1. Во-первых, стало известно, что vSphere 5.1 будет анонсирована на предстоящем VMworld, который пройдет в Сан-Франциско с 27 по 30 августа этого года.

Во-вторых, во всяких твиттерах появилось описание некоторых новых возможностей VMware vSphere 5.1, которые мы увидим осенью этого года, а именно:

• Поддержка технологии кластеров непрерывной доступности Fault Tolerance для виртуальных машин с несколькими виртуальными процессорами (vCPU).
• Загрузка хостов через адаптеры Fiber Channel over Ethernet (FCoE).
• Поддержка виртуализованных контроллеров домена Active Directory. Windows Server 8, который исполняется в виртуальной машине, на самом деле в курсе, что он работает в ВМ. Это означает, что создание и удаление снапшота такой машины не приведет к проблемам с AD, возникающих с номером последовательного обновления (Update Sequence Number, USN) контроллера. Ранее при восстановлении из снапшота из-за проблем с USN могла остановиться репликация данных каталога. Теперь Microsoft добавила технологию Generation ID, которая позволяет виртуальному контроллеру домена знать, последняя ли версия каталога им используется. За счет этого решаются проблемы с репликацией при откате к снапшоту, а также появляется возможность клонирования виртуальных машин с контроллерами домена. Соответственно, такую возможность и будет поддерживать vSphere 5.1.

Что касается технологии Fault Tolerance для ВМ с несколькими vCPU, то, как пишут наши коллеги на vMind.ru, эта технология будет требовать соединения 10 GigE для работы механизма "SMP Protocol", который придет на смену технологии vLockstep. При этом работать она сможет вообще без общего хранилища для виртуальных машин, которые могут быть разнесены по разным датасторам и хостам:

Безусловно, это не все новые возможности, которые следует ожидать в VMware vSphere 5.1, поэтому мы будем держать вас в курсе новых подробностей по мере их поступления.

Вы уже, наверняка, читали про новые возможности VMware View 5.1, а на днях обновился калькулятор VDI Flash Calculator до версии 2.8, предназначенный для расчета вычислительных мощностей и хранилищ, поддерживающий новые функции платформы виртуализации настольных ПК.

Среди новых возможностей калькулятора VDI:

• Поддержка VMware View 5.1
• Поддержка функции VMware View CBRC для системного диска (Content Based Read Cache) - предполагается уменьшение интенсивности ввода-вывода на чтение на 65%
• Поддержка связанных клонов на томах NFS для кластеров vSphere, состоящих из более чем 8-ми хостов
• Поддержка платформ с высокой плотностью размещения виртуальных ПК
• Поддержка разрешения экрана 2560×1600
• Небольшие изменения в интерфейсе

Ну и небольшое обзорное видео работы с калькулятором:

Если вы являетесь разработчиком и администраторов скриптов PowerCLI / PowerShell для автоматизации операций в виртуальной инфраструктуре VMware vSphere, вам, наверняка, часто приходится хардкодить логин и пароль для соединения с сервером vCenter или вводить их в интерактивном режиме. Это не очень безопасно (мало ли кто увидит ваш скрипт на экране), да и вообще, не очень удобно.

Специально для этого в PowerCLI есть хранилище, называемое Credential Store, в которое можно помещать логин и пароль от сервера, с которым вы соединяетесь из скрипта.

Делается это следующим командлетом:

New-VICredentialStoreItem -Host 192.168.1.10 -User 'user' -Password 'password'

Таким образом для этого хоста вы помещаете креды "user" с паролем "password" в шифрованное хранилище Credential Store, которое находится в следующем файле:

%APPDATA%\VMware\credstore\vicredentials.xml

Теперь при соединении с vCenter из скрипта, просто пишете:

Connect-VIServer 192.168.1.10

В этом случае, при отсутствии указания логина и пароля, PowerCLI заглядывает в хранилище и смотрит, нет ли там кредов для этого хоста, и если они есть, то подставляет их. Все просто.

Чтобы посмотреть креды из хранилища, нужно просто вызвать следующий командлет:

Get-VICredentialStoreItem -User 'user' -Host 192.168.1.10 -File 'credentials.xml'

Ну а для удаления кредов пишем вот так (для удаления всех логинов и паролей от хоста):

Remove-VICredentialStoreItem -Host 192.168.1.10 -Confirm

Или так для удаления кредов указанного пользователя в подсети хостов:

Remove-VICredentialStoreItem -User 'admin' -Host '192.168.*' -File 'credentials.xml' -Confirm

Такой способ хранения логинов и паролей для скриптов действует для конкретного пользователя, так как они хранятся в Credential Store в зашифрованном виде и могут быть расшифрованы только под ним. То есть, если злоумышленник украдет виртуальную машину с этими скриптами, но не сможет залогиниться под этим пользователем, получить эти пароли он не сможет, при условии использования Windows file encryption (EFS) для файла хранилища.

Есть также и альтернативный метод хранения кредов для скриптов в произвольном файле.

Интересная штука обнаружилась среди средств управления и мониторинга инфраструктуры VMware vSphere - Cloud Resource Meter от компании 6fusion, которая специализируется на утилитах для облачных сред. Это такая штука, которая реализована в виде виртуального модуля (Virtual Appliance), позволяющая оценить облачную инфраструктуру vSphere "в попугаях", то есть в специальных единицах Workload Allocation Cube (WAC), потребляемых за час. Убеждают, что алгоритм этого WAC - не хухры-мухры, а patent pending.

Этот WAC - это шестимерная сущность, представляющая собой эталонную совокупность ресурсов, потребляемых виртуальной машиной в облаке, а именно:

Вот в количестве таких шестигранных кубиков вы и увидите каждую из виртуальных машин своего (или провайдерского) датацентра в реальном времени. Предполагается, что такая модель позволит наиболее адекватно обсчитать вычислительные мощности своего ЦОД (chargeback), вести учет и планировать вычислительные мощности. Облачные провайдеры и менеджеры корпоративных датацентров могут устанавливать параметры и цену такого "вака", что позволит понимать, сколько ресурсов есть в наличии и сколько будет стоить разместить то или иное приложение в облаке.

Для каждой машины ведется исторический учет потребляемых "вакочасов":

Авторы этой программулины утверждают, что алгоритм этих "ваков" был разработан еще в 2004 году для профилирования приложений под ESX 1.0, так что может стоит и посмотреть, что они с тех пор сделали, тем более, что есть бесплатная версия продукта Cloud Resource Meter. На данный момент он, правда, находится в бете, но поддерживает vSphere 4.1 и 5.0.

Интересное исследование "Trends around Desktop Virtualization for Small and Mid-sized Organizations" опубликовала компания Spiceworks, касающееся больной темы - виртуализации настольных ПК (VDI) в секторе среднего и малого бизнеса. Не секрет, что в России "VDI в среднем и малом бизнесе" звучит как оксюморон, как по причине угнетения СМБ со стороны государства (и, как следствие, бедность и невозможность больших инвестиций в ИТ), так и по причинам сложностей понимания выгод концепции, трудностей администрирования (кадры), а также неочевидной экономии на стоимости владения. Поэтому посмотрим хотя бы, что там наисследовали западные коллеги.

Несмотря на то, что это исследование - очередная заказуха VMware, некоторые картинки из него интересны. Проблема безопасности является самой актуальной (у нас такой проблемой, наверняка, были бы деньги):

Аргумент про то, что обновление на Windows 7 лучше совместить с внедрением VDI не всегда катит для СМБ - они обновляются очень быстро по сравнению с Enterprise (те 39%, что не думают об обновлении - они и есть):

60% опрошенных уже пробовали или планируют попробовать VDI-решения в этом году (у нас эта цифра в разы меньше):

Большинство хочет развертывать VDI-инфраструктуру у себя. Таки сервис-провайдерам доверяют всего 12%:

Ну и, наконец, финальная картинка, бьющая Citrix по голове:

Citrix и Kaviza (которая сейчас тоже Citrix) занимают всего 30% базы инсталляций, а VMware - 53%. Эти цифры, естественно, нельзя прямо мапить на рынок, т.к. у Citrix продукт дороже, а также есть и другие факторы. Однако, надо отметить, что VMware очень плотно вливается в рынок VDI, из которого (мое личное мнение) она выдавит Citrix, если последняя не примет каких-то кардинальных мер.

Ни для кого не скрет, что государственные организации очень часто и очень много работают с персональными данными (ПДн). Не секрет также, что многие госы уже внедрили виртуальную инфраструктуру VMware vSphere, где есть виртуальные машины, которые эти данные хранят и обрабатывают, что требует соответствующих мер и технических средств защиты, сертифицированных ФСТЭК. К сожалению, сама платформа VMware vSphere имеет недостаток, который я называю "Lack of ФСТЭК", то есть отсутствие своевременно обновляемых сертификатов ФСТЭК на продукт (сейчас актуален сертификат на vSphere 4.1, и нет информации, когда будет сертифицирована пятерка).

Поэтому, когда есть персональные данные и инфраструктура vSphere, просто необходимо использовать единственный имеющийся сейчас на рынке сертифицированный ФСТЭК продукт vGate R2, который позволяет автоматически настроить среду VMware vSphere в соответствии с требованиями общепринятых и отраслевых (специально для России) стандартов, а также защитить инфраструктуру от НСД.

У vGate R2 есть два издания - для коммерческих организаций и специальное - для госструктур с гостайной.

Ниже приведена выдержка из описания кейса внедрения vGate R2 для ТФОМС Приморского края, где была необходима сертифицированная защита среды VMware vSphere:

Перед IT–специалистами и сотрудниками отдела информационной безопасности Фонда была поставлена задача обеспечить в 2011 году защиту информационных массивов персональных данных застрахованных граждан, эксплуатируемых в Фонде по классу информационной безопасности К1.
...
Для выполнения задач защиты системы обработки персональных данных были выбраны продукты vGate и Secret Net 6.5 разработки компании «Код Безопасности».

Реализация проекта по развертыванию ПО vGate осуществлялась на вновь создаваемом ресурсе в виде изолированной аппаратной платформы и развернутой на этой платформе виртуальной инфраструктуры на базе технологии VMware.

Связь с защищенным сегментом осуществляется через аппаратный терминальный клиент, обеспечивающий двухфакторный контроль доступа в защищенную среду центра обработки персональных данных.

Начальник отдела автоматизированной обработки информации ГУ ТФОМС ПК Воробьев П.Б.отметил, что в результате развертывания программного решения vGate для защиты виртуальной инфраструктуры центра обработки персональных данных были решены следующие задачи:

• обеспечена защита персональных данных, хранящихся и обрабатываемых в виртуальной среде (ЗСОПДн) от утечек через каналы, специфичные для виртуальной инфраструктуры (контроль виртуальных устройств, обеспечение целостности и доверенной загрузки виртуальных машин и контроль доступа к элементам виртуальной инфраструктуры);
• реализовано разделение объектов виртуальной инфраструктуры на логические группы и сферы администрирования с помощью функций мандатного и ролевого управления доступом;
• установлен контроль над изменениями настроек безопасности на основе утвержденных корпоративных политик безопасности;
• сконфигурирован и запущен в работу АРМ администратора системы безопасности;
• реализована регистрация попыток доступа в инфраструктуру, также возможность создания отчетов о состоянии виртуальной инфраструктуры и контроля целостности периметра;
• работа с персональными данными в ГУ ТФОМС ПК приведена в соответствие с требованиями законодательства РФ в области защиты информации.

Полностью текст кейса можно прочитать тут.

Компания Citrix Systems на проходящей в Сан-Франциско конференции Citrix Synergy 2012 сделала несколько важных заявлений, относящихся к продуктовой линейке виртуализации настольных ПК, и о других продуктах компании.

Итак, список основных новостей от Citrix:

• Продукт GoToAssist теперь доступен для Android-устройств и полностью бесплатно.
• Продукт GoToMeeting с поддержкой технологии HD Faces теперь доступен для iPad
• Поддержка тонкого клиента Wyse Xenith 2 (40% выше производительность сессий, безопасность, HD-графика, оптимизация при работе в WAN).
• Продукт VDI-in-a-Box теперь можно обновить лицензией до XenDesktop.
• Запущен проект Citrix AppDNA 6.1 (подробнее здесь).
• Компания VirtualComputer, выпускающая единственного конкурента клиентского гипервизора CItrix XenClient - продукт NxTop, приобретена компанией Citrix. Теперь нет конкурентов:)
• Продукт XenClient Enterprise Edition будет выпущен во втором квартале 2012 года и будет входить в издание XenDesktop Platinum.
• Анонсировано технологическое превью Project Aruba - расширения VDI-in-a-Box, которое позволяет упростить процедуры развертывания, администрирования и доставки виртуальных ПК средствами технологии vDisk и других. Виртуальные ПК, доставляемые таким образом, будут доступны как от сервис-провайдеров (Citrix Service Provider, CSP), так и на площадках заказчиков в частных облаках.
• Компания Podio приобретена компанией Citrix. Это платформа совместной проектной работы с поддержкой ПО для совещаний Citrix GoToMeeting (кстати, бесплатно на 5 пользователей) и сервиса хранения ShareFile от Citrix.
• Анонсирован ShareFile with StorageZones - возможность контроля хранения данных в зависимости от их типа в частном или публичном облаке. Сам сервис ShareFile может быть развернут как внутри инфраструктуры компании, так и в публичном облаке сервис-провайдера. Поддерживается он из клиента Citrix Receiver и по функциям напоминает Dropbox, а также Project Octopus от VMware.
• Также клиент Citrix Receiver с поддержкой возможности Follow-Me Data будет доступен в июле этого года.
• Анонсированы новые функции Cloud Gateway 2 - средства федерации SaaS-приложений и облаков Citrix в едином фронтенде (см. VMware Horizon). Новые возможности включают в себя средства доступа через Receiver к интрасети без браузера, унифицированный безопасный фронтенд для корпоративных Web, SaaS и Windows-приложений, а также средство iJacket, предоставляющее контейнеры для устройств с различными форм-факторами.
• Компонент CloudBridge (бэкенд Cloud Gateway для соединения со своим датацентром или облачным провайдером) будет доступен в июне этого года.
• Технология XenDesktop Flexcast теперь поддерживает функцию Remote PC.
• Представлены новые улучшения протокола HDX для CAD-приложений.
• Представлена платформа Citrix CloudPlatform, основанная на продукте Apache CloudStack, которая доступна уже сегодня.
• Представлен Project Avalon = CloudStack + XenApp/XenDesktop + оркестрация сервисов в "облачном стиле". О том, что это такое, можно прочитать вот тут.

Теперь несколько скриншотов. Citrix ShareFile, как и DropBox, монтирует папку из облака в Windows:

Концепция Follow-Me Data:

Архитектура Project Avalon:

В общем, компания Citrix все больше фокусируется на облаках и доставке сервисов пользователю, но все дальше уходит от серверной виртуализации, которая, по-сути, осталась уже в прошлом.

Как известно, многие консольные команды старой сервисной консоли VMware ESX (например, esxcfg-*) в ESXi 5.0 были заменены командами утилиты esxcli, с помощью которой можно контролировать весьма широкий спектр настроек, не все из которых дублируются графическим интерфейсом vSphere Client. В списке ниже приведены некоторые полезные команды esxcli в ESXi 5.0, которыми можно воспользоваться в локальной консоли (DCUI) или по SSH для получения полезной информации как о самом хост-сервере, так и об окружении в целом.

1. Список nfs-монтирований на хосте:
# esxcli storage nfs list

2. Список установленных vib-пакетов:
# esxcli software vib list

3. Информация о памяти на хосте ESXi, включая объем RAM:
# esxcli hardware memory get

4. Информация о количестве процессоров на хосте ESXi:
# esxcli hardware cpu list

5. Список iSCSI-адаптеров и их имена:
# esxli iscsi adapter list

6. Список сетевых адаптеров:
# esxcli network nic list

7. Информация об IP-интерфейсах хоста:
# esxcli network ip interface list

8. Информация о настройках DNS:
# esxcli network ip dns search list
# esxcli network ip dns server list

9. Состояние активных соединений (аналог netstat):
# esxcli network ip connection list

10. Вывод ARP-таблицы:
# network neighbors list

11. Состояние фаервола ESXi и активные разрешения для портов и сервисов:
# esxcli network firewall get
# esxcli network firewall ruleset list

12. Информация о томах VMFS, подключенных к хосту:
# esxcli storage vmfs extent list

13. Мапинг VMFS-томов к устройствам:
# esxcli storage filesystem list

14. Текущая версия ESXi:
# esxcli system version get

15. Вывод информации о путях и устройствах FC:
# esxcli storage core path list
# esxcli storage core device list

16. Список плагинов NMP, загруженных в систему:
# esxcli storage core plugin list

17. Рескан HBA-адаптеров:
# esxcli storage core adapter rescan

18. Получить список ВМ с их World ID и убить их по этому ID (помогает от зависших и не отвечающих в vSphere Client ВМ):
# esxcli vm process list (получаем ID)
# esxcli vm process kill --type=[soft,hard,force] --world-id=WorldID (убиваем разными способами)

19. Узнать и изменить приветственное сообщение ESXi:
# esxcli system welcomemsg get
# esxcli system welcomemsg set

20. Поискать что-нибудь в Advanced Settings хоста:
# esxcli system settings advanced list | grep <var>

21. Текущее аппаратное время хоста:
# esxcli hardware clock get

22. Порядок загрузки с устройств:
# esxcli hardware bootdevice list

23. Список PCI-устройств:
# esxcli hardware pci list

24. Рескан iSCSI-адаптеров (выполняем две команды последовательно):
# esxcli iscsi adapter discovery rediscover -A <adapter_name>
# esxcli storage core adapter rescan [-A <adapter_name> | -all]

25. Список виртуальных коммутаторов и портгрупп:
# esxcli network vswitch standard list

Из основного вроде все. Если что-то еще используете - пиши плз в каменты. Полный список того, что можно сделать с esxcli, приведен в документе "Command-Line Management in vSphere 5.0
for Service Console Users".

Для тех из вас, кто умеет и любит разрабатывать скрипты на PowerCLI / PowerShell для виртуальной инфраструктуры VMware vSphere, приятная новость - вышло два полезных справочика в формате Quick Reference. Первый - vSphere 5.0 Image Builder PowerCLI Quick-Reference v0.2, описывающий основные командлеты для подготовки образов хост-серверов к автоматизированному развертыванию (а также собственных сборок ESXi) средствами Image Builder:

Второй - vSphere 5.0 AutoDeploy PowerCLI Quick-Reference v0.2, описывающий основные командлеты для автоматизации процесса развертывания хост-серверов ESXi средствами Auto Deploy:

Продолжаем рассказывать о средстве номер 1 StarWind Native SAN для создания отказоустойчивых хранилищ виртуальных машин для серверов Microsoft Hyper-V (тут о последней версии 5.8). Как известно, в средних и больших инфраструктурах серверов Hyper-V для управления хост-серверами и виртуальными машинами используется средство централизованного управления System Center Virtual Machine Manager (SC VMM). Поэтому администраторам хочется управлять серверами хранилищ StarWind непосредственно из консоли SC VMM. Для этого есть специальный компонент StarWind SMI-S Agent:

Поставить его с наскока не получится - нужно сначала прочитать документ "StarWind SMI-S Agent: Storage Provider for SCVMM", где описаны основные шаги установки этого агента и настройки SC VMM. Скачать StarWind SMI-S Agent можно по этой ссылке.

Мы уже некоторое время назад писали про различные особенности томов VMFS, где вскользь касались проблемы блокировок в этой кластерной файловой системе. Как известно, в платформе VMware vSphere 5 реализована файловая система VMFS 5, которая от версии к версии приобретает новые возможности.

При этом в VMFS есть несколько видов блокировок, которые мы рассмотрим ниже. Блокировки на томах VMFS можно условно разделить на 2 типа:

• Блокировки файлов виртуальных машин
• Блокировки тома

Блокировки файлов виртуальных машин

Эти блокировки необходимы для того, чтобы файлами виртуальной машины мог в эксклюзивном режиме пользоваться только один хост VMware ESXi, который их исполняет, а остальные хосты могли запускать их только тогда, когда этот хост вышел из строя. Назвается этот механизм Distributed Lock Handling.

Блокировки важны, во-первых, чтобы одну виртуальную машину нельзя было запустить одновременно с двух хостов, а, во-вторых, для их обработки механизмом VMware HA при отказе хоста. Для этого на томе VMFS существует так называемый Heartbeat-регион, который хранит в себе информацию о полученных хостами блокировок для файлов виртуальных машин.

Обработка лока на файлы ВМ происходит следующим образом:

• Хосты VMware ESXi монтируют к себе том VMFS.
• Хосты помещают свои ID в специальный heartbeat-регион на томе VMFS.
• ESXi-хост А создает VMFS lock в heartbeat-регионе тома для виртуального диска VMDK, о чем делается соответствующая запись для соответствующего ID ESXi.
• Временная метка лока (timestamp) обновляется этим хостом каждые 3 секунды.
• Если какой-нибудь другой хост ESXi хочет обратиться к VMDK-диску, он проверяет наличие блокировки для него в heartbeat-регионе. Если в течение 15 секунд (~5 проверок) ESXi-хост А не обновил timestamp - хосты считают, что хост А более недоступен и блокировка считается неактуальной. Если же блокировка еще актуальна - другие хосты снимать ее не будут.
• Если произошел сбой ESXi-хоста А, механизм VMware HA решает, какой хост будет восстанавливать данную виртуальную машину, и выбирает хост Б.
• Далее все остальные хосты ESXi виртуальной инфраструктуры ждут, пока хост Б снимет старую и поставит свою новую блокировку, а также накатит журнал VMFS.

Данный тип блокировок почти не влияет на производительность хранилища, так как происходят они в нормально функционирующей виртуальной среде достаточно редко. Однако сам процесс создания блокировки на файл виртуальной машины вызывает второй тип блокировки - лок тома VMFS.

Блокировки на уровне тома VMFS

Этот тип блокировок необходим для того, чтобы хост-серверы ESXi имели возможность вносить изменения в метаданные тома VMFS, обновление которых наступает в следующих случаях:

• Создание, расширение (например, "тонкий" диск) или блокировка файла виртуальной машины
• Изменение атрибутов файла на томе VMFS
• Включение и выключение виртуальной машины
• Создание, расширение или удаление тома VMFS
• Создание шаблона виртуальной машины
• Развертывание ВМ из шаблона
• Миграция виртуальной машины средствами vMotion

Для реализации блокировок на уровне тома есть также 2 механизма:

• Механизм SCSI reservations - когда хост блокирует LUN, резервируя его для себя целиком, для создания себе эксклюзивной возможности внесения изменений в метаданные тома.
• Механизм "Hardware Assisted Locking", который блокирует только определенные блоки на устройстве (на уровне секторов устройства).

Наглядно механизм блокировок средствами SCSI reservations можно представить так:

Эта картинка может ввести в заблуждение представленной последовательностью операций. На самом деле, все происходит не совсем так. Том, залоченный ESXi-хостом А, оказывается недоступным другим хостам только на период создания SCSI reservation. После того, как этот reservation создан и лок получен, происходит обновление метаданных тома (более длительная операция по сравнению с самим резервированием) - но в это время SCSI reservation уже очищен, так как лок хостом А уже получен. Поэтому в процессе самого обновления метаданных хостом А все остальные хосты продолжают операции ввода-вывода, не связанные с блокировками.

Надо сказать, что компания VMware с выпуском каждой новой версии платформы vSphere вносит улучшения в механизм блокировки, о чем мы уже писали тут. Например, функция Optimistic Locking, появившаяся еще для ESX 3.5, позволяет собирать блокировки в пачки, максимально откладывая их применение, а потом создавать один SCSI reservation для целого набора локов, чтобы внести измененения в метаданные тома VMFS.

С появлением версии файловой системы VMFS 3.46 в vSphere 4.1 появилась поддержка функций VAAI, реализуемых производителями дисковых массивов, так называемый Hardware Assisted Locking. В частности, один из алгоритмов VAAI, отвечающий за блокировки, называется VAAI ATS (Atomic Test & Set). Он заменяет собой традиционный механизм SCSI reservations, позволяя блокировать только те блоки метаданных на уровне секторов устройства, изменение которых в эксклюзивном режиме требуется хостом. Действует он для всех перечисленных выше операций (лок на файлы ВМ, vMotion и т.п.).

Если дисковый массив поддерживает ATS, то традиционная последовательность SCSI-комманд RESERVE, READ, WRITE, RELEASE заменяется на SCSI-запрос read-modify-write для нужных блокировке блоков области метаданных, что не вызывает "замораживания" LUN для остальных хостов. Но одновременно метаданные тома VMFS, естественно, может обновлять только один хост. Все это лучшим образом влияет на производительность операций ввода-вывода и уменьшает количество конфликтов SCSI reservations, возникающих в традиционной модели.

По умолчанию VMFS 5 использует модель блокировок ATS для устройств, которые поддерживают этот механизм VAAI. Но бывает такое, что по какой-либо причине, устройство перестало поддерживать VAAI (например, вы откатили обновление прошивки). В этом случае обработку блокировок средствами ATS для устройства нужно отменить. Делается это с помощью утилиты vmkfstools:

vmkfstools --configATSOnly 0 device

где device - это пусть к устройству VMFS вроде следующего:

/vmfs/devices/disks/disk_ID:P

Интересный продукт обнаружился среди корпоративных VDI-решений. Оказывается Citrix XenClient - не единственный клиентский гипервизор, который реализует Type-1 гипервизор, в котором могут быть одновременно запущено несколько виртуальных машин на одном ПК. Есть еще и продукт NxTop от компании Virtual Computer:

По-сути, NxTop - это "тонкий" гипервизор на базе открытого продукта Xen, который позволяет установить компонент NxTop Engine на компьютер без ОС и запускать с его помощью клиентские виртуальные машины на базе Windows и Linux. Преимущества такого подхода те же, что и у XenClient - централизованное развертывание образов ПК, их обновление, возможность иметь рабочий и домашний компьютеры одновременно запущенными на своем ноутбуке, которые изолированы друг от друга, а рабочий - защищен политиками. Несомненный плюс такого подхода - возможность работать Offline, без интернета, в отличие от традиционного VDI-решения.

Помимо самого гипервизора NxTop Engine, есть также компонент NxTop Center, который отвечает за централизованное управление этими гипервизорами и образами ОС. Поставляется он также в виде виртуального модуля (Virtual Appliance), который можно развернуть на платформе Microsoft Hyper-V. А можно просто поставить его в Parent partition на сервере Hyper-V.

Таким образом, в данном решении виртуальные машины запускаются на конечных устройствах (ноутбуки и ПК), а на NxTop Center находятся все службы централизованного обслуживания и управления. То есть, конечные устройства выступают своего рода "хост-серверами", которыми управляет NxTop Center, но на которых запущены не серверы, а клиентские ОС. Из этой консоли и происходит руление ноутбуками и компьютерами, на которых есть виртуальные машины и которые можно обновлять, изменять, накатывать политики и прочее.

Средство управления NxTop Center развертывается на хосте Windows Server 2008 с ролью Hyper-V, где происходит создание виртуальных машин и управление ими, после чего они доставляются на конечные устройства пользователей. При этом на гипервизоре NxTop они запускаются без каких-либо дополнительных модификаций. Можно также создавать виртуальные машины в самом NxTop Engine. Обратите внимание, что и сама консоль NxTop Center похожа на одну из стандартных консолей System Center.

Список совместимости гипервизора NxTop с различными устройствами находится тут: http://www.virtualcomputer.com/hcl. В общем-то, он не маленький.

Сам гипервизор NxTop Engine обладает следующими возможностями:

• Поддержка графической подсистемы хоста и вывод на несколько мониторов.
• Поддержка сетевых интерфейсов Ethernet, 802.11 wireless LAN, а также модулей 3G/4G.
• Функции по переключению между машинами с расширенными возможностями по управлению их питанием (вкл-выкл-suspend).
• Поддержка широкого спектра USB-периферии.
• Обработка событий оборудования, таких как закрытие крышки ноутбука.

Кстати, все виртуальные машины на клиентских устройствах хранятся в зашифрованном виде.

Средство управления NxTop Center выполняет следующие функции:

• Созданиие и модификация виртуальных машин.
• Управление пользователями, ролями и разрешениями. Назначение машин пользователям.
• Доставка образов на конечные устройства.
• Обновление виртуальных машин и их резервное копирование.

Когда NxTop Engine на пользовательском устройстве соединяется с NxTop Center и обнаруживает, что образ виртуальной машины обновился, он посылает обновление пользователю, которое применяется при следующей загрузке компьютера. Также поддерживаются снапшоты состояний ВМ, которые могут служить резервными копиями конфигураций.

Ну и напоследок, небольшая демка о том, как работает NxTop на стороне клиентского устройства:

У NxTop есть бесплатное издание NxTop Express, которое бесплатно для 5-и пользователей, что позволяет сразу приступить к тестированию решения. Потом можно уже купить издание Enterprise.

В общем, штука интересная. А кто-нибудь ее из вас уже пробовал? Как впечатления?

Продолжаем рассказывать технические подробности о сертифицированном ФСТЭК продукте vGate R2, который предназначен для обеспечения безопасности виртуальной инфраструктуры VMware vSphere (в том числе 5-й версии) средствами политик ИБ и механизма защиты от НСД.

Сегодня мы поговорим о компоненте защиты сервера vCenter, который входит в поставку vGate R2. Это сетевой экран, который позволит вам дополнить решение по защите виртуальной среды VMware vSphere. В его установке нет никаких сложностей - ставится он методом "Next->Next->Next":

Потребуется лишь указать параметры базы сервера авторизации, который должен быть развернут в виртуальной среде (как это делается - тут) и параметры внешней подсети, в которую смотрит сервер vCenter (это сеть, откуда соединяются через клиент vSphere администраторы виртуальной инфраструктуры):

После этого компонент vGate R2 для защиты vCenter будет установлен. У него нет графического интерфейса, поэтому для задания правил сетевого экрана нужно воспользоваться консольной утилитой. Компонент защиты, устанавливаемый на vCenter, осуществляет фильтрацию только входящего трафика. При этом разрешены только штатные входящие сетевые соединения:

• соединения из внешнего периметра сети администрирования через сервер
  авторизации
• доступ с сервера авторизации на TCP-порт 443 и по протоколу ICMP
• доступ на UDP-порт 902 c ESX-серверов

Если необходимо разрешить доступ к vCenter с какого-либо иного направления, то необходимо добавить правила доступа с помощью специальной утилиты командной строки drvmgr.exe.

Описание некоторых команд утилиты drvmgr.exe и их параметров приведено ниже:

• > drvmgr
  Вызов справки
• > drvmgr i 0x031
  Просмотр текущих правил фильтрации
• >drvmgr А protocol IP_from[:source_port[,mask]] [:destination_port] [Flags]
  Добавление правила фильтрации
• >drvmgr R protocol IP_from[:source_port[,mask]] [destination_port] [Flags]
  Удаление правила фильтрации

Описание аргументов параметров команд утилиты приведено в таблице:

Например, для добавления правила, разрешающего входящие соединения из сети 172.28.36.0 по любому протоколу на любой входящий порт vСenter, формат команды следующий:

>drvmgr A any 172.28.36.0:any,255.255.255.0 any 4

Для удаления вышеуказанного правила следует указать команду:

>drvmgr R any 172.28.36.0:any,255.255.255.0 any 4

Скачать пробную версию продукта vGate R2 можно по этой ссылке. Презентации по защите виртуальных инфраструктур доступны тут, а сертификаты ФСТЭК продукта - здесь.

Компания VMware параллельно с релизом VMware View 5.1 объявила о скорой доступности решения для федерации SaaS-приложений и VDI-сервисов VMware Horizon Application Manager 1.5. Об этом продукте мы уже писали тут, тут и тут. Ранее модель использования этого продукта была такова:

То есть, часть решения Horizon Application Manager предлагалось использовать со стороны облачных сервисов VMware, что создавало некоторые проблемы компаниям, политики которых запрещают вынесение служб аутентификации за пределы датацентра компании. Теперь же VMware Horizon Application Manager 1.5 представляет собой полоностью on-premises решение, т.е. все его компоненты размещены в датацентре компании. Поставляется этот продукт в виде виртуального модуля (Virtual Appliance).

Для внешних SaaS-продуктов существуют специальные коннекторы:

Напомним, что для конечного пользователя VMware Horizon Application Manager представляет собой портал с SaaS-приложениями и VDI-сервисами (например, приложениями VMware ThinApp), где в один клик можно получить доступ к веб-приложению (например, LinkedIn), виртуальному приложению ThinApp (которое может быть доставлено в браузер пользователя через VMware AppBlast средствами технологий HTML 5 и Java), либо виртуальному ПК VMware View, который в скором времени также будет доставляться в браузер через HTML 5. Таким образом, кроме устройства доступа (ПК, ноутбук, нетбук или планшет) и браузера, в скором времени пользователю ничего не нужно будет иметь, чтобы получить доступ к корпоративной инфраструктуре приложений. Концепция выглядит красиво, если, конечно, купить все дорогостоящие ее составляющие от VMware.

Основная фича такого портала - Single Sign-On (SSO), что избавляет пользователя от ввода паролей на всех сайтах и приложениях. Удобно - федерация же.

Кстати, пока нет HTML 5, придется ставить Horizon Agent, чтобы он мог доставлять виртуализованные пакеты ThinApp на компьютер пользователя:

Из новых возможностей продукта стоит отметить функцию создания рабочих процессов по утверждению использования лицензии на приложение на конкретной платформе со стороны ИТ-персонала компании:

То есть, приложение можно запускать на компьютере из офиса, а если используется планшет дома, то запрос на такое использование может утверждаться со стороны администратора лицензий (см., например, новое лицензирование Windows).

Также есть 3 рабочих консоли, выполняющих административные задачи:

• Horizon Operator - это консоль суперадминистратора, в которой можно управлять любым из элементов иерархии Horizon, включающей в себя несколько организаций. Это средство, которое требуется сервис-провайдерам, работающим по программе VSPP.
• Horizon Administrato - средство администрирования приложений и пользователей в рамках одной организации. Это для частных облаков.
• Horizon Policy Manager - консоль редактирования политик приложения: откуда его можно запускать (location), на каких устройствах (т.е., какие из них trusted) и т.п. Это для безопасников и администраторов лицензий.

Что касается лицензирования. Ранее VMware Horizon Application Manager продавался по $30 за пользователя в год по модели SaaS, теперь же к себе в датацентр предлагается покупать его по цене в $60 долларов за лицензию (+подписка), но уже не на год, а на сколько нужно. Цены американские - к ним прибавляйте стандартную офигевшую наценку 20-30% для России.

Мы уже писали о продукте для комплексного мониторинга и управления виртуальной инфраструктурой VMware vCenter Operations Management Suite, в состав которого входит ПО для отслеживания взаимосвязей на уровне приложений VMware vCenter Infrastructure Navigator. На днях компания VMware выпустила обновление - VMware vCenter Infrastructure Navigator 1.1.

Напомним, что Infrastructure Navigator - это плагин к vCenter (интегрируется в веб-клиент VMware vSphere 5 Web Client), поставляемый в виде виртуального модуля (Virtual Appliance), который строит структуру взаимосвязей на уровне приложений в виртуальных машинах, что позволяет анализировать завимости уровня приложений и их связ с объектами VMware vSphere.

vCenter Infrastructure Navigator предоставляет следующие основные возможности:

• Построение карты сервисов в виртуальной среде для того, чтобы отследить взаимосвязь проблемы отдельного сервиса и виртуальной инфраструктуры. Приложения в виртуальных машинах и взаимосвязи между ними обнаруживаются и добавляются на карту автоматически.
• Отслеживание влияния изменений в приложениях на группы сервисов и виртуальную среду в целом для дальнейшего анализа влияния на бизнес-функции виртуальной инфраструктуры.
• Ассоциирование объектов виртуальной инфраструктуры с объектами приложений, что позволяет оперировать с объектами vSphere, относящимися к конкретному сервису (например, поиск ВМ, реализующих сервисы Exchange и управление ими).
• Поддержка взаимосвязей на уровне приложений для корректного восстановления инфраструктуры на DR-площадке (например, с помощью VMware SRM)

Если обобщить, то vCenter Infrastructure Navigator позволяет отобразить линейный список ваших виртуальных машин в vSphere Client на карту зависимостей сервисов друг от друга (с учетом портов взаимодействия), что позволит понять влияние тех или иных действий с виртуальной машиной или приложением в ней на другие составляющие ИТ-инфраструктуры компании:

То есть, слева у вас просто список машин (в данном случае, в контейнере vApp), а справа - уже карта связей на уровне компонентов приложений.

Новые возможности VMware vCenter Infrastructure Navigator 1.1:

• Поддержка продукта VMware vCloud Director (VCD) для облачных сред.
• Поддержка внешних взаимосвязей для приложений. Например, сервисов виртуальной машины с сервисами физического сервера, который не управляется vCenter.
• Обнаружение неизвестных сервисов - для них просто указывается тип "unknown", имя процесса и порт, на котором сервис слушает.
• Возможность задания пользовательского типа сервиса на базе атрибутов: имя процесса, порт.
• Поддержка обнаружения следующих сервисов: Site Recovery Manager (SRM) Server, VMware View Server, VMware vCloud Director Server и VMware vShield Manager Server.
• Нотификации о различных ошибках на отдельной панели.
• Возможность раскрытия объектов карты сервисов из одного представления для вывода необходимого уровня детальности дерева взаимосвязей.

Напоминаем, что VMware vCenter Infrastructure Navigator 1.1 является частью продукта VMware vCenter Operations Management Suite и доступен для загрузки по этой ссылке. Также обновился и сам VMware vCenter Operations Manager (основная часть Suite) до версии 5.01.

Сотрудники компании VMware не так давно на корпоративном блоге публиковали заметки о сравнении протоколов FC, iSCSI, NFS и FCoE, которые используются в VMware vSphere для работы с хранилищами. В итоге эта инициатива переросла в документ "Storage Protocol Comparison", который представляет собой сравнительную таблицу по различным категориям, где в четырех столбиках приведены преимущества и особенности того или иного протокола:

Полезная штука со многими познавательными моментами.

Продолжаем рассказывать о продукте vGate R2, предназначенном для защиты виртуальной инфраструктуры за счет встроенных политик безопасности, обеспечивающих автоматическую безопасную настройку сред VMware vSphere 4.0, 4.1 и 5.0, а также виртуальных машин. Напомним, что vGate R2 - это единственное средство комплексной защиты виртуализации, сертифицированное ФСТЭК.

Одной из полезных особенностей vGate R2 является наличие специализированных политик ИБ, применяющихся в конкретной отрасли. Например, если говорить о банках, vGate R2 имеет следующие наборы политик, которые могут быть очень полезными:

• Стандарт Банка России для ИСПДн-Д
• Стандарт Банка России для ИСПДн-Б
• Стандарт Банка России для ИСПДн-И
• Стандарт Банка России для ИСПДн-С

Поэтому, продолжая банковскую тему, посоветуем вам прочитать статью Михаила Емельянникова "Проблемы реализации требований законодательства о персональных данных в кредитно-финансовых учреждениях и пути их преодоления" о том, какая специфика кроется в сфере защиты виртуальных инфраструктур банков. Там не только о виртуальной инфраструктуре и vGate R2, но и о средствах защиты физической среды, а также приводятся особенности законодательства в этой сфере.