Недавно компания VMware объявила о выпуске обновленной версии облачной платформы Aria Automation Cloud 8.13 (релиз July 2023), предназначенной для автоматизации операций виртуальной инфраструктуры VMware vSphere на платформе VMware Cloud. Напомним, что о возможностях апрельского релиза Aria Automation Cloud 8.12 мы рассказывали вот тут. Главным нововведением апрельского релиза стала архитектура на базе плагинов, ну а сегодня давайте посмотрим на новые возможности этого выпуска.
Теперь в Aria Automation улучшена поддержка Google Cloud Platform (GCP) по сравнению с предыдущим релизом. Чтобы узнать больше технических деталей, прочитайте о поддержке ресурсов GCP в VMware Aria Automation.
Вкратце, вот что мы получили нового:
1. Поддержка учетных записей служб в плагине GCP
Эта функция позволяет пользователям VMware Aria Automation развертывать сервисные учетные записи служб GCP и ключи учетных записей служб с использованием блупринтов (blueprints), каталогов и сервисов Idem.
2. Поддержка балансировщиков нагрузки в плагине GCP
Эта функция позволяет пользователям VMware Aria Automation развертывать балансировщик нагрузки в среде GCP, обеспечивая перенаправление пользователей к ближайшему доступному и наилучшему по производительности экземпляру, уменьшая задержку и улучшая пользовательский опыт.
В дополнение к новым функциям по поддержке публичного облака, также появилось несколько новых возможностей для улучшения механизмов автоматизации.
3. Версии кастомных форм интегрированы с контент-элементами (Content Items)
Пользовательские формы службы VMware Aria Automation Service Broker получили следующее улучшение - пользователи могут настраивать элементы контента, основанные на корневых блупринтах.
Чтобы создать пользовательскую кастомную форму для конкретных версий блупринта, пользователю нужно нажать на панель деталей, а затем на имя версии (теперь показанное как ссылка), чтобы открыть конструктор форм для этой конкретной версии.
Добавить кнопку "Disable custom form" в меню действий на панели деталей, которое отключает пользовательскую форму для этой конкретной версии блупринта.
Добавить одну колонку к таблице версий блупринта с указанием, имеет ли эта версия специфическую для версии пользовательскую форму.
Переименовать "Delete custom form" в "Delete version-specific custom form" в меню действий таблицы данных на панели деталей.
4. Отмена регистрации созданных машин как действие Day-2 action
Теперь вы можете отменить регистрацию созданных с помощью VMware Aria Automation виртуальных машин vSphere в VMware Aria Automation как действие с ресурсом Day-2 action. Когда вы отменяете регистрацию созданной ВМ, она удаляется из инвентаря VMware Aria Automation, но остается без изменений в vCenter, как это было до выполнения действия. Это улучшение может помочь клиентам освободить лицензии от неиспользуемой ВМ и использовать ресурс лицензий более эффективно.
5. Опциональное игнорирование CPU/памяти выключенных ВМ в политике квоты ресурсов
Пользователи теперь могут выбирать, игнорировать ли CPU и память, потребляемые выключенными ВМ, в политике квоты ресурсов. Это позволяет пользователям, которые ограничены политикой квоты ресурсов, создавать ВМ, даже если они превысили квоты CPU или памяти, если некоторые ВМ, которые учитываются в квоте, выключены. Это улучшение дает пользователям больше гибкости в политике квотирования для использования ресурсов.
6. Ребилд виртуальной машины для Onboarded и Migrated рабочих нагрузок vSphere
В дополнение к появившемуся ранее действию Rebuild (Day 2), VMware теперь поддерживает действие Rebuild для Onboarded рабочих нагрузок vSphere и рабочих нагрузок vSphere, полученных из инструмента помощника миграции (migration assistant). Когда для загруженной ВМ впервые запрашивается Rebuild, пользователь может просмотреть и подтвердить выбор образа, что делается теперь намного проще.
7. Загруженные развертывания соответствуют ограничениям политики Service Broker
Развертывание, включающее ВМ и диски, теперь соответствует ограничениям политики Service Broker. Загруженное развертывание учитывается в описанных ниже лимитах. Вы можете выбрать разрешение на учет ресурсов при загрузке в лимитах, переключив соответствующую опцию в положение "включено". По умолчанию опция выключена, что соответствует поведению, которое было ранее.
Наконец, VMware также добавила два улучшения платформы, чтобы помочь администраторам лучше управлять использованием VMware Aria Automation и настраивать компонент Orchestrator:
8. Видимость оплачиваемых объектов в VMware Aria Automation
С ростом внедрения продуктов VMware через подписку становится критически важным для клиентов понимать, сколько оплачиваемых ресурсов учитывается каждым продуктом.
VMware Aria Automation вводит возможность для администраторов просматривать сводку оплачиваемых объектов под управлением через API и пользовательский интерфейс. Кроме того, ресурсный центр внутри VMware Aria Automation Assembler и VMware Aria Automation Service Broker был улучшен для фильтрации оплачиваемых ресурсов в сочетании с любыми другими фильтрами. Эта возможность помогает администраторам постоянно оценивать свое использование ресурсов и упрощает планирование возобновления подписки или ее расширения.
Вы можете найти следующие обновления на стартовой странице VMware Aria Automation:
9. Поддержка командной строки для настройки VMware Aria Automation Orchestrator
Теперь VMware Aria Automation Orchestrator (бывший продукт VMware Orchestrator) можно настроить через командную строку с использованием команд "vracli vro" в дополнение к использованию Control Center. Это очень удобная для разработчиков функция; пользователи могут использовать командную строку для настройки Orchestrator, а не переходить к другому интерфейсу. Данное улучшение упрощает процесс автоматизированной настройки Orchestrator и предлагает более DevOps-ориентированный подход к конфигурированию решения (подробнее об этом тут).
За более подробной информацией о продукте Aria Automation Cloud обратитесь к Release Notes.
Там приведены результаты тестирования производительности рабочих нагрузок обучения AI/ML на платформе виртуализации VMware vSphere с использованием нескольких графических процессоров NVIDIA A100-80GB с поддержкой технологии NVIDIA NVLink. Результаты попадают в так называемую "зону Голдилокс", что означает область хорошей производительности инфраструктуры, но с преимуществами виртуализации.
Результаты показывают, что время обучения для нескольких тестов MLPerf v3.0 Training1 увеличивается всего от 6% до 8% относительно времени тех же рабочих нагрузок на аналогичной физической системе.
Кроме того, в документе показаны результаты теста MLPerf Inference v3.0 для платформы vSphere с графическими процессорами NVIDIA H100 и A100 Tensor Core. Тесты показывают, что при использовании NVIDIA vGPU в vSphere производительность рабочей нагрузки, измеренная в запросах в секунду (QPS), составляет от 94% до 105% производительности на физической системе.
vSphere 8 и высокопроизводительная виртуализация с графическими процессорами NVIDIA и NVLink.
Партнерство между VMware и NVIDIA позволяет внедрить виртуализированные графические процессоры в vSphere благодаря программному слою NVIDIA AI Enterprise. Это дает возможность не только достигать наименьшего времени обработки для виртуализированных рабочих нагрузок машинного обучения и искусственного интеллекта, но и использовать многие преимущества vSphere, такие как клонирование, vMotion, распределенное планирование ресурсов, а также приостановка и возобновление работы виртуальных машин.
VMware, Dell и NVIDIA достигли производительности, близкой или превышающей аналогичную конфигурацию на физическом оборудовании со следующими настройками:
Dell PowerEdge R750xa с 2-мя виртуализированными графическими процессорами NVIDIA H100-PCIE-80GB
Для вывода в обеих конфигурациях требовалось всего 16 из 128 логических ядер ЦП. Оставшиеся 112 логических ядер ЦП в дата-центре могут быть использованы для других задач. Для достижения наилучшей производительности виртуальных машин во время обучения требовалось 88 логических ядер CPU из 128. Оставшиеся 40 логических ядер в дата-центре могут быть использованы для других активностей.
Производительность обучения AI/ML в vSphere 8 с NVIDIA vGPU
На картинке ниже показано сравнительное время обучения на основе тестов MLPerf v3.0 Training, с использованием vSphere 8.0.1 с NVIDIA vGPU 4x HA100-80c против конфигурации на физическом оборудовании с 4x A100-80GB GPU. Базовое значение для физического оборудования установлено как 1.00, и результат виртуализации представлен в виде относительного процента от базового значения. vSphere с NVIDIA vGPUs показывает производительность близкую к производительности на физическом оборудовании, где накладные расходы на виртуализацию составляют 6-8% при обучении с использованием BERT и RNN-T.
Таблица ниже показывает время обучения в минутах для тестов MLPerf v3.0 Training:
Результаты на физическом оборудовании были получены Dell и опубликованы в разделе закрытых тестов MLPerf v3.0 Training с ID 3.0-2050.2.
Основные моменты из документа:
VMware vSphere с NVIDIA vGPU и технологией AI работает в "зоне Голдилокс" — это область производительности для хорошей виртуализации рабочих нагрузок AI/ML.
vSphere с NVIDIA AI Enterprise, используя NVIDIA vGPUs и программное обеспечение NVIDIA AI, показывает от 106% до 108% от главной метрики физического оборудования (100%), измеренной как время обучения для тестов MLPerf v3.0 Training.
vSphere достигла пиковой производительности, используя всего 88 логических ядер CPU из 128 доступных ядер, оставив тем самым 40 логических ядер для других задач в дата-центре.
VMware использовала NVIDIA NVLinks и гибкие группы устройств, чтобы использовать ту же аппаратную конфигурацию для обучения ML и вывода ML.
vSphere с NVIDIA AI Enterprise, используя NVIDIA vGPU и программное обеспечение NVIDIA AI, показывает от 94% до 105% производительности физического оборудования, измеренной как количество обслуживаемых запросов в секунду для тестов MLPerf Inference v3.0.
vSphere достигла максимальной производительности вывода, используя всего 16 логических ядер CPU из 128 доступных, оставив тем самым 112 логических ядер CPU для других задач в дата-центре.
vSphere сочетает в себе мощь NVIDIA vGPU и программное обеспечение NVIDIA AI с преимуществами управления дата-центром виртуализации.
Более подробно о тестировании и его результатах вы можете узнать из документа.
Florian Grehl на сайте virten.net опубликовал полезную статью о том, как включить аутентификацию Active Directory / LDAP / LDAPS в инфраструктуре VMware vSphere 8. Приводим ниже ее перевод.
Эта статья описывает, как интегрировать VMware vCenter Server в вашу инфраструктуру аутентификации. Источниками идентификации могут быть развертывания Microsoft Active Directory или протокола OpenLDAP.
В комплекте с управляющим сервером vCenter Server идет внутренняя база данных пользователей, которая позволяет добавлять и управлять пользователями из пользовательского интерфейса. Управление пользователями и единый вход предоставляются встроенным компонентом Platform Service Controller. В большой среде вы, возможно, захотите подключить вашу инфраструктуру виртуализации к централизованно управляемому провайдеру идентификации.
Обратите внимание, что VMware объявила о прекращении поддержки Integrated Windows Authentication (IWA). IWA был методом аутентификации, при котором вы присоединяли vCenter Server к вашему домену Active Directory. Несмотря на то, что Active Directory все еще поддерживается для аутентификации, рекомендуется использовать AD через LDAP или идентификацию с помощью ADFS. Для дополнительной информации см. KB78506.
1. Получение сертификата LDAPS
В связи с рисками безопасности, LDAPS заменяет LDAP как новый протокол каталога. Настоятельно рекомендуется использовать LDAPS, который использует SSL для установления безопасного соединения между клиентом и сервером перед обменом любыми данными. В настоящее время в пользовательском интерфейсе vCenter нет функции получения сертификата, поэтому сертификат нужно загрузить самостоятельно.
Подключитесь к vCenter Server Appliance (или любой системе с установленным OpenSSL CLI) с помощью SSH и войдите как root. Выполните следующую команду, чтобы показать сертификат LDAP:
Эта команда отображает цепочку сертификатов и информацию о сессии SSL. Вы можете использовать либо сертификат CA, либо сертификат сервера. Использование сертификата CA имеет преимущество в том, что вам не нужно перенастраивать провайдер идентификации, когда сертификат LDAPS заменяется.
Копируем содержимое между строчками -----BEGIN CERTIFICATE----- и -----END CERTIFICATE----- в текстовый файл.
После этого сохраните полученный файл с расширением .crt.
2. Добавление провайдера идентификации
Откройте vSphere Client.
Войдите как Single Sign-On Administrator.
Перейдите к Administration > Single Sign On > Configuration.
На вкладке провайдера идентификации откройте Identity Sources.
Нажмите ADD.
Измените Identity Source Type на Active Directory over LDAP.
Заполните остальные поля следующим образом:
Identity source name: Метка для идентификации (нужно указать имя домена)
Base distinguished name for users: Уникальное имя Distinguished Name (DN) начальной точки для поиска на сервере каталогов. Пример: Если ваше имя домена - virten.lab, то DN для всего каталога - "DC=virten,DC=lab".
Base distinguished name for groups: Уникальное имя (DN) начальной точки для поиска на сервере каталогов.
Domain name: Ваше имя домена. Пример: "virten.lab".
Domain alias: Ваше имя NetBIOS. Пример: "virten".
Username: Пользователь домена как минимум с правами просмотра.
Если вы получаете ошибку "Invalid DN syntax.", попробуйте ввести пользователя в формате DN: "uid=administrator,cn=users,dc=virten,dc=lab".
Password: Пароль пользователя домена.
Connect to: Выберите "Connect to any domain controller in the domain", если вы хотите использовать DNS для идентификации контроллеров домена или настроить статические основные и вторичные URL. При использовании статических записей вы можете либо запрашивать локальный каталог (порт 636), либо глобальный каталог (порт 3269). (Для устаревших незащищенных подключений используйте 389/3268). Пример: "ldap://dc.virten.lab:636".
Нажмите "Browse" рядом с сертификатом (для LDAPS).
Выберите файл .crt, полученный ранее от сервера LDAP.
Нажмите "ADD" и завершите мастер настройки.
В источниках идентификации ваш LDAP должен появиться в списке, и с этого момента вы можете назначать разрешения vCenter пользователям и группам из вашего каталога Active Directory.
Выберите ваш AD и нажмите кнопку "SET AS DEFAULT", чтобы сделать его доменом по умолчанию для аутентификации в вашем vCenter, что означает, что каждый, кто не указывает имя домена для входа, автоматически аутентифицируется в этом домене.
Для входа с пользователями AD вам нужно установить разрешения. Чтобы добавить пользователя/группу AD в качестве глобального администратора, перейдите к Administration > Access Control > Global Permissions.
Нажмите "ADD".
Выберите домен и начните вводить в поле поиска User/Group, чтобы выбрать Domain entity.
Нажмите "OK".
Теперь вы должны иметь возможность входить с помощью учетной записи Active Directory. Чтобы решать проблемы, связанные с аутентификацией, проверьте файлы журнала на vCenter Server Appliance в папке /var/log/vmware/sso.
Компания VMware анонсировала обновление платформы для сервис-провайдеров VMware Cloud Director 10.5 в июле этого года. Вместе с ним было объявлено о скорой доступности решения Cloud Director Container Service Extension 4.1, которое дает функции по управлению жизненным циклом всех типов кластеров Kubernetes через Cloud Director Cluster API, CLI и Container Service Extension-CLI, а также плагин в графическом интерфейсе.
Недавно этот продукт стал доступен для скачивания. Давайте посмотрим на его новые возможности:
1. Повышенная надежность инфраструктуры
Платформа стала более надежной благодаря введению проверок Node health checks, которые могут непрерывно отслеживать состояние узлов в кластере. Также добавлено несколько зон доступности для повышения устойчивости и снижения рисков сбоев, что позволяет пользователям распределять свои управляющие узлы по доменам отказа. Это реализуется провайдером для того, чтобы клиенты облака могли разместить свои управляющие узлы по разным доступным зонам. Более подробно об этом написано здесь.
К 2024 году почти 70% новых индивидуально разработанных приложений организаций будут создаваться и управляться с использованием микросервисов и контейнеров в качестве основы для более сильной и высокопроизводительной автоматизации рабочих процессов. Клиентам нужны современные среды приложений, устойчивые к сбоям, над чем и работает VMware.
2. Решение для изолированной сети
Теперь CSE 4.1 может работать в изолированной сети (air gapped solution), то есть без подключения к общедоступному интернету. Это можно сделать, настроив локальные репозитории в необходимых организациях. Вот тут рассказано, как настроить сервис в изолированной сети.
Это дает возможность партнерам с большим количеством клиентов расширить свои услуги и предложить сервисы Kubernetes для бизнеса в регулируемых отраслях, таких как финансы и здравоохранение, а также предоставить услуги государственным и общественным учреждениям, поскольку сейчас многие компании ужесточают политики обработки данных.
3. Поддержка последних версий Kubernetes
Теперь возможно использовать следующие версии Tanzu Kubernetes Grid и Kubernetes с расширением VMware Cloud Director Container Service Extension 4.1:
Tanzu Kubernetes Grid 2.1.1 с Kubernetes 1.22, 1.23 и 1.24.
Tanzu Kubernetes Grid 2.2.0 с Kubernetes 1.23, 1.24 и 1.25.
Вместе с этими дополнениями произошло незначительное обновление версии пользовательского интерфейса CSE. Здесь рассказано о том, как вы можете обновиться до последней версии.
Поддержка последних версий Kubernetes повышает безопасность, гибкость и предлагает множество функций для разработчиков, что облегчает создание приложений с использованием самых последних инноваций в контейнерных средах.
Подробнее о VMware Cloud Director Container Service Extension 4.1 вы можете почитать в документации и Release Notes. Скачать свежую версию продукта можно по этой ссылке.
На днях компания VMwae объявила о новом релизе Aria Hub, который раскрывает возможности этого средства перед предстоящим главным событием этого года в сфере виртуализации - конференцией Explore 2023. Напомним, что это средство реализует простой способ управления облачными аккаунтами, получения контроля над всем облачным инвентарем и изучения топологии приложений. Подробнее о прошлой версии этого продукта мы писали вот тут.
В релизе Aria Hub July 2023 был добавлен виджет flamegraph для отображения представлений о производительности для каждого микросервиса, а также расширены возможности массового онбординга аккаунтов для инфраструктуры Azure. В левой панели навигации также объединили Secure Clouds и Guardrails под новым общим разделом "Governance".
Итак, давайте посмотрим, что появилось нового:
1. Представления производительности микросервисов с Flamegraphs
Flamegraphs - это полезный инструмент визуализации процессов, стоящих за микросервисами, в частности, отображения деталей, связанных с производительностью, по запросу пользователя. Теперь Aria Hub показывает представление производительности flamegraph для каждого микросервиса, позволяя пользователям понять процессы, выполняемые на узле, и процент CPU, который они используют, с помощью понятной визуализации. Если пользователь еще не установил и не подключил необходимый сборщик Kubernetes для включения виджетов производительности, он будет предложен к развертыванию.
Flamegraph можно найти в представлении Explore в боковой панели в категории Performance. В той же боковой панели пользователи также могут увидеть отображение отношений между их ресурсами Kubernetes, получить уведомления о безопасности, предупреждения и другие информационные сообщения. За счет сочетания flamegraph и других представлений производительности, размещенных в боковой панели, вы можете успешно следить за тем, что происходит с вашими кластерами Kubernetes в одном централизованном месте.
2. Массовый онбординг Azure
В прошлом месяце VMware объявила о добавлении функции массового онбординга AWS в VMware Aria Hub, в рамках которой платформа оценивает аккаунт AWS верхнего уровня и обнаруживает иерархию аккаунта и отношения с другими аккаунтами-членами в процессе сбора инвентаря. Теперь эта возможность доступна и для Microsoft Azure. Хотя пользователи бесплатного VMware Aria Hub по-прежнему будут ограничены онбордингом двух аккаунтов публичного облака, массовый онбординг Azure поможет подписчикам платформы более эффективно внедрять аккаунты и масштабировать управление мультиоблачными средами.
Теперь Aria Hub позволяет пользователям онбордить все подписки Azure, которые они выбирают, и видеть их визуализацию через представление Explore. После простой настройки регистрации приложения, назначения роли и создания доступа в Azure Portal, пользователи могут выбрать подписки, которые они хотели бы массово онбордить, из списка Aria Hub. После онбординга Aria Hub покажет информацию по всем вашим подпискам Azure и будет генерировать детали о нарушениях, стоимости, производительности и многом другом, что даст вам информацию, необходимую для эффективного управления вашими ресурсами.
3. Новый раздел Governance в VMware Aria Hub
VMware предупреждает пользователей об изменении интерфейса в левой панели навигации, который теперь объединяет Aria Automation для безопасных облаков и Aria Guardrails в одном разделе "Governance". Там вы найдете всю функциональность, которую знаете от Aria Automation для безопасных облаков и Aria Guardrails, включая сводную информацию и более детальные сведения о ваших findings, политиках и многом другом.
Более подробно о VMware Aria Hub можно почитать на этой странице.
На сайте проекта virten.net появилось отличное руководство о том, как правильно настроить USB-накопитель (обычную флэшку), подключенный к хосту VMware ESXi 8.0 в качестве датастора, откуда можно запускать виртуальные машины. Для производственной среды этого делать, само собой, не рекомендуется, а вот для тестирования различных возможностей хоста vSphere данная инструкция может оказаться очень полезной.
Итак:
Рекомендации по выбору USB-накопителя
Касательно форм-фактора или типа USB-накопителей нет никаких ограничений. Вы можете использовать маленькие флешки USB, большие жесткие диски USB 3.5" с высокой емкостью или внешние твердотельные накопители на базе USB. Из-за проблем с производительностью и надежностью, не рекомендуется использовать дешевые USB-флешки для хранилищ.
Предварительные условия
Некоторые команды требуют доступа по SSH к хосту ESXi, который можно включить из vSphere Client:
После этого вы можете зайти на хост ESXi по SSH с помощью любого клиента, например, PuTTY.
Шаг 1 - отключаем USB Passthrough
Дефолтное поведение хоста ESXi при присоединении USB-накопителя к хосту - дать возможность его проброса в виртуальную машину через механизм USB Passthrough. Поэтому нам нужно отключить этот механизм.
Есть 3 способа это сделать:
На базе устройства с помощью команды esxcli passthrough
На базе модели с использованием расширенных настроек USB quirks
Полностью отключить его для всех устройств, отключив сервис usbarbitrator
1 - Отключаем USB Passthrough на базе устройства
Этот способ основан на параметрах USB Bus и Vendor ID. Эта настройка сохраняется при перезагрузке, но учтите, что она может перестать работать в условиях, когда изменяются идентификаторы Bus ID или Device ID (например, вы воткнете флэшку в другой порт, либо будет присоединено другое устройство на время отсутствия флэшки в порту).
Итак, втыкаем USB-накопитель в хост ESXi и соединяемся с ним по SSH как root. Выводим список USB-устройств командой:
esxcli hardware usb passthrough device list
Для следующей команды вам потребуется записать параметры четырех выделенных колонок в формате Bus#:Dev#:vendorId:productId (например, 1:4:1058:1140).
Отключаем проброс для устройства:
esxcli hardware usb passthrough device disable -d 1:4:1058:1140
После этого перезагружать хост ESXi не требуется.
2 - Отключаем USB Passthrough, используя USB Quirks
Второй вариант отключает USB Passthrough для конкретной модели (сочетание идентификатора производителя и идентификатора продукта) с использованием расширенных настроек USB Quirks.
Вставьте USB-накопитель в ваш ESXi, подключитесь к хосту ESXi с использованием SSH и войдите под root. Далее просмотрите доступные USB-устройства. Первое число - это идентификатор производителя, второе число - идентификатор продукта:
lusb
Для установки USB Quirks нужно указать ID в следующем формате (см. скриншот выше): 0xDeviceID:0xVendorID (например, 0x1058:0x1140).
Отключите USB passthrough, используя следующую команду:
esxcli system settings advanced set -o /USB/quirks -s 0x1058:0x1140:0:0xffff:UQ_MSC_NO_UNCLAIM
Здесь уже нужно перезагрузить хост ESXi для применения изменений.
3 - Отключаем USB Arbitrator
Перед началом процедуры не втыкаем флэшку в сервер.
Заходим в клиент vSphere Client, идем в ESX > Configure > System > Advanced System Settings и нажимаем Edit... Далее найдем параметр USB.arbitratorAutoStartDisabled и установим его в значение 1:
После этого перезагружаем хост ESXi и уже после этого втыкаем флэшку в сервер.
То же самое можно сделать с помощью CLI-команды через SSH (после нее можно уже втыкать флэшку):
/etc/init.d/usbarbitrator stop
Также можно отключить USB Arbitrator следующей командой, которая будет применена после перезагрузки хоста:
# chkconfig usbarbitrator off
Шаг 2 - создаем VMFS Datastore на флэшке
После того, как вы отключили проброс USB, можно создавать датастор через vSphere Client, кликнув правой кнопкой на хосте ESXi и выбрав Actions > Storage > New Datastore... (в ESXi Host Client это делается в разделе Storage > New Datastore).
Если ваше устройство не отображается в мастере New Datastore, нужно сделать ресканирование хранилищ (опция Rescan Storage по правому клику) и убедиться, что устройство присутствует в списке.
Если и это не помогло, то можно попробовать создать датастор с помощью командной строки. Находим путь к устройству (Device Path в формате mpx.vmhba##). Для этого запускаем команду:
esxcli storage core device list |grep '^mpx' -A3
В выводе команды вы сможете идентифицировать устройство по его размеру:
Если у вас несколько устройств одного размера, то после подключения нужного вам устройства загляните в лог /var/log/vmkernel.log и посмотрите там наличие вот такой записи:
vmkernel: Successfully registered device "mpx.vmhba34:C0:T0:L0" from plugin "NMP" of type 0
Это и есть ваша флэшка. Теперь создаем переменную с этим устройством:
DISK="/vmfs/devices/disks/mpx.vmhba34:C0:T0:L0"
После этого создаем метку для данного устройства:
partedUtil mklabel ${DISK} gpt
Теперь с помощью утилиты partedUtil создадим раздел с идентификатором GUID=AA31E02A400F11DB9590000C2911D1B8:
После этого ваш том, созданный на флэшке, появится в списке датасторов хоста.
Для бесплатного резервного копирования виртуальных машин можно использовать скрипт ghettoVCB.
Если вы заметите, что скорость копирования на/с датастора с помощью команд cp, mv или scp очень медленная, то вы можете использовать механизм Storage vMotion или утилиту vmkfstool для копирования данных.
Например, вот так можно склонировать VMDK-диск:
vmkfstools -i <src>.vmdk <dst>.vmdk
Известные проблемы
Когда вы пытаетесь определить диск, дважды проверьте, что вы не перепутали свои накопители. Имя, отображаемое в пользовательском интерфейсе, не меняется, когда меняется идентификатор. Вот пример, где выделенный диск был перенесен на виртуальный адаптер mpx.vmhba33 как новое устройство. Отображаемое имя при этом остается старым - mpx.vmhba32.
Существующие датасторы не монтируются автоматически! То есть, если на вашей флэшке уже есть тома VMFS, то они не будут видны при ее подключении. В этом случае датастор будет offline, а в логе vmkernel.log вы увидите вот такое сообщение:
cpu0:65593)LVM: 11136: Device mpx.vmhba34:C0:T0:L0:1 detected to be a snapshot:
То есть датастор определяется как снапшот. Список снапшотов вы можете вывести командой:
# esxcli storage vmfs snapshot list 583b1a72-ade01532-55f6-f44d30649051 Volume Name: usbflash VMFS UUID: 583b1a72-ade01532-55f6-f44d30649051 Can mount: true Reason for un-mountability: Can resignature: true Reason for non-resignaturability: Unresolved Extent Count: 1
В этом случае вы можете смонтировать датастор следующей командой, используя VMFS UUID:
# esxcli storage vmfs snapshot mount -u 583b1a72-ade01532-55f6-f44d30649051
Прошлой осенью мы писали о версии 6.8 этого продукта, а сегодня посмотрим на нововведения версии 6.11:
Улучшения в обнаружении приложений на основе потоков - теперь пользователи могут загружать дополнительные данные приложений через файлы .csv или из CMDB (например, ServiceNow).
Улучшения траблшутинга VMware HCX в плане идентификации потоков и виртуальных машин с включенным MON (Mobility Optimized Networking).
Улучшения Network Assurance and Verification для поддержки карты сети (Network Map): массовый выбор объектов, сброс группы, перетаскивание и прочие улучшения группировки.
Улучшения в оповещениях SNMP для Problem entity и Entity manager (поля IBM Netcool).
Поддержка Ubuntu 20.04.
Поддержка TLS 1.3.
Возможность изменения имени хоста для узлов Platform и Collector.
Допускается смешивание лицензий на процессор и ядра на одной платформе (универсальное лицензирование).
Обнаружение устройств Fortinet для облегчения интеграции с существующей инфраструктурой безопасности.
В целом, с учетом всех новых возможностей в версии 6.11, VMware Aria Operations for Networks становится все более мощным инструментом для предприятий, которые хотят гарантировать, что их приложения и сеть работают на максимальной производительности.
Более подробная информация о продукте доступна по этой ссылке.
Использование командлетов PowerShell/PowerCLI для автоматизации предлагает множество преимуществ, таких как простота установки на множестве различных операционных систем и мощный язык сценариев, поддерживающий команды, специфичные для VMware.
PowerCLI отлично интегрируется с экосистемой VMware, обеспечивая совместимость и бесшовную интеграцию с продуктами vSphere, vSAN, NSX, VMC, SRM и другими. Несмотря на то что PowerCLI работает автономно со своим собственным циклом выпуска, VMware стремимся синхронизировать его с официальными релизами vSphere. Это гарантирует, что клиенты PowerCLI не будут долго ждать доступа к новым функциям и возможностям, поставляемым в новых версиях VMware vSphere.
Вызовы VMware PowerCLI
Как и в других сферах автоматизации, сейчас есть некоторые проблемы, с которыми сталкиваются как в самой VMware, так и клиенты при использовании PowerCLI. В первую очередь здесь стоит возможность использовать PowerCLI на всех платформах, на которых работает PowerShell. Большинство людей ассоциируют PowerShell с Microsoft Windows, что вполне логично, но PowerShell Core становится довольно популярным на платформах Linux и MacOS. VMware стремится поддерживать эти платформы на том же уровне, что и для Windows.
Во-вторых, по мере эволюции VMware vSphere и других продуктов VMware, PowerCLI также должен меняться, и делать это быстро, чтобы успевать за нововведениями продуктовой линейки. Этот быстрый темп не должен влиять на удобство использования и качество командлетов PowerCLI. Поэтому стоит задача расширения охвата PowerCLI для продуктов за более короткий период времени, при этом нужно обеспечить требуемое качество модулей и командлетов.
Поддержка нескольких платформ
Когда PowerCLI 13.0 был выпущен в ноябре 2022 года, это был первый PowerCLI, полностью совместимый с PowerShell Core, который работает на Microsoft Windows, Linux и Apple MacOS. Это означает, что образец кода или сценарий можно запустить на любой из этих платформ, запланировать с помощью cron на Linux и т.п. Это делает его очень гибким в качестве инструмента автоматизации, и это означает больше возможностей для инструментов оркестрирования операций.
Автоматизация средств автоматизации
В выпуске PowerCLI 12.4 VMware представила инновационный подход к генерации командлетов: через механизмы автоматизации. Была автоматизирована генерация командлетов для vSphere Automation API, которая была выпущена в рамках нового модуля под названием VMware.SDK.vSphere. Этот подход позволяет быстро создавать командлеты и модули для поддержки новых функций, обеспечивая при этом качество и последовательность.
Однако успех этой стратегии во многом зависит от качества API самих продуктов. Ближайшая цель VMware - обеспечить выпуск API с высокими стандартами качества, которые также соответствуют требованиям PowerCLI.
Обширность покрытия
В последующих релизах после 12.4 продолжали внедрять новые модули PowerCLI на основе подхода автоматического генерирования, такие как модули VMware.Sdk.Nsx.Policy, VMware.Sdk.SRM и VMware.Sdk.VR.
Например, введенный в PowerCLI 12.6 модуль VMware.Sdk.Nsx.Policy позволяет клиентам управлять NSX Policy API и является важной частью мультиоблачных операций, помогая устанавливать контроль над безопасностью, независимо от того, где работает ваша нагрузка.
В выпуске 12.7 были добавлены новые командлеты для указания пороговых значений проверки "здоровья" vSAN в рамках модуля VMware.CimAutomation.Storage.
Выпуск 13.0 сделал PowerCLI мультиплатформенным инструментом, что также означало, что модули, такие как VMware.ImageBuilder и VMware.DeployAutomation, должны быть совместимы с Apple MacOS и Linux. Кроме того, были добавлены новые команды для управления дисками кластера vSAN ESA и обновлен модуль VMware.VimAutomation.Cloud для поддержки функций API VMware Cloud Director 10.4.
В последнем на данный момент выпуске PowerCLI 13.1, было представлено два новых модуля: VMware.Sdk.VR для поддержки REST API VMware vSphere Replication и VMware.Sdk.Srm для поддержки REST API VMware Site Recovery Manager. Также там добавили новые командлеты для офлайн-депозиториев Lifecycle Manager, удаленного управления хранилищем данных vCenter Server, прямого управления дисками vSAN, выключения кластера, монтирования удаленных хранилищ данных vSAN из расширенных кластеров vSAN и многого другого.
Что дальше?
Следующие шаги - это поддержание высокого уровня удобства использования и качества модулей и командлетов PowerCLI. VMware продолжает улучшать собственные инструменты, которые генерируют автоматизированные команды, а также проверяют и верифицируют исходные API в самих продуктах на предмет качества. Эти усилия приносят пользу всем средствам автоматизации, а не только PowerCLI.
Также будет расширяться охват PowerCLI за счет введения новых модулей и улучшений в существующих. Хорошим примером является поддержка автоматизации VMware Cloud Foundation, позволяющая клиентам контролировать, настраивать и автоматизировать эти среды так же легко, как они делают это с vSphere.
Наконец, будем продолжать поддерживаться кроссплатформенность, что позволит пользователям Windows, Linux и MacOS на равных использовать PowerCLI.
На сайте проекта VMware Labs вышло обновлении утилиты SDDC Import/Export for VMware Cloud on AWS версии 1.9. С помощью этого средства можно сохранять конфигурацию виртуального датацентра SDDC в облаке VMConAWS, а также импортировать ее из сохраненной копии. В прошлый раз об этой утилите мы писали вот тут.
Иногда пользователи по разным причинам хотят мигрировать из одного SDDC-датацентра в другой. Для миграции виртуальных машин есть решение VMware HCX, а вот для переноса конфигурации среды до текущего момента не было. Теперь же можно сохранить конфигурацию исходного SDDC и развернуть ее на целевом, не тратя много времени на повторную настройку.
Давайте взглянем на новые возможности продукта:
Поддержка протокола IPv6
Поддержка механизма NSX dIDPS
Поддержка клиентских шлюзов VPN уровня Tier-1
Прием ресурсов Managed Prefix List Resource Share из подключенного VPC
На сайте проекта VMware Labs вышло очередное обновление утилиты vSphere Diagnostic Tool 1.1.6. Напомним, что это python-скрипт, который запускает диагностические команды на виртуальном модуле Photon OS (на его базе построен, например, vCenter Server Appliance), а также в перспективе это будет работать и в среде VMware ESXi. О последнем обновлении vSphere Diagnostic Tool (VDT) мы писали вот тут.
Давайте посмотрим на новые возможности vSphere Diagnostic Tool 1.1.5:
Общие улучшения:
Увеличен таймаут проверок с 10 до 20 секунд
Исправлена проблема, когда версия/топология идентифицировались некорректно
Проверка VC VMDIR:
Была добавлена проверки Domain Functional Level (DFL) для обнаружения дополнительных возможных проблем
Проверка сертификатов vCenter:
Проверка идентификатора ключа на предмет того, что он не заполнен
Новая проверка для подсчета объектов CRL в разделе TRUSTED_ROOT_CRLS
Скачать VMware vSphere Diagnostic Tool 1.1.6 можно скачать по этой ссылке.
В некоторых случаях, когда клиенты используют физические тома pRDM в своей среде, время загрузки хоста VMware ESXi или повторное сканирование хранилища может занимать больше времени, чем обычно. Причина этих долгих процессов заключается в том, что каждый LUN, подключенный к хосту, сканируется при загрузке или во время повторного сканирования хранилища. Обычно тома RDM используются для класторов Microsoft WSFC или других кластерных приложений и не используются хостом напрямую. Во время сканирования ESXi пытается прочитать разделы на всех дисках, но не может это сделать для устройств, постоянно зарезервированных WSFC. В связи с этим, загрузка хоста или повторное сканирование устройств хранения может занимать большое время. WSFC использует механизм SCSI-3 Persistent Reservation для контроля блокировки между узлами WSFC, что блокирует возможность чтения их хостами ESXi.
VMware рекомендует внедрять постоянное резервирование (perennial reservation) для всех хостов ESXi, на которых размещаются узлы ВМ, использующие RDM. Для получения более подробной информации посмотрите статью KB1016106.
Итак, возникает вопрос: как можно заставить хост не сканировать эти RDM, тем самым сокращая время загрузки или повторного сканирования?
Существует флаг устройства под названием "Perennially Reserved", который сообщает хосту, что RDM не должен сканироваться, и что устройство используется в другом месте на постоянной основе. До vSphere 7 этот флаг можно было включить только через CLI и для этого требовался UUID (naa.ID).
В выводе команды в случае установленного флага будет следующая строка:
Is Perennially Reserved: true
При установке этой опции ее нужно запустить для каждого соответствующего тома RDM, используемого кластером WSFC, и на каждом хосте ESXi с доступом к этому RDM. Вы также можете установить флаг "Perennially Reserved" в профилях хостов.
С выпуском vSphere 7, возможность установки флага "Perennially Reserved" в значение "true" была добавлена в пользовательский интерфейс в разделе устройств хранения. Также было добавлено поле для отображения текущего значения флага "Perennially Reserved".
После выбора RDM для постоянного резервирования, у вас есть возможность отметить устройство как зарезервированное ("Mark as perennially reserved") для текущего хоста или нескольких хостов в кластере. Это устраняет ручной процесс установки опции для каждого хоста через CLI. Также вы все еще можете использовать для этих целей ESXCLI, PowerCLI или профили хостов.
Когда вы нажмете Yes статус резервирования для устройств обновится в интерфейсе:
Теперь для зарезерированных устройств будет доступна опция снятия этого флага ("Unmark as perennially reserved"):
Важное примечание: вы должны использовать флаг "Perennially Reserved" только для RDM или LUN, которые вы не хотите сканировать. LUN стандартных хранилищ ESXi НЕ должны быть помечены этим флагом.
Ну и весь этот процесс можно также увидеть в видео от VMware:
Не так давно мы писали о протоколе VI/JSON от VMware для управления инфраструктурой vSphere. В то же время, у VMware в последнее время появилось много чего еще нового в сфере средств для автоматизации управления виртуальной инфраструктурой, о будущем которых мы сегодня и поговорим, обратив внимание на такие интерфейсы, как API, JSON, OpenAPI.
1. VMware vSphere API
VMware vSphere за последние годы стала значительно более сложным продуктом и теперь предлагает несколько разных типов API-технологий. Наиболее значимыми сегодня являются:
Наличие нескольких API добавляет сложности в управление и эксплуатацию сложных сред. Эта сложность проявляется в разных аспектах, начиная с необходимости в нескольких инструментах, знаниях и навыках, в зависимости от API. Кроме того, разные API "висят" на разных эндпоинтах и требуют разные механизмы аутентификации по историческим причинам и для обеспечения обратной совместимости.
Обе категории API документированы отдельно, каждая со своими справочными руководствами и примерами кода. Это может вызвать путаницу для администраторов, поскольку они часто предполагают, что должны выбирать между REST API или SOAP API, но на самом деле им нужно использовать оба. REST не является заменой для SOAP API, но дополняет его.
В плане API компания VMware работает в трех основных направлениях:
Упрощение использования API
Упрощение документации
Улучшение опыта разработчиков и унификация протоколов и наборов инструментов
Основные ресурсы, с которых надо начать знакомство с этими API, это:
Во-первых, начиная с vSphere 8 Update 1, был введен новый протокол JSON для всех Web Services API в VMware vSphere. Это помогает унифицировать опыт разработки, позволяя разработчикам использовать общие инструменты, и преобразует SOAP API для применения более REST-подобного подхода. Этот JSON API в vSphere 8 Update 1 и новее предоставляет полный набор функциональных возможностей, предлагаемых традиционным vim25 SOAP API.
Во-вторых, были сохранены та же структура, управляемые объекты и имена методов, чтобы клиенты могли перенести существующие решения для автоматизации на новый протокол JSON с минимальными изменениями.
Наконец, VMware предлагает спецификации OpenAPI 3.0 в дополнение к документации по JSON API виртуальной инфраструктуры. VMware также ведет работу по объединению документацию по JSON API с документацией по Automation API, где задокументированы все REST-сервисы. Это приближает момент создания единого места для поиска документации клиентами.
3. Формат OpenAPI 3.0
В будущем VMware перенесет оставшиеся публичные интерфейсы SOAP-сервисов (SPBM, SMS, EAM, VLSM) на эти же форматы, предоставляя спецификации OpenAPI 3.0 для каждого из них и интеграцию с документацией REST API.
После этого следующим улучшением будет предоставление единого механизма аутентификации для REST API и нового протокола JSON для SOAP API. Это упростит создание решений для автоматизации и обеспечит общую сессию для всех сервисов vSphere.
Окончательным шагом на этом пути улучшения будет предоставление всех сервисов через единый эндпоинт, с которым администраторы смогут вызывать все API vSphere. Это значительно упростит использование API в vSphere и обеспечит более качественное документирование, тем самым улучшая опыт разработки.
На этой неделе мы писали о новых возможностях превью-версии платформы виртуализации VMware Workstation 2023 Tech Preview. Одновременно с этим релизом было выпущено и технологическое превью настольной платформы
VMware Fusion 2023 Tech Preview, предназначенной для хостовых платформ на базе macOS.
Для затравки вот скриншот этой технической версии Fusion 2023 на macOS Sonoma Beta 3, запускающей Arm-версию Windows 11 для выполнения бенчмарка 3DMark Firestrike Ultra 4K DirectX 11 через 64-битную эмуляцию x86, ускоренную аппаратно с помощью Metal на Mac:
В этом релизе был существенно улучшен пользовательский опыт работы с Windows 11 на маках с процессорами Apple Silicon (M1/M2) и новой macOS Sonoma, а также появилась некоторая новая функциональность по работе с зашифрованными виртуальными машинами, а также прочие улучшения безопасности.
Давайте посмотрим, что нового в VMware Fusion будет в этом году:
1. Полное 3D-ускорение для Windows 11 for Arm
VMware представила аппаратное ускорение 3D-графики для Windows 11 на Arm с чипами Apple. Это обновление выводит графическую производительность Fusion на новый уровень, позволяя пользователям запускать полноценные 3D-игры и приложения под DirectX 11 с потрясающей детализацией и скоростью. Интерфейс стал гораздо отзывчивее, а при использовании autofit изменения разрешения происходят практически мгновенно.
Теперь вы не только можете в полной мере использовать вычислительную мощь вашего Mac для задач повышенной производительности, но и погрузиться в захватывающий игровой или мультимедийный опыт. И да, это включает в себя поддержку запуска эмулированных 32-битных и 64-битных игр!
2. VMware Tools для Apple Silicon
Другие улучшения превью-версии Fusion 2023 включают значительное улучшение поддержки Arm-версии Windows 11 на Mac с чипами Apple. Теперь эта техническая версия предлагает поддержку большинства функций VMware Tools, доступных для виртуальных машин Windows на Fusion для Mac на базе Intel.
VMware заявляет, что теперь drag&drop и общий буфер обмена между Mac и Windows 11 работают очень быстро, а autofit мгновенно изменяет разрешение гостевой системы при перетаскивании окна консоли.
Эти и другие незаметные функции, такие как синхронизация времени, работают вместе, что дает больше комфорта при использовании виртуальных машин на базе Windows 11 для Arm.
3. Улучшения средств безопасности и контроля
Безопасность продолжает оставаться в центре внимания VMware Fusion. Техническая версия 2023 года вносит исправления безопасности и вводит улучшенную схему шифрования (XTS вместо CBC) для максимальной защиты с минимальными затратами на производительность. Виртуальным машинам, зашифрованным через CBC (таким как Windows 11 с TPM), будет предложено перейти на новую схему шифрования при загрузке. Обратите внимание, что новая схема доступна только с технической версией Fusion 2023 и более новыми, и не совместима с предыдущими версиями. Хотя инженеры VMware не столкнулись с проблемами при конвертации при тестировании, рекомендуется сделать полное резервное копирование или клонирование ВМ перед выполнением обновления.
С точки зрения операций, Fusion также расширил REST API (vmrest) и инструменты командной строки (vmrun) для поддержки зашифрованных виртуальных машин и тех, которые имеют виртуальные модули доверенной загрузки (vTPMs).
Скачать VMware Fusion 2023 Tech Preview можно по этой ссылке. Техническое руководство по тестированию платформы доступно тут.
Компания VMware на днях выпустила новую версию своей основной платформы для управления IaaS-инфраструктурой сервис-провайдеров VMware Cloud Director 10.5. Напомним, что о VCD версии 10.4.2 мы писали вот тут.
Этот самый ожидаемый ежегодный крупный релиз предлагает множество новых функций и усовершенствований. В VMware уделили особое внимание улучшению сетевых возможностей, внедрили новые функции и улучшили существующие. Кроме того, были упрощены основные функции управления и внедрены обновления для оптимизации эффективности хранения.
Также были дополнительно усовершенствованы функции, связанные с взаимодействием различных решений VMware. Это обеспечивает бесшовную интеграцию с новыми функциями и обновлениями.
1. Федерация NSX с группами VDC
Теперь VMware Cloud Director поддерживает функцию NSX Federation, что позволяет зарегистрировать экземпляр NSX Global Manager, эффективно координирующий политики безопасности между локальными экземплярами NSX Manager в вашей среде VMware Cloud Director. С возможностью включения до 4 экземпляров NSX Manager в одну группу VDC, вы получаете повышенную гибкость.
Важно отметить, что использование NSX Federation с VMware Cloud Director специально ограничено развернутыми шлюзами Tier 0 и Tier 1. На практике это означает, что провайдерский шлюз, связанный как с вашим глобальным экземпляром NSX Manager, так и с группой дата-центров, устанавливает границы этой группы дата-центров. Используя NSX Federation, вы получаете больше возможностей при установке зон доступности сети, так как теперь вы можете распределять экземпляры NSX Manager по различным региональным дата-центрам, что позволяет увеличить гибкость и масштабируемость.
2. Мастер миграции IP Spaces через пользовательский интерфейс
Теперь доступны функции бесшовной миграции с помощью мастера миграции IP-пространств через пользовательский интерфейс. Этот инструмент позволяет вам перенести любые провайдерские шлюзы в вашей среде из устаревших блоков IP-адресов в наиболее актуальные IP-пространства.
3. Политики HTTP для NSX Advanced Load Balancer
VMware Cloud Director 10.5 получил пользовательский интерфейс для самостоятельной настройки политик HTTP для NSX Advanced Load Balancer со стороны клиента облака. В это входят политики для HTTP-запросов, ответов и безопасности. С помощью политик HTTP-запросов вы можете модифицировать запросы перед их перенаправлением, что позволяет переключать контент или отбрасывать его.
Политики HTTP-ответов позволяют оценивать и изменять ответы и атрибуты виртуального приложения. Кроме того, политики безопасности HTTP предоставляют контроль над разрешениями на запросы, закрытием TCP-соединений, перенаправлением HTTPS, ограничением скорости и отображением статических страниц во время сбоев.
4. Усовершенствования маршрутизируемой сети vApp
Теперь правила NAT для сети vApp могут быть настроены на уровне VDC провайдером для создания с использованием Reflexive NAT и переноса резервной сети (Standby Network Relocation).
5. Усовершенствования BGP
Улучшения BGP включают новые вкладки "Community List" и "Route Maps". Теперь клиенты могут определить дополнительные конфигурации для перераспределения маршрутов через новую вкладку карт маршрутов BGP. Эти карты маршрутов доступны исключительно для провайдерских шлюзов, использующих IP Spaces. Используя другие вкладки BGP, пользователи могут создавать карты маршрутов, содержащие IP-префиксы и списки Community List, которые определены на провайдерском шлюзе.
6. Управление правилами сетевого экрана
В VMware Cloud Director 10.5 появился улучшенный пользовательский интерфейс для настройки правил брандмауэра. Теперь доступно создание и размещение отдельных правил брандмауэра в списке без необходимости редактировать весь набор правил.
Также для удобства можно менять порядок конкретных правил фаервола. Кроме того, можно добавлять диапазоны IP и отдельные адреса прямо в текстовые поля источника и назначения. Теперь есть новый элемент 'loggingId', который согласовывает правила брандмауэра с 'rule_ids' на NSX.
7. Пространства IP Spaces – конфигурация сетевой топологии
Теперь доступны автоматически настроенные правила NAT и брандмауэра по умолчанию. При использовании IP-пространств вы имеете возможность генерировать и применять автоматически настроенные правила SNAT, NO SNAT и брандмауэра по умолчанию на граничных шлюзах и провайдерских шлюзах в вашей среде. VMware Cloud Director обрабатывает автоматическую конфигурацию правил SNAT, DNAT и брандмауэра на основе топологии соответствующих IP-пространств, а также их внешних и внутренних областей действия.
Улучшения платформы
8. Content Hub – улучшенное управление каталогами и контентом
Content Hub - это новое комплексное решение для управления, которое позволяет вам создавать и контролировать каталоги и образы приложений. Вы можете бесшовно получать доступ и извлекать контент из множества источников, включая VMware Marketplace, репозитории Helm chart, локально загруженные файлы OVF, а также импорт из vCenter или других опубликованных каталогов в VCD.
Вот как выглядит это для провайдера:
А вот как для клиента:
9. Ярлыки поддержки
Начиная с VMware Cloud Director 10.5, вы можете использовать следующие ярлыки для устранения неполадок в приложении VMware Cloud Director, VMware Cloud Director на Linux и переменных среды Bash для упрощения часто используемых путей к каталогам:
10. Обновление аддонов и их публикация для клиентов
В VMware Cloud Director 10.5 у вас появилась возможность обновлять экземпляры аддонов вашего решения, когда выпускается новая версия. Кроме того, у вас есть гибкость публиковать аддоны для выбранных или всех ваших клиентов, что дает больше возможностей для контроля и настройки.
11. Настройка обнаружения ВМ (только через API)
Начиная с VCD 10.5, функция обнаружения ВМ может быть отключена глобально, но при этом она может быть выборочно включена как на уровне организации, так и на уровне организационного VDC. Важно отдавать приоритет наиболее конкретной настройке перед глобальной конфигурацией.
Ранее обнаружение ВМ в VCD могло быть настроено глобально, на уровне организации и на уровне OVDC. Однако приоритет отдавался в следующем порядке: глобальный уровень, уровень организации, а затем уровень OVDC. Если обнаружение ВМ было отключено на глобальном уровне, то его нельзя было изменить на уровне организации или OVDC. Аналогично, если оно было отключено на уровне организации, то его нельзя было изменить на уровне OVDC.
В этом релизе работает следующая комбинация данных настроек:
Для управления настройками надо перейти по адресу https://<vcd-url/api/admin/extension/settings/general и включить AllowOverrideOfVmDiscoveryByOrgAndOVDC в значение true или false.
12. Улучшение производительности публикации и подписки каталогов
Теперь пользователи получили быструю синхронизацию контента во время публикации и подписки на каталоги между экземплярами Cloud Director. Этого удалось достичь за счет разбиения данных на меньшие блоки и введения параллельной передачи данных.
13. vCenter Server поддерживается как для провайдера VDC, так и для отдельного экземпляра vCenter Server
В VMware Cloud Director 10.5 и последующих версиях администраторы провайдера могут активировать две расширенные настройки, позволяющие экземпляру vCenter Server поддерживать как провайдер VDC, так и отдельный экземпляр vCenter Server. Важно отметить, что эта конфигурация является расширенной и несет потенциальные риски, поэтому ее должны активировать только опытные администраторы VMware Cloud Director. Вы можете активировать их выборочно для конкретных случаев использования или для тестирования и демонстраций.
14. Общие хранилища данных на нескольких серверах vCenter
В более ранних версиях, во время миграции ВМ между разными серверами vCenter, логика размещения не учитывала общие хранилища данных между серверами vCenter. Это приводило к операции копирования, включающей экспорт и импорт OVF. Однако, начиная с VMware Cloud Director 10.5, движок размещения предоставляет рекомендации для общих хранилищ данных. Это предотвращает необходимость в рабочем процессе экспорта/импорта и оптимизирует операцию переноса, что приводит к ускорению процесса.
15. Миграция арендаторов
В VMware Cloud Director 10.5 изменился способ переноса ВМ во время миграций клиентов. При миграции ВМ с использованием VMware Cloud Director, если включена опция "Migrate Entire Virtual Machine", тогда все ВМ с компонентами на выбранных хранилищах данных мигрируются целиком. Например, если у ВМ есть два диска и вы выбираете только один диск для миграции,
VMware Cloud Director все равно переместит инвентарь с другого диска на новое хранилище данных. Однако, если опция "Migrate Entire Virtual Machine" деактивирована (настройка по умолчанию), VMware Cloud Director будет мигрировать только компоненты, расположенные на выбранном хранилище данных.
Обновления компонентов
16. Обновления Cloud Director SaaS
Некоторые из обновлений:
Позволяет коммуникацию контроллера NSX Advance Load balancer (Avi) через прокси
Улучшение производительности в CDs при выводе объектов vApp, которые имеют большое количество ссылок
Сокращение времени простоя при обновлениях, когда происходят изменения в базе данных (обслуживание)
17. Terraform 3.10.0
Некоторые из обновлений:
Полная поддержка сервисных учетных записей (создание и управление)
NSX-T: управление IP-пространством в VCD 10.4.1+
NSX-T: Edge Gateway DHCP Forwarding
NSX-T: поддержка IPv6 в Org VDC
NSX-T: Edge Gateway DHCPv6
Статический маршрутизационный ресурс и источник данных для VCD 10.4+
18. Container Service Extension 4.1
Некоторые из обновлений:
Защита конфиденциальных данных в RDE
Возможность просмотра кластеров в пользовательском интерфейсе, которые создаются непосредственно с помощью CAPVCD
Самовосстановление при сбое узла с использованием K8s MachineHealthCheck
Борьба с программами-вымогателями и готовность к восстановлению после катастроф продолжают оставаться в приоритете для CIO по всему миру - число атак программ-вымогателей стремительно растет, требования к соблюдению нормативов вынуждают организации внедрять меры по обеспечению аварийного восстановления инфраструктуры.
VMware предлагает предприятиям готовые возможности, чтобы удовлетворить потребности современного бизнеса за счет новых функций в решениях VMware Cloud DR и VMware Ransomware Recovery.
Готовность к восстановлению средствами VMware Cloud DR - быстрое переключение и восстановление, оптимизированная стоимость владения
До сегодняшнего дня, когда клиенты сталкивались со сценарием DR, у них была только одна возможность - включить восстановленные виртуальные машины в резервном датацентре DR SDDC с помощью функции Instant Power On, при этом их диски располагались в облачной файловой системе. Затем они переносились на основное хранилище в DR SDDC через Storage vMotion.
Хотя это по-прежнему рекомендуемый подход для интенсивных по вводу-выводу или крупных рабочих нагрузок, пользователи теперь могут получить преимущества улучшенной производительности восстановления с новой функцией: Run Recovered VMs on Cloud Filesystem (запуск восстановленных машин в облачной файловой системе). Подробнее об этом рассказано тут.
С этой опцией ВМ могут продолжать работать в DR SDDC, причем их диски располагаются в Cloud Filesystem, что позволяет избежать использования Storage vMotion, что сильно ускоряет переключение в случае сбоя. Машины, работающие в Cloud Filesystem, получают защиту средствами высокой доступности (HA), а также низкие значения RPO.
Ключевые преимущества функции "Запуск восстановленных ВМ на Cloud Filesystem" включают:
Быстрое переключение и улучшенная производительность после восстановления: исключение использования Storage vMotion для vSAN и запуск восстановленных ВМ с дисками, по-прежнему располагающимися в Cloud Filesystem.
Быстрое обратное восстановление: эта новая функция устраняет необходимость создания снапшотов на базе VADP в резервном SDDC при обратном восстановлении.
Оптимизация TCO: для рабочих нагрузок, ограниченных объемом хранилища, требуется меньше ресурсов облачных хостов для непосредственного запуска ВМ на Cloud Filesystem по сравнению с традиционным переключением.
Гибкость: вы можете выбрать, какие рабочие нагрузки запускать на Cloud Filesystem, а какие - переносить в резервный SDDC с помощью storage vMotion.
Более подробно о VMware Cloud DR можно почитать на этой странице.
VMware Ransomware Recovery: быстрое и эффективное восстановление от современных атак
VMware недавно представила функцию "Bulk VM Processing" для решения VMware Ransomware Recovery. С этой функцией пользователи получают преимущества автоматизированного восстановления до 50 виртуальных машин за раз, что ускоряет время восстановления и оптимизирует ИТ-ресурсы.
Обработка машин в больших объемах работает в рамках существующего руководящего рабочего процесса восстановления от программ-вымогателей (Ransomware), который охватывает идентификацию, проверку и восстановление точек восстановления. До 500 ВМ можно включить в один план восстановления от программ-вымогателей, при этом одновременная обработка возможна для 50 ВМ в одном пакете, что позволяет сразу нескольким ВМ пройти живой поведенческий анализ для выявления предупреждений безопасности, которые могут быть использованы для очистки штаммов программ-вымогателей из скомпрометированных снимков. Вместе эти интегрированные возможности обеспечивают более уверенное и быстрое восстановление работы в случае успешной атаки программы-вымогателя.
Компания VMware впервые в этом году опубликовала технологическое превью новой версии настольной платформы виртуализации VMware Workstation Tech Preview 2023. Напомним, что о прошлогодней версии этого продукта VMware Workstation 17 мы писали вот тут. Эта версия сфокусирована на более низкоуровневых функциях, таких как новая схема шифрования виртуальных машин и улучшенная программная поддержка ВМ с модулем vTPM (например, для Windows 11). Теперь вы можете не только выполнять операции с зашифрованными виртуальными машинами через REST API и vmrun, но и экспортировать и импортировать виртуальные машины с требованиями к vTPM более безопасно, используя OVFTool.
Давайте посмотрим, что будет нового в восемнадцатой версии Workstation:
1. Усиленная безопасность при шифровании ВМ
VMware добавила алгоритм XTS для шифрования и дешифрования виртуальных машин, чтобы обеспечить повышенную безопасность. Это применимо как для существующих, так и для новых виртуальных машин.
2. Поддержка импорта/экспорта виртуальных машин с модулем vTPM
При импорте/экспорте/клонировании виртуальных машин с поддержкой vTPM нужно быть очень осторожным, поскольку некоторые критические ключи/шифры хранятся в vTPM, и пользователи не должны случайно или намеренно переносить их из одной системы в другую, поэтому VMware разработала некоторые стандартные процедуры и усовершенствования при импорте/экспорте/клонировании виртуальных машин с поддержкой vTPM.
Теперь, например, при импорте есть выбор - шифровать все файлы ВМ или только те, что необходимы для поддержки vTPM:
3. Управление питанием зашифрованных виртуальных машин через vmrun и vmrest
Как локальный интерфейс командной строки vmrun, так и локальный+удаленный vmrest REST API теперь поддерживают операции управления питанием для зашифрованных виртуальных машин и тех, которые используют vTPM. Утилита vmrun также включает поддержку флага 'gui' для зашифрованных виртуальных машин.
4. Поддержка Virtual Hardware 21
Для нового поколения виртуального железа Virtual Hardware 21 была реализована спецификация NVMe 1.3, а также сделан ряд небольших улучшений, таких как поддержка последних версий операционных систем для гостевых ВМ и ядра Linux 6.x.
Скачать VMware Workstation 17 можно по этой ссылке. Руководство по тестированию этого технологического превью находится здесь.
Начиная с версии v2.1.0, клиентам TKG предоставляется решение для выполнения резервного копирования и восстановления объектов кластера на управляющем кластере (Management Cluster), так что в случае катастрофы, которая делает управляющий кластер недоступным, но рабочие кластеры (Workload Clusters) остаются доступными, клиент может создать новый экземпляр управляющего кластера, восстановить объекты кластера и продолжить управление существующими рабочими кластерами через новый экземпляр (подробнее тут).
В контексте утилиты Drift Detector "дрифт" относится к ситуации, когда есть несоответствие между ресурсами, записанными в резервной копии, и фактическим состоянием инфраструктуры. Это несоответствие может привести к проблемам в процессе восстановления. Для лучшего понимания управления дрифтом, пожалуйста, обратитесь к разделу "Управление дрифтом" в документации.
Для решения проблемы и преднезначен Drift Detector, написанный на языке С. Он сравнивает содержимое резервной копии с текущим состоянием инфраструктуры и генерирует подробный отчет.
Этот отчет помогает администраторам выявить потенциальные проблемы и выполнить необходимые ручные шаги для устранения дрифта перед началом процесса восстановления, тем самым облегчая этот процесс.
Скачать утилиту Drift Detector for Tanzu Kubernetes Grid Management Cluster можно по этой ссылке.
Он раскрывает аспекты производительности виртуальных машин, работающих в инфраструктуре решений вендоров VMware, Oracle, AMD и Deloitte:
В этом документе рассматривается, как именно Oracle Cloud VMware Solution (OCVS) отличается от публичных облачных сред IaaS. Там также приводится описание следующих процессов:
Перенос виртуальных машин Oracle и SQL Server из локального датацентра в облако OCVS без перенастройки с обеспечением того же уровня производительности.
Демонстрация, как облако OCVS, работающее на оборудовании с процессорами AMD EPYC, достигает повышения производительности баз данных.
Наглядно показывается, что NSX Data Center может ускорить работу с нагрузками Oracle со ссылками на исследования VMware и Deloitte Consulting.
Обоснование экономических и технических преимуществ управления хостами со стороны клиентов.
Об облаке OCVS
OCVS включает следующие продукты VMware: vSphere, vSAN, NSX Data Center и vCenter Server. Эта унифицированная облачная инфраструктура и платформа для операций позволяет ИТ-специалистам предприятий быстро переносить и модернизировать приложения, бесшовно перемещая рабочие нагрузки между локальными средами и инфраструктурой Oracle Cloud Infrastructure (OCI) в больших масштабах. Кроме того, ИТ-команды могут легко использовать такие сервисы, как Oracle Autonomous Database, Oracle Exadata Cloud и Oracle Database Cloud, имея постоянный доступ к облачному порталу и современные API.
Производительность OCVS
VMware vSphere - это проверенная корпоративная платформа виртуализации, которая успешно работает с виртуальными машинами Oracle более 12 лет. Как показано на рисунке ниже, виртуальная машина Oracle Database, выполняющая сложную корпоративную нагрузку в OCVS, работает почти так же хорошо, как и в локальном датацентре. Когда мы масштабируем виртуальные машины Oracle Database до 8, виртуальные машины на OCVS работают даже немного лучше, чем виртуальные машины в локальных средах.
Также, используя эталонный тест VMware для измерения производительности базы данных DVD Store, компания Deloitte в независимом исследовании показывает, что виртуальные машины Oracle Database работают до 4-8 раз быстрее с VMware NSX, как показано на рисунке:
Отличные новости! Компания VMware запустила программу бесплатного пробного доступа к VMware Cloud on AWS в течение 30 дней.
Это хороший способ получения первичного опыта работы с публичным облаком VMware Cloud on AWS. Процесс онбординга очень прост - надо заполнить вот эту форму, после чего в течение небольшого времени с вами свяжется команда VMware, чтобы проверить, подходите ли вы под условия программы.
Участвовать могут только новые клиенты облака VMware Cloud on AWS. Поддержка клиентов предоставляется во всех регионах мира (AMER, EMEA и APJ).
Что вы получаете в рамках этой пробной программы?
Бесплатный доступ к одному виртуальному центру обработки данных (SDDC) на одном хосте i3.metal или i4i.metal.
Во время пробного периода все расходы, которые выставляет VMware за использование VMware Cloud on AWS, включая использование хоста, адреса Elastic IP и передачу данных, являются бесплатными.
Пробный SDDC можно без проблем преобразовать в платный SDDC всего несколькими кликами в VMware Cloud Console.
Доступен во всех регионах, поддерживаемых VMware Cloud on AWS.
Бесплатный доступ к чат-поддержке VMware Cloud, историям успеха клиентов и техническим ресурсам.
Также по программе доступен FAQ, который объясняет нюансы бесплатного онбординга в публичное облако VMConAWS:
В этом случае необходимо, чтобы диски ВМ находились в режиме multi-writer, то есть позволяли производить запись в файл VMDK одновременно с нескольких хостов ESXi (можно также организовать и запись от нескольких ВМ на одном хосте). Этот режим со стороны VMware поддерживается только для некоторых кластерных решений, таких как Oracle RAC, и для технологии Fault Tolerance, у которой техника vLockstep требует одновременного доступа к диску с обоих хостов ESXi.
В статье, на которую мы сослались выше, хоть и неявно, но было указано, что режим "Multi-writer" используется и для кластеров Microsoft Windows Server Failover Clustering (WSFC, ранее они назывались Microsoft Cluster Service, MSCS), однако это была неверная информация - он никогда не поддерживался для кластеров Microsoft.
Мало того, использовать режим "Multi-writer" для WSFC не только не рекомендуется, но и опасно - это может привести к потере данных. Кроме того, возможности поддержки VMware в этом случае будут очень ограничены.
Информация о поддержке "Multi-writer" и общих дисков VMDK
Использование файлов VMDK в качестве общих дисков для виртуальных машин Windows в среде vSphere возможно, но только когда файлы VMDK хранятся в кластеризованном хранилище данных с включенной поддержкой Clustered VMDK, как описано в статье Clustered VMDK support for WSFC, или ниже в этой статье.
Сначала предупреждения и предостережения - прежде чем предпринимать любые из описанных в этой статье шагов, администратору очень важно понять и принять, что VMware не гарантирует, что эти конфигурации не приведут к потере данных или их повреждению.
Итак, какие варианты предлагает VMware, если вы уже используете кластеры WSFC в режиме multi-writer:
Переконфигурирование общих дисков на основе файлов VMDK для кластеризованных виртуальных машин Windows, которые были настроены с использованием опции флага multi-writer.
Перемещение файлов VMDK в одно или несколько официально поддерживаемых хранилищ данных с поддержкой Clustered VMDK.
Представление файлов VMDK обратно виртуальным машинам таким образом, чтобы минимизировать или избежать необходимости перенастройки внутри гостевой операционной системы или на уровне приложений.
VMware настоятельно рекомендует клиентам, выполняющим эти задачи, убедиться в наличии проверенного и повторяемого плана отката в случае сбоя во время выполнения этих операций. Предполагается и ожидается, что у клиентов имеются проверенные резервные копии всех данных и информации о конфигурации всех виртуальных машин, которые будут участвовать в этом процессе переконфигурации.
Как минимум, клиенты должны выполнить (или отметить) следующее перед началом этих процедур:
Имена и расположение файлов для КАЖДОГО диска VMDK.
Номер SCSI и SCSI ID, к которому подключен КАЖДЫЙ диск. Мы должны присоединить диск к ТОМУ ЖЕ SCSI ID при повторном подключении.
В Windows - текущий владелец ресурсов диска (проверить это можно в конфигурации WSFC).
Если владение ресурсами WSFC разделено между узлами, ПЕРЕКЛЮЧИТЕ ВСЕ РЕСУРСЫ на один узел. Это упрощает процесс реконфигурации и очень полезно, чтобы избежать путаницы. Выключите все пассивные узлы ПЕРЕД выключением активного узла. После завершения настройки необходимо включить сначала активный узел, а затем остальные узлы.
Переконфигурация кластера WSFC с Multi-Writer на режим Clustered VMDK
Давайте начнем с рассмотрения нашей текущей конфигурации, посмотрим на узлы (кликабельно):
И на диски:
Протестируем WSFC путем переключения ресурсов диска - в данном случае мы выключаем активный узел и наблюдаем, как кластерные ресурсы становятся доступными на пассивном узле. Этот тест очень важен для проверки работоспособности WSFC перед внесением изменений.
Текущая конфигурация общих дисков (отображение распространенной неправильной конфигурации с включенным multi-writer, где общие диски принадлежат выключенной третьей виртуальной машине).
Вот узел WSFC Node-1 и его расшаренные диски (флаг Multi-Writer установлен в Enabled):
Компания VMware на днях объявила о выпуске обновленной версии решения VMware Aria Operations Cloud релиз July 2023, предназначенного для комплексного управления и мониторинга виртуальной среды на платформе VMware vSphere в облаке. Напомним, что о новых возможностях январской версии продукта мы писали вот тут.
Давайте посмотрим на новые возможности платформы:
1. Поддержка Microsoft Azure Government
Эта функция была разработана в основном для агентств правительства США и их партнеров, она предлагает услуги IaaS, PaaS и SaaS. Данная функция обеспечивает физическую изоляцию дата-центров и сетей, расположенных только в США, и соответствует стандартам безопасности и соблюдения требований правительства. Обратите внимание: поддержка Azure Government Secret в настоящее время недоступна.
Поддержка подписок на Azure Government доступна в 5 регионах:
US Gov Arizona
US Gov Texas
US Gov Central
US Gov Virginia
US Gov East
Подписки управляются через встроенную интеграцию с Microsoft Azure. Пользователи могут выбирать между коммерческими или государственными подписками с соответствующими услугами и регионами. Если вы используете коммерческие подписки, можно использовать дэшборды, алерты и контент, доступные для коммерческих подписок, а потом использовать их для государственных подписок без каких-либо дополнительных настроек.
Настройка регионов Azure Government Regions:
2. Интерфейс командной строки Cloud Proxy CLI
Интерфейс командной строки Cloud Proxy был усовершенствован - теперь он позволяет выполнять проверку соединения. Ее можно использовать для конфигураций с заранее определенными эндпоинтами, такими как Gateway, S3 и узлы кластера, в зависимости от того, находится ли кластер на локальном сервере или доступен как SaaS. Он также включает возможности проверки маршрута трассировки и просмотра информации об окружении. У VMware Aria Operations также есть фоновое задание, которое проверяет связь с этими конечными точками.
Опции использования Cloud Proxy CLI (подробнее об этом тут):
3. Уведомление о работе системы (Notification Heartbeat)
Функция Notification Heartbeat позволяет вам использовать правила Notification Rules для повторной отправки активных алертов на желаемые эндпоинты, пока они остаются активными. По умолчанию этот флажок не выбран. Как только эта опция установлена, система постоянно проверяет статус алертов, которые соответствуют правилу уведомления.
4. Поиск по метрикам в панели Troubleshooting Workbench
Тут появились следующие улучшения:
Теперь появилась улучшенная возможность поиска объектов с использованием запросов. Используйте метрики, свойства или суперметрики, связанные с типами объектов. Вы можете добавлять условия, используя несколько метрик и условий.
Опции autocomplete для помощи в составлении запросов и быстрого изучения синтаксиса.
Автоматическая проверка синтаксиса запроса поможет вам правильно его построить.
Новая страница для результатов поиска:
Подробное изучение метрики
Выполнение сверток
Запуск панели устранения неполадок
Фильтрация результатов, чтобы помочь вам сузить область поиска.
Поиск автоматически сохраняется на время сессии в виде плитки на панели troubleshooting workbench.
Пакет соответствия CIS обновлен для поддержки следующих бенчмарков:
CIS_VMware_ESXi_6.7_Benchmark_V1.3.0
CIS_VMware_ESXi_7.0_Benchmark_V1.2.0
Также теперь есть определения алертов, специфичные для версий.
NSX-T Compliance pack был обновлен для поддержки следующих стандартов:
NSX-T 3.2 Security Configuration Guide
NSX-T 3.1 Security Configuration Guide
NSX-T 3.0 Security Configuration Guide
Также появились обновленные определения алертов в сценариях автоматической проверки комплаенса.
6. Улучшения Launchpad
Действие Learn More на некоторых карточках открывает объясняющее видео:
7. Новая метрика доступности для объектов мониторинга приложений
Для объектов мониторинга приложений добавлена новая метрика "Telegraf availability’", чтобы понять, получаются ли данные от агента Telegraf. Она применима как для curated, так и для open source агентов Telegraf (подробнее тут).
8. Скрипты PowerShell собирают данные для обнаружения служб без учетных данных
Теперь обнаружение служб использует скрипты PowerShell для сбора данных с виртуальных машин Windows в сценариях без учетных данных.
9. Защита платформы
VMware Aria Operations теперь имеет встроенные защитные механизмы для отслеживания изменений в метриках или свойствах Management Pack. Там, где наблюдаются частые изменения значения строки метрики или значения свойства, они отображаются в виде предупреждения о защите платформы. В текущем релизе это должен включить администратор, но в будущих релизах это может быть включено по умолчанию.
Более подробно о VMware Aria Operations Cloud можно почитать на странице продукта.
Недавно мы писали о большом релизе облачной архитектуры VMware Cloud Foundation 5.0 (VCF), неотъемлемой частью которой является решение VMware NSX, предназначенное для для виртуализации, агрегации и централизованного управления сетями виртуального датацентра.
Напомним, что VCF - это главное программное комплексное инфраструктурное решение VMware, которое включает в себя компоненты VMware vRealize Suite, VMware vSphere Integrated Containers, VMware Integrated OpenStack, VMware Horizon, NSX и другие, работающие в онпремизной, облачной или гибридной инфраструктуре предприятия под управлением SDDC Manager.
Давайте взглянем на основную новую функциональность NSX:
Если кратко, то вот основные моменты, которые заслуживают внимания:
VMware Cloud Foundation 5.0 с поддержкой NSX 4.1 предлагает усовершенствования платформы, такие как многопользовательский доступ к ресурсам сети и NAPP 4.0.1.1.
Antrea - это проект, совместимый с платформой Kubernetes, который реализует CNI и политики сетей Kubernetes для обеспечения сетевой связности и безопасности рабочих нагрузок в подах (pods). NSX 4.1 представляет новые усовершенствования сетевого взаимодействия и безопасности контейнеров, которые позволяют создавать правила сетевого экрана с комбинацией виртуальных машин и ingress/egress объектов Kubernetes.
Дополнительные службы сетевой маршрутизации уровня 3 становятся доступными для фабрики VMware Cloud Foundation Fabric за счет развертывания маршрутизации между VRF.
Улучшенная онлайн-система диагностики, которая содержит шаги для отладки и устранения конкретных проблем.
Теперь рассмотрим все это подробнее:
Улучшения в области сетевого взаимодействия и безопасности
VMware Container Networking with Antrea предлагает пользователям подписанные образы и бинарные файлы, а также полную корпоративную поддержку для проекта Antrea. VMware Container Networking интегрируется с управляемыми сервисами Kubernetes для дальнейшего улучшения сетевых политик Kubernetes. Также поддерживаются рабочие нагрузки Windows и Linux на Kubernetes в нескольких облаках.
NSX 4.1 имеет новые улучшения в области сетевого взаимодействия и безопасности контейнеров, которые позволяют создавать правила сетевого экрана с комбинацией виртуальных машин и объектов Kubernetes. Кроме того, можно создавать динамические группы на основе тегов NSX и меток Kubernetes. Это улучшает удобство использования и функциональность управления кластерами Antrea с помощью NSX.
Пользователи имеют возможность создания политик сетевого экрана, которые разрешают и/или блокируют трафик между различными виртуальными машинами и модулями Kubernetes в одном правиле. Также вводится новая точка принудительного выполнения, которая включает все эндпоинты, а эффективное применение (apply-to) определяется на основе исходных и целевых групп участников.
Более эффективная защита от кибератак с функциональностью NDR
По мере того как сетевые атаки становятся все более распространенными, возрастает важность использования новейших функций в области безопасности. Развертывание NSX 4.1.0 как части VMware Cloud Foundation 5.0 с новыми возможностями распределенного сетевого экрана в сочетании с новыми функциями NDR улучшает защиту.
Технология обнаружения и реагирования на сетевые угрозы (Network Detection and Response, NDR) позволяет команде безопасности визуализировать цепочки атак, преобразуя огромное количество сетевых данных в несколько "кампаний вторжения". NDR строит такие визуализации, объединяя и сопоставляя события безопасности, такие как обнаруженные вторжения, подозрительные объекты и аномальные сетевые потоки.
Усовершенствованная система онлайн-диагностики
Онлайн-диагностика предлагает предопределенные руководства (runbooks), которые содержат шаги отладки для устранения конкретной проблемы. Руководства по устранению неполадок или runbooks - это серия шагов или процедур, которые следует выполнять для диагностики и устранения проблем в системе или приложении. Они разработаны для структурированного подхода к устранению неполадок и помогают быстро и эффективно решать проблемы.
Эти руководства можно вызвать через API, и они запустят шаги отладки с использованием CLI, API и скриптов. После отладки будут предложены рекомендуемые действия для исправления проблемы, а сгенерированные в ходе отладки артефакты можно загрузить для дальнейшего анализа.
Больше технических ресурсов и руководств для архитектуры VMware Cloud Foundation 5.0 вы можете найти на этой странице.
В июне этого года компания VMware выпустила обновление своего продукта VMware Aria Hub релиз May 2023 (бывший Project Ensemble). Напомним, что VMware Aria Hub предлагает простой способ управления облачными аккаунтами, получения контроля над всем облачным инвентарем и изучения топологии приложений. Подробнее о бесплатной версии этого продукта мы писали вот тут.
Это решение предназначено для мультиоблачных инфраструктур, которые могут быть построены на базе комбинации различных частных и публичных облаков, где требуется предоставление пользователям единого и подстроенного под них интерфейса, ориентированного на приложения. Через анализ пользовательского опыта с приложениями с помощью Aria Hub и алгоритмов машинного обучения можно будет получать рекомендации по оптимизации работы с облачными приложениями, которые опираются на оптимизацию оборудования и программного обеспечения.
Надо отметить, что решение Aria Hub использует новую технологию VMware Aria Graph, которая на базе API-first подхода позволяет сотрудникам DevOps и ITOps получить доступ к графическому интерактивному консолидированному представлению приложений в различных облаках, построенному через публичные API.
Давайте посмотрим, что нового появилось в майском релизе:
Пакетный онбординг для AWS
VMware Aria Hub предоставляет пользователям детальную видимость своих облачных сред, и особенно взаимосвязей между ресурсами облака в инвентаре. Для пользователей AWS были добавлены функции массового онбординга AWS (AWS Bulk Onboarding), которая упрощает интеграцию учётных записей AWS в VMware Aria Hub, а также понимание связей между учётными записями. Хотя пользователи бесплатного тарифа VMware Aria Hub по-прежнему смогут подключать только два аккаунта публичного облака, массовое подключение AWS чрезвычайно полезно для тех, кто иcпользует платную версию и стремится к лучшему управлению мультиоблачными средами в большом масштабе.
Эта новая возможность позволяет VMware Aria Hub получить информацию о верхнеуровневой учётной записи AWS и обнаружить иерархию учётных записей и отношения с другими учётными записями в процессе сбора информации об инвентаре. Иерархия учётных записей будет визуализирована через представление "Explore" в VMware Aria Hub, где информация агрегирована, чтобы дать представление о вашей среде и предоставить подробности о нарушениях, стоимости, производительности и другом бизнес-релевантном контенте.
Чтобы воспользоваться массовым онбордингом AWS, пользователям просто нужно добавить учётные данные верхнего уровня AWS в VMware Aria Hub. Платформа сделает остальное, когда вы пройдёте по интуитивно понятному руководству по подключению, выберете учётные записи, которые вы хотите добавить, отредактируете свойства учётных записей и, наконец, подключите эти учётные записи.
Функции Elevated Credentials
В этой версии в Aria Hub были добавлены привилегированные учетные данные. При управлении облачными средами наилучшей практикой является применение принципа минимальных привилегий для учетных данных и ролей, имеющих доступ к облачным аккаунтам, особенно когда речь идет о разрешениях на добавление, изменение или удаление данных в аккаунте провайдера.
Введение привилегированных учетных данных в VMware Aria Hub и его интегрированных сервисах приближает к возможности применить принцип минимальных привилегий. Используя привилегированные учетные данные в VMware Aria Hub, вы можете гарантировать, что учетным данным предоставляются только те разрешения, которые требуются для выполнения их определенных действий. Например, если учетные данные нужны только для сбора инвентаря публичного облака, они не должны также иметь разрешение на добавление, изменение или удаление данных в аккаунте провайдера облака.
Вы можете соответствовать требованиям к настройке других сервисов, интегрированных с VMware Aria Hub, таких как VMware Aria Guardrails, предоставляя разрешения с привилегированными учетными данными. Добавив специфические учетные данные для такого сервиса, как VMware Aria Guardrails, вы также можете сохранить первоначальные учетные данные "только для чтения" в VMware Aria Hub, которые существуют только для целей сбора информации. По мере появления новых сервисов в VMware Aria Hub, привилегированные учетные данные обеспечивают необходимую гибкость для максимального использования платформы, исключая при этом ненужные разрешения.
Больше подробностей о VMware Aria Hub вы можете получить на странице продукта.
Архитектура SD-WAN является отличным инструментом для организаций, стремящихся оптимизировать производительность сети и улучшить связность между географически разбросанными локациями. Однако, чтобы получить полную выгоду от SD-WAN, вам необходимы эффективные операционные средства и утилиты для мониторинга. Это становится всё более важным из-за операционных сложностей и проблем с безопасностью, которые возникают по мере того как SaaS-приложения становятся более популярными, а пользователи могут работать из любого места.
VMware SD-WAN имеет мощные возможности, включая технологию VMware Edge Network Intelligence, которые помогут вам идентифицировать и решить проблемы с сетью прежде, чем они станут большими проблемами, использовать ресурсы на полную мощность, и обеспечить качественный пользовательский опыт. В видео ниже показаны некоторые из лучших практик для оперирования и мониторинга сети SD-WAN, с акцентом на мониторинг производительности в реальном времени, мониторинг безопасности и видимость приложений.
Мониторинг производительности в реальном времени
Возможность видеть поведение сети в реальном времени необходима для обеспечения оптимальной производительности сети и своевременного определения и решения потенциальных проблем. Вот некоторые лучшие практики эксплуатации сетей SD-WAN:
Мониторьте состояние сети - VMware SASE Orchestrator предоставляет детальное отображение показателей производительности сети, таких как latency, jitter и потери пакетов для каждого доступного WAN-соединения. В то время как функция Dynamic Multipath Optimization (DMPO) автоматически с миллисекундной задержкой принимает меры по устранению проблем со статусом соединения, она также может мониторить состояние сети и использование пропускной способности в реальном времени, чтобы своевременно выявить и решить любые проблемы с производительностью.
Включите механизмы оповещения - настройте алерты для платформ управления производительностью сети для сетевых параметров для метрик, таких как использование связи, потеря пакетов или отклонения в производительности приложения. Это позволяет получать своевременные уведомления, когда производительность отклоняется от ожидаемых уровней, давая возможность проактивно устранять неполадки. Потоковые метрики, которые предоставляются Webhooks и NetFlow, могут быть проанализированы для формирования почти в реальном времени представления о состоянии сети и производительности. Механизмы по запросу, такие как SNMP и API-вызовы, также могут быть использованы для периодического получения автоматизированных снимков состояния сети.
Используйте AI/ML аналитику - продвинутые платформы сетевой аналитики предоставляют ценные, пригодные для использования инсайты в среде SD-WAN для сетевого окружения на периферии. VMware Edge Network Intelligence использует техники искусственного интеллекта (AI) и машинного обучения (ML) для сбора, анализа и обработки данных о телеметрии сети в реальном времени от устройств на периферии. VMware Edge Network Intelligence позволяет пользователям выполнять мониторинг в реальном времени, обнаружение аномалий, прогнозирование, анализ безопасности, визуализацию, отчетность, интеграцию и автоматизацию. Он постоянно отслеживает сетевой трафик и показатели производительности на периферии, и может обнаруживать аномалии и ненормальные паттерны в поведении сети.
Применяйте непрерывный бенчмаркинг - используйте инструменты для непрерывного мониторинга, чтобы собирать и анализировать данные о производительности на постоянной основе. Это позволяет выявлять паттерны и тенденции, помогая администраторам сети принимать обоснованные решения для планирования емкости и оптимизации. Также фиксируйте ценные исторические базовые показатели производительности, которые могут быть использованы для определения, привели ли изменения в сети к улучшению или ухудшению производительности. Периодические автоматизированные отчеты также могут быть использованы для предоставления ценных исторических инсайтов и точек сравнения.
Хотя все эти механизмы рекомендуется использовать, большинство организаций могут сосредоточиться на некотором их подмножестве, которое наилучшим образом соответствует операционным требованиям и целям производительности. Возможности интеграции любых существующих платформ для логирования и алертинга также могут играть роль в выборе наилучших механизмов оповещения.
Кроме того, интегрированное решение на базе AI/ML, такое как VMware Edge Network Intelligence, может сократить необходимость передачи метрик для анализа стороннему решению и сократить среднее время до устранения проблем (mean-time-to-resolution).
Видимость приложений
Для обеспечения оптимальной производительности и пользовательского опыта критически важно иметь широкую видимость трафика приложений. Здесь можно рассмотреть следующие практики:
Используйте маршрутизацию соединений на базе приложений - осведомленность о приложениях предоставляет дополнительный способ контролировать трафик, соответствовать бизнес-целям организации и более эффективно использовать доступные сетевые каналы. Например, трафик критически важных или чувствительных приложений с более высоким приоритетом может быть настроен на использование более безопасных частных соединений, в то время как приложения с более низким приоритетом могут оставаться на более дешевых интернет-соединениях. VMware SD-WAN позволяет осуществлять маршрутизацию, основанную на приложениях, позволяя вам отдавать приоритет критически важным приложениям по сравнению с менее важным трафиком, и имеет возможность динамически перемещать трафик приложений с одного соединения на другое при необходимости.
Используйте инструменты мониторинга производительности приложений (Application Performance Monitoring, APM) - инструменты APM предоставляют глубокие инсайты о метриках производительности приложений, включая время отклика, пропускную способность и успешность транзакций. Эти инструменты помогают администраторам определять проблемы, связанные с приложениями, и эффективно их устранять.
Отслеживайте пользовательский опыт - реализуйте мониторинг пользовательского опыта end-to-end, включая время отклика и доступность приложений. VMware Edge Network Intelligence обеспечивает видимость пользовательского опыта, позволяя администраторам заблаговременно решать проблемы производительности. VMware Edge Network Intelligence обеспечивает динамический бенчмаркинг для приложений в реальном времени, таких как Zoom, и предупреждает о любых значительных отклонениях от этого бенчмарка. Он также отслеживает связанные индикаторы и предоставляет предложения по устранению основной причины проблем, сокращая среднее время до их устранения и, во многих случаях, позволяя ИТ-команде заранее решить проблему, прежде чем она затронет конечных пользователей.
Мониторинг безопасности
Обеспечение безопасности вашей SD-WAN сети является первоочередной задачей. Поскольку SD-WAN становится частью более крупного интегрированного решения SASE, важно, чтобы команды, отвечающие за транспорт и безопасность, также интегрировали свои операционные политики для обеспечения координации мониторинга, логирования, оповещений и отчетности, их согласованности и совместного управления. Вместо двух отдельных действий единый подход обеспечивает обеим командам полное представление о состоянии сети.
Вот ключевые практики для реализации лучших практик SD-WAN по безопасности:
Использовать безопасные соединения - для защиты конфиденциальности и подлинности трафика, проходящего через сетевой оверлей SD-WAN, следует использовать безопасные протоколы, такие как IPsec. SD-WAN от VMware использует шифрованный оверлей на основе IPsec для обеспечения подлинности и конфиденциальности трафика, использующего сети транспорта WAN. Также поддерживаются туннели на основе IPSec и GRE для подключения к не-SD-WAN назначениям.
Реализовать фаерволы нового поколения (next-generation firewalls, NGFW) - организации имеют возможность использовать интегрированный файрвол на основе приложений, размещенный на периферии, IDS и IPS, а также VMware Cloud Web Security для проверки и фильтрации трафика на предмет потенциальных угроз. Также поддерживается интеграция с решениями NGFW от сторонних производителей. Это обеспечивает многоуровневый подход к безопасности против вредоносных действий, а также детальную видимость для попыток вредоносной активности. Эта видимость критически важна для быстрого анализа угрозы и принятия мер по ее устранению, если это необходимо.
Мониторинг событий безопасности - используйте решения по управлению информацией и событиями безопасности (security information and event management, SIEM) для мониторинга и определения корреляции событий безопасности в сети SD-WAN. Анализируя логи и генерируя предупреждения, администраторы могут быстро реагировать на инциденты безопасности.
События безопасности могут быть записаны и проанализированы через логи файрвола, а также интеграцию с платформами SIEM. Orchestrator SASE от VMware также имеет обновляемый в реальном времени дэшборд обнаруженных угроз, включая информацию о затронутых локациях, распределение угроз и их источники.
С момента введения поддержки выделенных облаков vSphere в качестве назначения репликации, VMware расширяет список доступных функций с каждым новым релизом.
VMware Cloud Director Availability 4.6 предлагает несколько заметных улучшений:
Планы восстановления
Регулирование пропускной способности (Bandwidth throttling)
Публичный API
Усовершенствования настроек процесса восстановления
Планы восстановления
Планы восстановления были частью VMware Cloud Director Availability уже некоторое время, но были доступны только для облачных мест назначения VMware Cloud Director. Теперь они стали частью набора функций vSphere DR и миграции и обеспечивают тот же интерфейс и удобство использования. План может быть создан как для миграций, так и защиты/репликации, но их смешивание не допускается.
Создавая план, вы определяете порядок миграции или переключения виртуальных машин. На каждом шаге вы можете включить одну или несколько виртуальных машин, добавить время ожидания перед началом выполнения следующего шага или запросить ручное подтверждение, которое приостановит план до его подтверждения. В качестве действий вы можете провести тестирование и затем выполнить очистку после теста, а также операции миграции/переключения.
Каждый запуск генерирует подробный отчет о выполнении, который содержит информацию о сайте, продолжительность выполнения каждого шага и общую продолжительность, а также результат операции.
Примечание: настройки восстановления всех репликаций, которые являются частью плана, должны быть заданы до его выполнения.
Регулирование пропускной способности
С этой новой функцией можно установить глобальное ограничение для входящего трафика репликации, получаемого отдельным облаком vSphere со всех партнерских сайтов. Оно не накладывает ограничений на данные рабочих нагрузок и управляющий трафик.
Лимит применяется к определенному сетевому интерфейсу виртуального модуля Tunnel и указывается в мегабитах в секунду:
Примечание: несмотря на то что внешние модули Replicator являются необязательными, для возможности управления пропускной способностью на облачном сайте должны работать только внешние репликаторы.
Публичный API
Еще одной новой функцией в VMware Cloud Director Availability 4.6 является публичный API для vSphere DR и миграции, которого не было в предыдущих релизах. Этот API позволяет вам выполнять настройку, репликацию, резервное копирование и многие другие операции.
Также произошли некоторые изменения в настройках восстановления, которые теперь проверяются вместе с настройками репликации (для датасторов) для избежания ошибок в процессе переключения/миграции из-за неправильной конфигурации. Кроме того, раздел "Network Mappings" позволяет настраивать общие сопоставления между исходными и целевыми сетями, что очень удобно при установке настроек восстановления для нескольких репликаций одновременно. Конечно, при необходимости эти сопоставления можно дополнительно настроить для каждого сетевого адаптера каждой виртуальной машины.
На днях компания VMware выпустила июньский релиз облачной версии решения VMware Aria Operations for Logs SaaS June 2023. Напомним, что это средство предназначено для администраторов, сотрудников технической поддержки и системных инженеров, которые ищут причины проблем различного характера в облачной инфраструктуре на базе VMware Cloud и решают их на базе аналитики лог-файлов. О майской версии этой облачной платформы мы писали вот тут.
Выпуск Aria Operations for Logs в июне 2023 года предлагает две новых функции, о которых просило множество клиентов VMware. Теперь поддерживается планирование и запуск отчетов из дэшборда, а также появилась возможность объединенного запроса журналов, учитывающих данные онпремизной и облачной инфраструктур (пока в бета-версии).
Запланированные отчеты
Если вы знакомы с возможностями отчетности Aria Operations for Logs в локальной среде, то функция отчетности SaaS очень похожа на нее. Вам нужно всего лишь выбрать уже созданный дэшборд, будь то пользовательский или стандартный, и настроить расписание, чтобы отчет был отправлен на указанный адрес электронной почты. После выполнения и отправки отчета получатель сможет выбрать - открыть его в формате PDF, приложенном к электронному письму, или перейти по ссылке, которая приведет его в Aria Operations for Logs, чтобы ознакомиться с содержимым отчета.
Вот пример отчета в формате PDF, содержащего круговую диаграмму, которая показывает входы администраторов по имени хоста vCenter:
Федеративный запрос журналов между локальной средой и SaaS (BETA)
Эта функция находится в разработке уже некоторое время, и сейчас она появилась впервые в бета-версии. После интеграции локальной среды и экземпляров Aria Operations for Logs в SaaS, теперь вы можете использовать функции объединенного запроса, который будет использовать данные обоих окружений.
Пожалуйста, имейте в виду, что эта функция все еще находится в бета-версии, поэтому возможны ошибки и разного рода неточности.
Страница продукта VMware Aria Operations for Logs SaaS находится вот тут.
Дункан Эппинг в своем блоге описал ситуацию, когда один из администраторов распределенного кластера vSAN увидел множество сообщений об ошибках, говорящих о том, что vSphere HA не мог перезапустить определенную виртуальную машину во время сбоя межсайтового соединения ISL.
Бывает это в следующей типовой конфигурации кластера vSAN:
Предположим, что Datacenter A - это "preferred site", а Datacenter B - это "secondary site". Если между датацентром A и датацентром B происходит сбой ISL, компонент Witness, находящийся на третьей площадке, автоматически привяжет себя к датацентру A. Это означает, что ВМ в датацентре B потеряют доступ к хранилищу данных vSAN.
С точки зрения кластера HA, у датацентра A всегда будет Primary-узел (ранее он назывался Master), он же есть и у датацентра B. Первичный узел обнаружит, что есть некоторые ВМ, которые больше не работают, и он попытается перезапустить их. Он попытается сделать это на обеих площадках, и конечно, сайт, где доступ к хранилищу данных vSAN потерян, увидит, что перезапуск не удался.
А вот и важный момент, в зависимости от того, где/как сервер vCenter подключен к этим площадкам. Он может получать, а может и нет информацию об успешных и неудачных перезапусках. Иногда бывают ситуации (в зависимости от архитектуры и характера сбоя), когда сервер vCenter может общаться только с primary-узлом в датацентре B, и это приводит к сообщениям о неудачных попытках перезапуска, хотя на самом деле все ВМ были успешно перезапущены в датацентре A.
В этом случае интерфейс может дать разъяснение - он даст вам информацию о том, какой узел является первичным, и также сообщит вам о либо об "изоляции сети" (network isolation) или о "разделении сети" (network partition) в соответствующих разделах разделах панели Hosts. При сбое ISL - это, конечно же, разделение сети.
Каталоги VMware Cloud Director и шаблоны vApp широко используются многими организациями для оптимизации администрирования инфраструктуры виртуальных приложений vApp.
В Cloud Director Availability версии 4.3.1 компания VMware представила миграцию шаблонов vApp внутри облака или в удаленное облако Cloud Director. Это позволяет синхронизировать только конкретные элементы, а не весь каталог. Чтобы еще больше расширить возможности использования, в VMware Cloud Director Availability 4.6 теперь можно также защитить и шаблон vApp средствами репликации.
Меню консоли клиента было переработано, там добавлена новая кнопка защиты шаблона vApp:
Общий процесс репликации следует по таким же шагам, как и при миграции, но включает в себя несколько новых настроек для определения того, как будут обрабатываться изменения в исходных шаблонах vApp.
После выбора шаблона для репликации, его назначения в облаке, датацетра VDC и политики хранения, вас перенаправят на страницу настроек мастера.
Вот основные нововведения здесь:
Отслеживание исходного шаблона на предмет изменений - если включено, VMware Cloud Director Availability каждые 5 минут проверяет, не было ли каких-либо изменений в исходном шаблоне и, если они есть, настраивает новую репликацию для последней версии шаблона.
Задержка начала синхронизации - проверки на изменения будут выполняться каждые 5 минут только в течение указанного интервала. Если изменение обнаружено, VMware Cloud Director Availability приступит к выполнению операций. Обратите внимание, что они могут начаться только в течение определенного времени, но могут завершиться за его пределами этого окна.
Автоматическое поведение миграции - определяет, будет ли шаблон vApp перезаписан на месте назначения или будет добавлена новая копия в каталог, сохраняя старую версию без изменений. Для включения автоматической миграции начальная миграция должна быть выполнена вручную, и защита должна быть в состоянии восстановления после сбоя (Failed-Over recovery state).
Рабочий процесс
Рабочий процесс репликации шаблона vApp выглядит следующим образом:
Как только новая защита шаблона vApp настроена с активированными параметрами отслеживания изменений источника, Cloud Director Availability регулярно проверяет исходный шаблон каждые 5 минут. В зависимости от настройки задержки начала синхронизации, эти проверки работают круглосуточно или только в течение указанного интервала.
Когда обнаруживается изменение, VMware Cloud Director Availability автоматически создает новую репликацию с последней версией шаблона vApp и удаляет старую. Если успешно выполнена ручная миграция текущей репликации (не обязательно начальной), то каждая следующая также будет автоматически выполнена с указанными настройками (перезапись или новая копия).
Учет баллов/стоимости для сервис-провайдера
Репликации шаблона vApp учитываются как стандартные репликации vApp/VM с помощью VMware vCloud Usage Meter:
Миграции шаблона vApp как обычные миграции - 0 баллов за смигрированную ВМ.
Репликация шаблонов vApp как их защита - 10 баллов за защищенную ВМ.
Обратите внимание, что учет ведется на виртуальную машину, а не на шаблон. Это означает, что если вы защищаете шаблон vApp, состоящий из 3 ВМ, он будет потреблять 30 баллов.
Особенности процесса
Настройки восстановления можно изменить только до начала первоначальной ручной миграции. После этого они не могут быть изменены.
Настройки восстановления применяются только к автоматически созданным (будущим) репликациям, если сохраняются имена всех ВМ в шаблоне.
Настройка политики репликации "Custom SLA settings" должна быть обязательно активирована для организаций, которые будут защищать шаблоны vApp.
Фишинг является значительной угрозой для организаций, а мобильные устройства требуют усиленной защиты – будь то корпоративные устройства или устройства, принадлежащие сотрудникам. На днях VMware объявила о финальной доступности (GA) решения VMware Workspace ONE Mobile Threat Defense с интегрированной защитой от фишинга и защитой контента.
С момента запуска Workspace ONE Mobile Threat Defense в прошлом году, произошел рост фишинговых атак на мобильных устройствах. Согласно отчету Verizon Data Breach Investigations за 2023 год, фишинг является одним из трех основных способов, с помощью которых злоумышленники проникают в организации.
По мере того, как организации и сотрудники увеличивают использование мобильных устройств и используют гибкие рабочие стратегии, телефоны становятся все более важными для бизнес-операций и повышения продуктивности. Однако вместе с этим возрастают и сложности при попытке обеспечить безопасность этих устройств. Фишинг создает дополнительные угрозы на мобильных устройствах, так как может распространяться за пределы традиционных электронных писем и веб-сайтов, эксплуатируя SMS, мессенджеры и даже QR-коды. Разные средства обманывают пользователей, заставляя их раскрывать учетные данные для входа или нарушать конфиденциальность, и эти нарушения могут привести к потере данных и финансовым потерям для предприятий.
О решении Workspace ONE Mobile Threat Defense
Публично доступная информация и готовые наборы инструментов для фишинга, доступные в даркнете, облегчают задачу злоумышленникам, нацеленным на большие группы сотрудников. Для организаций, стремящихся защитить свои мобильные устройства и среды от этих угроз, Workspace ONE Mobile Threat Defense с интегрированной защитой от фишинга и защиты контента представляет собой комплексное решение по безопасности, которое отвечает на угрозы, основанные на электронной почте, SMS, мессенджерах и социальных сетях - для устройств iOS, iPadOS и Android.
Workspace ONE Mobile Threat Defense обнаруживает попытки загрузки фишингового и вредоносного веб-контента из приложений и фоновые активности на устройстве - и блокирует контент соответствующим образом. Это достигается за счет интеграции с приложением Workspace ONE Tunnel, которое отправляет URL-адреса, которые устройство пытается загрузить, в Lookout Security Graph для расширенного анализа. Эта функция использует информацию в реальном времени, алгоритмы машинного обучения и большую базу известных фишинговых URL.
Администратор может настроить политики, позволяющие или запрещающие определенные домены и типы контента, в зависимости от потребностей своей организации. Когда пользователям запрещается доступ к вредоносному или запрещенному контенту, они получают уведомление и могут видеть причину блокировки контента, без вмешательства или действий со стороны ИТ-отдела или службы безопасности.
Workspace ONE Mobile Threat Defense применяет ориентированный на приватность подход к обеспечению безопасности. Никакой пользовательский контент не отслеживается и не проверяется, и обнаруженные вредоносные или фишинговые домены могут быть настроены так, чтобы быть видимыми или невидимыми для администратора.
Защита мобильных устройств от фишинга и вредоносного контента не должна идти в ущерб обеспечению безопасного доступа к корпоративным ресурсам. Для организаций, которым требуется VPN или безопасный удаленный доступ к корпоративным ресурсам с мобильных устройств, Workspace ONE Tunnel представляет собой современное решение для удаленного доступа, обеспечивающее доступ к сети на основе принципа "нулевого доверия" (ZTNA). Защита от фишинга и контента в Mobile Threat Defense работает в паре с Workspace ONE Tunnel на устройстве, предотвращая загрузку вредоносного контента при применении правил и политик трафика для устройства. Использование Workspace ONE Tunnel для VPN требует настройки сервиса туннеля с помощью VMware Unified Access Gateway или решения для хостинга ZTNA: VMware Secure Access.
Также вам будет полезна записанная демонстрация защиты от фишинга и контента в Mobile Threat Defense:
Страница продукта Workspace ONE Mobile Threat Defense находится тут, а документация доступна здесь.
27 июня этого года пройдет глобальное онлайн-мероприятие, ориентированное на технических специалистов и участников комьюнити VMware User Groups - VMware VMUG Virtual 2023.
Виртуальное мероприятие VMUG реализовано как высокоинтерактивная 3D-среда с видеодокладами и сессиями для обсуждений с возможностью задать вопросы докладчикам. Присоединяйтесь из любой точки мира, чтобы получить самые свежие технологические новости, уведомления об обновлениях и профессиональные развивающие материалы онлайн. Также будут доступны сессии для обсуждений по запросу и интерактивные партнерские экспозиции на площадке выставки. Самое удобное - это то, что мероприятие проходит в виртуальном формате, поэтому вы можете попасть на него из любого места, включая то место, из которого уже можно мало куда попасть! ;)
Что будет на виртуальном мероприятии VMUG в июне:
Дискуссионные сессии с ответами на вопросы
Онлайн-чат с экспертами VMware и лидерами VMUG
Практические лабораторные работы в течение всего дня
Доступ к виртуальным стендам участников
Возможность скачать различные материалы
Призы и многое другое!
Программа мероприятия:
5:00 AM - 5:40 AM
Morning Keynote: The Future of Multi-Cloud, Kit Colbert, VP & CTO, Cloud Platform BU, VMware
5:50 AM - 6:20 AM CT
Partner Breakout
6:25 AM - 6:55 AM CT
vMotion Deep Dive, Niels Hagoort, Staff Technical Marketing Architect, VMware
6:25 AM - 6:55 AM CT
What’s New in Tanzu Application Platform (TAP), Ben Wilcock, Senior Technical Marketing Architect, VMware and Myles Gray, Staff Technical Marketing Architect, VMware
7:00 AM - 7:30 AM CT
vSphere 8 CPU and NUMA enhancements and Modern CPU Architectures by Intel and AMD, Frank Denneman, Chief Technologist, VMware
7:00 AM - 7:30 AM CT
Ransomware, How Not to Pay a Ransom!, Joris Leemreize, Solution Engineer, VMware
7:00 AM - 7:30 AM CT
From Source Code to Cloud-Native Application with Tanzu and Carvel, Lino Telera, Cloud Architect, Linoproject.net
7:35 AM - 8:05 AM CT
Maximizing Your IT Efficiency with Dell PowerStore and VMware I Dell Technologies
8:10 AM - 8:40 AM CT
What to Look Out for When Architecting Horizon, Ralph Hoffman, EUC Consultant, FONDO | Sander Noordijk, Solution Engineer Digital Workspace, VMware
8:10 AM - 8:40 AM CT
Kubernetes for vSphere Administrators, Cormac Hogan, Chief Technologist, VMware
8:45 AM - 9:15 AM CT
VMware and Veeam: End-to-End Intrinsic Security to Protect Mission Critical Data I Veeam
9:30 AM - 10:00 AM CT
6 Fundamentals For Advancing Your Career, Duncan Epping, Chief Technologist, VMware
10:20 AM - 10:50 AM CT
Oracle Cloud VMware Solution: A Differentiated VMware Cloud Platform I Oracle
11:30 AM – 12:00 PM CT
A to Z : A Technical Deep Dive of vSphere+, Dave Morera, Staff Technical Marketing Architect, VMware
11:30 AM – 12:00 PM CT
VMware Ransomware Recovery as a Service, Kim Delgado, Sr. Staff Cloud Solution Architect, VMware
11:30 AM – 12:00 PM CT
DevOps 101 for the VI Admin - Code, Git, CI/CD & Infrastructure as Code, Joe Houghes, Senior Solutions Architect, Pure Storage
12:05 PM -12:35 PM CT
Ransomware Resilience: Real-Time Detection Meets Real-Time Protection I Zerto
12:05 PM -12:35 PM CT
Monitor and Improve the Digital Employee Experience Across the Horizon Stack | ControlUp
2:10 PM – 2:40 PM CT
Introducing Aria, VMware's new Multi-Cloud Management Platform!, Steven Dahlin, Director Aria Multi-Cloud Management, VMware
2:10 PM – 2:40 PM CT
Intro to Kubernetes and Containers, Boskey Savla, Sr. Technical Marketing Architect, VMware
2:10 PM – 2:40 PM CT
Is 2023 the 'Year of the vVol', Tristan Todd, Field Solutions Architect, Pure Storage
3:20 PM - 3:50 PM CT
Discover the Synergistic Value of Intel vPro, VMware Workspace ONE, and Dell Technologies I Dell Technologies User Community
3:20 PM - 3:50 PM CT
A Tanzu Success Story - VMware Platform Services deploying Tanzu with Intel hardware I Intel
3:55 PM – 4:25 PM CT
Upgrade to vSphere 8: Know Before You Go, Shannon Fitzpatrick, Staff Technical Account Manager, VMware
3:55 PM – 4:25 PM CT
Five Lessons Learned from Career Stories on The Nerd Journey Podcast, Nick Korte, Staff Solution Engineer, VMware
5:05 PM - 5:35 PM CT
VMware Carbon Black XDR: Enhance Endpoint Security and Network Visibility, Dale McKay, Senior Technical Marketing Architect, VMware
5:05 PM - 5:35 PM CT
Architecting Oracle Workloads from on-premises to VMware Hybrid Multi Clouds, Sudhir Balasubramanian, Sr. Staff Solution Architect, VMware
5:05 PM - 5:35 PM CT
How Attackers Break into Your Office, Patrick Coble, Senior Security & EUC Architect, VDISEC
5:35 PM CT - 6:00 PM CT
Break
6:00 PM - 6:30 PM CT
REPLAY: Maximizing Your IT Efficiency with Dell PowerStore and VMware I Dell Technologies
7:35 PM - 8:05 PM CT
REPLAY: What to Look Out for When Architecting Horizon, Ralph Hoffman, EUC Consultant, FONDO | Sander Noordijk, Solution Engineer Digital Workspace, VMware
RSS
