Как вы знаете, в мире виртуализации есть так называемые виртуальные модули (Virtual Appliances), которые позволяют распространять программное обеспечение в виртуальных машинах, готовых к развертыванию в инфраструктуре клиента. То есть, Virtual Appliance просто импортируется через клиент для управления платформой виртуализации (например, vSphere Client или XenClient), а само приложение работает в недрах этой виртуальной машины, предоставляя свои сервисы по сети, а управление через веб-фронтэнд.
Есть такая контора DMTF, которая занимается развитием стандартов в области управления ИТ-системами. Она, например, имеет свои спецификации по открытому стандарту распространениия виртуальных модулей OVF, который в будущем должны стать единым стандартом развертывания ПО в виртуальных машинах. В данной инициативе принимали участие компании Dell, HP, IBM, Microsoft, VMware и XenSource (еще до покупки компанией Citrix).
По своей сути стандарт OVF подразумевает кросс-платформенность, но на деле этого нет, так как он весьма скудно описывает сам образ виртуального диска (VMDK, VHD и пр.), уделяя большее внимание метаданным. Но так как каждая платформа виртуализации работает только со своим форматом виртуальных дисков, то есть некоторые проблемы с распространение данного "открытого" формата.
Виртуальный модуль в формате OVF представляет собой набор файлов, куда входят виртуальные диски (например, VMDK) и файл с расширением *.ovf, реализующий открытое описание файлов конфигурации виртуального модуля. Есть также подвид OVF - файл *.ova, который является TAR-архивом файлов OVF-пакета. То есть, ova-файлы идут по одному для каждого виртуального модуля, поэтому их проще распространять. С точки зрения размера и быстродействия OVA/OVF примерно одинаковы:
Когда вы делаете экспорт виртуальной машины из vSphere Client для создания виртуального модуля (Export OVF Template), вам как раз предлагают выбрать нужный формат OVF/OVA:
Так что вот - основная идея такова, что независимые разработчики ПО должны прежде всего ориентироваться на формат OVF / OVA при распространения своего ПО в виртуальных машинах. Но вот что непонятно - почему в VMware vCenter Converter Standalone 4.3 убрали поддержку OVF: "Support for OVF format is discontinued"?
Данное ПО поставляется в виде виртуальной машины для развертывания на XenServer, которая позволяет отслеживать производительность сетевого взаимодействия и работу виртуальных машин с хранилищами (storage I/O и network I/O). Через веб-интерфейс можно получить информацию о следующих аспектах производительности:
Disk I/O performance utility - предоставляет следующую информацию: sequential read/writes и random read/writes с различными размерами блоков.
Network I/O performance utility - это модифицированная версия утилиты netperf. Позволяет мониторить пропускную способность сети и задержки.
Скачать Citrix XenServer Virtual Machine Performance Utility можно по этой ссылке.
Мы уже писали о средстве защиты соединений пользователей в виртуальной инфраструктуре VMware vSphere под названием HyTrust, поставляемого в виде виртуального модуля (Virtual Appliance). В связи с тем, что в конце марта вышла вторая версия данного продукта, хотелось бы остановиться на нем поподробнее (недаром он стал одним из победителей в конкурсах VMworld 2009).
Итак, HyTrust позволяет нам с четырех сторон улучшить управление и повысить безопасность виртуальной инфраструктуры VMware vSphere:
Unified Access Control - контроль всех возможных методов доступа к виртуальной инфраструктуре.
Virtual Infrastructure Policy - задание политик безопасности при работе с виртуальной инфраструктурой с максимальной гранулярностью в соответсвии с потребностями крупных организаций
Hypervisor Hardening - анализ хостов VMware ESX на соответствие безопасной конфигурации
Audit-quality Logging - качественная система централизованного сбора и анализа логов
Расширенный список функций HyTrust выглядит так:
Unified Authentication - HyTrust перехватывает все соединения пользователей с виртуальной инфраструктурой VMware vSphere / ESX (включая SSH, различные API, vSphere Client в конфигурациях vSphere-Client-to-ESX или vSphere-Client-to-vCenter) и позволяет разграничивать доступ к различным объектам на базе ролей с высокой гранулярностью разрешений.
Directory Server Bridging - HyTrust интегрируется с Microsoft ActiveDirectory (или с любым другим провайдером LDAP v3), чтобы организация могла использовать уже существующие репозитории пользователей, ролей и групп в унифицированной среде доступа HyTrust.
Two-factor Authentication: Поддерживаются различные устройства двухфакторной аутентификации, включая RSA SecurID, что позволяет ввести дополнительный уровень защиты при аутентификации пользователей в среде VMware vSphere 4
Root Password Vault: Позволяет передать привилегии пользователя root другому аккаунту на ограниченное время, чтобы не светить везде учетные данные root, а дать возможность доверенному администратору некоторое время поработать с хостом ESX
Object Policy Labels: Политики доступа организуются с помощью тэгов, что позволяет проще ориентироваться и разграничивать доступ по бизнес-сущностям или иным признакам.
Centralized Log Repository - модуль HyTrust централизованно хранит все необходимые логи, где отображена информация об активности пользователей в среде VMware vSphere.
Industry-standard Log Format - логи хранятся в форматах syslog или secure syslog
Host Configuration Templates - HyTrust может обследовать ваши хосты ESX на предмет соблюдения необходимых требований безопасности (бенчмарки C.I.S., PCI DSS, VMware Best Practices, либо кастомные) и, после проверки, применить требуемые настройки для повышения безопасности конфигурации.
Gold Standard Benchmark: очень просто - можно сделать "золотой" с точки зрения безопасности хост VMware ESX и сравнивать с ним все остальные серверы в виртуальной инфраструктуре.
Federated Deployment: несколько виртуальных модулей HyTrust можно объединять в единую систему, между компонентами которой будет осуществляться репликация политик безопасности
Virtual Appliance Form-factor: HyTrust - это готовая виртуальная машина, а значит решение просто развернуть в рамках вашей инфраструктуры, проще бэкапить, настраивать и т.п.
Virtual Infrastructure Search: простой и эффективный поиск объектов, политик и логов внутри HyTrust Virtual Appliance.
Remote API: интерфейс для автоматизации HyTrust Appliance
Wide platform support for VMware: решение HyTrust поддерживает VMware vSphere и ESXi (ESX 3.5/4.0; ESXi 3.5/4.0), а также vCenter Server 2.5 и 4.0.
Router-Mode - HyTrust моржет работать как Default Gateway для серверов ESX и vCenter, что позволит маршрутизировать трафик между сетью управления (management network) и производственной сетью.
Основные возможности HyTrust продемонстрированы на видео ниже:
Между тем, виртуальный модуль HyTrust Community Edition доступен абсолютно бесплатно для инфраструктуры, состоящей не более чем из 3 хостов VMware ESX.
На Techtarget появилась хорошая статья Eric'а Siebert'а о безопасности виртуальных машин на сервере виртуализации VMware ESX. Статья достаточно длинная, поэтому постараюсь привести краткое содержание с пояснениями.
Чтобы украсть виртуальную машину с VMware ESX вместе со всеми ее данными и приложениями нужно сделать 3 вещи:
1. Сделать Snapshot виртуальной машины, что переведет ее основной виртуальный диск vmdk в режим только чтения.
2. Загрузить диск vmdk с общего или локального хранилища на машину злоумышленника с помощью FastSCP или WinSCP (можно использовать встроенный в vSphere Client Datastore Browser).
3. Импортировать виртуальную машину на VMware Workstation (для запуска и доступа к данным и приложениям), либо смонтировать диск ВМ в операционную систему Windows или Linux с помощью утилиты vmware-mount из комплекта VMware's Virtual Disk Development Kit (VDDK).
Комментарии:
1. Поскольку основной vmx-файл виртуальной машины будет ссылаться не только на основной vmdk, но и на файл снапшота (отличия от исходного состояния ВМ), нужно будет этот vmx подправить. Кроме того, после того, как файлы vmdk и vmx будут скопированы злоумышленником, он удаляет снапшот - для администратора будто бы ничего и не было.
2. Чтобы запустить импортированную виртуальную машину потребуется пароль администратора гостевой ОС. Как известно, есть утилиты для подбора пароля администратора под Windows Server.
3. Чтобы смонтировать виртуальный диск vmdk и получить доступ ко всем данным - никакого пароля не нужно (если не было шифрования средствами гостевой ОС). Представьте, что вы украли обычный физический диск и воткнули его в компьютер.
4. Файлы vmdk не шифруются в VMware vSphere, но судя по тому, что возможность шифрования в VMware Workstation 7 появилась, в скором времени ее можно ожидать и для VMware vSphere / ESX.
Как не допустить кражи виртуальной машины со своего сервера VMware ESX:
1. Разграничивайте доступ к VMware vCenter, а также к томам VMFS, где хранятся виртуальные машины (в том числе на уровне SAN).
Некоторым пользователям VMware vSphere 4 не хватает стандартной функциональности Distributed vSwitch (dvSwitch), который позволяет создать центральный коммутатор для всей виртуальной инфаструктуры, представляющий собой объединение виртуальных коммутаторов на хостах VMware ESX.
Специально для них, компания Cisco, близкий партнер VMware, предоставляет пользователям возможность применять специализированный виртуальный коммутатор Cisco Nexus 1000V в составе издания VMware vSphere Enterprise Plus (за отдельные деньги), который очень удобен сетевым администраторам для больших инсталляций VMware vSphere. Полный список функций распределенного коммутатора Cisco Nexus 1000V, который бывает как физическим устройством, так и виртуальным модулем (Virtual Appliance) приведен вот в этом документе.
Сегодня компания Citrix объявила о доступности для скачивания продукта Citrix NetScaler VPX Express, позволяющего оптимизировать веб-трафик в корпоративной инфраструктуре, защитить его с помощью SLL и сетевого экрана, а также осуществлять его балансировку. Презентация продукта Citrix NetScaler VPX Express была проведена еще в рамках конференции Citrix Synergy, прошедшей в Лас-Вегасе.
Ранее NetScaler был доступен только в виде аппаратного модуля (Hardware Appliance) с установленным ПО Citrix и мог быть использован для оптимизации трафика через Интенет в корпоративных сетях (например, между филиалами или в компаниях с большим объемом мультимедиа-трафика). Теперь издание NetScaler VPX Express поставляется в виде готовой виртуальной машины, которую можно разместить на сервере виртуализации и точно так же использовать для целей оптимизации канала и обеспечения безопасности.
Такой вариант поставки Citrix NetScaler позволит снизить затраты на приобретение решения (не надо платить за железку от Citrix) и позволит значительно более гибко использовать решение (поскольку NetScaler - виртуальная машина, можно просто перемещать его между серверами, обеспечивать отказоустойчивость и т.п.).
Процесс настройки Citrix NetScaler VPX Express для Microsoft Sharepoint можно посмотреть на этом видео...
Коллеги делятся информацией, что какое-то время назад компания HyTrust выпустила Virtual Appliance с одноименным названием под версией 1.5.
Продукт HyTrust Virtual Appliance предназначен для обеспечения безопасности виртуальной инфраструктуры VMware vSphere / ESX, где этот виртуальный модуль становится звеном через которое проходят все каналы доступа к виртуальной инфраструктуре (vSphere Client, SSH, Web Access и т.п.). Основные возможности продукта HyTrust Virtual Appliance:
Проксирование всех интерфейсов доступа к инфраструктуре VMware vSphere / ESX (SSH, Client, сторонние API) с обеспечением безопасного доступа. Поддержка токенов и прочей двухфакторной ереси.
Поддержка ролевой модели VMware vCenter и управление безопасностью на основе политик для объектов.
Поиск брешей в инфраструктуре на основе шаблонов PCI DSS, C.I.S. Benchmark, VMware Best Practices.
Компания DataCore Software объявила о выпуске готового виртуального модуля SANmelody Virtual SAN Appliance, который позволяет организовать общее хранилище для виртуальных машин Microsoft Hyper-V или Citrix XenServer по интерфейсу iSCSI.
SANmelody Virtual SAN Appliance использует технологию StorageLink, которая присутствует в продукте Citrix Essentials, предназначенном для управления серверами Hyper-V или XenServer. StorageLink – это технология для использования возможностей дисковых массивов напрямую из интерфейса XenCenter.
Возможности продукта SANmelody Virtual SAN Appliance...
Таги: Citrix, Virtual Appliance, Storage, Hyper-V, XenServer, Microsoft
Сегодня стало известно, что компания VMware в понедельник выпустит вторую версию программного обеспечения для создания виртуальных модулей (Virtual Appliance) VMware Studio 2.0. Virtual Appliance - это готовая виртуальная машина с установленным в ней ПО, выполняющим определенную задачу... Таги: VMware, Studio, Virtual Appliance, ESX, vCenter
RSS
