Мы уже много рассказывали о продукте vGate R2 от компании Код Безопасности (см. наш раздел), который позволяет защитить виртуальную инфраструктуру от несанкционированного доступа, разделить полномочия администраторов и настроить компоненты vSphere в соответствии с лучшими практиками и стандартами (в том числе, российскими). Сегодня мы рассмотрим средства контроля целостности vGate.
Одно из существенных изменений, Datastore Heartbeating - механизм, позволяющий мастер-серверу определять состояния хост-серверов VMware ESXi, изолированных от сети, но продолжающих работу с хранилищами. Напомним, что в качестве heartbeat-хранилищ выбираются два, и они могут быть определены пользователем. Выбираются они так: во-первых, они должны быть на разных массивах, а, во-вторых, они должны быть подключены ко всем хостам.
Если у вас доступно общее хранилище только одно, вы получите такое предупреждение в vSphere Client:
Теперь еще один момент, на который хочется обратить внимание. Помните, что в настройках VMware HA есть варианты выбора действия для хост-сервера по отношении к своим виртуальным машинам в том случае, когда он обнаруживает, что изолирован от сети (параметр Isolation Responce):
Напомним, что Isolation Responce может принимать следующие значения:
Leave powered on (по умолчанию в vSphere 5 - оптимально для большинства сценариев)
Power off
Shutdown
Выбирать правильную настройку нужно следующим образом:
Если наиболее вероятно что хост ESXi отвалится от общей сети, но сохранит коммуникацию с системой хранения, то лучше выставить Power off или Shutdown, чтобы он мог погасить виртуальную машину, а остальные хосты перезапустили бы его машину с общего хранилища после очистки локов на томе VMFS или NFS (вот кстати, что происходит при отваливании хранища).
Если вы думаете, что наиболее вероятно, что выйдет из строя сеть сигналов доступности (например, в ней нет избыточности), а сеть виртуальных машин будет функционировать правильно (там несколько адаптеров) - ставьте Leave powered on.
Разницу между Power off и Shutdown многие из вас знают - во втором случае машина выключается средствами гостевой системы, а в первом случае - это жесткое выключение средствами хост-сервера. Казалось бы, лучше всего ставить второй вариант (Shutdown). Но это не всегда так. Дело в том, что при действии shutdown у гостевой ОС может не получиться погасить систему (например, вылетит exception или еще что). В этом случае хост ESXi будет пытаться сделать shutdown в течение 5 минут до того, как он уже сделает действие power off.
Это приведет к тому, что время восстановления работоспособности сервиса вполне может увеличиться на 5 минут, что может быть критично для некоторых задач (с высокими требованиями к RTO). Зато в случае shutdown у вас произойдет корректное завершение работы сервера, а при power off могут не сохраниться данные, нарушиться консистентность и т.п. Выбирайте.
Пост в рамках заказанной вами рубрики "Что почитать?". Компания VMware на прошедшей неделе выпустила несколько очень нужных, полезных, а главное интересных для чтения документов. Вот они:
Документ описывает лучшие практики по переходу на VMware vSphere 5 с предыдущих версий, включая хост-серверы VMware ESXi, сервер vCenter и его базу данных. См. также нашу серию статей о миграции на vSphere 5.
В документе описаны основные рабочие процессы по управлению сервером виртуализации VMware ESXi 5, включая интерфейс vCLI, PowerCLI, управление через SSH и многое другое. Документ будет полезен многим, особенно пользователям бесплатного ESXi и изданий Essentials.
Самый нужный документ для тех, кто планирует внедрение инфраструктуры виртуальных ПК VMware View 5 в условиях высокой нагрузки на канал. В документе рассматривается тонкая настройка протокола PCoIP с помощью групповых политик, все с картинками - просто и понятно. Например, выставление maximum frame rate в 15 и maximum initial image quality в диапазоне 70-80 уменьшает требование к каналу в 2-4 раза при сохранении приличного качества картинки при просмотре видео.
Этот документ уже сфокусирован на производительности решения VMware View 5 в целом. Приведены примеры тестирования решения для различных настроек протокола PCoIP и других компонентов.
Продолжение обзора новой документации не заставит себя долго ждать.
Продолжаем вам рассказывать о средстве номер 1 для обеспечения информационной безопасности VMware vSphere - vGate R2 от Кода Безопасности. Напомним, что это средство позволяет автоматически настраивать компоненты vSphere в соответствии с регламентами и стандартами, а также обеспечивать защиту от несанкционированного доступа.
Сегодня мы поговорим о защите персональных данных (ПДн), которая является головной болью специалистов службы ИБ предприятия (ФЗ 152). Как многие из вас знают, при автоматизированной обработке ПДн защищенность информационной системы при использовании технологий виртуализации должна соответствовать требованиям российского законодательства.
В этой сфере есть несколько законов, постановлений и руководящих документов, которые актуальны на сегодняшний день:
Все эти документы не делают различия между физической и виртуальной средой. При этом в виртуальной инфраструктуре vSphere есть очень много новых рисков ИБ, о которых может не знать важа служба ИБ предприятия. Кроме того, в этих документах требования, зачастую, весьма неконкретны, поэтому непонятно, как их вообще выполнять, учитывая неоднозначность толкования.
Например: согласно документу ФСТЭК нужно регистрировать вход-выход пользователей из системы, которая имеет доступ к ПДн. Очевидно, что это может быть виртуальная машина с этой системой. Но к ПДн имеет доступ также гипервизор хост-сервера (в том числе к выключенным машинам) - и значит операции по работе с ним (например, вход в консоль ESX / ESXi) также надо правильно регистрировать.
Еще пример: требования к очистке (обнулению, обезличиванию) освобождаемых областей оперативной памяти информационной системы и внешних накопителей
в условиях виртуальной среды также должны быть дополнены такими операциями, как очистка освобождаемых областей оперативной памяти после завершения работы ВМ и дисков виртуальных машин при их удалении.
Наиболее жесткие требования к обеспечению
защиты персональных данных предъявляются к информационным системам персональных данных
(ИСПДн) класса К1, для которых процедура оценки соответствия является обязательной, а использу-
емые технические средства защиты информации
должны иметь сертификат ФСТЭК по уровню не ниже НДВ 4.
К таким организациям относятся медицинские учреждения (данные о состоянии здоровья - категория 1), а также финансовые и телекоммуникационные компании. Российское законодательство любые организации, осуществляющие обработку персональных
данных, признает оператором персональных данных.
А теперь подумайте, как вручную настроить конфигурацию виртуальной инфраструктуры vSphere, чтобы она соответствовала всем руководящим документам? Ведь сама vSphere имеет сертификат ФСТЭК только для версии vSphere 4.0 Update 1 и у нее нет сертификата по НДВ, что автоматически делает ее средства обеспечения ИБ неприемлемыми для ПДн категории К1 (то есть всех медучреждений, где в ВМ хранятся данные о пациентах). И даже если вы сами сможете настроить все правильно, то представляете каковы будут эксплуатационные затраты на настройку при развертывании новых систем или изменении старых. А помимо общих документов, есть еще и специфические отраслевые стандарты вроде СТО БР ИСПДн (Банк России) и прочие.
Соответственно вам нужно автоматизированноесредство vGate R2, у которого есть все необходимые бумаги и сертификаты. Например, в vGate R2 есть политики для настройки инфраструктуры vSphere по российским РД и стандартам (СТО БР ИСПДн, АС разных классов, шаблон политик под ФЗ 152 и др).
Что вы можете почитать на тему защиты ПДн в виртуальной инфраструктуре с помощью vGate R2:
Мы уже писали о новом продукте VMware vSphere Storage Appliance (VSA), который позволяет создать кластер хранилищ на базе трех серверов (3 хоста ESXi 5 или 2 хоста ESXi 5 + физ. хост vCenter), а также о его некоторых особенностях. Сегодня мы рассмотрим, как работает кластер VMware VSA, и как он реагирует на пропадание сети на хосте (например, поломка адаптеров) для сети синхронизации VSA (то есть та, где идет зеркалирование виртуальных хранилищ).
Таги: VMware, VSA, vSphere, Обучение, ESXi, Storage, HA, Network
С выпуском платформы виртуализации VMware vSphere 5 в ESXi 5.0 появилась возможность запуска вложенных 64-битных виртуальных машин, в том числе Hyper-V. Выглядит это так:
На физическом сервере (или даже виртуальном, созданном в VMware Workstation) вы устанавливаете ESXi 5.0
Создаете виртуальную машину с гостевой ОС Windows Server (включая восьмую версию)
В этой ВМ с Windows Server включаете роль Hyper-V и устанавливаете там виртуальные машины, которые работают
Аналогичный трюк можно провернуть, установив ESXi в ESXi и на последнем поставить 64-битные виртуальные машины (ранее можно было только 32-битные). Все это открывает широкие возможности по тестированию VMware vSphere 5 и Hyper-V, включая возможности распределенных служб (кластеры HA/vMotion и Live Migration). При этом не нужно иметь даже сервер в своем распоряжении - достаточно будет обычного ПК с VMware Workstation.
Для эмуляции возможностей hardware-assisted virtualization (HV), которые требуются для работы вложенных гипервизоров Hyper-V и ESXi (делается это за счет виртуализации 64-битных инструкций VT-x или AMD-V), вам потребуется хост с соответствующими аппаратными характеристиками процессора (Intel VT или AMD-V сейчас есть практически во всех процессорах). Поддержка такой возможности в продуктах VMware называется Virtualized HV.
По умолчанию возможности Virtualized HV на хосте ESXi 5.0 отключены. Чтобы их включить, на физическом или виртуальном хосте VMware ESXi в файл /etc/vmware/config нужно добавить строчку:
vhv.allow = "TRUE"
Перезагрузка для применения этой возможности хосту не нужна.
Чтобы узнать включена эта возможность или нет, нужно выполнить команду для лога виртуальной машины (по выводу вы поймете статус):
grep "monitorControl.vhv" vmware.log
Далее просто создавайте вложенные VMware ESXi 5 (не забыв указать в качестве гостевой ОС ESXi). Помните, что Virtual Hardware Version должна быть 8 (на самом деле можно и с 7-й версией, но нужно сделать дополнительные шаги).
Чтобы поставить виртуальную машину с Hyper-V нужно еще добавить следующую строчку в vmx-файл для этой ВМ:
hypervisor.cpuid.v0 = FALSE
Это не даст понять гостевой ОС, что она работает в виртуальной машине. Если этого не сделать, то Hyper-V R2 выдаст такую ошибку:
Failed to create partition: Unspecified error (0x80004005)
А Hyper-V R3 вот такую:
Hyper-V cannot be installed: A hypervisor is already running.
Ну а дальше устанавливаете Windows Server, включаете роль Hyper-V, создаете виртуальные машины и запускаете их. Что касается вложенности - то, говорят, на 4-м уровне уже начинаются тормоза, которые не дают приемлемо работать, а до этого уровня - пожалуйста.
В этой статье описан интересный вариант использования приведенной вомзожности - создание кластера VMware vStorage Appliance (VSA) на базе виртуальных ESXi 5.0.
Кстати, если вы хотите, наоборот, запустить виртуальный ESXi 5.0 на физическом хосте Hyper-V, то в vmx-файл с виртуальным ESXi нужно добавить строчку:
vmx.allowNested = TRUE
Это позволит запускать вложенные ВМ на таком виртуальном ESXi 5.0 под управлением Hyper-V.
Как мы уже писали, с 22 августа этого года существенно поднялись цены на все продукты линейки VMware vSphere с выходом пятой версии. Однако только в период с сегодняшнего дня и до 21 сентября включительно мы еще можем постараться принять от вас заказы на четвертую версию vSphere по старым ценам, которая у вас сразу же станет бесплатно пятой версией в соответствии с таблицей обновления по приобретенной подписке:
То есть, я предлагаю вам купить VMware vSphere 5 значительно дешевле (в некоторых случаях - до 70%). А теперь обратите внимание на следующую табличку:
Если вы в эти 3 дня успеете купить VMware vSphere 4 Advanced Acceleration Kit по старой цене (от четверки), то вы сразу получите бесплатно пятую версию VMware vSphere 5 Enterprise Acceleration Kit, которая уже стоит на >60% дороже. Пример расчета по прайс-листовым ценам:
VMware vSphere 5 Enterprise Acceleration Kit for 6 processors + поддержка (SnS) на 1 год = $22 743,50 + $7 165,31 = $29 908,81
VMware vSphere 4 Advanced Acceleration Kit for 6 processors with vCenter Standard + поддержка на 1 год = 14 294,50 + 3 542,24 = $17 836,74
То есть, продукт-то один и тот же, а цены разные (мы еще и скидку сделаем!). Пишите: pr@vmc-company.ru. Этот email работает круглосуточно.
P.S. Не тупите, покупайте. Эта скидка даже больше, чем по купонам на Групоне.
Продолжаем нашу серию статей о продукте номер 1 - vGate R2, который необходим для защиты виртуальных инфраструктур VMware vSphere. Напомним, что продукт позволяет автоматически настроить среду виртуализации (хост-серверы и ВМ) в соответствии с регламентами и стандартами информационной безопасности, а также защитить инфраструктуру от несанкционированного доступа. Сегодня мы поговорим об администрировании продукта со стороны службы ИБ предприятия.
Компания VMware продолжает свою серию летне-осенних релизов. После выпуска VMware vSphere 5 и других сопутствующих продуктов для серверной инфраструктуры, компания обновила свою настольную платформу виртуализации, выпустив VMware Workstation 8 (см. тут и тут о предыдущих версиях).
VMware Workstation 8 включет в себя следующие новые возможности и улучшения:
Remote Connections - В VMware Workstation 8 появились возможности соединения с виртуальными машинами, которые исполняются не только в Workstation (причем не только на своем ПК), но и с ВМ на хостах VMware vSphere под управлением VMware vCenter (то есть, можно подцепить vCenter прямо в окружение Workstation и управлять его виртуальными машинами).
"Share" VMs - В Workstation 8 пользователи могут предоставлять общий доступ к своим виртуальным машинам при работе в группах (тестирование, разработка ПО), что предоставляет дополнительные возможности коллективной работы (есть оснастка "Shared VMs").
Upload to vSphere - В Workstation 8 появилась возможность загрузки виртуальной машины со своего ПК на сервер с VMware vSphere, что может быть полезно для развертывания разрабатываемого сервиса на ПК в виртуальной корпоративной среде предприятия (или в "облаке"). Поддерживается drag&drop виртуальных машин в иерархию vSphere.
New User Interface - Пользовательский интерфейс был значительно переработан, появились вякие "красивости" в части меню, анимированных иконок, улучшенных экранов настройки. Также появилась "библиотека виртуальных машин" с расширенными возможностями поиска (не только по своему рабочему столу, но и на других хостах с Workstation и vSphere).
Improved Virtual Machine Capabilities - Появилась поддержка HD со звуком 7.1, поддержка стандарта USB 3 и устройств Bluetooth. Кроме того, присутствует множество улучшений в компонентах virtual SMP (можно включать-выключать поддержку Virtual VT-X/EPT и AMD-V/RVI), увеличилась производительность 3D-графики, а также появилась возможность создания виртуальных машин с 64 ГБ памяти. Теперь поддерживается работа 64-битных гостевых ОС, запущенных как виртуальные машины на виртуальном ESXi (двойная виртуализация).
Скачать VMware Workstation 8 можно по этой ссылке. Полный список новых возможностей доступен здесь.
Один из наших читателей обнаружил интересную особенность VMware VSA при установке в триальном режиме:
Скачивал триальную версию, ключ не дали, нигде. Но, ведь все продукты работают без каких-либо ключей 60 дней, и нигде не написано, что для VSA это не так, даже наоборот - при инсталляции пишется, что без ввода ключа должен установиться и работать в триальном режиме. Я склоняюсь, что VSA глючит... может, русскоязычный Windows не нравится.
Это действительно проблема - на форумах уже попадались точно такие же вопросы от других людей, пока без ответов.
Когда мы ставили VMware VSA, то просто ввели партнерский ключик, и все заработало. А у вас, читатели, такой проблемы нет? Все работает в триальном режиме? Отпишитесь, плз, если есть такая же проблема.
Еще один интересный момент о VSA. Мы уже писали, что есть конфигурации VSA с двумя и с тремя хостами VMware ESXi. В частности, вот пример реализации с двумя хостами:
Однако, суть здесь в том, что в этом случае VMware vCenter у вас должен быть физический, а не в виртуальной машине, поскольку по своей сути кластер трехузловой. Более подробно можно почитать об этом в KB 2004834 (Running vCenter Server in a virtual machine within a VSA cluster is not supported).
То есть нужен либо физический vCenter, либо хост ESXi, не входящий в состав VSA-кластера, c vCenter в виртуальной машине.
И последнее о VMware VSA. Если вы все-таки планируете покупку VMware vSphere Essentials Plus и продукта дополнения VSA, у компании VMware сейчас есть хорошее промо - эти два продукта вместе существенно дешевле, чем по отдельности (есть отдельная позиция в прайсе). Это получается даже чуть дешевле, чем покупать vSphere 4 + vCenter VSA Addon. Так что имейте в виду (а покупайте у нас).
На прошедшей конференции VMworld 2011 компания Veeam Software традиционно представляет свои новинки в сфере средств управления виртуальной инфраструктурой и традиционно побеждает. В этот раз ребята из Veeam рассказывали о новом продукте Veeam Backup and Replication 6, который будет продолжателем традиций продукта номер 1 для резервного копирования виртуальных машин.
Во-первых, появилось новое видео, описывающее основные нововведения Veeam Backup and Replication 6:
Во-вторых, прояснился состав и список новых возможностей Veeam Backup and Replication 6. Он стал более полным:
Enterprise scalability: улучшенная архитектура продукта позволит производить развертывание в удаленных офисах и филиалах, а также для больших инсталляций. Теперь появятся несколько backup proxy для крупных окружений, которые будут распределять между собой нагрузку в процессе резервного копирования, а управлять процессом будет Veeam Enterprise Manager. Также будет увеличена производительность для резервного копирования, репликации и восстановления по WAN-каналам.
Advanced replication: в некоторых случаях скорость репликации вырастет до 10 раз, а также появится Failback (обратное восстановление после возобновления работы отказавшего хоста с ВМ) с возможностью синхронизации дельты (различия данных с момента отказа основной машины) с момента последнего отказа (Failover). Кроме того, будет поддерживаться репликация в thin provisined-диски на целевой сервер. Это сильная заявка на победу над VMware SRM 5 (в издании Standard) для небольших компаний, где серверов не много и нужно укладываться в небольшие бюджеты.
Multi-hypervisor support: полная поддержка Windows Server с ролью Hyper-V и Microsoft Hyper-V Server, а также возможность управления резервным копированием для гипервизоров разных производителей из одной консоли. Одна и та же инсталляция Veeam Backup позволит делать резервные копии и с VMware vSphere, и с Microsoft Hyper-V. При этом лицензирование также единое - один пул лицензий Veeam вы можете распределить между лицензиями на процессоры для хостов ESXi и Hyper-V.
Numerous enhancements, including 1-Click File Restore: расширение возможностей по восстановлению отдельных файлов гостевых ОС с возможностью делегирования полномочий по восстановлению с веб-интерфейсом, без необходимости иметь прямое соединение с ВМ, а также без агента в гостевой ОС. С помощью 1-Click File Restore можно зайти в Enterprise Manager, выбрать нужный файл и восстановить туда, откуда он был удален. При этом есть разделение ролей - есть тот, кто может файл восстановить (helpdesk), а есть тот, кто открыть.
Создание реплик базового образа. Видимо это будет сделано для окружений VMware View, там это сейчас весьма актуально.
Поддержка Changed Block Tracking для Hyper-V. Впервые на арене. Такого еще не было для Hyper-V. Нам обещают до двадцатикратного ускорения резервного копирования.
Режим SplitRx mode, который позволяет увеличить производительность сетевого взаимодействия для некоторых нагрузок
Функция VMX swap, которая уменьшает резервирование памяти для ВМ
Миграция vMotion по нескольким сетевым адаптерам (vmknics)
В документы присутствуют следующие темы:
Выбор оборудования для развертывания vSphere
Управление электропитанием
Настройка ESXi 5 для улучшения производительности
Настройка гостевой ОС для улучшения производительности
Настройка vCenter 5 и его базы данных для улучшения производительности
Производительность vMotion и Storage vMotion
Производительность Distributed Resource Scheduler (DRS) и Distributed Power Management (DPM)
Компоненты High Availability (HA), Fault Tolerance (FT) и VMware vCenter Update Manager
Документ обязателен к прочтению администраторам средних и крупных инфраструктур VMware vSphere 5. Кроме того, напомним о следующих новых документах о производительности платформы:
Напомним, что VMware Converter является абсолютно бесплатным решением, позволяющим осуществить P2V-миграцию ваших физических серверов в виртуальную среду, а также перенести виртуальные машины с других платформ (например, Hyper-V).
Новые возможности VMware vCenter Converter Standalone 5.0:
Сохранение LVM-конфигурации томов исходной Linux-машины при ее миграции.
Улучшенный механизм синхронизации, включая запланированный запуск задачи, а также выполнение нескольких задач синхронизации в одной задаче миграции.
Оптимизация выравнивания дисков и разделов + возможность изменения размера кластера ФС.
Передаваемые данные при миграции между исходным сервером и сервером назначения - шифруются.
Поддержка миграции Red Hat Enterprise Linux 6.x (32-bit and 64-bit). Прекращена поддержка Ubuntu 5.x-7.x.
Возможность восстановления VCB-образов.
Поддержка VMware vCenter 5.0 и VMware ESXi 5.0 (что означает поддержку Virtual Hardware версии 8).
Тема мероприятия - как привести вашу инфраструктуру в плане безопасности к защищенной среде, которая будет соответствовать не только отраслевым стандартам, но и требованиям регулирующих органов. Скоро это будет очень важно.
Кстати, по оценочной шкале Anti-Malware продукт vGate R2 получил 9 из 10 баллов и стал победителем конкурса Virtualization Security Group Russia (тот же Deep Security от Trend Micro получил 8,5 баллов). Кстати, мы реально заметили существенное повышение интереса к этому продукту в последнее время.
Компания «Код Безопасности» объявляет об успешном прохождении продуктом vGate-S R2 сертификационных испытаний и получении им сертификата ФСТЭК России, согласно которому продукт может применяться для защиты государственной тайны в автоматизированных системах до класса 1Б включительно. Таким образом, продукт vGate-S R2 стал первым и единственным в России сертифицированным средством защиты государственной тайны от несанкционированного доступа в виртуальной среде.
Так что, в общем, не тупите, покупайте vGate R2 - пригодится. Купить можно через нас.
Мы уже много писали о различных технических аспектах новой версии серверной платформы виртуализации VMware vSphere 5 и особенностях лицензирования, но в этой статье постараемся сделать суммарный обзор функциональности различных изданий продукта, краткое описание состава пакетов ПО (Acceleration Kits и Essentials), а также детально рассмотреть особенности лицензирования.
Многим из вас известно средство номер 1 для защиты виртуальных инфраструктур VMware vSphere - продукт vGate R2 от компании Код Безопасности. У него две основных сферы применения - автоматическая настройка виртуальной среды в соответствии с лучшими практиками и отраслевыми стандартами на базе политик, а также создание инфраструктуры защиты от несанкционированного доступа.
Мы уже много писали о возможностях, развертывании и других аспектах функционирования средства vGate R2, а в этом посте мы постараемся собрать некоторые ответы на часто задаваемые вопросы о продукте со стороны интересующихся безопасностью в своей инфраструктуре VMware vSphere 5.
Q: У VMware есть средство vShield для защиты виртуальной инфраструктуры vSphere, зачем нам vGate R2?
A: Если вы заглянете в эту заметку, вы поймете, что vShield 4.x - это просто средство межсетевого экранирования различных типов, а vGate R2 - это комплексное средство для защиты виртуальной среды vSphere: мы можем настроить всю инфраструктуру в соответств Таги: Security Code, vGate, Обучение, Security, VMware, vSphere, ESX, ESXi
Компания VMware сегодня сделала доступной для скачивания новую версию своей платформы виртуализаци VMware vSphere 5. Надо сказать, что подробности о vSphere 5 появились довольно давно, затем было объявлено, что продукт можно будет скачать 22 августа, но только сегодня, 25 августа, VMware vSphere 5 можно наконец-то скачать.
Напоминаем, что для бесплатного гипервизора VMware ESXi 5 можно использовать максимально 32 ГБ сконфигурированной памяти запущенных виртуальных машин на данном хосте.
Старые версии VMware vSphere по-прежнему остаются доступными для скачивания: 4.1, 4.0
Отдельно можно скачать продукты семейства VMware vSphere на каждой из страниц конкретного продукта (за ссылки спасибо Duncan'у Epping'у):
Надо сказать, что не все компоненты решения доступны для загрузки. Например, VMware vCenter Server Appliance будет доступен для скачивания в течение нескольких дней.
Начать думать о миграции с VMware ESX / ESXi 4.x на VMware ESXi 5 можно с просмотра вот этого видео:
Про VMware Data Recovery 2.0 только нет пока заметки. Вы наверное заметили, что пока нельзя скачать VMware vCloud Director 1.5, VMware Site Recovery Manager 5 и VMware View 5. Это только пока - доступность этих продуктов для скачивания ожидается 1 сентября.
Кстати, по поводу покупки VMware vSphere 5 обращайтесь к нам, в компанию VMC. У нас обязательно будут предложения, от которых вы не сможете отказаться.
В новой версии платформы виртуализации VMware vSphere 5 появилась интересная возможность - Host Cache. Это механизм, который позволяет пользователю vSphere 5 выделить определенное место на локальных дисков хост-сервера ESXi (лучше всего, если это будут SSD-диски) для хранения свопируемых страниц памяти виртуальных машин. Это позволяет существенно увеличить скорость работы файлов подкачки виртуальных машин (vswp), так как они находятся на локальных высокопроизводительных дисках, и, соответственно, увеличить общее быстродействие инфраструктуры виртуализации.
Хорошая и развернутая статья о Swap to Host cache в VMware vSphere 5 есть у Duncan'а Epping'а, а здесь мы приведем основные ее выдержки.
Прежде всего, после установки VMware ESXi 5 хост может не увидеть локальные SSD-хранилища как пригодные для хранения кэша виртуальных машин. Для этого есть вот такой хак от Вильяма Лама. Далее мы идем на вкладку Configuration в vSphere Client и выбираем секцию Host Cache Configuration:
Тут мы можем задать объем дискового пространства на локальном томе VMFS, который мы можем использовать для файлов подкачки виртуальных машин, работающих на этом хосте. После включения этой возможности на этом локальном томе VMFS появится куча vswp-файлов, в которые гостевые ОС виртуальных машин этого хоста будут складывать свои свопируемые страницы памяти.
Поскольку эти своп-файлы находятся только на этом хосте, то при миграции vMotion содержимое страниц памяти из этих файлов надо скопировать на другой хост в его Host Cache или в vswp-файл в папке с виртуальной машиной на общем хранилище. Это, само собой, увеличивает время на миграцию vMotion, и это надо учитывать.
Что касается надежности при отказе хост-сервера, то тут нет проблем - так как при отказе хоста все равно его виртуальные машины перезапускаются на других хостах, то данные из файлов подкачки для ВМ уже не будут нужны.
Наблюдать за использованием Host Cache можно из VMware vCenter 5 с помощью метрик "Swap in from host cache" и "Swap out to host cache" (а также "rate..."). В результатах вывода консольной утилиты esxtop это метрики LLSWR/s и LLSWW/s.
Что будет когда место на локальном свопе Host Cache закончится? Сервер ESXi начнет копировать страницы в обычный vswp-файл, который находится в папке с виртуальной машиной, что само собой повлияет на производительность. Кстати, размер Host Cache можно изменять при работающем хосте и виртуальных машинах, поэтому лучше увеличивать его вовремя, да и в целом не доводить до большого свопа виртуальных машин (то есть, правильно сайзить хосты по памяти для ВМ). К примеру, Duncan рекомендует 128 ГБ SSD-диски в RAID-1 для 128 ГБ оперативной памяти хоста.
Альтернатива Host Cache - это задать параметр VM swapfile location для виртуальной машины в ее настройках, указав, например, локальный SATA или SSD-диск (можно использовать и быстрые общие хранилища).
Те из вас, кто следил за развитием функциональности платформы VMware vSphere, наверняка помнят, что в версии vSphere 4.1 появился такой компонент как Application Monitoring в настройках VMware High Availability (HA):
Этот компонент был реализован с помощью API, который был доступен сторонним разработчикам приложений, и позволял производить мониторинг доступности отдельных приложений в виртуальных машинах, работающих на платформе vSphere 4.1. В случае проблем с приложением (оно не обновляет Heartbeat - сигнал доступности), виртуальная машина перезагружалась.
То есть, эта технология была доступна только партнерам VMware, один из которых, компания Symantec, реализовала эту функциональность в своем продукте ApplicationHA и добавила поддержку распространенных Windows-приложений:
Теперь компания VMware в новой версии платформы VMware vSphere 5.0 решила пойти дальше и сделать механизм Application Monitoring доступным для всех.
Теперь у Application Monitoring есть свой SDK, в котором есть следующая утилита:
markActive - это функция, вызываемая со стороны приложения, которая вызывается каждые 30 секунд, что говорит о том, что приложение еще "живет". Если она прекратит вызываться, это будет означать что виртуальную машину надо перезагрузить.
isEnabled - проверить статус Application Monitoring.
getAppStatus - проверить статус защищаемого приложения.
То есть, теперь ваши разработчики, используя Java или C++, могут сами написать модуль для работы с VMware Application Monitoring в своем приложении, используя следующие функции:
VMGuestAppMonitor_Enable()
VMGuestAppMonitor_MarkActive()
VMGuestAppMonitor_Disable()
VMGuestAppMonitor_IsEnabled()
VMGuestAppMonitor_GetAppStatus()
VMGuestAppMonitor_Free()
Ну и, само собой, можно писать свои скрипты, которые могут мониторить состояние служб и других компонентов. Это отличная новость и хорошая возможность добавить еще один важный уровень высокой доступности в своей виртуальной инфраструктуре.
Компания VMware, чтобы морально и материально подготовить пользователей VMware vSphere 4.x и VMware VI 3 к переходу на новую версию VMware vSphere 5, выпустила специальную утилиту vSphere Licensing Advisor.
Как вы знаете, издания VMware vSphere 5 будут лицензироваться на процессоры, но для каждого процессора будет лицензироваться определенное количество сконфигурированной памяти запущенных виртуальных машин (vRAM).
Если суммарная скинфигурированная память виртуальных машин будет превышать лицензированный пул vRAM - будет выдано предупреждение о необходимости устранения проблемы (то есть закупка дополнительных лицензий этого издания или апгрейд на более высокое издание, позволяющее иметь больше памяти для виртуальных машин на процессор хост-сервера). Для изданий vSphere 5 Essentials и Essentials Plus - такое событие будет не только ограничиваться предупреждением, но и невозможностью запуска виртуальных машин, выходящих за лимиты доступной vRAM.
Считается во времени это просто - в каждый момент времени за последние 12 месяцев величина скользящей средней к суммарной сконфигурированной vRAM виртуальных машин должна быть меньше или равна величине лицензированного пула vRAM (напоминаю, что пул vRAM считается отдельно в рамках каждого издания).
Чтобы помочь пользователям разобраться во всех этих тонкостях лицензирования, и выпущена утилита vSphere Licensing Advisor. Она подсчитывает количество сконфигурированной памяти ваших запущенных виртуальных машин и говорит вам о том, как это отразится на новой модели лицензирования, когда вы сделаете апгрейд на vSphere 5.
Выглядят результаты работы таким образом (кликабельно):
Учитывайте, что если у вас издание Advanced, то результаты будут отображены для издания Enterprise, поскольку издания Advanced уже больше не будет, а все пользователи этого издания получат Enterprise бесплатно (см. тут).
Вы можете поэкспериментировать с утилитой vSphere Licensing Advisor, выключая и включая ваши виртуальные машин и запуская ее снова для получения различных вариантов отчетов.
Скачать утилиту vSphere Licensing Advisor можно по этой ссылке.
P.S. Кстати, утилитой не поддерживаются окружения, где vCenter 4 управляет хостами ESX / ESXi 3.x. Ну и говорят, что там много багов пока в целом.
Как многим известно, компания VMware вместе с анонсом платформы виртуализации VMware vSphere 5 объявила также о выпуске продукта VMware vCenter Server Virtual Appliance, который представляет собой готовую виртуальную машину, реализующую все необходимые сервисы аналогичные VMware vCenter для Windows.
Такой вариант развертывания системы управления виртуализацией несет в себе некоторые преимущества (прежде всего, экономия на лицензии, простота развертывания и обновления), однако несет в себе некоторое количество ограничений, которые могут заставить вас отказаться от его использования.
Прежде всего, vCenter Server Virtual Appliance доступен для загрузки с сайта VMware в формате OVF вместе с обычным vCenter:
Скачав эти файлы, можно приступить к установке vCenter Server Virtual Appliance, на процесс которой можно посмотреть в этом видео:
Вкратце: после импорта OVF коннектимся браузером по адресу:
https://<ip_of_appliance>:5480
И вводим логин root, а пароль vmware.
Перечислим некоторые возможности и особенности vCenter Server Virtual Appliance (vCSA):
Построен на базе SUSE Linux Enterprise Server 11 x64.
После развертывания OVF виртуальная машина создается с 2 vCPU и 8Gb памяти, адаптер SCSI - LSI Logic Parallel, сетевой адаптер - VMXNET 3, диски - 15Gb и 60Gb (VMDKs), VMware Tools установлены.
Включает базу данных DB2, которая вполне хорошо работает до 5 хостов ESXi или до 50 виртуальных машин (то же самое, что и рекомендуется для связки Windows vCenter Server + MSSQL Express).
Поддерживает внешнюю СУБД Oracle для больших инсталляций.
Включает в себя аутентификацию в Active Directory (AD) и Network Information Services (NIS).
Поддержка vSphere Web Client встроена в vCenter Server Virtual Appliance.
Также поддерживается Windows vSphere Client.
Включает в себя преднастроенный сервер Auto Deploy (не надо устанавливать самому).
Может использовать NFS mounts для хранения компонентов vCenter Server Virtual Appliance и лог-файлов.
vCSA может использоваться как syslog-сервер для сбора логов от серверов ESXi.
Может использоваться как сборщик дампов ядра ESXi.
Малое время развертывания - всего 15 минут.
Не требуется лицензии на хостовую ОС.
Простой способ обновления - если внешняя БД Oracle, просто заменяем Appliance, если используется внутренняя база - есть опция импорта данных от прошлой установки.
Патчи можно устанавливать прямо через веб-интерфейс.
Кстати, вот список продуктов VMware, которые поддерживают vCenter Server Virtual Appliance:
vCenter Operations.
vCenter Orchestrator.
vCenter CapacityIQ.
SRM5.
Auto Deploy.
vCenter Update Manager.
vMA.
vSphere Client.
vSphere Web Client.
То есть видим, что штука, вроде бы, неплохая.
Однако давайте взглянем на ограничения vCenter Server Virtual Appliance:
Microsoft SQL в качестве внешней (и, само собой, внутренней) базы - не поддерживается, нужен ODBC driver for Linux.
Не поддерживается vCenter Server Linked Mode, так как он требует поддержки ADAM.
Не работает vCenter Server Heartbeat, который есть только для Windows.
Не поддерживается IPv6.
Нельзя сделать сквозной вход (Single sign-on), используя учетные данные текущей сессии.
Не работает VMware View Composer (технология связанных клонов, Linked Clones).
Нельзя использовать vSphere Storage Appliance – компоненты VSA Manager & VSA Cluster Server есть только для Windows.
Плагин VIX Plugin for vCenter Orchestrator – тоже не будет работать, так как VMware Tools API работает только под Windows.
А теперь подумаем, почему этот vCenter Server Virtual Appliance на данный момент, кроме перечисленных ограничений, не очень хорошая идея:
Неизвестно когда появится поддержка Microsoft SQL. Если встроенной базы не хватит, и у вас нет Oracle, непонятно, что делать дальше.
Версия 1.0 - значит есть куча ошибок и недоработок, а также граблей, на которые вы наступите одним из первых.
Проблемы совместимости - не работает View Composer, а также некоторые другие продукты VMware, которые вам, возможно, понадобятся.
Некоторые надстройки и компоненты не поставляются вместе с vCSA, они дотупны только для vCenter под Windows.
Трудно перенести существующий vCenter в новый vCSA для больших окружений.
Если что-то случается с vCSA - вам придется ковыряться в Linux, а не в Windows.
В итоге, vCenter Server Virtual Appliance - это пока игрушка, чтобы попробовать и потестировать для непроизводственной среды, ну и, возможно, его станут применять небольшие организации, купившие vSphere Essentials и vSphere Essentials Plus для 3 хост-серверов VMware ESXi.
Таги: VMware, vCenter, Virtual Appliance, ESXi, vSphere, Linux
Напоминаю о том, что мы продолжаем дружить с компанией Код Безопасности, которая выпускает самый лучший продукт vGate R2 для защиты виртуальной инфраструктуры VMware vSphere (в том числе на базе ESXi), который имеет сертификат ФСТЭК и даже сертифицирован для работы с данными, представляющими гостайну.
Он выполняет две нужные и важные задачи - позволяет автоматически настроить все компоненты виртуальной инфраструктуры в соответствии в отраслевыми рекомендациями и стандартами, а также защищает инфраструктуру от несанкционированного доступа.
Некоторые из вас знают, что на сайте VirtualizationSecurityGroup.Ru проходил конкурс продуктов в сфере информационной безопасности именно для виртуальных сред. Событие неординарное, учитывая специфику отрасли.
В комиссии экспертов сидело 7 серьезных мужиков и одна наша с вами хорошая знакомая (Маша Сидорова). Все они, а также посетители VirtualizationSecurityGroup.Ru выбирали лучшие продукты. И выбрали.
vGate R2 разработки компании «Код Безопасности» стал победителем Конкурса продуктов сразу в двух категориях: номинации Access control (Контроль доступа) и номинации «Best of Show».
Best of Show - это по голосованию всех, а не только экспертного совета. И еще они сделали прикольный ролик:
Основные критерии оценки продуктов экспертным советом – соответствие заявленным функциональным возможностям, наличие инновационных возможностей, удобство настройки и использования продукта, отсутствие конфликтов при взаимодействии с другими средствами и подсистемами системы управления информационной безопасностью, наличие и виды технической поддержки в России на русском языке, скорость реакции на запросы от Заказчиков, наличие «Историй успеха» и стоимость продукта.
Попробовать бесплатную версию vGate R2 можно по этой ссылке, проверить соответствие вашей инфраструктуры требованиям безопасности бесплатно можно с помощью vGate Compliance Checker тут (вот описание).
Сегодня мы обобщим новости о VMware vSphere 5 и приведем несколько новых интересных фактов. Итак:
1. Новые версии VMware vSphere 5, VMware vCenter 5, а также новый продукт vSphere Storage Appliance (VSA) станут доступными к заказу 22 августа 2011 года. Естественно, по новым ценам. Как можно узнать из нашей статьи, цены на лицензии и поддержку для продуктов поднимаются для России на 20% и будут, в итоге, на 30% выше цен для Северной Америки.
2. Все пользователи VMware vSphere 4.x с действующей поддержкой и подпиской получают VMware vSphere 5 бесплатно. Схема перехода комплектов лицензий на 5.0 такова:
3. Как вы могли заметить из таблицы выше, издание VMware vSphere Advanced упраздняется. Все пользователи VMware vSphere 4.x Advanced с действующей поддержкой и подпиской получают VMware vSphere 5 Enterprise бесплатно. Соответственно, оптимальное решение сейчас - купить VMware vSphere Advanced (или Advanced Acceleration Kit) до 22 августа и после этой даты получить VMware vSphere Enterprise совершенно бесплатно. Подробности тут.
4. Снимаются ограничения на число ядер для всех изданий VMware vSphere 5, но вводятся ограничения по максимальной сконфигурированной памяти запущенных на хосте виртуальных машин в соответствии с количеством памяти, определенной лицензией на базе процессоров. Более подробнее читайте тут.
Самая свежая на данный момент информация о максимальных значениях для vRAM в рамках лицензии для каждого из изданий (кликабельно):
Обратите внимание: информация изменилась, лимиты по памяти увеличились.
Как вы помните, используемую память можно расширить либо закупкой новых лицензий для этого издания, либо апгрейдом текущих лицензий на более высокое издание, позволяющее использовать больше памяти ВМ на физический процессор хост-сервера. Для изданий Essentials и Essentials Plus лимит по памяти расширить никак нельзя (нужно делать апгрейд на новый пакет лицензий Acceleration Kit).
Важный момент - при превышении лимита по памяти для изданий Essentials и Essentials Plus будет невозможно запустить новые виртуальные машины (hard limit), для остальных изданий - просто будет выведен Alert о том, что превышен лимит vRAM (но все продолжит работать в штатном режиме).
Если у вас несколько лицензий для каждого из изданий - пул vRAM считается для каждого издания отдельно.
5. Появляется новая лицензия VMware vSphere 5 Desktop. Эта лицензия для тех, кто не будет использовать VMware View для работы с виртуальными ПК предприятия, а хочет использовать сторонний брокер соединений (например, Citrix XenDesktop). Минимальный объем закупки - 100 виртуальных ПК. При этом неважно сколько хост-серверов VMware ESXi 5 вы будете использовать для этих ПК.
6. Для пользователей, не вдохновившихся новой политикой VMware касательно лицензирования по сконфигурированной памяти, есть возможность даунгрейда на VMware vSphere 4.x с пятой версии. Это возможно и для части лицензий (апгрейд тоже можно сделать не для всех своих лицензий 4.x).
7. Изменился состав пакета VMware vSphere 5 Enterprise Plus Acceleration Kit - он включает в себя лицензии для 6 процессоров (ранее они были на 8 процессоров).
8. Интересная фишка - если ваша ВМ потребляет памяти более 96 ГБ (например, 128 ГБ), то в пуле учета памяти для лицензирования она считается все равно как 96 ГБ.
9. С 22 августа станут недоступны к заказу все поддержки на 2 года. Вот такая штука, да.
10. Будет две интересных промо-программы: промоапгрейд с vSphere 5 Enterprise на vSphere 5 Enterprise Plus (со скидкой) и промопакет vSphere 5 Essentials Plus с продуктом VSA. Об этом напишем отдельно.
Во время установки ESXi 5 установщик имеет несколько опций по сохранению предыдущих настроек VMware ESX и хранилищ VMFS.
Кстати, вот еще несколько мыслей об обновлении хостов с vSphere 4 на vSphere 5. И самая главная мысль - как выйдет ESXi 5 не надо рваться в первых рядах и обновлять хост-серверы, тома VMFS, Virtual Hardware и прочее в своей производственной среде. Подождите хотя бы 2-3 недели пока что напишут о багах и недоделках.
Вот как только вышла vSphere 4 мы поехали к заказчику (немаленькому) ставить ее на демо-стенде. Он выбирал между vSphere и Hyper-V. Мы сделали HA-кластер, начинаем показывать - бах, кластер не заводится после выключения хоста, машинки не стартуют. А оказалось - бага, которую почти сразу после нашего отъезда пофиксили. А заказчик он посмотрел, побурчал и поставил там Hyper-V. Так вот.
Вы уже читали, что в VMware vSphere 5 механизм отказоустойчивости виртуальных машин VMware High Availability претерпел значительные изменения. Точнее, он не просто изменился - его полностью переписали с нуля. То есть переделали совсем, изменив логику работы, принцип действия и убрав многие из существующих ограничений. Давайте взглянем поподробнее, как теперь работает новый VMware HA с агентами Fault Domain Manager...
Таги: VMware, vSphere, HA, Update, ESXi, Storage, vCenter, FDM
Хотим напомнить еще раз, что продукт компании "Код Безопасности" vGate R2 - это лучшее средство для обеспечения безопасности вашей виртуальной инфраструктуры (в том числе, на базе VMware ESXi с сертфикатом ФСТЭК), а также для автоматизированной ее настройки в соответствии с требованиями ИБ.
Теперь пара новостей. Первая:
vGate-S R2 – первое в России сертифицированное средство защиты государственной тайны в виртуальной среде
Компания «Код Безопасности» объявляет об успешном прохождении продуктом vGate-S R2 сертификационных испытаний и получении им сертификата ФСТЭК России, согласно которому продукт может применяться для защиты государственной тайны в автоматизированных системах до класса 1Б включительно. Таким образом, продукт vGate-S R2 стал первым и единственным в России сертифицированным средством защиты государственной тайны от несанкционированного доступа в виртуальной среде.
Что это значит? Это значит, что если ваша организация работает с гостайной, и вы используете VMware vSphere - то у вас просто нет альтернатив, кроме как купить vGate-S R2.
Вторая новость:
Продукт vGate R2 стал победителем первого этапа Конкурса продуктов VirtualizationSecurityGroup.Ru в номинации Access Control
Продукт vGate R2 разработки компании «Код Безопасности» стал победителем первого этапа Конкурса продуктов (в номинации Access control), организованного некоммерческим объединением специалистов Virtualization Security Group Russia и порталом VirtualizationSecurityGroup.Ru.
Следующим этапом конкурса станет открытое голосование на портале VirtualizationSecurityGroup.Ru за видео-ролики, которые подготовили компаний-участники по своим продуктам. Голосование за видео-ролики по продуктам на портале VirtualizationSecurityGroup.Ru продлится десять дней. Победители Конкурса продуктов будут объявлены 4 августа на сайте организатора. По результатам двух этапов организаторы объявят победителей в трех номинациях Конкурса (Access Control, Network Protection, Antivirus/Anti-Malware), а самая оригинальная и интересная видео-презентация будет отмечена в номинации «Best of Show».
В Конкурсе также приняли участие продукты для защиты виртуальных инфраструктур компаний Cisco, HP, Trend Micro, McAfee, IBM, Symantec. Вне Конкурса были представлены продукты компаний ОКБ Сапр, Stonesoft.
Вместе с релизом продуктовой линейки VMware vSphere 5, VMware SRM 5 и VMware vShield 5 компания VMware объявила о выходе еще одного продукта - VMware vSphere Storage Appliance. Основное назначение данного продукта - дать пользователям vSphere возможность создать общее хранилище для виртуальных машин, для которого будут доступны распределенные сервисы виртуализации: VMware HA, vMotion, DRS и другие.
Для некоторых малых и средних компаний виртуализация серверов подразумевает необходимость использовать общие хранилища, которые стоят дорого. VMware vSphere Storage Appliance предоставляет возможности общего хранилища, с помощью которых малые и средние компании могут воспользоваться средствами обеспечения высокой доступности и автоматизации vSphere. VSA помогает решить эти задачи без дополнительного сетевого оборудования для хранения данных.
Кстати, одна из основных идей продукта - это подвигнуть пользователей на переход с vSphere Essentials на vSphere Essentials Plus за счет создания дополнительных выгод с помощью VSA для распределенных служб HA и vMotion.
Давайте рассмотрим возможности и архитектуру VMware vSphere Storage Appliance:
Как мы видим, со стороны хостов VMware ESXi 5, VSA - это виртуальный модуль (Virtual Appliance) на базе SUSE Linux, который представляет собой служебную виртуальную машину, предоставляющую ресурсы хранения для других ВМ.
Чтобы создать кластер из этих виртуальных модулей нужно 2 или 3 хоста ESXi 5. Со стороны сервера VMware vCenter есть надстройка VSA Manager (отдельная вкладка в vSphere Client), с помощью которой и происходит управление хранилищами VSA.
Каждый виртуальный модуль VSA использует пространство на локальных дисках серверов ESXi, использует технологию репликации в целях отказоустойчивости (потому это и кластер хранилищ) и позволяет эти хранилища предоставлять виртуальным машинам в виде ресурсов NFS.
Как уже было сказано, VMware VSA можно развернуть в двух конфигурациях:
2 хоста ESXi - два виртуальных модуля на каждом хосте и служба VSA Cluster Service на сервере vCenter.
3 хоста ESXi - на каждом по виртуальному модулю (3-узловому кластеру служба на vCenter не нужна)
С точки зрения развертывания VMware VSA - очень прост, с защитой "от дурака" и не требует каких-либо специальных знаний в области SAN (но во время установки модуля на хосте ESXi не должно быть запущенных ВМ)...
Как вы знаете, мы очень любим компанию Код Безопасности и продукт vGate R2 для обеспечения защиты виртуальных инфраструктур VMware vSphere, который они выпускают (подробнее тут). Любим мы его не только за то, что он хорошо работает и на отлично справляется как с задачей автоматизированной настройки виртуальной среды в соответствии с требованиями ИБ, так и с задачей защиты от несанкционированного доступа. Мы любим его еще и за то, что у него есть сертификаты ФСТЭК, которые так важны при общении с органами на предмет соответствия ФЗ 152.
Собственно, об этом и первая новость. Как мы уже писали, поскольку VMware vSphere 5 построена только на базе VMware ESXi, Код Безопасности выпустил версию vGate R2 с поддержкой ESXi 4.1 и подал ее на прохождение инспекционного контроля ФСТЭК.
Теперь vGate R2 этот инспекционный контроль успешно прошел:
Новая версия vGate R2 с поддержкой ESXi прошла инспекционный контроль во ФСТЭК России.
Компания «Код Безопасности» сообщает об успешном прохождении новой версии vGate R2 c поддержкой VMware ESXi Server 4.1 инспекционного контроля и подтверждении выданного ранее сертификата ФСТЭК России (№2308) на соответствие требованиям по 4-му уровню контроля отсутствия НДВ и 5-му классу защищенности от несанкционированного доступа.
Ключевыми особенностями новой версии продукта vGate R2 являются: поддержка VMware ESXi Server 4.1 и новые шаблоны безопасности по требованиям ФСТЭК для автоматизированных систем государственного сектора России, по требованиям ФСТЭК к информационным системам персональных данных и по требованиям отраслевого стандарта СТО БР ИББС (РС БР ИББС 2.3-2010). vGate R2 позволяет значительно облегчить приведение виртуальной инфраструктуры VMware, в которой обрабатывается информация ограниченного доступа, не содержащая государственную тайну, в соответствие требованиям отечественных и международных отраслевых стандартов и регулирующих органов России.
Продажа продукта vGate R2 c поддержкой ESXi откроется 1 августа 2011 года.
Скачать сертификат ФСТЭК для vGate R2 можно по ссылке:
Обратите внимание, что покупать сертифицированный продукт vGate R2 можно уже с 1-го августа.
Ну и вторая новость - по данным сайта anti-malware.ru (а это еще и информационно-аналитический центр Anti-Malware) продукт vGate R2 - хорош в плане обеспечения ИБ VMware vSphere. Об этом можно почитать в результатах тестирования продукта у этих ребят на тестовом стенде.
Эксперты Anti-Malware отметили «необходимость использования продукта vGate R2, который позволяет дополнить систему защиты от несанкционированного доступа и контроля выполнения политик информационной безопасности с учетом специфики виртуальной среды». По оценочной шкале Anti-Malware продукт vGate R2 получил 9 из 10 баллов.
Мы уже не раз писали об обновленной линейке продуктов VMware vShield (тут, тут и тут). Вместе с релизом VMware vSphere 5 компания VMware также объявила о выпуске VMware Site Recovery Manager 5 и VMware vShield 5. Сегодня мы поговорим о последнем из перечисленных продуктов.
Итак, давайте взглянем на общую картину решения VMware vShield 5:
Как мы помним, в VMware vShield есть 3 ключевых компонента:
vShield Edge - защищающий периметр датацентра.
vShield App with Data Security - защищающий виртуальные машины на хост-серверах VMware ESXi (контроль трафика по портам и протоколам). Обратите внимание, что появился новый компонент Data Security (его, кстати, будут давать бесплатно ко многим продуктам).
Всеми этими компонентами в той или иной степени управляет VMware vShield Manager, который представляет собой надстройку к VMware vCenter.
Теперь взглянем на список новых возможностей VMware vShield 5 (которые соответствуют потребностям заказчика из левой колонки):
По сути, в vShield 5 появилось 3 новых ключевых возможности. Рассмотрим их детальнее.
1. Система обнаружения конфиденциальных данных для соблюдения стандартов и нормативов.
Эта функциональность реализована в компоненте vShield Data Security 5, который поставляется вместе с vShield App 5 (который, в свою очередь, является виртуальным модулем - Virtual Appliance и работает на каждом хосте ESXi). Это продукт позволяет обнаруживать конфиденциальные данные (таких как информация о банковских картах, личные данные) которые могут быть сохранены внутри документов в виртуальных машинах (это делается за счет технологии Data Loss Prevention от RSA, DLP, которая может выявлять данные из файлов, например, PDF). На базе этого анализа делается заключение о данных, нуждающихся в защите с помощью политик безопасности. Самое интересное, что это делается без агентов.
Далее организации могут выбирать из более 80 шаблонов нормативных требований, таких как PII (личные данные), данные держателей карт PCI-DSS и PHI (защищенные медицинские данные), из различных стран (Северная Америка, Европа, Ближний Восток и Африка, Азиатско-Тихоокеанский регион). России тут нет - для нас есть продукт vGate R2 от компании Security Code.
Эти шаблоны содержат в себе наборы определенных политик безопасности, которые можно применить к хост-серверам ESXi 5 и виртуальным машинам (для каждой отрасли свои требования). Элементы виртуальной инфраструктуры VMware vSphere 5 (datacenter, file share, resource pool, host, VM) можно просканировать на предмет соответствия этим политикам. После этого будет получен детальный отчет о том, какие объекты и в чем именно не соответствуют требованиям стандартов.
Этот механизм имеет собственный API. Далее проблемные виртуальные машины можно исправлять вручную (но это долго и муторно) либо с помощью VMware vCenter Configuration Manager (перед этим эти машины можно поместить в карантин). Российским пользователям лучше использовать продукт vGate R2, сертифицированный ФСТЭК.
2. Возможность карантина виртуальных машин.
В VMware vShield есть возможность интеграции со сторонними виртуальными модулями, в которых реализован механизм обнаружения и предотвращения вторжений (IDS/IPS-системы). Такая система, выявившая подозрительную виртуальную машину, может поместить ее на карантин за счет механизма VMware vShield App 5.
Машины, находящиеся в карантине, полностью изолированы от производственной среды, их можно исследовать и исправлять. После исправления (удаление вирусов, ликвидация угроз, приведение в соответствие политикам ИБ) ее можно вернуть снова в production.
Эта функциональность может быть использована компонентом vShield Data Security, а также сторонними поставщиками ативирусных продуктов через API.
3. Повышение эффективности антивирусных решений.
Помимо функциональности помещения виртуальных машин в карантин, теперь в полную силу заработала технология сканирования виртуальных машин на уровне гипервизора, без агентов, на предмет наличия вредоносного ПО (ранее мы об этом писали). Антивирусное решение, поставляемое в виде виртуального модуля (Virtual Appliance), находится на каждом хосте ESXi 5 и обеспечивает проверку виртуальных машин на вирусы (см. компонент vShield Endpoint), после чего ПО в этом модуле может "лечить" зараженные ВМ после помещения в карантин.
VMware vSphere 5 знает о наличии таких специальных сервисных виртуальных машин, обеспечивающих безопасность, поэтому не перемещает их между хостами за счет технологии DRS.
VMware vShield 5 можно купить по отдельным компонентам (например, vShield App), кроме того, некоторые компоненты vShield 5 идут в комплекте поставки некоторых продуктов VMware (например, VMware View - там идет Endpoint). Также все компоненты vShield 5 можно купить в составе vShield Bundle.
За более подробной информацией обращайтесь в компанию VMC, которая, в том числе, оказывает услуги по внедрению инфраструктуры безопасности для VMware vSphere 5.
Компания StarWind Software, выпускающая самый лучший продукт для создания iSCSI-хранилищ для ваших серверов VMware vSphere и Mirosoft Hyper-V (см. тут и тут), объявила о выпуске решения StarWind Enterprise 5.7, которое предоставляет еще больше возможностей по созданию отказоустойчивых хранилищ (само собой, есть бесплатная версия StarWind 5.7 Free).
Этот релиз StarWind Enterprise 5.7 представляет собой первый шаг по переводу механизма отказоустойчивости хранилищ на новую архитектуру.
Перечислим основные новые возможности StarWind 5.7:
1. Улучшения механизма синхронизации. Теперь отсылка данных между узлами отказоустойчивого кластера происходит в асинхронном режиме. Это означает, что StarWind Enterprise HA теперь работает заметно быстрее. Подробности нового механизма работы HA вы можете прочитать в блоге у Константина, а мы приведем основную суть.
Ранее все работало следующим образом:
Когда iSCSI-пакет приходит на основной узел, он отправляет его на резервный. После того, как резервный узел получает пакет, он посылает iSCSI-команду подтверждения получения блока данных (ACK), только после получения которой основной узел передает ACK инициатору и записывает пакет на диск. Когда iSCSI-команд становилось много, они ставились в очередь и происходили некоторые задержки, поскольку постоянно нужно было совершать эти итерации.
Теперь все работает так (некий гибрид синхронного и асинхронного процессов):
Когда iSCSI-пакет приходит на основной узел, он отправляет его на резервный. И, не дожидаясь ACK от партнера, сразу посылается второй пакет. Когда очередь закончится, и второй узел запишет данные на диск, он отсылает ACK основному узлу, которые его уже передает инициатору. Так все работает значительно быстрее. Ну и защита от потери данных при сбое в канале синхронизации тоже есть.
2. Улучшения High availability. Появилось управление полосой пропускания канала синхронизации (QoS) - теперь можно регулировать приоритезацию трафика при синхронизации HA-узлов, что позволяет не забивать весь доступный канал и не затормаживать доступ к общему хранилищу. Для этого нужно выбрать пункт "Sync channel priorities" из контекстного меню HA-устройства.
По умолчанию для наибольшей безопасности приоритет стоит у канала синхронизации. Выставлять QoS нужно только на основном узле, на резервном он выставится автоматически.
3. Оптимизация канала. Теперь для оптимизации канала используется несколько параллельных iSCSI-сессий. В следующей версии StarWind Enterprise 5.8 это количество можно будет регулировать, а также возможна будет настройка количества каналов для Heartbeat.
4. Performance Monitoring - возможность отслеживания производительности дисковой подсистемы из Management Console (disk transfer rate, average number of I/O operations on targets, CPU and memory load on StarWind server). Выглядит это так:
5. Новая полезная оснастка - Snapshot Manager. Теперь можно управлять снапшотами через GUI. Для этого в контекстном меню для устройства нужно выбрать пункт "Snapshot Manager".
6. Улучшенный Event log. Теперь при наступлении события происходит нотификация администратора через иконку в System Tray.
7. Улучшения GUI. Теперь Targets и серверы могут объединяться в группы для удобства управления.
8. Экспериментальный "deduplication plugin". Он позволяет установить дедупликацию с размерами блока от 512Б до 256КБ на выбор (вместо 512Б сейчас), что позволяет увеличить производительность процесса дедупликации до десяти раз, при этом экономия пространства на дедупликации уменьшается всего на 10-15% (при сравнении 512 байтовых с 4кб блоками). Кроме того, значительно понизится нагрузка на ЦПУ и 90% уменьшятся требования к объёму ОЗУ.
9. ImageFile, DiskBridge. Поддержка режима Mode Sense page 0x3 для совместимости с iSCSI-инициатором Solaris.
RSS
