Продолжаем рассказывать о компании ИТ-ГРАД - первом облачном провайдере России, предоставляющем виртуальные машины VMware vSphere в аренду для организаций различного масштаба, являющейся также и системным интегратором. Специально под задачу создания виртуальной инфраструктуры ИТ-ГРАД разработала комплекты оборудования, сбалансированные по таким показателям как:

• цена
• производительность
• надёжность

Предлагаемые системы позволяют полностью развернуть информационно-техническую инфраструктуру организации на 50-500 пользователей, включая следующие сервисы:

• Доменная инфраструктура: MS Windows Server 2008R2 (DC, DNS, RADIUS, DHCP)
• Электронная почта: MS Exchange Server 2010 (Relay, Exchange MBX, HT, CAS, TMG)
• Объединенные коммуникации: MS Lync (Edge, FE, MS SQL)
• Внутрикорпоративный портал MS SharePoint 2010
• Инфраструктура открытых ключей (PKI) с возможностью обеспечения аутентификации 802.1x в проводной и беспроводной сети (Root CA0, Issuing CA1)
• 1C 8.2 на базе MS SQL Server 2008
• Web proxy с политиками доступа в интернет (Squid)
• Файловый сервер
• Виртуальные рабочие столы (Virtual Desktop Infrastructure (VDI))

Комплексы укомплектованы всем необходимым для начала работы и не требуют дополнительного оборудования. Опциональные возможности позволяют легко наращивать производительность любого комплекса, либо изменять его качественные характеристики.

Подробности на этой странице компании ИТ-ГРАД.

Мы уже знакомили вас с услугами по аренде виртуальных машин компании ИТ-ГРАД, являющейся одним из лидеров на рынке предоставления IaaS-услуг в России. Основное направление деятельности сервис-провайдера ИТ-ГРАД – предоставление облачных услуг корпоративному сектору. Сегодня мы поговорим о том, что лучше для небольшой компании: арендовать виртуальные машины в ИТ-ГРАД или покупать собственные серверы. Существует ряд проблем, связанных с нерациональной организацией ИТ инфраструктуры компаний, если там используются физические серверы...

Программно-аппаратный комплекс (ПАК) «Континент Т-10» представляет собой планшетный компьютер на базе процессора микроархитектуры ARM под управлением мобильной ОС Android 4.0.3 и позволяет организовать безопасный доступ мобильных пользователей через сеть Интернет (или другие сети общего доступа) к защищенным ресурсам корпоративной сети с помощью организации VPN-туннеля, данные в котором шифруются в соответствии с ГОСТ 28147-89.

ПАК «Континент Т-10» содержит VPN-клиент «Континент-АП», интегрированный на системном уровне в операционную систему мобильного компьютера. Встроенный VPN-клиент «Континент-АП» обеспечивает возможность установки защищенного VPN-туннеля с сервером доступа АПКШ «Континент» с возможностью централизованного управления правами доступа мобильных пользователей. Благодаря глубокой интеграции достигается высокая скорость VPN-соединения и прозрачность для любых приложений, работающих с сетевыми протоколами семейства TCP/IP.

Функции безопасности обеспечиваются строгой двухфакторной аутентификацией пользователя по цифровому сертификату открытого ключа, хранимого на отчуждаемом носителе MicroSD. Также поддерживается возможность запрета всех незащищенных соединений: в этом случае весь трафик мобильного устройства может маршрутизироваться на корпоративный шлюз безопасности (прокси) для приведения в соответствие с корпоративными требованиями безопасности, например, антивирусной или URL-фильтрации.

ПАК «Континент Т-10» обладает хорошей мобильностью и широкими коммуникационными возможностями. Возможно подключение к беспроводным сетям Wi-Fi (802.11 b/g/n) и сотовым сетям GPRS, 3G, 4G (LTE).Протестирована работа с сетями таких провайдеров как МТС, Билайн, Мегафон. Встроенная Li-Ion батарея емкостью 7600 мАч обеспечивает длительное время автономной работы.

Одновременно с техническим релизом продукта ПАК «Континент Т-10» компания «Код Безопасности» объявляет о старте открытой программы тестирования.

В ней могут принять участие все желающие, как партнеры, так и заказчики. В рамках программы тестирования предоставляется возможность получить для тестирования ПАК «Континент Т-10» (количество устройств, участвующих в программе, и сроки действия программы ограничены).

Более подробно о ПАК «Континент Т-10» можно узнать по этой ссылке, а также на странице продукта.

Автор сайта v-front.de выпустил обновленную версию утилит ESXi5 Community Packaging Tools 2.0 (ESXi5-CPT), которые позволяют создавать пакеты для VMware ESXi в форматах VIB (VMware Installation Bundle) and ZIP (VMware Offline Bundle). Для VIB-файлов их статус (acceptance level) будет указан как Community Supported. Об этих утилитах от Andreas Peetz мы уже писали вот тут. Зачастую, эти утилиты необходимы пользователям для включения сторонних драйверов устройств в состав дистрибутива платформы ESXi, которые отсутствуют в стандартном комплекте поставки.

Новые возможности ESXi5 Community Packaging Tools 2.0:

• Поддержка VMware ESXi 5.1.
• Обновленный TGZ2VIB5.cmd 2.0:
• Добавлены новые опции GUI с дополнительными настройками VIB и параметрами установки
• Добавлено меню для загрузки шаблонов настроек для различных типов пакетов (например, "Hardware driver" или "Firewall rule")
• Возможность не указывать контрольные суммы в дескрипторном XML-файле
• Утилита VIB2ZIP не изменялась.

Скачать ESXi5 Community Packaging Tools 2.0 можно по этой ссылке.

Также, напомним, что на сайте проекта VMware Labs есть еще одно средство для создания VIB-пакетов для VMware ESXi, но работающее только в командной строке и под Linux - VIB Author.

Одна из дополнительных опций VIB Author - это возможность задания электронной подписи к VIB-файлу, однако это не требуется для пакетов уровня Community Supported. Кроме того, VIB Author позволяет редактировать далеко не все директории, поэтому ESXi5-CPT - наш выбор.

Продолжаем знакомить вас с продуктом vGate R2 от компании Код Безопасности, который предназначен для защиты виртуальной инфраструктуры VMware vSphere средствами политик безопасности для хост-серверов и виртуальных машин, а также средствами защиты от несанкционированного доступа. Сегодня мы поговорим о системных требованиях продукта. Напомним, что решение vGate R2 состоит из следующих компонентов...

Как мы уже писали, в VMware vSphere 5.1 появилось множество новых возможностей, в том числе улучшения, касающиеся аппаратной виртуализации (Hardware Virtualization), которая позволяет запускать вложенные гипервизоры (Hyper-V и ESXi) и виртуальные машины в них. Про то, как это работает в VMware vSphere 5.0, мы уже детально писали вот тут.

В интерфейсе веб-клиента VMware vSphere 5.1 поддержка аппаратной виртуализации включается в настройках виртуальной машины:

Настройки, которые были действительны для ESXi 5.0 - теперь не работают. Все теперь включается только через эту галочку.

Напомним, что в ESXi 5.0 можно было запускать вложенные (Nested) 32-битные и 64-битные виртуальные машины в гипервизорах, которые сами работают в виртуальных машинах. При этом требовалось только наличие поддержки аппаратной виртуализации в процессорах - Intel VT или AMD-V. Если же в вашем процессоре не было поддержки Intel EPT или AMD RVI, то вложенные 64-битные машины работали очень и очень медленно.

Поэтому VMware в vSphere 5.1 решила изменить концепцию, сделав так:

• Если в процессоре есть поддержка Intel VT или AMD-V без EPT/RVI, то вы сможете устанавливать ESXi 5.1 в виртуальной машине, а также использовать вложенные 32-битные виртуальные машины. При этом 64-битные работать не будут, а опция "Hardware Virtualization" в vSphere Web Client будет загреена. Во время установки ESXi в виртуальной машине вы увидите сообщение "No Hardware Virtualization Support", которое можно просто игнорировать.
• Если в процессоре есть поддержка аппаратной виртуализации и EPT/RVI, то можно использовать вложенные 64-битные ВМ.

Проверить свой хост-сервер на наличие поддержки технологий аппаратной виртуализации можно на соответствующих ресурсах вендоров (например, ark.intel.com). Есть и способ попроще - для этого надо использовать Managed Object Browser. Зайдите на хост ESXi по адресу:

https://<имя ESXi>/mob/?moid=ha-host&doPath=capability

Там будет такое свойство nestedHVSupported, которое будет установлено в True, если процессор поддерживает полный набор техник аппаратной виртуализации, который необходим для запуска вложенных 64-битных виртуальных машин на виртуальном ESXi 5.1.

Мы уже писали о том, что у компании StarWind есть бесплатный инициатор FCoE - для доступа к хранилищам данных Fibre Channel через сеть передачи данных Ethernet. Это позволяет использовать СПД 10G при сохранении протокола FC.

Кроме того, у StarWind, конечно же (ведь компания делает продукт StarWind iSCSI SAN), есть бесплатный инициатор iSCSI:

Этот инициатор позволяет получить доступ к любому iSCSI Target и подключить его хранилища как локальные диски, при этом работает он быстро и без ошибок, поскольку компания StarWind, которая уже много лет занимается протоколом iSCSI, знает в нем толк.

Кроме того, у StarWind есть бесплатный инициатор AoE:

Этот протокол можно использовать при доступе клиентов к таким аппаратным модулям хранения как Coraid.

Все бесплатные продукты StarWind можно найти по этой ссылке.

Мы уже писали о новых возможностях плафтормы виртуализации VMware vSphere 5.1, а также о принципах лицензирования продукта. Среди новых функций сетевого взаимодействия в vSphere 5.1 появились возможности Network Health Check, обеспечивающие проверку согласованности параметров на виртуальных распределенных коммутаторах VDS и физических коммутаторах, к которым подключены сетевые адаптеры серверов ESXi.

В рамках Network Health Check отслеживается корректность настройки следующих параметров (с интервалом в 1 минуту) для физических и виртуальных коммутаторов:

• VLAN
• MTU
• Network adapter teaming

Делается это средствами Layer 2 Ethernet probing. Сегодня мы расскажем о том, как выглядит на практике Network Health Check при проверке VLAN, основываясь на материалах блогера Rickard Nobel. Для начала в vSphere Web Client для коммутатора VDS 5.1 зайдем на вкладку "Manage" в раздел "Health check":

Здесь мы видим, что функции Health check включены только для параметров VLAN и MTU. Частая проблема администраторов vSphere заключается в том, что настройки VLAN, сделанные в портгруппах на виртуальном коммутаторе VDS, не совпадают с настройками VLAN на портах физических свичей.

Например, для портгруппы VDS настроен VLAN 200, а сетевой администратор, который настраивал VLAN для портов физических коммутаторов, куда ведут аплинки серверов ESXi, пропустил один из портов физического коммутатора при настройке для пропускания фреймов VLAN 200. Вследствие этого, виртуальные машины могут работать хорошо, однако функции vMotion/DRS могут быть частично недоступны для некоторых из хостов.

Собственно, чтобы вовремя обнаружить такую ошибку, мы и включаем Network Health Check:

Теперь хосты ESXi будут слать броадкасты на все свои адаптеры vmnic, привязанные к VDS, и отслеживать, не дропают ли их порты физических коммутаторов. Эти фреймы будут тэгированы всеми VLAN ID, которые назначены для групп портов VDS. В нашем случе - это VLAN 100 и VLAN 200, которые мы видим в списке портгрупп:

Теперь мы видим новую вкладку "Monitor", где можно отслеживать жизнедеятельность VLAN на хостах. Заходим в подраздел "Health":

Здесь мы видим, что для одного хоста с настройками VLAN что-то не так. Смотрим детали:

Здесь мы видим, что для аплинков vmnic2 и vmnic3 не работает VLAN 200. Теперь неплохо бы в настройках VDS включить поддержку LLDP (режим Both или Advertise), чтобы определить порты физического коммутатора, с которыми связана данная проблема для конкретных аплинков, и не бегать в серверную.

Теперь на физическом коммутаторе смотрим порты, куда включены vmnic2 и vmnic3 командой (в данном случае команды для коммутатора HP):

# show lldp info remote

Мы видим порты свича, куда включены проблемные аплинки хоста. Теперь смотрим, для каких портов настроен VLAN 200 командой:

# show vlan 200

Видим, что VLAN 200 пропускается только на порту A13, а порт A14 не пропускает двухсотый VLAN. Исправляем ситуацию, добавляя VLAN 200 для порта A14, командой:

# vlan 200 tag A14

И выводим снова информацию по VLAN 200:

Теперь оба порта на физическом коммутаторе принимают кадры с VLAN ID 200.

Откроем vSphere Web Client for ESXi 5.1 и посмотрим, в каком состоянии теперь находятся аплинки VDS:

Теперь мы видим, что все корректно настроено, и порты физических коммутаторов пропускают нужные VLAN от обозначенных сетевых адаптеров хостов в портгруппах VDS.

Партнеры и клиенты компании NetApp знают, что у нее есть виртуальный модуль (Virtual Appliance), который позволяет создавать общие хранилища для виртуальных машин VMware vSphere, называемый NetApp ONTAP Simulator. Это средство может предоставлять доступ виртуальных машин к дисковым ресурсам хост-сервера ESXi по протоколам iSCSI и NFS.

Теперь продукт Data ONTAP Edge доступен для всех желающих, а не только для партнеров и клиентов NetApp:

Основным вариантом использования Data ONTAP Edge компания NetApp видит его применение в удаленных офисах и филиалах организаций, которые не хотят делать больших инвестиций в дорогостоящие системы хранения данных.

Максимально поддерживаемый объем локальных хранилищ хост-серверов ESXi теперь составляет 5 ТБ вместо 20 ГБ в предыдущих версиях продукта. ONTAP Edge работает на платформе ONTAP 8.1.1 (ОС Data ONTAP-v) и требует не менее 2 vCPU для ВМ с виртуальным модулем, 4 ГБ памяти и не менее 57.5 ГБ дискового пространства. В решении поддерживается следующая функциональность, присущая оборудованию NetApp:

• Snapshots
• Replication
• Deduplication
• SnapVault
• SnapMirror
• SnapRestore
• FlexClone
• Поддержка программных интерфейсов VMware: VAAI, VACI и VADP
• Возможность интеграции с VMware SRM

В виртуальном модуле Data ONTAP Edge отсутствует следующая функциональность систем NetApp (некоторое пока):

• Поддержка LUN Fibre Channel и FCoE
• Data Compression
• RLM (Remote LAN Module)
• CFE, BIOS, shelf FW
• Multipathing
• Кластеризация виртуальных модулей хранилищ (CFO/SFO)

Поскольку данное решение не обладает функциями высокой доступности, то его пока можно использовать для тестирования и ознакомления с функциональностью продуктов NetApp. Можно также рассмотреть вариант его совместного использования с продуктами VMware VSA или StarWind iSCSI SAN, которые предоставляют функции высокой надежности и непрерывной доступности хранилищ.

Для установки Data ONTAP Edge потребуется следующая аппаратная конфигурация сервера ESXi:

• Минимум 1 процессор Quad core или 2 Dual core (64-bit Intel x86) 2.27 ГГц или быстрее
• 4 и более ГБ памяти (рекомендуется 8 ГБ и больше)
• 4 или более локальных дисков на сервере
• Сетевая карточка Gigabit Ethernet
• Аппаратный RAID с поддержкой энергонезависимого write cache

Важный момент, что для работы с виртуальным модулем NetApp не поддерживаются функции управления питанием хостов ESXi. Соответственно политику управления питанием на хосте нужно выставить как "High performance" или убедиться, что она определяется как "Not Supported".

Скачать пробную версию продукта NetApp Data ONTAP Edge на 90 дней можно по этой ссылке. Вам потребуется зарегистрироваться и ввести e-mail адрес не с публичным, а с корпоративным доменом. О том, как работать с виртуальным модулем, написано вот тут.

В большой виртуальной инфраструктуре присутствуют сотни хранилищ VMFS, созданных поверх LUN, где лежат виртуальные машины с различным уровнем требуемого сервиса и политик. Проблемы начинаются с того, что система хранения не знает о том, что на ее LUN находятся виртуальные машины. Например, синхронная репликация на уровне массива может делаться только на уровне LUN, хотя с данного тома VMFS требуется реплицировать не все ВМ, которые могут быть с различным уровнем критичности. То же самое касается снапшотов и снапклонов уровня массива...

Мы уже писали о продукте ПАК "Соболь", который представляет собой специальную плату с соответствующим программным обеспечением, позволяющую физически защищать хост-серверы VMware ESXi от несанкционированного доступа. Совместно с сертифицированным средством vGate R2, которое автоматически настраивает безопасную конфигурацию хостов и виртуальных машин, данный продукт позволяет построить комплексную инфраструктуру защиты виртуальной среды.

ПАК «Соболь» версии 3.0 реализует следующие защитные механизмы:

• идентификация и аутентификация пользователей на входе в систему (непосредственно при запуске сервера);
• ведение журнала безопасности;
• сигнализация попыток нарушения защиты;
• запрет загрузки с внешних носителей;
• контроль конфигурации (PCI-устройств, ACPI, SMBIOS и оперативной памяти).

На эту тему у компании Код Безопасности есть специальная брошюра: "vGate R2 и ПАК «Соболь» - надежная защита виртуальной инфраструктуры на платформе VMware vSphere 5", где можно почитать об основных проблемах контроля целостности хост-серверов VMware ESXi и виртуальных машин и их доверенной загрузки.

4 сентября в 11:00 мы приглашаем вас на бесплатный вебинар "ПАК "Соболь" - настоящее и будущее", где будут подробно рассмотрены новые возможности ПАК «Соболь», отличия от предыдущих версий и дальнейшее развитие продукта. Там вы сможете задать все интересующие вас вопросы о физической защите хост-серверов VMware ESXi в вашей компании.

Зарегистрироваться.

Если в VMware vSphere Client вы зайдете на вкладку "Configuration", далее в разделе "Hardware" выберете пункт "Power Management", то увидите вот такую картинку:

Это настройки управления питанием хост-сервера VMware ESXi. Они задают политики управления питанием на основе открытого стандарта Advanced Configuration and Power Interface (ACPI), который определяет схему электропотребления на основе состояний процессора: Power Performance States (P-states) и Processor idle sleep states (C-states).

Режимы P-states — это комбинации напряжений и частот работы ядра процессора для различных типов нагрузок на CPU. Правильно выставленная пара «напряжение—частота» позволяет определить необходимую производительность для выполнения текущих задач CPU, что позволет снизить его энергопотребление и тепловыделение. Состояния P-states являются подмножеством рабочего C-state состояния C0.

Режимы C-states — это состояния, в которых процессор находится в различной ситуации относительно его простоя. Например, C1 (Halt) - состояние, когда процессор не исполняет инструкции, но готов мгновенно (с задержкой примерно 10нс) приступить к их исполнению, C2 (Stop-Clock) - состояние, в котором процессор по-прежнему поддерживает актуальное внутреннее состояние, но просыпается большее (до 100нс) время, при этом дополнительно отключены буферы ввода-вывода. C3 (Sleep) - состояние, в котором процессор отключает питание кэшей второго уровня, но сохраняет прочую служебную информацию. Время пробуждения может составлять до 50 мкс. В современных процессорах есть также множество дополнительных состояний, например, C1E с меньшим энергопотреблением и C6 - когда рабочее напряжение на процессоре может быть понижено до нуля.

Теперь, что мы увидим если нажмем на ссылку "Properties" для Power Management Settings:

Вот что значат эти политики:

• High performance - данная политика максимизирует производительность процессора за счет его поддержки в наивысшем P-state состоянии все время (то есть, по-сути политика энергосбережения отключена). При этом используются только 2 C-state состояния: С0 (running) и C1 (halted). Соответственно, данный режим выдает максимальную производительность, не имеет инерционности и потребляет больше всего энергии. Эта политика выставлена по умолчанию для VMware ESX/ESXi 4.0 и 4.1.
• Balanced - эта политика разработана для того, чтобы максимально использовать переключения между P-states в целях экономии энергии. Она обладает слегка большей инерционностью, но почти не влияет на производительность. Эта политика выставлена по умолчанию для VMware ESXi 5.0.
• Low Power - эта политика придумана для максимального энергосбережения, а значит имеет риски по потере хостом ESXi производительности CPU. Она активно использует состояния C-states при различных видах простоя процессора.
• Custom - по умолчанию эта политика работает как Balanced, но позволяет настроить различные параметры пользователю. Если оборудование хоста не позволяет операционной системе самостоятельно управлять энергопотреблением, то для этой политики будут доступны только варианты Not Supported или High performance.

Определять политики вручную необходимо только тогда, когда вы точно знаете, что с ними делать. Вот, например, табличка, описывающая custom-параметры политики:

О том, как использовать эти настройки, и как они влияют на энергопотребление процессоров, можно прочитать в документе "Host Power Management in VMware vSphere 5".

На сайте проекта VMware Labs появилась новая интересная утилита Guest Reclaim, позволяющая уменьшить размер "тонкого" (thin provisioned) диска виртуальной машины из гостевой ОС Windows, истребовав нулевые блоки. Напомним, что когда тонкий диск виртуальной машины растет по мере наполнения данными, а потом вы эти данные в самой гостевой системе удаляете, его размер не уменьшается.

Один из способов уменьшить диск машины в VMware vSphere - это использовать утилиту sdelete для очистки блоко и перемещение виртуальной машины на другое хранилище средствами Storage vMotion. Однако, если вы прочтете нашу статью про datamover'ы при Storage vMotion и вспомните, что VMware vSphere 5 использует унифицированные блоки размером 1 МБ для всех хранилищ, то поймете, что этот способ больше не работает, поскольку в датамувере fs3dm не реализована процедура вычищения блоков целевого виртуального диска.

Есть конечно способ отключить fs3dm и, все-таки, уменьшить виртуальный диск машины на ESXi, однако это не очень удобная процедура. Поэтому сотрудники VMware и сделали удобную консольную утилитку Guest Reclaim, которая позволяет уменьшить диск с файловой системой NTFS.

Поддерживаются следующие гостевые ОС:

• Windows XP
• Windows Vista
• Windows 7
• Windows Server 2003
• Windows Server 2008

Запускать утилиту нужно из гостевой ОС, в которой есть диски, являющиеся тонкими. Чтобы просмотреть список тонких дисков используйте команду:

GuestReclaim.exe -list

Если ничего не найдено - значит первые 16 дисков не являются тонкими или у вас ESXi 5.0 и ниже (читайте дальше). VMware предлагает приступать к уменьшению диска, когда у вас разница между размером VMDK и файлами гостевой ОС хотя бы 1 ГБ, при этом для работы самой утилиты может потребоваться дополнительно 16-100 МБ свободного места. Также перед началом использования утилиты рекомендуется запустить дефрагментацию диска, на которую тоже может потребоваться свободное место (будет расти сам VMDK-файл).

Команда, чтобы уменьшить тонкий VMDK-диск за счет удаления нулевых блоков, выполняемая из гостевой ОС:

guestReclaim.exe --volumefreespace D:\

Еще одно дополнение - утилиту можно использовать и для RDM-дисков.

А теперь главное - утилита работает только в случае, если hypervisor emulation layer представляет гостевой ОС диски как тонкие. В VMware ESXi 5.0, где Virtual Hardware восьмой версии, такой возможности нет, а вот в ESXi 5.1, где уже девятая версия виртуального железа - такая возможность уже есть. Соответственно, использовать утилиту вы можете только, начиная с VMware vSphere 5.1 (бета сейчас уже у всех есть), а пока можно использовать ее только для RDM-дисков.

Из ограничений утилиты Guest Reclaim:

• Не работает со связанными клонами (Linked Clones)
• Не работает с дисками, имеющими снапшоты
• Не работает под Linux

Из дополнительных возможностей:

• Поддержка томов Simple FAT/NTFS
• Поддержка flat partitions и flat disks для истребования пространства
• Работа в виртуальных и физических машинах

FAQ по работе с утилитой доступен по этой ссылке. Скачать утилиту можно тут.

Мы уже писали о том, что в продукте номер 1 - vGate R2, предназначенном для защиты виртуальной инфраструктуры VMware vSphere, имеются, помимо всего прочего, втроенные средства контроля целостности и доверенной загрузки виртуальных машин. Реализуется это средствами одной из политик безопасности для хост-серверов VMware ESXi:

После того, как вы назначите виртуальной машине метку с данной политикой, начнется процесс контроля целостности (проверка каждые 10 минут). Будет производиться сравнение эталонной контрольной суммы ВМ с текущей. При несовпадении контрольных сумм ВМ фиксируется нарушение целостности и изменяется статус ВМ, которых может быть несколько.

Однако надо помнить, что нужно защищать также и сами хост-серверы ESXi, находящиеся в датацентре компании. Для эффективной защиты сервера виртуализации, помимо vGate R2, необходим электронный замок - ПАК «Соболь» версии 3.0 для реализации следующих защитных механизмов:

• идентификация и аутентификация пользователей на входе в систему (непосредственно при запуске сервера);
• ведение журнала безопасности;
• сигнализация попыток нарушения защиты;
• запрет загрузки с внешних носителей;
• контроль конфигурации (PCI-устройств, ACPI, SMBIOS и оперативной памяти).

Весь перечисленный комплекс возможностей не позволит злоумышленнику (в случае если он получил физический доступ к серверу виртуализации) реализовать одну из наиболее распространенных угроз – перезагрузку сервера и загрузку с внешнего носителя для получения доступа ко всей информации, хранящейся на сервере.

Так как, во-первых, злоумышленник столкнется с необходимостью идентификации/аутентификации до старта операционной системы, при этом реализованный механизм защиты от подбора паролей после трех неудачных попыток заблокирует сервер. Во-вторых, если злоумышленник, имея в распоряжении идентификационные данные, пройдет «первый барьер защиты», то на «втором» его будет ждать блокировка всех внешних устройств (CD-ROM, USB, eSata и т.д.), что исключает возможность загрузки нештатной ОС с любых внешних носителей.

Единственной недоступной возможностью при использовании ПАК «Соболь» версии 3.0 на сервере виртуализации, работающем под управлением VMware vSphere 5, является контроль целостности (КЦ) программной среды до загрузки ОС.

В руководящем документе ФСТЭК России нет разделения на КЦ в операционной системе или до ее старта, поэтому при использовании «тандема» vGate R2 и ПАК «Соболь» версии 3.0 требование 4.1. «Обеспечение целостности программных средств и обрабатываемой информации» будет выполнено средствами vGate R2.

Таким образом, применение обоих средств защиты информации – ПАК «Соболь» версии 3.0 и vGate R2 – в комплексе позволяет защитить сервер с установленной платформой для виртуализации VMware vSphere 5 и нейтрализовать угрозы непосредственного доступа (угрозы, реализуемые до загрузки ОС, и угрозы, реализуемые после загрузки ОС).

Наличие у продуктов сертификатов ФСТЭК России позволяет использовать vGate R2 и ПАК «Соболь» версии 3.0 для защиты информации, составляющей коммерческую или государственную тайну в автоматизированных системах с классом защищенности до 1Б включительно.

Напомним, что версия vGate R2 с поддержкой vSphere 5 уже поступила в продажу, а бесплатную пробную версию продукта можно скачать тут.

Оказывается у компании StarWind Software, выпускающей продукт №1 StarWind iSCSI SAN для создания отказоустойчивых хранилищ под VMware vSphere и Microsoft Hyper-V, среди прочих бесплатных утилит, есть продукт StarWind Tape Redirector.

Этот продукт пригодится вам тогда, когда вы перенесли виртуальную машину в среду Microsoft Hyper-V, при этом для самой ВМ требуется резервное копирование файлов гостевой ОС напрямую на ленту. Как известно средствами гипервизора пробросить ленточную библиотеку в виртуальную машину не получится, поэтому можно в Parent Partition сервера Hyper-V поставить StarWind Tape Redirector и уже с самого родительского раздела отправлять резервные копии (например, Symantec Backup Exec 2012) на ленты по протоколам Fibre Channel, SAS или SCSI.

После установки продукта, в консоли StarWind Management Console у вас появится пошаговый мастер, с помощью которого можно настроить такую схему резервного копирования.

Скачать StarWind Tape Redirector можно по этой ссылке.

Похоже, что кто-то (после 5 лет разработки) наконец додумался до того, что нужно применять виртуализацию GPU со стороны сервера, чтобы реализовывать требовательные к графике нагрузки в инфраструктуре виртуальных ПК предприятия (VDI). 15 мая компания NVIDIA анонсировала скорую доступность платформы VGX, которая представляет собой модуль с четырьмя GPU и 16 ГБ памяти, который будет устанавливаться в сервер через стандартный разъем PCI Express (2 слота).

Платформа NVIDIA VGX основана на трех сущностях:

• Плата NVIDIA VGX. Она имеет четыре GPU (каждый имеет 192 ядра NVIDIA CUDA) и 16 ГБ памяти и подключается к серверам через стандартный интерфейс PCI Express. Рассчитана на количество пользователей на сервер - до 100 штук.
• NVIDIA VGX GPU Hypervisor. Этот программный компонент, который интегрируется в коммерческие гипервизоры (пока говоритя почему-то о Citrix XenServer), обеспечивая поддержку виртуализации GPU со стороны хост-сервера.
• NVIDIA User Selectable Machines (USM). Эта опция позволяет компаниям предоставлять графические возможности индивидуальным пользователям в соответствии с их запросами. Эти возможности варьируются от реальных возможностей ПК, доступных со стандартной NVIDIA USM, до профессиональных функций 3D дизайна и проектирования с помощью GPU NVIDIA Quadro или NVIDIA NVS.

Характеристики платы VGX:

Теперь нам обещают новый уровнеь производительности в ПО для 3D-моделирования:

Воспроизведении видео:

И Windows Aero в виртуальном ПК:

Платформа NVIDIA VGX, включая новые платы NVIDIA VGX, а также компоненты NVIDIA GPU Hypervisor и NVIDIA USM, будет доступна через OEM и VDI партнеров NVIDIA уже в этом году. Ну что - посмотрим, штука интересная, и спрос на нее определенно есть.

Интересный продукт обнаружился среди корпоративных VDI-решений. Оказывается Citrix XenClient - не единственный клиентский гипервизор, который реализует Type-1 гипервизор, в котором могут быть одновременно запущено несколько виртуальных машин на одном ПК. Есть еще и продукт NxTop от компании Virtual Computer:

По-сути, NxTop - это "тонкий" гипервизор на базе открытого продукта Xen, который позволяет установить компонент NxTop Engine на компьютер без ОС и запускать с его помощью клиентские виртуальные машины на базе Windows и Linux. Преимущества такого подхода те же, что и у XenClient - централизованное развертывание образов ПК, их обновление, возможность иметь рабочий и домашний компьютеры одновременно запущенными на своем ноутбуке, которые изолированы друг от друга, а рабочий - защищен политиками. Несомненный плюс такого подхода - возможность работать Offline, без интернета, в отличие от традиционного VDI-решения.

Помимо самого гипервизора NxTop Engine, есть также компонент NxTop Center, который отвечает за централизованное управление этими гипервизорами и образами ОС. Поставляется он также в виде виртуального модуля (Virtual Appliance), который можно развернуть на платформе Microsoft Hyper-V. А можно просто поставить его в Parent partition на сервере Hyper-V.

Таким образом, в данном решении виртуальные машины запускаются на конечных устройствах (ноутбуки и ПК), а на NxTop Center находятся все службы централизованного обслуживания и управления. То есть, конечные устройства выступают своего рода "хост-серверами", которыми управляет NxTop Center, но на которых запущены не серверы, а клиентские ОС. Из этой консоли и происходит руление ноутбуками и компьютерами, на которых есть виртуальные машины и которые можно обновлять, изменять, накатывать политики и прочее.

Средство управления NxTop Center развертывается на хосте Windows Server 2008 с ролью Hyper-V, где происходит создание виртуальных машин и управление ими, после чего они доставляются на конечные устройства пользователей. При этом на гипервизоре NxTop они запускаются без каких-либо дополнительных модификаций. Можно также создавать виртуальные машины в самом NxTop Engine. Обратите внимание, что и сама консоль NxTop Center похожа на одну из стандартных консолей System Center.

Список совместимости гипервизора NxTop с различными устройствами находится тут: http://www.virtualcomputer.com/hcl. В общем-то, он не маленький.

Сам гипервизор NxTop Engine обладает следующими возможностями:

• Поддержка графической подсистемы хоста и вывод на несколько мониторов.
• Поддержка сетевых интерфейсов Ethernet, 802.11 wireless LAN, а также модулей 3G/4G.
• Функции по переключению между машинами с расширенными возможностями по управлению их питанием (вкл-выкл-suspend).
• Поддержка широкого спектра USB-периферии.
• Обработка событий оборудования, таких как закрытие крышки ноутбука.

Кстати, все виртуальные машины на клиентских устройствах хранятся в зашифрованном виде.

Средство управления NxTop Center выполняет следующие функции:

• Созданиие и модификация виртуальных машин.
• Управление пользователями, ролями и разрешениями. Назначение машин пользователям.
• Доставка образов на конечные устройства.
• Обновление виртуальных машин и их резервное копирование.

Когда NxTop Engine на пользовательском устройстве соединяется с NxTop Center и обнаруживает, что образ виртуальной машины обновился, он посылает обновление пользователю, которое применяется при следующей загрузке компьютера. Также поддерживаются снапшоты состояний ВМ, которые могут служить резервными копиями конфигураций.

Ну и напоследок, небольшая демка о том, как работает NxTop на стороне клиентского устройства:

У NxTop есть бесплатное издание NxTop Express, которое бесплатно для 5-и пользователей, что позволяет сразу приступить к тестированию решения. Потом можно уже купить издание Enterprise.

В общем, штука интересная. А кто-нибудь ее из вас уже пробовал? Как впечатления?

Как вы знаете, еще в VMware vSphere 4.1 появилась возможность "пробрасывать" USB-устройства сервера в виртуальные машины (USB device passthrough). В VMware vSphere 5 эти возможности еще были несколько улучшены за счет добавления поддержки устройств для проброса и от клиента (+USB 3.0), а не только от сервера. В этой заметке приведем основные особенности и условия использования USB-устройств в виртуальных машинах на серверах ESXi.

Для начала простые правила при пробросе USB-устройств сервера (Host-Connected USB Passthrough):

• одно USB-устройствo может быть проброшено только в одну ВМ, для одной ВМ может быть использовано до 20 устройств
• Для работы проброса необходима версия Virtual Hardware 7 или выше (в vSphere 5 - восьмая версия)
• Понятное дело, на хосте должен быть USB-контроллер. USB arbitrator хоста ESXi может управлять 15-ю контроллерами
• Для ВМ с привязанными к ним USB-устройствами можно использовать vMotion, но мигрировать сами устройства нельзя
• Перед тем как использовать USB-устройство в ВМ, нужно добавить к ней USB-контроллер в настройках

Правила посложнее:

• Перед отключением проброшенного в ВМ USB-устройства рекомендуется отключать проброс контроллера в ВМ.
• Перед использованием функций Hot Add (memory, CPU) нужно отключать USB-устройства от ВМ, поскольку при добавлении ресурсов Hot Add устройства USB отключаются, что может привести к потере данных
• Виртуальная машина не может загружаться с проброшенного устройства USB
• Ну и наверное догадываетесь, что нельзя пробрасывать флэшку с самим ESXi
• Контроллер xHCI (для устройств USB 3.0) доступен пока только для Linux-систем (начиная с ядра 2.6.35), для Windows драйверов пока нет

Также отметим, что начиная с VMware vSphere 5.0, стала доступной возможность пробрасывать USB-устройства в ВМ от клиентов (Client-Connected USB Passthrough). Поскольку эта возможность реализована на уровне клиента vSphere Client, то, используя клиента пятой версии, можно пробрасывать USB-девайсы на ВМ, размещенные на ESX/ESXi 4.1.

Таким образом, получается следующая таблица поддержки интерфейсов USB и типов подключения устройств:

USB-контроллер можно добавить к виртуальной машине как из Sphere Client:

так и из vSphere Web Client:

Вопреки расхожему мнению, поддержка USB-устройств в виртуальных машинах VMware vSphere весьма ограничена. Вот полный список поддерживаемых устройств из KB:

То есть всего ничего - эти модели были протестированы чисто чтобы табличку заполнить. Все что за пределами этого списка следует тестировать самостоятельно, в этом случае вопросы в техподдержку VMware задавать не следует.

Компания Oracle объявила о выходе своей операционной системы Oracle Solaris 11, доставшейся ей после поглощения корпорации Sun Microsystems. На выпуск новой версии ушло почти 7 лет - прошлый релиз вышел в январе 2005 года (не считая Solaris 11 Express).

Как знают многие Enterprise-администраторы, в Solaris есть технология виртуализации Solaris Containers, которая представляет собой подвид виртуализации уровня операционной системы (она же Solaris Zones). Зоны работают как полностью изолированные виртуальные серверы внутри одного экземпляра операционной системы.

Надо отметить, что Oracle поддерживает запуск Solaris в качестве виртуальной машины на Oracle VM Server для платформ x86 и SPARC.

Новые возможности Solaris 11, касающиеся виртуализации:

• Поддержка Oracle Solaris 10 Zones, включая исполнение окружений Solaris 10 в зоне Solaris 11
• Средства оценки миграции зон (P2V и V2V) с указаниями возможных проблем
• Поддержка NFS в неглобальной (обычной, non-global) зоне
• По умолчанию каждой зоне выделяется отдельный IP-стек (Exclusive-IP Zones)
• Автоматическое создание интерфейсов VNIC для зон
• Возможности настройки полосы пропускания и QoS для трафика из обычных зон
• Делегирование полномочий по администрированию через Role Based Access Control (RBAC)
• Окружения Zone Boot Environments интегрированные Oracle Solaris Zones. Когда создается новое загрузочное окружение (путем клонирования существующей зоны), базовое окружение также клонируется в новое boot environment
• Улучшения Zone Dataset Layout
• Immutable Zones с поддержкой файловых систем read-only для обычных зон за счет использования механизма Mandatory Write Access Control (MWAC)
• Zoneadm теперь может корректно завершать работу зон
• Zonestat теперь более эффективно работает в зонах (мониторинг ресурсов)
• Библиотека Libzonestat для использования сторонними приложениями

Полный список новых возможностей Solaris 11 приведен в этом документе.

Update. Oracle утверджает, что Solaris 11 - это первая "облачная" ОС. С этим трудно согласиться.

Многие из вас знают, что у компании VMware есть утилита VMmark, которая позволяет измерять производительность различных аппаратных платформ (и работающих в ВМ приложений), когда на них работает платформа виртуализации VMware vSphere. При этом можно сравнивать различные платформы между собой в плане производительности.

Сейчас компания VMware решила сделать несколько иначе: на одном и том же сервере Dell Power Edge R310 поставить vSphere 4, посчитать производительность, а потом сделать то же самое с vSphere 5 на этом же сервере. При тестировании было 4 типа нагрузки с нарастанием до насыщения утилизации сервера по CPU и получились вот такие результаты:

В результате ESXi 5.0 обогнал ESXi 4.1 на 3-4% очкам в зависимости от нагрузки (линии же CPU - практически одинаковы). Но самое интересное, что при росте нагрузки машин на сервер ESXi 5 позволил поддерживать виртуальных машин на 33% больше, чем ESXi 4.1 при условии соблюдения требований к качеству обслуживания для виртуальных машин - правый столбик (как это оценивалось не очень понятно). При этом ESXi 5.0 позволял выполнять в два раза больше операций с инфраструктурой в кластере, чем его предшественник (см. ниже).

Также VMware померила время отклика различных приложений и вычислила их задержки (latency), а также latency для операций инфраструктуры (vMotion, Storage vMotion и VM Deploy). Вышло так (показано в нормализованном виде):

Обратите внимание, что vMotion и Storage vMotion - стали работать значительно быстрее (о том, как это было сделано - тут). Вот как раз за счет низкого latency ESXi 5 и смог обеспечить поддержку на 33% больше виртуальных машин при условии соблюдения QoS.

Подробнее о тестировании написано тут.

Автор: Андрей Луценко

Во время анонса новых 22нм-процессоров Ivy Bridge была описана технология защиты от повышения уровня привилегий SMEP (Supervisory Mode Execute Protection).

Данная технология контролирует уровень привилегий исполняемого кода, размещенного в адресном пространстве, выделенном для работы программам (Applications) .

Фактически на аппаратном уровне блокируется классическая атака, нацеленная на повышение уровня привилегий, необходимая для получения доступа к системным ресурсам.

Хотя данная аппаратура представлена только сейчас, но в официальной документации фирмы Intel это архитектурное решение уже нашло документальное отражение. В новой редакции документации (том 3А), датированной маем 2011г., имеется полное описание работы данного оборудования.

В начале года на нашем сайте была опубликована статья, описывающая новые методы проактивной антивирусной защиты. В данной статье был среди прочего представлен аналогичный метод контроля за повышением уровня привилегий. К настоящему времени этот метод запатентован в России автором статьи совместно с фирмой «ЛАН-ПРОЕКТ».

От VM Guru: вроде как наш автор Андрей намерен несколько подискутировать с компанией Intel по поводу данной темы (я так понимаю, по поводу патентов - их у него не один). Как только станут известны подробности - мы их опубликуем здесь.

Архитектура современных вычислительных систем держится на трех китах: процессоре, производящем манипуляции с информацией, хранилища информации (оперативная память+долговременные устройства хранения) и устройств загрузки/выгрузки информации из внешней среды. Оперативная память наиболее архаичная из этих систем, поскольку за последние десятилетия ее архитектура не изменилась. Это по-прежнему однородный массив микросхем памяти, объединенных едиными шинами данных и адресации...

Компания StarWind Software, выпускающая продукт StarWind Enterprise iSCSI - номер 1 на рынке для создания отказоустойчивых хранилищ для серверов VMware vSphere и Microsoft Hyper-V, продолжает развивать ветку продукта, относящуюся к платформе виртуализации Hyper-V.

Новый продукт StarWind Native SAN for Hyper-V, планируемый к выпуску 15  сентября 2011 года, представляет собой средство для создания отказоустойчивой двухузловой конфигурации хранилища iSCSI на базе двух серверов Hyper-V.

Суть нативности StarWind iSCSI SAN для Hyper-V в том, что для создания полноценного и отказоустойчивого хранилища для виртуальных машин вам не понадобится вообще больше никакого "железа", кроме этих двух серверов.

StarWind Native SAN for Hyper-V - это Windows-приложение, которое вполне может существовать на обычном Windows Server с ролью Hyper-V. Поэтому вам не нужно дополнительного бюджета, кроме денег на приобретение продукта, что весьма актуально для небольших организаций, где собственно и используется Hyper-V.

Таким образом, на базе двух серверов у вас получится кластер высокой доступности (HA) и отказоустойчивый кластер хранилищ. Это будет очень интересно.

Если вы будете на VMworld 2011, который будет на днях, вы можете подойти к стойке StarWind (под номером 661) - там будут русскоговорящие ребята, которые вам расскажут и о StarWind Native SAN for Hyper-V, и об обычном StarWind Enterprise HA для VMware vSphere (сейчас актуальна версия StarWind 5.7).

Ну а мы, в свою очередь, в скором времени поподробнее расскажем о том, как работает StarWind Native SAN for Hyper-V.

Как вы знаете, на днях было объявлено о выходе платформы виртуализации VMware vSphere 5. Наше любимое средство обеспечения информационной безопасности vGate R2 от компании Security Code, безусловно, будет поддерживает ее либо еще до выхода продукта, либо сразу после него (а пока о vGate R2 почитайте тут и тут, а также про поддержку ESXi).

VMware также объявила о выходе решения VMware vShield 5 для обеспечения безопасности vSphere 5, но если вы посмотрите сюда, то увидите, что vGate является наиболее эффективным средством защиты, в отличие от нишевого продукта vShield.

А сегодня мы поговорим о том, как дополнительно можно защитить инфраструктуру VMware vSphere, в которой работает средство vGate R2, ведь помимо программных средств обеспечения безопасности, нужно обезопасить инфраструктуру еще и на физическом уровне в организациях с повышенными требованиями к ИБ и в компаниях, работающих с конфиденциальными данными. Кроме того, актуальна проблема защиты данных внутри виртуальных машин, которые для VMware являются, по-сути, "черными ящиками".

Продукт Secret Net является сертифицированным средством защиты информации от несанкционированного доступа и позволяет привести автоматизированные системы в соответствие требованиям регулирующих документов:

• №98-ФЗ ("О коммерческой тайне")
• №152-ФЗ ("О персональных данных")
• №5485-1-ФЗ ("О государственной тайне")
• СТО БР (Стандарт Банка России)

Этот продукт можно использовать для защиты от несанкционированного доступа следующих объектов виртуальной инфраструктуры vSphere:

• Защита виртуальных машин от НСД (разграничение доступа, контроль устройств, управление политиками доступа к информации в гостевой ОС, мониторинг и аудит событий ИБ).
• Защита сервера авторизации vGate R2 (несанкционированный доступ к функциям администратора информационной безопасности). Надо отметить, что сервер авторизации также может быть физической машиной, что требует дополнительных мер по его защите (см. ПАК "Соболь").
• Защита рабочего места администратора VMware vSphere (не является компонентов виртуальной инфраструктуры, а значит требует дополнительной защиты)

Более детально о продукте Secret Net можно почитать здесь.

Электронный замок (ПАК) "Соболь"

Электронный замок «Соболь» -  это аппаратно-программное средство защиты компьютера от несанкционированного доступа (аппаратно-программный модуль доверенной загрузки).

Если виртуальные машины мы можем защитить за счет их доверенной загрузки средствами vGate R2, то физические компоненты виртуальной инфраструктуры нужно наиболее тщательно защищать от злоумышленников за счет специализированных аппаратно-программных средств. Таким средством и является ПАК "Соболь" (как видно из картинки, это специальная плата и ПО). Его можно использовать для защиты следующих объектов виртуальной инфраструктуры vSphere:

• Доверенная загрузка сервера авторизации vGate R2
• Доверенная загрузка серверов ESXi и ESX

В качестве альтернативного или дополнительного метода защиты сервера авторизации и серверов ESX / ESXi могут применяться организационные меры, заключающиеся в физическом ограничении доступа к оборудованию со стороны возможных нарушителей.

Более подробно о ПАК "Соболь" можно почитать здесь.

Все эти средства прекрасно живут и работают с vGate R2. Если есть какие-то вопросы - задавайте в каментах.

Как знают администраторы систем хранения данных, у различных компонентов SAN-сети есть такой параметр как глубина очереди (Queue Depth). Он есть у HBA-адаптера сервера (на котором, например, работает VMware ESX / ESXi) и у порта Storage Processor'а системы хранения (SP). Глубина очереди определяет сколько операций ввода-вывода (IO) может быть одновременно обработано на устройстве.

Как мы уже писали, если до SP со стороны сервера ESX / ESXi используется один активный путь, то глубина очереди целевого порта массива (T) должна удовлетворять следующему соотношению:

T >= Q*L,

где Q - это глубина очереди на HBA-адаптере, а L - число LUN, обслуживаемых SP системы хранения. Если у нас несколько активных путей к одному SP правую часть неравенства надо еще домножить на P - число путей.

Соответственно, в виртуальной инфраструктуре VMware vSphere у нас несколько хостов имеют доступ к одному LUN через его SP и получается следующее соотношение:

T>= ESX1 (Q*L*P) + ESX2 (Q*L*P)+ и т.д.

Queue Depth на серверах

По умолчанию, для хостов VMware ESX / ESXi значение Queue Depth равно 32, как его изменить, читайте у нас тут и вот тут. Теперь внимание: этот параметр имеет значение только когда у вас только одна виртуальная машина на хост-сервере использует конкретный LUN. Если его используют уже 2 машины, то он игнорируется, а в действие вступает следующая расширенная настройка (Advanced Setting - как его задавать описано тут):

Disk.SchedNumReqOutstanding (DSNRO)

Этот параметр также по умолчанию равен 32. Он глобально определяет, сколько операций ввода-вывода (IOs) может максимально выдать одна виртуальная машина на LUN одновременно. В то же время, он задает это максимальное значение в IOs для всех виртуальных машин на этот LUN. То есть, если задано значение 32, то все машины могут одновременно выжать 32 IOs, это подтверждается в статье Jason Boche, где 3 машины генерируют по 32 одновременных IO к одному LUN, а реально к LUN идут все те же 32, а не 3*32:

Здесь видно, что активно выполняется 30 команд (максимально 32) для параметра DQLEN, а остальные 67 остаются в очереди. То есть параметр определяет максимальную планку в IO как для одной машины на LUN, так и для всех машин на LUN.

Важно, чтобы параметры Queue Depth и DSNRO были установлены в одно и то же значение. Это рекомендация VMware. Так что, если вздумаете изменить один из них - не забудьте и про второй. И помните, что параметр DSNRO для хоста - глобальный, а значит будет применяться ко всем LUN, подключенным к хосту.

Target Port Queue Depth на массивах

Для дискового массива (а точнее, SP) очередь - это то, куда он сладывает SCSI-команды в то время, пока обрабатывается и выполняется пачка предыдущих. Нормальный midrange-массив имеет глубину очереди 2048 и более. Если массив получает в очередь команд IO больше значения Target Port Queue Depth, то он назад выдает команду QFULL, которая означает, что очередь заполнена и хост-серверу нужно с этим что-то делать. VMware ESX / ESXi реагирует на это следующим образом - он уменьшает очередь на LUN и периодически (каждые 2 секунды) проверяет, не исчезло ли QFULL, и если исчезло, то начинает постепенно увеличивать глубину очереди для этого LUN (это может занять до одной минуты). Это и есть причины тормозов, которые часто возникают у пользователей VMware ESX / ESXi.

Как управлять очередью и адаптивный алгоритм VMware

Теперь становится понятным, почему мы сразу не выставляем параметр Disk.SchedNumReqOutstanding на хостах VMware ESX / ESXi в максимальное значение - мы можем вызвать QFULL на SP массива. С другой стороны, уменьшать его тоже нехорошо - мы ограничим количество операций IO с хоста на LUN.

Поэтому здесь нужен гибкий подход и он есть у VMware (adaptive queue depth algorithm). Работает он таким образом: мы его активируем с помощью параметров Disk.QFullSampleSize и Disk.QFullThreshold в Advanced Settings. Они влияют вот на что:

• QFullSampleSize - если число число ответов QFULL (оно же BUSY) превысит его, то ESX / ESXi наполовину обрежет глубину очереди (LUN queue depth)
• QFullThreshold - если число ответов о том, что QFULL или BUSY больше нет, превысит его, то ESX / ESXi будет постепенно увеличивать LUN queue depth на 1 (вроде бы, каждые 2 секунды).

Но сколько бы не уменьшалось DQLEN - ниже заданного нами значения DSNRO оно не упадет. Это защищает нас от неожиданного провала в производительности. Кстати, эти параметры тоже глобальные - так что если один (например, тормозящий) массив с хоста будет подвергаться такому адаптивному эффекту со стороны ESX / ESXi, то и для другого (например, производительного) тоже будут выполняться такие фокусы.

Теперь, что дополнительно можно почитать на эту тему:

• Disk.SchedNumReqOutstanding and Queue Depth
• Some Answers About Queues: LUN and HBA Queue Depth on ESX(i) Hosts
• Increasing the queue depth?
• Controlling LUN queue depth throttling in VMware ESX/ESXi

То есть мораль всей басни такова - дефолтные зачения DSNRO и Queue Depth подходят для большинства случаев. Но иногда имеет смысл изменить их. Но в этом случае надо учитывать параметры системы хранения данных, структуру SAN, количество LUN и другие параметры, влияющие на производительность ввода-вывода.

Мы уже писали о веб-клиенте для VMware View от компании Ericom, который построен на базе HTML5. Теперь вот вышла версия  Ericom AccessNow for VMware View 1.0. Примечательной особенностью данного ПО является то, что оно позволяет получить доступ к виртуальному ПК предприятия, где развернута инфраструктура VMware View, через любой HTML5-браузер, без необходимости установки каких-либо дополнительных компонентов. Можно также будет использовать и Chromebooks ("Хромбуки" - устройства с Google Chrome OS).

То есть рабочий стол виртуального ПК можно открывать прямо во вкладке Chrome:

Основные возможности Ericom AccessNow for VMware View 1.0:

• Не требует Java, Flash, Silverlight или других компонентов.
• Поддерживает процессоры Intel x86, ARM и другие.
• Может действовать как Gateway, предоставляя доступ к компьютерам в сети предприятия за счет публикации только одного IP.
• Передача данных по SSL.
• Используются техники WebSockets, AJAX, JSON и другие из HTML5.
• Веб-клиент соединяется с сервером Ericom, используя Ajax и WebSockets (когда это возможно) через SSL и пробрасывает клавиатуру и мышь.

С точки зрения протокола доступа, этот клиент от Ericom использует собственный  Ericom HTML Display Protocol (HDP), который несколько отличается от RDP и PCoIP (первый работает поверх WebSockets, а от последнего пришлось отказаться в силу его закрытости и невозможности реализации через HTML5).

Скачать пробную версию Ericom AccessNow for VMware View 1.0 можно по этой ссылке.

Интересную проблему тут обнаружили некоторые товарищи (а раньше вот тут). Вроде как при обычной установке VMware ESXi (в том числе, версии 4.1) для физических сетевых адаптеров (pNic) 1Gbit выставляется настройка не Auto Negotiate, а 1000 Mbit Full Duplex.

А вот лучшие практики VMware (например, KB 1004089) говорит нам, что лучшая настройка - это Auto Negotiate как на адаптере, так и на порту физического коммутатора, куда включен хост (можно использовать также и 1000<->1000):

Но вот 1000<->Auto как мы видим не является хорошей практикой, ибо Auto Negotioation включает в себя договаривание устройств не только о скорости и дуплексе, но и такие параметры, как flow control, backpressure, inter-frame packet timing (наверное, там еще страшные слова есть).

Таким образом, нужно либо на свиче также поставить настройку 1000 - Full Duplex, либо поменять на хосте VMware ESX настройки в Auto для сетевых адаптеров:

Можно сделать это также через PowerShell / PowerCLI методами:

Get-VMHostNetworkAdapter | Set-VMHostNetworkAdapter –AutoNegotiate

Можно через командную строку:

[root@server root]# esxcfg-nics -a vmnic1

Если что не так - поправьте, пожалуйста, сам я это сейчас посмотреть не могу.

Вы уже все привыкли к тому, что мы еженедельно рассказываем о продукте StarWind Enterprise iSCSI Target, который позволяет создавать отказоустойчивые хранилища для виртуальных машин на VMware ESX и Microsoft Hyper-V (подробнее тут, тут и в разделе StarWind).

Сегодня мы поговорим о механизме дедупликации данных в StarWind Enterprise iSCSI. Эта функциональность появилась, начиная с версии 5.6. Она позволяет создавать образы виртуальных дисков для хранилищ iSCSI, которые будут содержать только уникальные данные записываемых на них файлов (vmdk, vhd и прочее). Дедупликация работает "на лету", поэтому на хранилище попадают только уникальные блоки:

Объем, занимаемого этим хранилищем, будет расти по мере заполнения его уникальными данными файлов на нем хранящихся. Это позволяет значительно экономить на необходимых дисковых емкостях и понижает совокупную стоимость решения по построению инфраструктуры хранения данных виртуальных машин (c iSCSI она и так весьма небольшая).

Для создания дедуплицированного хранилища нужно выбрать тип диска Advanced Virtual (см типы дисков StarWind) и выбрать его подтип - Deduplicated disk device:

Обратите внимание - сейчас эта возможность экспериментальная (версия StarWind Enterprise 5.6). В следующих релизах она уже будет полностью поддерживаться. Поэтому ее пока используйте только для тестовых или некритичных систем.

Далее создаем новое устройство для виртуального диска, которое определяет максимальный объем хранилища (в нашем случае 5 ГБ):

Далее видим настройки, которые пока нельзя менять. Они определяют размер кэша для записи на данное виртуальное устройство, размер файла метаданных для виртуального диска и объем памяти, требующийся для работы с устройством.

Далее настраиваем параметры кэширования (подробнее в статье о кэшировании в StarWind Enterprise):

Смотрим получившиеся настройки:

И смотрим на получившийся диск в 5 ГБ:

Но реально на хранилище он занимает пока только вот столько:

Добавляем хранилище в vSphere Client:

Видим емкость в 5 ГБ:

Теперь создаем виртуальную машину на этом хранилище с диском в 2 ГБ (этот vmdk-диск указываем как thick, а не thin - то есть он создается сразу файлом в 2 ГБ):

И видим, что общее пространство, занимаемое диском StarWind Enterprise изменилось незначительно (в данном случае я уже был в середине установки Windows 2003 Server в этой виртуальной машине):

То есть в данном случае не просто Thin Provisioning, а полноценная дедупликация данных на лету средствами StarWind Enterprise.

Скачать замечательный продукт StarWind Enterprise iSCSI можно по этой ссылке, а покупают его по этой ссылке.

Как вы знаете в последнем релизе платформы виртуализации VMware vSphere 4.1 было заявлено множество новых возможностей. Одна из них весьма важна с точки зрения производительности в части работы виртуальных машин с системой хранения. Эта технология называется VMware vSphere VAAI, то есть vStorage API for Array Integration.

Итак, что такое VMware vSphere VAAI. Это комплекс технологий компании VMware, разработанный в сотрудничестве с производителями дисковых массивов (потому и API), предназначенный для передачи некоторых операций виртуальных машин по работе с дисками на сторону массива. В этом случае хост-сервер виртуализации VMware ESX / ESXi при выполнении стандартных процедур в среде виртуализации при работе ВМ с дисковой подсистемой просто дает команду массиву (или массивам) сделать определенные действия, при этом сам хост не гонит через себя все те данные и команды, которые он раньше был вынужден прогонять. То есть, это - Hardware Offloading операций с СХД.

Ну а раз это аппаратно-зависимая вещь, то это означает, что сам массив должен в своем Firmware поддерживать vSphere VAAI (у которой еще бывает несколько видов - так называемые "примитивы"). Чтобы узнать поддерживает ли ваш хост VAAI нужно пойти в VMware Hardware Compatibility Guide и поискать свой дисковый массив в категории "Storage/SAN". Там все сделано несколько криво, но нужно искать в Supported Releases следующую сноску:

VAAI primitives "Full Copy", "Block Zeroing" and "Hardware Assisted Locking" are supported with vmw_vaaip_xxx plug-in

xxx - это идентификатор плагина от VMware

Ну и, конечно, ваш хост VMware ESX / ESXi должен быть версии 4.1 или выше. И помните, что на некоторых массивах VAAI по умолчанию выключена, поэтому вам нужно почитать документацию о том, как ее включить. Кроме того, функциональность VMware vSphere VAAI есть только в изданиях VMware vSphere Enterprise и Enterprise Plus (см. сравнение изданий).

Теперь, какие примитивы (то есть типовые операции с СХД) реализует VMware vSphere VAAI:

• Full Copy / Clone Blocks / XCOPY  – функция, позволяющая передать на сторону массива возможности копирования объектов виртуальной инфраструктуры без задействования операций четния-записи со стороны сервера VMware ESX 4.1. Эту функцию также называют Hardware Offloaded Copy и SAN Data Copy Offloading.
• Write Same / Zero Blocks – возможность обнуления больших массивов блоков на дисковых устройствах для быстрого создания дисков vmdk типа eager zero thick.
• Atomic Test and Set (ATS) –возможность защиты метаданных тома VMFS как кластерной файловой системы в ситуациях, когда большое количество хостов ESX имеют разделяемый доступ к одному хранилищу. Также эта функция называется Hardware Assisted Locking.

Давайте рассмотрим как эти компоненты VAAI работают и для чего они нужны.

Full Copy

Используя этот примитив, дисковый массив по команде VMware vSphere осуществляет копирование виртуальной машины (а самое главное для нас копирование диска VMDK) без участия сервера ESX / ESXi и его стека работы с подсистемой хранения (соответственно, не гоняется трафик и не дается нагрузка на CPU). В этом случае гипервизор рассказывает хранилищу, какие блоки занимает виртуальная машина, а оно уже делает все остальное по копированию блоков.

Виртуальная машина может копироваться как в пределах одного хранилища, так и между двумя массивами, если они поддерживают функциональность XCopy. Наиболее интересный способ применения данной техники - это массовое развертывание виртуальных машин из шаблонов, которое больше всего востребовано в VDI-инсталляциях (например, в решении для виртуализации корпоративных ПК предприятия VMware View 4.5).

Еще один важный аспект применения - операция Storage vMotion, которая требует копирования виртуальных дисков машины.

С vSphere VAAI операции по копированию блоков данных хранилищ виртуальных машин занимают меньше времени (в некоторых случаях оно сокращается на 95%):

Ну а вот такие результаты нам выдает Storage vMotion:

Кроме того, данная технология интегрирована и с функциональностью "тонких" (thin) дисков как самой VMware, так и механизмом Thin Provisioning сторонних вендоров.

Write Same / Zero Blocks

За счет этой технологии сервер VMware ESX / ESXi может дать команду хранилищу обнулить блоки виртуальных дисков типа Eager zeroed thick (см. типы дисков). Эти диски являются самыми безопасными (блоки чистятся при создании) и самыми производительными (при обращении к блоку его не надо обнулять и тратить ресурсы), но занимали очень много времени на их создание. Теперь с техникой VAAI этот процесс сильно ускоряется, что позволяет использовать диски eagerzeroedthick чаще (например, для машин с включенной Fault Tolerance). Напомню, что сейчас по умолчанию в VMware vSphere создаются диски типа Zeroed thick disks.

Теперь одинаковые команды ввода-вывода на сторадж от сервера ESX / ESXi дедуплицируются, а массиву дается команда на повторение одинаковых команд для разных блоков. На эту тему есть отдельное видео:

Atomic Test and Set (ATS) или Hardware Assisted Locking

За счет этой техники vSphere VAAI существенно уменьшается число операций с хранилищем, связанных с блокировкой LUN на системе хранения. Как вы знаете, при работае виртуальных машин возникают конфликты SCSI Reservations, связанные с тем, что некоторые операции вызывают блокировку всего LUN для обновления метаданных тома VMFS. Операций этих много: запуск виртуальной машины (обновляется lock и создаются файлы), развертывание новой ВМ, создание снапшота, миграция vMotion и т.п.

Нехорошо также, что при использовании тонких дисков (например для связанных клонов VMware View) также происходит блокировка LUN при выделении нового блока растущему диску (надо обновлять метаданные - см. тут). Это, прежде всего, приводит к тому, что возникает ограничение на количество размещаемых на LUN виртуальных машин, чтобы конфликтов SCSI Reservations не было слишком много.

Теперь же, за счет VAAI, эти операции передаются на сторону дискового массива, который при необходимости обновить метаданные тома не блокирует весь LUN, а лочит только секторы метаданных, которые требуется обновить. Все это делается массивом безопасно и надежно. Отсюда вытекает уменьшение числа конфликтов SCSI Reservations и ,как следствие, лучшая производительность и увеличения числа ВМ на LUN.

Ограничения VMware vSphere VAAI

Недавно мы писали про Data Mover'ы - это компоненты VMware ESX / ESXi, отвечающие за работу хост-сервера с хранилищами при копировании данных. Поддержкой VAAI заведует компонент fs3dm – hardware offload. Он пока еще молодой, поэтому не поддерживает некоторых сценариев использования. Соответственно все или некоторые техники VAAI у вас не будут работать в следующих случаях:

• Исходный и целевой тома VMFST имеют разные размеры блоков
• Исходный файл лежит на том RDM, а целевое хранилище - это не том RDM 
• Исходный тип диска VMDK - это eagerzeroedthick, а целевой - thin
• Исходный или целевой тип диска VMDK VMDK - один из типов sparse или hosted (не платформа vSphere)
• Исходная виртуальная машина имеет снапшот 
• Блоки хранилища, где лежит виртуальная машина не выровнены (по умолчанию vSphere Client выравнивает блоки автоматически)

Как включить VMware vSphere VAAI

Как уже было сказано выше, со стороны хранилищ VAAI может быть выключена и нужно почитать документацию на СХД. На хостах ESX / ESXi по умолчанию VAAI включена. Проверить это можно, перейдя в Configuration > Advanced Settings и увидев следующие параметры, напротив которых стоят единицы:

• DataMover/HardwareAcceleratedMove (это возможности Full Copy)
• DataMover/HardwareAcceleratedInit (это Zero Block)
• VMFS3/HardwareAcceleratedLocking (это ATS)

Или можно проверить из командной строки:

# esxcfg-advcfg -g /DataMover/HardwareAcceleratedMove
# esxcfg-advcfg -g /DataMover/HardwareAcceleratedInit
# esxcfg-advcfg -g /VMFS3/HardwareAcceleratedLocking

Если ваше хранилище не поддерживает VAAI - ничего страшного, хост ESX / ESXi будет работать софтовыми дедовскими методами.

Как проверить, работает ли vSphere VAAI?

Очень просто, откройте категорию Storage на вкладке Configuration в vSphere Client и посмотрите в последний столбик.

Статус Unknown означает, что хост еще не обращался к операциям, которые поддерживаются VAAI (то есть, это дефолтный статус). Если вы сделаете какую-нибудь операцию с VAAI (например, Copy/Paste виртуального диска больше 4 МБ), то VAAI попробует отработать. Если он отработает успешно - выставится статус Supported, ну а если нет - то Not Supported.

Опросить стораджи можно также из командной строки:

# esxcfg-scsidevs -l | egrep "Display Name:|VAAI Status:"

Вывод будет похожим на это:

Display Name: Local VMware Disk (mpx.vmhba2:C0:T0:L0)
VAAI Status: unsupported
Display Name: Local USB CD-ROM (mpx.vmhba32:C0:T0:L0)
VAAI Status: unknown
Display Name: Local TEAC CD-ROM (mpx.vmhba3:C0:T0:L0)
VAAI Status: unknown
Display Name: DGC Fibre Channel Disk (naa.6006016030801c00f8506073d0d7de11)
VAAI Status: unknown
Display Name: DGC Fibre Channel Disk (naa.6006016030801c00f9506073d0d7de11)
VAAI Status: unknown

Дополнительная информация о vSphere VAAI

Обзорное видео:

Демо от EMC:

Демо от HP:

Демо от NetApp:

Документы:

vStorage APIs for Array Integration FAQ

What's New in VMware vSphere 4.1 — Storage

Еще в пятницу компания VMware выпустила очередное обновление Update 1 своей платформы виртуализации VMware vSphere 4.1.

Мы уже писали о будущих новых возможностях Update 1, вот теперь их полный список:

Улучшения и новые возможности VMware ESX/ESXi 4.1 Update 1

• Поддержка до 160 логических процессоров хост-сервера
  • Платформа подготовлена к новому процессору Westmere-EX
• Включены дополнительные драйвера устройств:
  • дисковые устройства 3ware и Neterion
• Включена технология Intel Trusted Execution Technology (только для ESXi). Это поддержка модулей Trusted Platform Module (TPM) для доверенной загрузки хост-серверов (поддерживается также коммуникация с vCenter). Почитайте вот эту статью о TPM.
  • Более подробная информация в KB 1033811 
• Поддержка новых гостевых ОС
  • Добавлены: RHEL 6, RHEL 5.6, SLES 11 SP1 for VMware, Ubuntu 10.10 и Solaris 10 Update 9
• Улучшенная производительность для виртуальных машин, реализующих нагрузки баз данных и терминальные службы. Быстрее теперь работа с дисковой подсистемой и эффективнее расходуется CPU (непонятно, включено ли это в данный релиз).
• Исправления безопасности и различные багофиксы
  • Полный список - в release notes

Улучшения и новые возможности VMware vCenter 4.1 Update 1

• Поддержка кастомизации (через Sysprep) новых ОС:
  • Windows 7 SP1, Windows Server 2008 R2 SP1, RHEL 6, RHEL5.5
• Поддержка новых СУБД для vCenter Server:
  • Microsoft SQL 2008 R2, Microsoft SQL 2005 SP3, Oracle 11g R2, IBM DB2 9.7.2
• Исправления и различные багофиксы
  • Полный список - в release notes

Улучшения и новые возможности VMware vCenter Update Manager 4.1 Update 1

• VMware Update Manager получил новый интерфейс для постконфигурации продукта, включая сам VUM и утилиту VMware Update Manager Download Service (для скачивания обновлений отдельно от VC и VUM). Теперь из GIU можно сбросить пароль для соединения с БД, сконфигурировать настройки Proxy и поменять SSL-сертификаты.
• Исправления безопасности и различные багофиксы

Улучшения и новые возможности VMware vCenter Orchestrator 4.1 Update 1

• Исправления безопасности и различные багофиксы

Скачать VMware vSphere 4.1 Update 1 можно по этой ссылке. Помните, что перед обновлением хост-серверов ESX / ESXi нужно сначала обновить VMware vCenter. И да, помните о багах обновления на Update 1, которые у VMware стали доброй традицией.