Многие Enterprise-администраторы настраивают автоматический регулярный бэкап решения для виртуализации и агрегации сетей VMware NSX-T из консоли, что описано, например, вот тут.

Между тем, как правильно заметил автор virten.net, при неудачном завершении задачи резервного копирования администратор не получает нотификации даже в дэшборде в разделе алармов.

В случае падения задачи бэкапа информация об этом доступна только в разделе Backup & Restore настроек:

Эту информацию можно получить и через API:

> GET /api/v1/cluster/backups/history HTTP/1.1
{
  "cluster_backup_statuses": [
    {
      "backup_id": "5cf21742-091a-b9b9-1f24-ad75ede2d23b-1615489436",
      "start_time": 1615489436085,
      "end_time": 1615489440865,
      "success": false,
      "error_code": "BACKUP_AUTHENTICATION_FAILURE",
      "error_message": "either backup server login failed or unauthorized access to backup directory"
    }
  ],
  "node_backup_statuses": [
    {
      "backup_id": "5cf21742-091a-b9b9-1f24-ad75ede2d23b-1615403036",
      "start_time": 1615403036017,
      "end_time": 1615403354709,
      "success": true
    }
  ],
  "inventory_backup_statuses": [
    {
      "backup_id": "inventory-1615490636",
      "start_time": 1615490636254,
      "end_time": 1615490641758,
      "success": true
    }
  ]
}

В данном примере неудачно завершился процесс резервного копирования кластера, поэтому нужно смотреть не только на статусы узлов (кстати, времена указаны в миллисекундах).

Коллега с virten.net написал сценарий на Python для Nagios, который позволит вам проверить статус последнего бэкапа кластера NSX-T, а также посмотреть возраст последней имеющейся резервной копии:

usage: check_nsxt_backup.py [-h] -n NSX_HOST [-t TCP_PORT] -u USER -p PASSWORD
                            [-i] [-a MAX_AGE]

# python check_nsxt_backup.py -n nsx.virten.lab -u audit -p password
NSX-T cluster backup failed
NSX-T node backup is to old (1461 minutes)

Решение для виртуализации сетей VMware NSX-T, в отличие от его vSphere-версии NSX-V, не имеет графического интерфейса для настройки отсылки логов на серверы Syslog.

Graham Smith написал краткую заметку о настройке Syslog для решения VMware NSX-T, включая NSX-T Manager, узлы Edge Nodes и серверы ESXi.

Самый удобный вариант - это использовать в качестве Syslog-сервера решение VMware Log Insight. Сначала заходим по SSH на NSX-T Manager и выполняем там следующую команду, указав IP-адрес сервера Log Insight:

MulNSXT01> set logging-server 192.168.10.8 proto udp level info 
        WARNING - You are configuring udp-based log forwarding. This will send sensitive information unencrypted over the network. The Splunk App for NSX-T only accepts TLS connections.

На узлах Edge Nodes также нужно выполнить такую же команду, зайдя по SSH:

DCA-MulNSXT-ESG01> set logging-server 192.168.10.8 proto udp level info
        WARNING - You are configuring udp-based log forwarding. This will send sensitive information unencrypted over the network. The Splunk App for NSX-T only accepts TLS connections.

На серверах ESXi процесс выглядит несколько иначе. Нужно выполнить вот такую последовательность команд:

[root@DCA-MulComp01:~] esxcli network firewall ruleset set -r syslog -e true
[root@DCA-MulComp01:~] esxcli system syslog config set --loghost=udp://192.168.10.8:514
[root@DCA-MulComp01:~] esxcli system syslog reload
[root@DCA-MulComp01:~] esxcli system syslog mark -s "This is a test message"

Первая команда разрешает в фаерволе трафик Syslog, вторая - настраивает сервер адрес сервера, третья - подхватывает настройки, ну а четвертая - отсылает тестовое сообщение, чтобы можно было проверить работоспособность механизма Syslog со стороны Log Insight.

Там это тестовое сообщение можно увидеть в разделе Events:

Чтобы проверить логирование на стороне фаервола, можно создать простое правило с тестовым тэгом:

Далее в Log Insight можно увидеть это событие, поискав по этому тегу:

Чтобы проверить конфигурацию Syslog на стороне сервера ESXi, нужно выполнить следующую команду:

[root@DCA-MulComp01:~] esxcli system syslog config get
   Check Certificate Revocation: false
   Default Network Retry Timeout: 180
   Dropped Log File Rotation Size: 100
   Dropped Log File Rotations: 10
   Enforce SSLCertificates: true
   Local Log Output: /scratch/log
   Local Log Output Is Configured: false
   Local Log Output Is Persistent: true
   Local Logging Default Rotation Size: 1024
   Local Logging Default Rotations: 8
   Log To Unique Subdirectory: false
   Message Queue Drop Mark: 90
   Remote Host: udp://192.168.10.8:514
   Strict X509Compliance: false

На стороне NSX-T Manager и на узлах Edge Nodes конфигурацию Syslog можно проверить такой командой:

DCA-MulNSXT-ESG01> get logging-servers 
Mon Dec 28 2020 UTC 17:37:16.600
192.168.10.8:514 proto udp level info

Еще в 2015 году мы писали о документе "VMware NSX for vSphere Network Virtualization Design Guide", в котором был рассмотрен референсный дизайн инфраструктуры виртуализации сетей в виртуальном датацентре и описывалась архитектура решения NSX на физическом и логическом уровнях. Тогда этот документ занимал 160 страниц.

С тех пор много всего поменялось (решение NSX разделилось на NSX-T и NSX-V), функциональность продуктов для виртуализации сетей существенно расширилась, поэтому выпущенный недавно компанией VMware новый документ "VMware NSX-T Reference Design Guide" теперь занимает 300 страниц! Доступен он абсолютно бесплатно и, по-сути, представляет собой книгу о продукте NSX-T:

Основные корневые разделы документа:

• NSX-T Architecture Components
• NSX-T Logical Switching
• NSX-T Logical Routing
• NSX-T Security
• NSX-T Load Balancer
• NSX-T Design Considerations
• NSX-T Performance & Optimization

Если вы администратор решения VMware NSX на большом предприятии, то это самая лучшая книга, чтобы почитать на новогодние праздники:)

Скачать VMware NSX-T Reference Design Guide можно по этой ссылке.

Многие администраторы платформы для сетевой защиты приложений в контейнерах, виртуальных машин и невиртуализованных нагрузок  VMware NSX-T часто сталкиваются с проблемами, связанными с политиками устаревания паролей (password expiration policies), которые заставляют менять пароль локальных аккаунтов к консоли системы:

По умолчанию администратор должен менять пароль каждые 90 дней. Чтобы узнать о текущей политике паролей и сроке действия текущего пароля, надо выполнить следующую команду:

> get user admin password-expiration 

Wed Dec 23 2020 UTC 16:38:51.380

Password expires 90 days after last change. Current password will expire in 90 days.

Чтобы изменить число дней, по прошествии которого пароль устаревает, надо выполнить эту команду:

> set user admin password-expiration 10

Ну и чтобы вовсе отключить устаревание пароля, надо выполнить следующее:

> clear user admin password-expiration

После этого нужно проверить, что политика отключена:

> get user admin password-expiration 

Wed Dec 23 2020 UTC 16:44:56.671

Password expiration not configured for this user

На днях компания VMware выпустила большое обновление свой платформы для сетевой виртуализации датацентров NSX-T 3.0. Напомним, что это решение предназначено для сетевой виртуализации и агрегации виртуальных сетей датацентров, работающих на базе гибридной среды гипервизоров и контейнеров приложений Kubernetes/Docker. О версии NSX-T 2.5, выпущенной в рамках VMworld 2019, мы писали вот тут.

Давайте посмотрим, что нового в обновленном NSX-T 3:

1. Улучшения работы в облачной среде.

Здесь можно отметить следующие нововведения:

• NSX Federation - с помощью нового компонента NSX Global Manager можно централизованно управлять распределенной виртуальной сетью в нескольких локациях, поддерживая их в синхронизированном виде с точки зрения конфигурации, политик безопасности и операционного управления. При миграции рабочих нагрузок между датацентрами их политики сохраняются и контролируются из единой точки.

• Поддержка AWS GovCloud и Azure Government - эта возможность позволяет обслуживать облака на базе AWS и VMware для госструктур США с соблюдением всей необходимой регуляторики.
• Улучшенная поддержка нескольких клиентов в облаке за счет VRF Lite и Layer 3 BGP EVPN. Средства VRF Lite позволяют упростить управление сетевой средой каждого клиента за счет поддержания для него отдельной таблицы маршрутизации, а Layer 3 EVPN бесшовно соединяет сети телеком-провайдеров с оверлейными сетями.
• Dynamic Network Service Chaining - службы NSX service insertion теперь поддерживают механизм dynamic service chaining для трафика ВМ, контейнеров и физических серверов.

2. Улучшения безопасности.

Механизм Service-defined Firewall был значительно улучшен и теперь доступны следующие новые возможности:

• NSX Distributed IDS/IPS – это расширенный механизм обнаружения вторжений для трафика east-west в мультиоблачных окружениях на уровне 7 модели OSI. Этот механизм использует знания о природе систем и характере обмена трафиком между ними, что позволяет создавать виртуальные защищенные сетевые зоны без необходимости физической изоляции зон друг от друга.

• Улучшения L7 Edge Firewall – сетевой экран Layer 7 Edge Firewall приобрел функции анализа URL в рамках механизма URL Classification and Reputation.
• DFW для Windows 2016 – теперь распределенный фаервол (DFW), помимо поддержки Linux, поддерживает и физические серверы Windows 2016. 
• Правила на базе времени и мастер настройки микросегментации - теперь правила фаервола можно привязать ко временным окнам, определенным администратором. Также новый мастер настройки упрощает конфигурацию микросегментации на базе сетей VLAN.

3. Сетевое взаимодействие для виртуальных машин и контейнеризованных приложений.

• NSX-T полностью поддерживает инфраструктуру среды контейнеризованных приложений vSphere with Kubernetes. В единой среде контейнеров и виртуальных машин поддерживается маршрутизация, сетевое экранирование, балансировка нагрузки, NAT, IPAM и другие сетевые сервисы.

Вот как это работает в деталях:

• Возможность изоляции пространств имен vSphere Namespaces - теперь в NSX-T есть логика для автоматической реализации логических сегментов с маршрутизацией и сетевым экраном, а также сервисами IPAM для изоляции пространств имен в кластере vSphere Supervisor Cluster. Все рабочие нагрузки, созданные в пространстве имен, автоматически наследуют политики безопасности этого неймспейса.
• Интеграция с Cluster API в VMware Tanzu Kubernetes Grid Service – решение NSX-T интегрируется с данными службами, позволяя разработчикам развертывать кластеры Tanzu Kubernetes Grid. Там можно создавать логические сегменты, шлюз Tier-1 Gateway, балансировщики нагрузки и прочие вещи, необходимые для этих кластеров.

• Поддержка модулей Terraform Provider и Ansible - теперь поддерживаются расширенные рабочие процессы различных топологий для функций логического сегментирования, шлюза, а также сетевого оверлея и сегментов VLAN.
• Упрощенная интеграция с решением vRealize Network Insight 5.2 - это позволяет организовать end-to-end  видимость сетевых потоков, а также проводить более эффективный траблшутинг из дэшборда vRealize Network Insight. Также улучшены функции обнаружения приложений на платформах VMware.
• Улучшения OpenStack Neutron - плагин Neutron к NSX-T был существенно доработан. Это привело к улучшению механизма управления для нескольких NSX-T endpoints. Также оператор может теперь настраивать дополнительные параметры IPv6 (DHCPv6, IPv6 LB и NAT64).

Полный список нововведений VMware NSX-T 3.0 приведен в Release Notes. Скачать это решение по этой ссылке.

Компания VMware выпустила очередной постер (напомним, что все постеры можно найти у нас тут), посвященный продукту vRealize Network Insight (vRNI). Этот постер посвящен функциям поиска vRNI, которые позволяют находить нужные сущности и объекты в инфраструктуре NSX-T. В нем приведены примеры наиболее часто используемых поисковых запросов и шаблонов:

По своей сути поисковый движок vRNI имеет массу функций для нахождения вещей самой разной природы. Это очень важный механизм, который может помочь в поиске проблем на различных уровнях виртуального датацентра.

Также интересно посмотреть и другие постеры, посвященные решению VMware vRNI и его функциям поиска:

• NSX for vSphere Search Poster
• Network Flow Search Poster
• Virtual Machine Search Poster

Да, все еще продолжаем рассказывать об анонсах конференции VMworld 2019. Одним из главных обновлений в части сетевой инфраструктуры стал выпуск платформы VMware NSX-T 2.5. Новые возможности продукта сосредоточены в следующих сферах:

Напомним, что это решение предназначено для сетевой виртуализации и агрегации виртуальных сетей датацентров, работающих на базе гибридной среды гипервизоров и контейнеров приложений Kubernetes/Docker. В марте этого года мы писали о версии VMware NSX-T 2.4.

Давайте посмотрим, что нового появилось в апдейте продукта NSX-T 2.5:

1. Новый движок NSX Intelligence.

NSX Intelligence - это распределенный аналитический движок, который помогает администраторам более гранулярно контролировать аспекты сетевой защиты на всех уровнях датацентра, упростить проверку инфраструктуры с точки зрения комплаенса и ускорить выполнение процедур обеспечения безопасности.

Фишка этого движка в децентрализованности, NSX посылает команды на сразу на несколько серверов ESXi на уровень гипервизора для сбора и обработки метаданных, после чего они уже передаются на модуль NSX для визуализации и генерации отчетов.

Результатом такой аналитики является визуализация топологии приложений, рекомендации по применению политик безопасности, непрерывный мониторинг любого потока в датацентре и аудит исполнения политик безопасности. Все это доступно в рамках единой консоли NSX:

2. Улучшения механизма работы в гибридной среде (Hybrid Cloud Networking).

Онпремизный продукт NSX Data Center интегрируется с решением NSX Cloud, что позволяет создать единую среду применения политик безопасности, вне зависимости от того, где находится в данный момент виртуальная машина с приложением - в собственном датацентре или в облаке.

В версии NSX-T 2.5 появился новый режим развертывания и функционирования - Native Cloud Enforced. Он позволяет обеспечить соблюдение унифицированных политик в гибридной среде без необходимости установки агентов (NSX tools) в виртуальных машинах, а значит не создает дополнительную нагрузку на них. Эти политики через API транслируются в инфраструктуру сервис-провайдера, где они уже применяются к виртуальным машинам и приложениям средствами облачного ПО.

Этот режим реализуется в дополнение к режиму NSX Enforced, который требует установки агентов и более гранулярно следит за политиками безопасности. Каждый из режимов имеет свои преимущества и недостатки. Вот как выглядит режим Native Cloud Enforced для решения NSX Cloud on Azure:

3. Улучшения комплаенса и безопасности.

В этой категории появилось несколько важных нововведений:

• Соответствие регуляции FIPS 140-2 (не актуально для России).
• Поддержка L4-L7 функций распределенного фаервола (DFW), механизма Identity/User ID firewalling и белых списков FQDN/URL.
• Правила Layer 7 на базе application ID в сетевом экране шлюза NSX Edge для трафика north-south.
• Поддержка Layer 7 сетевой фильтрации на базе application ID в DFW для гипервизоров KVM.
• VPN на уровне каждого клиента у сервис-провайдеров. Ранее IPsec-соединение поддерживалось только в шлюзах Tier 0, теперь же в целях большей изоляции VPN выделен на уровне клиента и изолируется внутри облака.
• NSX-T поддерживает откидывание копий пакетов на сервисную ВМ (Service Virtual Machine, SVM), такую как Gigamon или NETSCOUT для анализа, мониторинга и сбора статистики. Это позволяет не организовывать дополнительный канал прохождения трафика через эти сервисы.

4. Улучшенные возможности операционного управления Day-2.

Здесь появилось 2 основных улучшения:

• Возможность создания черновиков конфигураций DFW, к которым можно потом откатиться. Там много интересных функций, таких как возможность откатиться к предыдущей конфигурации, работа с черновиками нескольких пользователей, клонирование конфигураций, таймлайн сохраненных черновиков и т.п.

• Дэшборд Capacity Monitoring. Этот дэшборд показывает текущее использование объектов (таких как логические коммутаторы, логические роутеры TO/T1, экземпляры DHCP-серверов, правила NAT) по отношению к доступным максимумам конфигурации.

Скачать решение VMware NSX-T 2.5 можно по этой ссылке. Документация доступна тут.