vRO Code Editor Resizer — это лёгкое и полезное расширение для Google Chrome, созданное для разработчиков, работающих с VMware vRealize Orchestrator (vRO) / Aria Orchestrator и VCF Orchestrator. Оно решает распространённую проблему ограниченного пространства в редакторе скриптов, позволяя расширить область кода на весь экран и тем самым повысить удобство и продуктивность при написании и отладке скриптов.

• Максимизация редактора: после установки расширения на странице редактирования vRO появляется кнопка в правом нижнем углу, позволяющая развернуть редактор скриптов на весь экран. Больше пространства для кода означает меньше прокрутки и лучшую видимость, что особенно полезно при работе с длинными скриптами.
• Восстановление исходного размера: кнопка также позволяет вернуть редактор к его первоначальному размеру.
• Простота использования: установка и использование не требуют дополнительных настроек — достаточно установить расширение и начать работу. Разработчики отмечают, что возможность расширить редактор значительно ускоряет процесс написания и отладки кода.

Расширение весит всего около 9 КБ и не собирает пользовательские данные, что делает его безопасным и ненавязчивым инструментом.

Установка и использование

• Перейдите на страницу расширения в Chrome Web Store
• Нажмите кнопку «Установить».
• Откройте vRO или VCF Orchestrator и перейдите в режим редактирования рабочего процесса.
• В правом нижнем углу редактора появится синяя кнопка «Maximize Editor». Нажмите её, чтобы развернуть редактор на весь экран.

Разбор сложного HTML — это, безусловно, непростая задача, даже с PowerShell. Вильям Лам недавно пытался использовать бесплатную версию ChatGPT и новую модель 4o, чтобы сделать функцию на PowerShell для парсинга HTML, но он постоянно сталкивался с системными ограничениями, а AI часто неправильно понимал, чего от него хотят.

По запросу одного из пользователей он пытался расширить свою статью в блоге за 2017 год об автоматизации глобальных прав vSphere и добавить поддержку их вывода через PowerCLI.

Оказалось, что получить список всех текущих глобальных прав окружения VMware vSphere через приватный API vSphere Global Permissions с помощью vSphere MOB крайне трудно из-за сложного HTML, который рендерит этот интерфейс. На самом деле, Вильяму понадобилось 25 итераций, прежде чем он нашёл рабочее решение с помощью модели ChatGPT 4o. В нескольких попытках прогресс даже откатывался назад — и это было довольно раздражающе.

В итоге, теперь есть файл GlobalPermissions.ps1, который содержит новую функцию Get-GlobalPermission. Эта функция извлекает все глобальные права vSphere, включая имя субъекта (principal), назначенную роль vSphere и то, где именно эта роль определена (глобальное право или право в рамках inventory сервера vCenter).

Ниже приведён пример использования новой функции — перед этим потребуется выполнить Connect-VIServer, чтобы можно было сопоставить ID роли vSphere, полученный из функции, с её реальным именем, которое возвращается встроенным командлетом PowerCLI.

$vc_server = "vc03.williamlam.local"
$vc_username = "*protected email*"
$vc_password = "VMware1!"

$server = Connect-VIServer -Server $vc_server -User $vc_username -Password $vc_password

Get-GlobalPermission -vc_server $vc_server -vc_username $vc_username -vc_password $vc_password

Disconnect-viserver $server -confirm:$false

Ниже приведен результат работы этой функции:

Начиная с ноября 2024 года, VMware vSphere Foundation (VVF) начала включать 0,25 ТиБ ёмкости vSAN на одно ядро для всех новых лицензий VVF. С выходом обновления vSphere 8.0 U3e это преимущество распространяется и на существующих клиентов — теперь им также доступна ёмкость vSAN из расчёта 0,25 ТиБ (аналог терабайта) на ядро. Это новое право на использование включает дополнительные преимущества, которые повышают ценность vSAN в составе VVF.

Вот как это работает:

Ёмкость vSAN агрегируется по всей инфраструктуре, что позволяет перераспределять неиспользованные ресурсы с кластеров, содержащих только вычислительные узлы, на кластеры с включённым vSAN. Это помогает оптимизировать использование ресурсов в рамках всей инфраструктуры.

Новые преимущества для текущих клиентов:

• Больше никаких ограничений пробной версии: включённые 0,25 ТиБ на ядро теперь полностью предоставлены по лицензии, а не в рамках пробного периода.
• Агрегация ёмкости: объединяйте хранилище между кластерами и используйте его там, где это нужнее всего.
• Упрощённое масштабирование: если требуется больше хранилища, чем предусмотрено по включённой норме — достаточно просто докупить нужный объём сверх этой квоты.

Почему это важно

Благодаря этому обновлению VMware vSphere Foundation становится ещё более привлекательным решением для организаций, стремящихся модернизировать и унифицировать свою ИТ-инфраструктуру. Поддерживая как виртуальные машины, так и контейнеры, vSAN добавляет возможности гиперконвергентной инфраструктуры (HCI) корпоративного уровня. Интеграция вычислений, хранения и управления в единую платформу упрощает операционные процессы, снижает сложность и обеспечивает комплексное решение с встроенной безопасностью и масштабируемостью.

Дополнительная ёмкость vSAN в составе VMware vSphere Foundation значительно повышает ценность платформы — будь то оптимизация частного облака, повышение гибкости разработки или упрощение ИТ-операций. Это даёт больше контроля и гибкости над инфраструктурой, снижая совокупную стоимость владения и минимизируя операционные издержки.

Чтобы начать пользоваться бесплатной лицензией VMware vSAN загрузите патч vSphere 8.0 Update 3e по этой ссылке.

Генеративный искусственный интеллект (Gen AI) стремительно трансформирует способы создания контента, коммуникации и решения задач в различных отраслях. Инструменты Gen AI расширяют границы возможного для машинного интеллекта. По мере того как организации внедряют модели Gen AI для задач генерации текста, синтеза изображений и анализа данных, на первый план выходят такие факторы, как производительность, масштабируемость и эффективность использования ресурсов. Выбор подходящей инфраструктуры — виртуализированной или «голого железа» (bare metal) — может существенно повлиять на эффективность выполнения AI-нагрузок в масштабах предприятия. Ниже рассматривается сравнение производительности виртуализованных и bare-metal сред для Gen AI-нагрузок.

Broadcom предоставляет возможность использовать виртуализованные графические процессоры NVIDIA на платформе частного облака VMware Cloud Foundation (VCF), упрощая управление AI-accelerated датацентрами и обеспечивая эффективную разработку и выполнение приложений для ресурсоёмких задач AI и машинного обучения. Программное обеспечение VMware от Broadcom поддерживает оборудование от разных производителей, обеспечивая гибкость, возможность выбора и масштабируемость при развертывании.

Broadcom и NVIDIA совместно разработали платформу Gen AI — VMware Private AI Foundation with NVIDIA. Эта платформа позволяет дата-сайентистам и другим специалистам тонко настраивать LLM-модели, внедрять рабочие процессы RAG и выполнять инференс-нагрузки в собственных дата-центрах, решая при этом задачи, связанные с конфиденциальностью, выбором, стоимостью, производительностью и соответствием нормативным требованиям. Построенная на базе ведущей частной облачной платформы VCF, платформа включает компоненты NVIDIA AI Enterprise, NVIDIA NIM (входит в состав NVIDIA AI Enterprise), NVIDIA LLM, а также доступ к открытым моделям сообщества (например, Hugging Face). VMware Cloud Foundation — это полнофункциональное частное облачное решение от VMware, предлагающее безопасную, масштабируемую и комплексную платформу для создания и запуска Gen AI-нагрузок, обеспечивая гибкость и адаптивность бизнеса.

Тестирование AI/ML нагрузок в виртуальной среде

Broadcom в сотрудничестве с NVIDIA, Supermicro и Dell продемонстрировала преимущества виртуализации (например, интеллектуальное распределение и совместное использование AI-инфраструктуры), добившись впечатляющих результатов в бенчмарке MLPerf Inference v5.0. VCF показала производительность близкую к bare metal в различных областях AI — компьютерное зрение, медицинская визуализация и обработка естественного языка — на модели GPT-J с 6 миллиардами параметров. Также были достигнуты отличные результаты с крупной языковой моделью Mixtral-8x7B с 56 миллиардами параметров.

На последнем рисунке в статье показано, что нормализованная производительность в виртуальной среде почти не уступает bare metal — от 95% до 100% при использовании VMware vSphere 8.0 U3 с виртуализованными GPU NVIDIA. Виртуализация снижает совокупную стоимость владения (TCO) AI/ML-инфраструктурой за счёт возможности совместного использования дорогостоящих аппаратных ресурсов между несколькими клиентами практически без потери производительности. См. официальные результаты MLCommons Inference 5.0 для прямого сравнения запросов в секунду или токенов в секунду.

Производительность виртуализации близка к bare metal — от 95% до 100% на VMware vSphere 8.0 U3 с виртуализированными GPU NVIDIA.

Аппаратное и программное обеспечение

В Broadcom запускали рабочие нагрузки MLPerf Inference v5.0 в виртуализованной среде на базе VMware vSphere 8.0 U3 на двух системах:

• SuperMicro SuperServer SYS-821GE-TNRT с 8 виртуализированными NVIDIA SXM H100 80GB GPU
• Dell PowerEdge XE9680 с 8 виртуализированными NVIDIA SXM H100 80GB GPU

Для виртуальных машин, использованных в тестах, было выделено лишь часть ресурсов bare metal.

В таблицах 1 и 2 показаны аппаратные конфигурации, использованные для запуска LLM-нагрузок как на bare metal, так и в виртуализованной среде. Во всех случаях физический GPU — основной компонент, определяющий производительность этих нагрузок — был одинаков как в виртуализованной, так и в bare-metal конфигурации, с которой проводилось сравнение.

Бенчмарки были оптимизированы с использованием NVIDIA TensorRT-LLM, который включает компилятор глубокого обучения TensorRT, оптимизированные ядра, шаги пред- и постобработки, а также средства коммуникации между несколькими GPU и узлами — всё для достижения максимальной производительности в виртуализованной среде с GPU NVIDIA.

Конфигурация оборудования SuperMicro GPU SuperServer SYS-821GE-TNRT:

Конфигурация оборудования Dell PowerEdge XE9680:

Бенчмарки

Каждый бенчмарк определяется набором данных и целевым показателем качества. В следующей таблице приведено краткое описание бенчмарков в этой версии набора:

В сценарии Offline генератор нагрузки (LoadGen) отправляет все запросы в тестируемую систему в начале запуска. В сценарии Server LoadGen отправляет новые запросы в систему в соответствии с распределением Пуассона. Это показано в таблице ниже:

Сравнение производительности виртуализованных и bare-metal ML/AI-нагрузок

Рассмотренные SuperMicro SuperServer SYS-821GE-TNRT и сервера Dell PowerEdge XE9680 с хостом vSphere / bare metal оснащены 8 виртуализованными графическими процессорами NVIDIA H100.

На рисунке ниже представлены результаты тестовых сценариев, в которых сравнивается конфигурация bare metal с виртуализованной средой vSphere на SuperMicro GPU SuperServer SYS-821GE-TNRT и Dell PowerEdge XE9680, использующими группу из 8 виртуализованных GPU H100, связанных через NVLink. Производительность bare metal принята за базовую величину (1.0), а виртуализованные результаты приведены в относительном процентном соотношении к этой базе.

По сравнению с bare metal, среда vSphere с виртуализованными GPU NVIDIA (vGPU) демонстрирует производительность, близкую к bare metal, — от 95% до 100% в сценариях Offline и Server бенчмарка MLPerf Inference 5.0.

Обратите внимание, что показатели производительности Mixtral-8x7B были получены на Dell PowerEdge XE9686, а все остальные данные — на SuperMicro GPU SuperServer SYS-821GE-TNRT.

Вывод

В виртуализованных конфигурациях используется всего от 28,5% до 67% CPU-ядер и от 50% до 83% доступной физической памяти при сохранении производительности, близкой к bare metal — и это ключевое преимущество виртуализации. Оставшиеся ресурсы CPU и памяти можно использовать для других рабочих нагрузок на тех же системах, что позволяет сократить расходы на инфраструктуру ML/AI и воспользоваться преимуществами виртуализации vSphere при управлении дата-центрами.

Помимо GPU, виртуализация также позволяет объединять и распределять ресурсы CPU, памяти, сети и ввода/вывода, что значительно снижает совокупную стоимость владения (TCO) — в 3–5 раз.

Результаты тестов показали, что vSphere 8.0.3 с виртуализованными GPU NVIDIA находится в «золотой середине» для AI/ML-нагрузок. vSphere также упрощает управление и быструю обработку рабочих нагрузок с использованием NVIDIA vGPU, гибких соединений NVLink между устройствами и технологий виртуализации vSphere — для графики, обучения и инференса.

Виртуализация снижает TCO AI/ML-инфраструктуры, позволяя совместно использовать дорогостоящее оборудование между несколькими пользователями практически без потери производительности.

Виртуальная тестовая лаборатория — незаменимый инструмент для любого специалиста, который стремится быть в курсе последних возможностей платформ виртуализации. Поэтому VMware рекомендует всем сертифицированным специалистам VMware Cloud Foundation (VCF) или VMware vSphere Foundation (VVF) скачать бесплатную лицензию VMware vSphere Standard для личного использования в виртуальной лаборатории. Это прекрасная возможность углубить свои знания о технологиях VMware в собственной среде без дополнительных затрат.

Что это значит для вас? В сегодняшнем быстро меняющемся мире ИТ особенно важен практический опыт. Вы сможете изучать сложные концепции, тестировать конфигурации и оттачивать навыки устранения неисправностей, не подвергая риску рабочую среду, и уверенно решать реальные задачи. Более того, этот бонус к сертификации позволяет продолжать профессиональное развитие за пределами учебного класса.

Значимость ИТ-сертификатов на современном рынке

В современной реальности облачных технологий и виртуализации, чтобы выделиться, нужно не только иметь опыт, но и обладать признанными отраслевыми сертификатами. Сертификации VMware, такие как VMware Certified Professional – VMware vSphere Foundation Administrator (VCP-VVF Admin), VMware Certified Professional – VMware Cloud Foundation Administrator (VCP-VCF Admin) и VMware Certified Professional – VMware Cloud Foundation Architect (VCP-VCF Architect), являются весомым подтверждением вашей квалификации в области частных облачных решений VMware.

Эти сертификаты подтверждают вашу компетенцию в различных ключевых направлениях — будь то виртуализация, облачная инфраструктура или управление сложными ИТ-средами. Получив сертификат, вы демонстрируете способность эффективно управлять виртуальной инфраструктурой, тем самым выделяясь на конкурентном рынке ИТ-специалистов.

Как начать

Шаг 1: Сдайте один из следующих сертификационных экзаменов VCP, чтобы получить доступ к VMware vSphere Standard Edition на 32 ядра сроком на 1 год:

• VCP-VVF (Administrator)
• VCP-VCF (Administrator / Architect)

Шаг 2: Перейдите на портал лицензирования Broadcom Certification License Portal и войдите в систему, используя адрес электронной почты, указанный вами при сдаче экзамена.

Шаг 3: После входа вы увидите список доступных лицензий на продукты. Изначально будет отображаться статус, что лицензии пока не запрашивались. Чтобы запросить лицензию, просто нажмите на значок «Not Requested» («Не запрошено») в верхнем правом углу каждого продукта.

После нажатия значок изменится на «Pending» («Ожидает обработки»), и ваш запрос будет обработан. На ваш email придёт письмо с подтверждением покупки. После получения этого письма подождите 4–6 часов, прежде чем лицензия станет доступна для скачивания.

Шаг 4: Загрузите лицензионные ключи и образы продуктов. Когда переходный период завершится и вы получите письмо с подтверждением заказа, перейдите на портал. В нижнем правом углу каждого продукта расположены две иконки. Здесь вы найдёте свои лицензионные ключи и область для загрузки. Чтобы получить лицензионные ключи и скачать необходимые продукты, выберите соответствующие пункты.

Прокачайте свою виртуальную лабораторию с лицензией VCF

Ищете полнофункциональные лицензии VCF для личного использования, чтобы развить экспертизу в этой технологии и продвинуться в профессии? Присоединяйтесь к сообществу единомышленников и подумайте о вступлении в программу VMUG Advantage. Став участником, вы можете приобрести и поддерживать членство в VMUG Advantage, сдать экзамен VCP-VCF Administrator или Architect, и получить бесплатные лицензии VCF для личного использования сроком до трёх лет.

Преимущества VMUG Advantage включают:

• Доступ к эксклюзивным мероприятиям
• Технические материалы и живые вебинары
• Специальные скидки на обучение и участие в ивентах

Для действующих участников VMUG Advantage

Пожалуйста, убедитесь, что вы используете один и тот же адрес электронной почты при регистрации на Broadcom и в VMUG Advantage — это необходимо для корректной привязки сертификата к вашему членству.

Важно: Чтобы учётные записи VMUG Advantage и Broadcom Certification были связаны, проверьте, что в обеих используется одинаковый email. Если нужно изменить email в VMUG, напишите на: advantage@vmug.com.

Для обновления email в системе Broadcom — свяжитесь с поддержкой по вашему региону:

• AMER: americas.education@broadcom.com
• EMEA: emea.education@broadcom.com
• APJ: apj.education@broadcom.com

Тесты VMmark демонстрируют масштабируемость процессоров Intel Xeon 6 на платформе VMware vSphere 8.

Intel недавно представила новое поколение серверных процессоров — Intel Xeon 6 с производительными ядрами (Performance-cores), которые отличаются увеличенным числом ядер и более высокой пропускной способностью памяти. Чтобы продемонстрировать производительность и масштабируемость этих процессоров, VMware опубликовала новые результаты тестов VMmark 4, полученных при участии двух ключевых партнёров — Dell Technologies и Hewlett Packard Enterprise. Конфигурация Dell представляет собой пару узлов в режиме «Matched Pair», а результат HPE получен на четырёхузловом кластере VMware vSAN. Оба результата основаны на VMware ESXi 8.0 Update 3e — первой версии, поддерживающей эти процессоры. Новые данные уже доступны на странице результатов VMmark 4.

Сравнение производительности: «Granite Rapids» и «Emerald Rapids»

В качестве примера, иллюстрирующего высокую производительность и масштабируемость, ниже приводится таблица с двумя результатами VMmark 4, позволяющая сравнить процессоры предыдущего поколения “Emerald Rapids” с новыми “Granite Rapids” серии 6700.

Диаграмма ниже показывает увеличение общего количества ядер на 34% между поколениями процессоров:

Что касается производительности по тесту VMmark, результат также увеличивается ровно на 34%:

Основные моменты:

• Количество ядер: на 34% больше ядер у Intel Xeon 6787P по сравнению с процессором предыдущего поколения Intel Xeon Platinum 8592+.
• Результат VMmark: на 34% выше по сравнению с предыдущим поколением.
• Поддерживаемая нагрузка: на 35% больше виртуальных машин с рабочей нагрузкой (89 против 66).

Узнать больше о процессорах Intel Xeon 6 с производительными ядрами (P-Cores) можно здесь.

В последнее время в индустрии виртуализации наблюдалась тревожная тенденция — крупнейшие игроки начали отказываться от бесплатных версий своих гипервизоров. После покупки VMware компанией Broadcom одной из первых резонансных новостей стало прекращение распространения бесплатного гипервизора VMware ESXi (ранее известного как vSphere Hypervisor). Это решение вызвало волну недовольства в сообществе, особенно среди ИТ-специалистов и малых компаний, использующих ESXi в тестовых или домашних лабораториях.

Однако 11 апреля 2025 года ситуация неожиданно изменилась. В официальных Release Notes к обновлению VMware ESXi 8.0 Update 3e появилось упоминание о новой бесплатной редакции гипервизора, которая теперь снова доступна для скачивания и установки.

Что произошло?

• Ранее: Broadcom, завершив поглощение VMware, прекратила предоставление бесплатной версии vSphere Hypervisor. Это вызвало резкую критику и обеспокоенность среди пользователей, привыкших использовать ESXi в учебных, тестовых или малобюджетных инфраструктурах.

• Теперь: В составе релиза ESXi 8.0 Update 3e появилась entry-level редакция гипервизора, которая предоставляется бесплатно, как указано в разделе "What's New" официальной документации Broadcom. Хотя точных технических ограничений этой редакции пока не раскрыто в деталях, уже ясно, что она рассчитана на начальный уровень использования и доступна без подписки.

Почему это важно?

Возвращение бесплатной версии гипервизора от Broadcom означает, что:

• Независимые администраторы и энтузиасты снова могут использовать ESXi в личных или образовательных целях.
• Организации с ограниченным бюджетом могут рассматривать VMware как вариант для пилотных проектов.
• Broadcom, вероятно, отреагировала на давление сообщества и рынка.

Новые возможности VMware 8.0 Update 3e:

Начиная с версии ESXi 8.0 Update 3e, USB-драйвер ESXi поддерживает протокол CDC-NCM для обеспечения совместимости с виртуальным сетевым адаптером HPE Gen12 iLO (iLO Virtual NIC) и взаимодействия с такими инструментами, как HPE Agentless Management (AMS), Integrated Smart Update Tools (iSUT), iLORest (инструмент настройки), Intelligent Provisioning, а также DPU.

• Intel vRAN Baseband Driver
• Intel Platform Monitoring Technology Driver
• Intel Data Center Graphics Driver
• Драйвер серии AMD Instinct MI

Вывод

Хотя отказ от бесплатной версии ESXi вызвал разочарование и обеспокоенность, возвращение entry-level редакции в составе ESXi 8.0 Update 3e — это шаг в сторону компромисса. Broadcom, похоже, услышала голос сообщества и нашла способ вернуть гипервизор в открытый доступ, пусть и с оговорками. Теперь остаётся дождаться подробностей о лицензировании и технических возможностях этой редакции.

Компания VMware недавно пригласила пользователей подать заявку на участие в бета-программе VMware vSphere Foundation 9.0. Это шанс опробовать новые функции и возможности версии vSphere и ESXi 9.0 до их официального релиза, а также повлиять на развитие продукта, предоставив обратную связь. Если вы будете выбраны в число участников, вы окажетесь в авангарде новейших технологий VMware.

Зачем участвовать в бета-программе VMware vSphere Foundation 9.0?

• Ранний доступ: тестируйте и оценивайте новые функции и улучшения до их выхода в общий доступ.
• Прямая обратная связь: повлияйте на продукт, делясь своими мыслями о функциональности, удобстве и производительности.
• Формирование будущих возможностей: участвуйте в разработке будущих функций, учебных материалов, документации и многого другого.
• Сотрудничество с коллегами: общайтесь с другими техническими специалистами в закрытом онлайн-пространстве.

Как подать заявку

1. Ознакомьтесь с документацией бета-версии VMware vSphere Foundation 9.0, чтобы узнать об основных функциях и известных проблемах.

2. Отправьте запрос на участие в бета-программе по этой ссылке. Подтверждённые участники получат уведомление по электронной почте.

   Примечание: Партнёры по технологическому альянсу получают доступ к бета-версии vSphere Foundation 9.0 в рамках членства в программе Technology Alliance Program (TAP).

   

3. Если вас одобрят как участника, скачайте предварительную версию ПО и начните знакомство с новыми возможностями.

4. Следуйте рекомендуемым сценариям использования и заполняйте опросы по функциям, чтобы помочь нам в улучшении продукта.

5. Найдите решения распространённых проблем на портале Beta Communities или при необходимости откройте заявку в службу поддержки.

Важно: VMware может одобрить только заявки, поданные с корпоративных адресов электронной почты. Личные адреса (например, Gmail, Yahoo! и др.) приниматься не будут.

В видеоролике ниже рассматривается то, как включить Virtualization-Based Security (VBS) в гостевых операционных системах Windows, работающих в среде VMware Cloud Foundation и vSphere:

Что такое Virtualization-Based Security (VBS)?

VBS — это технология безопасности от Microsoft, использующая возможности аппаратной виртуализации и изоляции для создания защищённой области памяти. Она используется для защиты критически важных компонентов операционной системы, таких как Credential Guard и Device Guard.

Предварительные требования

Перед тем как включить VBS, необходимо убедиться в выполнении следующих условий:

1. Active Directory Domain Controller
   Необходим для настройки групповой политики. В демонстрации он уже создан, но пока выключен.

2. Загрузка через UEFI (EFI)
   Виртуальная машина должна использовать загрузку через UEFI, а не через BIOS (legacy mode).

3. Secure Boot
   Желательно включить Secure Boot — это обеспечивает дополнительную защиту от вредоносных программ на стадии загрузки.

4. Модуль TPM (Trusted Platform Module)
   Не обязателен, но настоятельно рекомендуется. Большинство руководств по безопасности требуют его наличия.

Настройка VBS в VMware

1. Перейдите к параметрам виртуальной машины в Edit Settings.

2. Убедитесь, что:

   • Используется UEFI и включен Secure Boot.
   • Включена опция "Virtualization-based security" в VM Options.
   • Виртуализация ввода-вывода (IO MMU) и аппаратная виртуализация будут активированы после перезагрузки.

Важно: Если переключаться с legacy BIOS на EFI, ОС может перестать загружаться — будьте осторожны.

Настройка VBS внутри Windows

После включения параметров на уровне гипервизора нужно активировать VBS в самой Windows:

1. Запустите gpedit.msc (Редактор локальной групповой политики).

2. Перейдите по пути:

   Administrative Templates > System > Device Guard 

3. Включите следующие параметры:
   • Turn on Virtualization Based Security – активировать.
   • Secure Boot and DMA Protection – да.
   • Virtualization-based protection of Code Integrity – включить с UEFI Lock.
   • Credential Guard – включить.
   • Secure Launch Configuration – включить.

Примечание: Если вы настраиваете контроллер домена, обратите внимание, что Credential Guard не защищает базу данных AD, но защищает остальную ОС.

4. Перезагрузите виртуальную машину.

Проверка работоспособности VBS

После перезагрузки:

1. Откройте System Information и убедитесь, что:

• Virtualization Based Security включена.
• MA Protection работает.
• redential Guard активен.

2. В Windows Security проверьте:

• Включена ли Memory Integrity.
• Активна ли защита от вмешательства (Tamper Protection).

Заключение

Теперь у вас есть полностью защищённая Windows-гостевая ОС с включённой Virtualization-Based Security, Credential Guard и другими функциями. Это отличный способ повысить уровень безопасности в вашей инфраструктуре VMware.

Для получения дополнительной информации смотрите ссылки под видео.

После слияния с Broadcom, компания VMware завершила перенос своего сообщества пользователей на новую платформу. Теперь все форумы, блоги, группы и база знаний VMware доступны по новому адресу: https://community.broadcom.com/vmware. Портал сохранил ключевые функции, став при этом более интегрированным с экосистемой Broadcom. Ниже расскажем о том, что нового появилось, и как теперь ориентироваться на обновлённом ресурсе.

Главное об обновлённом портале

Новый адрес:
Портал VMware Community теперь расположен в разделе Broadcom Communities — по ссылке: community.broadcom.com/vmware

Объединение ресурсов:
Платформа объединила в себе ресурсы для пользователей решений как от VMware, так и Broadcom, обеспечив единую точку входа для общения, поиска решений и публикации знаний.

Основные разделы портала

На новом сайте доступны следующие ключевые разделы:

• Discussion Forums - форумы по различным продуктам VMware, включая vSphere, NSX, vSAN, Horizon и другие. Пользователи могут задавать вопросы, делиться опытом и получать ответы от коллег и специалистов.
• Knowledge Base & Resources - база знаний содержит статьи, инструкции, FAQ и полезные материалы по решению типовых проблем. Теперь она интегрирована с документацией Broadcom, что облегчает навигацию.
• Blogs & Insights - публикации экспертов, анонсы обновлений, рекомендации по лучшим практикам и кейсы внедрения. Здесь же публикуются технические новости от разработчиков VMware.
• Groups & User Communities - темы по интересам, региональные сообщества, профессиональные группы — всё это позволяет находить единомышленников и обмениваться опытом в более неформальной атмосфере.
• Events & Webinars - афиша онлайн-мероприятий, тренингов, вебинаров и технических сессий. Поддержка календаря мероприятий и возможности подписки на него.

Новые и улучшенные функции

• Унифицированная учётная запись - вход теперь осуществляется через Broadcom ID, который даёт доступ ко всем связанным сервисам Broadcom, включая техподдержку и загрузки.
• Новая система уведомлений: гибкие настройки подписок и уведомлений позволяют получать только актуальные для вас темы.
• Современный интерфейс: адаптивный дизайн, улучшенная навигация, расширенный поиск и фильтры.
• Интеграция с поддержкой Broadcom: возможность сразу переходить от обсуждений к созданию тикетов и проверке статуса обращений.

Переезд VMware Community на платформу Broadcom — логичный шаг после объединения компаний. Новый портал предоставляет привычные возможности в обновлённом и более масштабном окружении. Несмотря на смену адреса и интерфейса, главное — сообщество экспертов и пользователей VMware — осталось на месте и продолжает развиваться.

Присоединяйтесь к новому сообществу по адресу: https://community.broadcom.com/vmware.

В начале 2025 года в индустрии информационной безопасности стали появляться заявления о том, что «эра программ-вымогателей подошла к концу». Такие утверждения подкреплялись новостями о задержаниях ключевых членов известных кибергруппировок и о значительном снижении общих объемов выкупов, выплаченных жертвами. Однако реальная картина куда сложнее. Несмотря на частичный успех правоохранительных органов, говорить о полном искоренении вымогателей пока рано.

Реальные успехи: что удалось сделать

Бесспорно, 2024 и начало 2025 года стали весьма продуктивными в борьбе с киберпреступностью:

• Задержания участников группировки Phobos. В феврале 2025 года Европол сообщил об аресте четырёх предполагаемых участников кибергруппировки Phobos. Эта группировка специализировалась на атаках на малые и средние бизнесы, используя шифровальщики с классическими методами социальной инженерии и RDP-брутфорс.

• Уничтожение 8Base. Одновременно с операцией против Phobos, ФБР и международные партнёры провели успешную операцию по деактивации группы 8Base — относительно молодой, но весьма агрессивной группировки, использовавшей методы двойного вымогательства: шифрование данных плюс угроза их публикации.

• Снижение объёмов выкупов. По данным Chainalysis, в 2024 году совокупная сумма выкупов, выплаченных киберпреступникам, снизилась на треть по сравнению с предыдущим годом. Это объясняется как ростом отказов платить со стороны компаний, так и усилившейся эффективностью мер реагирования.

Почему «победа» — преждевременное заявление

Несмотря на вышеуказанные достижения, эксперты в области кибербезопасности предупреждают: вымогатели никуда не исчезли. Вот ключевые факторы, свидетельствующие о продолжающейся угрозе:

Киберпреступники постоянно модернизируют свои подходы. Один из ярких примеров — активное внедрение искусственного интеллекта в арсенал злоумышленников. AI помогает:

• создавать правдоподобные фишинговые письма;
• автоматизировать выбор целей на основе уязвимостей;
• маскировать вредоносный код от систем обнаружения.

Это делает вымогателей менее заметными и более «эффективными» в смысле проникновения в защищённые сети.

Если раньше основными векторами были RDP и фишинг, то сегодня наблюдается рост атак через:

• Уязвимости в популярных продуктах (например, недавно эксплуатировались дыры в MOVEit, Ivanti и Confluence)
• Сторонние подрядчики и цепочки поставок
• Скомпрометированные обновления программного обеспечения

Таким образом, даже хорошо защищённые компании могут стать жертвами через своих партнёров.

3. Географическая миграция

После давления со стороны западных спецслужб часть группировок сменила географию своей активности. Наблюдается усиление атак на организации в Южной Америке, Азии и Африке, где уровень готовности к киберугрозам часто ниже, чем в США и ЕС.

Тенденции и прогнозы

На основе анализа текущей ситуации можно выделить несколько ключевых трендов:

• Рост Ransomware-as-a-Service (RaaS). Преступные группировки предоставляют шифровальщики и инфраструктуру «в аренду» менее опытным хакерам. Это способствует широкому распространению атак, даже со стороны непрофессиональных злоумышленников.

• Двойное и тройное вымогательство. Помимо шифрования и угроз публикации, злоумышленники стали использовать метод давления на клиентов атакуемых компаний — рассылая им угрозы или раскрывая утечку напрямую.

• Обход систем EDR/XDR. Новые версии вредоносных программ разрабатываются с учётом слабых мест современных средств обнаружения угроз, что требует от ИБ-команд постоянной адаптации.

Что делать специалистам по информационной безопасности?

Чтобы не стать жертвой программ-вымогателей, технические специалисты должны применять многоуровневый подход:

• Отключение неиспользуемых RDP-доступов
• Применение многофакторной аутентификации
• Ограничение доступа по принципу наименьших привилегий (PoLP)

• Регулярный скан уязвимостей (в том числе внутренних)
• Быстрое закрытие критических CVE (особенно в веб-интерфейсах и шлюзах)

• Использование сетевых сегментов
• Ограничение доступа между подразделениями
• Изоляция критичных серверов от общего доступа

• Наличие чётких процедур IRP (incident response plan)
• Регулярные учения с симуляцией атак (tabletop exercises)
• Проверка работоспособности бэкапов и времени восстановления
• Использование immutable (неизменяемых) резервных копий

Вывод

Несмотря на оптимистичные заявления, программа-вымогатели остаются значительной угрозой для организаций всех масштабов. Да, международные операции наносят удары по крупным группировкам. Да, суммы выкупов снижаются. Но сама модель кибервымогательства — децентрализованная, легко копируемая и всё ещё прибыльная — продолжает жить и развиваться.

Техническим специалистам и командам информационной безопасности нельзя терять бдительность. Актуальные знания, автоматизация защиты и постоянное совершенствование практик — ключевые условия выживания в условиях современных киберугроз.

Пару лет назад Дункан Эппинг писал о функции Witness Resilience - это функция повышения устойчивости к сбоям свидетеля (Witness Failure Resilience) в конфигурациях растянутых кластеров vSAN 7.0 Update 3 (stretched clusters). Эта функция направлена на обеспечение доступности виртуальных машин даже при одновременном выходе из строя одного из дата-центров и узла-свидетеля (Witness). Мы ее детально описывали вот тут.

В традиционной конфигурации растянутого кластера данные реплицируются между двумя сайтами, а узел-свидетель размещается в третьей локации для обеспечения кворума. При отказе одного из сайтов кворум сохраняется за счет оставшегося сайта и узла-свидетеля. Однако, если после этого выходит из строя узел-свидетель, оставшийся сайт терял кворум, что приводило к недоступности машин.

С введением функции устойчивости к сбоям свидетеля в vSAN 7.0 Update 3, при отказе одного из сайтов система автоматически перераспределяет голоса (votes) компонентов данных. Компоненты на оставшемся сайте получают дополнительные голоса, а голоса компонентов на узле-свидетеле — уменьшаются. Это означает, что если после отказа сайта выходит из строя и узел-свидетель, оставшийся сайт все еще имеет достаточное количество голосов для поддержания кворума и обеспечения доступности ВМ.

Важно отметить, что процесс перераспределения голосов занимает некоторое время (обычно около 3 минут), в течение которого система адаптируется к новой конфигурации. После восстановления отказавшего сайта и узла-свидетеля система возвращает исходное распределение голосов для нормальной работы.

Таким образом, функция устойчивости к сбоям свидетеля значительно повышает надежность и отказоустойчивость растянутых кластеров, позволяя ВМ оставаться доступными даже при одновременном отказе одного из сайтов и узла-свидетеля.

Недавно Дункан снова поднял тонкий вопрос на эту тему. Он провёл несколько тестов и решил написать продолжение прошлой статьи. В данном случае мы говорим о конфигурации с двумя узлами, но это также применимо и к растянутому кластеру (stretched cluster).

В случае растянутого кластера или конфигурации с двумя узлами, когда сайт с данными выходит из строя (или переводится в режим обслуживания), автоматически выполняется перерасчёт голосов для каждого объекта/компонента. Это необходимо для того, чтобы при последующем выходе из строя Witness объекты/виртуальные машины оставались доступными.

А что если сначала выйдет из строя Witness, а только потом сайт с данными?

Это объяснить довольно просто — в таком случае виртуальные машины станут недоступными. Почему? Потому что в этом сценарии перерасчёт голосов уже не выполняется. Конечно же, он протестировал это, и ниже представлены скриншоты, которые это подтверждают.

На этом скриншоте показано, что Witness отсутствует (Absent), и оба компонента с данными имеют по одному голосу. Это значит, что если один из хостов выйдет из строя, соответствующий компонент станет недоступным. Давайте теперь отключим один из хостов и посмотрим, что покажет интерфейс.

Как видно на скриншоте ниже, виртуальная машина теперь недоступна. Это произошло из-за того, что больше нет кворума — 2 из 3 голосов недействительны:

Это говорит нам о том, что нужно обязательно следить за доступностью хоста Witness, который очень важен для контроля кворума кластера.

Компания VMware в марте обновила технический документ под названием «VMware vSphere 8.0 Virtual Topology - Performance Study» (ранее мы писали об этом тут). В этом исследовании рассматривается влияние использования виртуальной топологии, впервые представленной в vSphere 8.0, на производительность различных рабочих нагрузок. Виртуальная топология (Virtual Topology) упрощает назначение процессорных ресурсов виртуальной машине, предоставляя соответствующую топологию на различных уровнях, включая виртуальные сокеты, виртуальные узлы NUMA (vNUMA) и виртуальные кэши последнего уровня (last-level caches, LLC). Тестирование показало, что использование виртуальной топологии может улучшить производительность некоторых типичных приложений, работающих в виртуальных машинах vSphere 8.0, в то время как в других случаях производительность остается неизменной.

Настройка виртуальной топологии

В vSphere 8.0 при создании новой виртуальной машины с совместимостью ESXi 8.0 и выше функция виртуальной топологии включается по умолчанию. Это означает, что система автоматически настраивает оптимальное количество ядер на сокет для виртуальной машины. Ранее, до версии vSphere 8.0, конфигурация по умолчанию предусматривала одно ядро на сокет, что иногда приводило к неэффективности и требовало ручной настройки для достижения оптимальной производительности.

Влияние на производительность различных рабочих нагрузок

• Базы данных: Тестирование с использованием Oracle Database на Linux и Microsoft SQL Server на Windows Server 2019 показало улучшение производительности при использовании виртуальной топологии. Например, в случае Oracle Database наблюдалось среднее увеличение показателя заказов в минуту (Orders Per Minute, OPM) на 8,9%, достигая максимума в 14%.

• Инфраструктура виртуальных рабочих столов (VDI): При тестировании с использованием инструмента Login VSI не было зафиксировано значительных изменений в задержке, пропускной способности или загрузке процессора при включенной виртуальной топологии. Это связано с тем, что создаваемые Login VSI виртуальные машины имеют небольшие размеры, и виртуальная топология не оказывает значительного влияния на их производительность.

• Тесты хранилищ данных: При использовании бенчмарка Iometer в Windows наблюдалось увеличение использования процессора до 21% при включенной виртуальной топологии, несмотря на незначительное повышение пропускной способности ввода-вывода (IOPS). Анализ показал, что это связано с поведением планировщика задач гостевой операционной системы и распределением прерываний.

• Сетевые тесты: Тестирование с использованием Netperf в Windows показало увеличение сетевой задержки и снижение пропускной способности при включенной виртуальной топологии. Это связано с изменением схемы планирования потоков и прерываний сетевого драйвера, что приближает поведение виртуальной машины к работе на физическом оборудовании с аналогичной конфигурацией.

Рекомендации

В целом, виртуальная топология упрощает настройки виртуальных машин и обеспечивает оптимальную конфигурацию, соответствующую физическому оборудованию. В большинстве случаев это приводит к улучшению или сохранению уровня производительности приложений. Однако для некоторых микробенчмарков или специфических рабочих нагрузок может наблюдаться снижение производительности из-за особенностей гостевой операционной системы или архитектуры приложений. В таких случаях рекомендуется либо использовать предыдущую версию оборудования, либо вручную устанавливать значение «ядер на сокет» равным 1.

Для получения более подробной информации и рекомендаций по настройке виртуальной топологии в VMware vSphere 8.0 рекомендуется ознакомиться с полным текстом технического документа.

В индустрии виртуализации в последние годы наметилась заметная тенденция: крупные вендоры сворачивают бесплатные версии своих гипервизоров. Microsoft прекратила выпуск отдельного бесплатного Hyper-V Server, VMware (после поглощения Broadcom) закрыла свободный доступ к ESXi Free (vSphere Hypervisor), а Red Hat объявила о завершении поддержки платформы Red Hat Virtualization (RHV) к 2026 году. Ниже приводится детальный обзор этих новостей...

Агрессивная стратегия сокращения расходов компании Broadcom сократила штат сотрудников VMware как минимум наполовину, при этом вызвав одобрение аналитиков с Уолл-стрит.

Полупроводниковый гигант Broadcom закрыл одну из крупнейших сделок в технологической отрасли, приобретя поставщика облачного программного обеспечения VMware в конце 2023 года. С момента завершения сделки генеральный директор Broadcom Хок Тан сосредоточился на повышении прибыльности дочерней компании.

В течение последнего года Broadcom проводила сокращения персонала, включая увольнения в отделе продаж VMware в октябе и в команде профессиональных услуг на прошлой неделе, по данным нынешних и бывших сотрудников, а также публикаций в LinkedIn. Кроме того, за последние несколько месяцев Broadcom сократила штат и в других подразделениях или офисах.

Согласно документам для регулирующих органов, в феврале 2023 года штат VMware насчитывал более 38 тысяч сотрудников, однако многие работники и руководители покинули компанию еще до завершения сделки. Дополнительным фактором сокращения численности персонала стала естественная текучесть кадров.

По данным двух источников, к январю текущего года в VMware осталось примерно 16 тысяч сотрудников. За последние несколько месяцев были сокращены сотрудники в отделах маркетинга, партнерств, а также подразделения VMware Cloud Foundation, согласно информации бывших сотрудников и публикациям в LinkedIn.

Помимо этого, Broadcom внедрила в VMware другие изменения, включая требование о возвращении сотрудников в офис. Один бывший сотрудник сообщил, что в случаях, когда недостаточное количество работников регулярно отмечалось в определенных офисах, Broadcom закрывала эти офисы и сокращала сотрудников, которые там работали.

Также Хок Тан сосредоточился на крупнейших клиентах VMware и перевел бизнес-модель компании с продажи бессрочных лицензий на подписную модель. Недавно во время телефонной конференции по финансовым результатам он заявил, что к настоящему времени на новую модель перешли 60% клиентов.

Компания также повысила цены. Клиенты VMware сообщили, что столкнулись со значительным ростом затрат из-за пакетных предложений, когда несколько продуктов объединяются в один комплект, вынуждая клиентов платить за них все сразу.

При этом акции Broadcom выросли примерно на 40% за последний год. В декабре рыночная капитализация Broadcom достигла 1 триллиона долларов. Аналитики в основном положительно оценивают подход Broadcom к интеграции VMware после слияния.

«Фактор VMware продолжает оправдывать себя, что неудивительно, учитывая опыт Хока Тана и его проверенную стратегию многократного успешного повторения сделок по слияниям и поглощениям», — заявил Дэйв Вагнер, управляющий портфелем в Aptus Capital Advisors, накануне публикации впечатляющих квартальных результатов компании.

Аналитики компании William Blair назвали VMware «звездой на рынке программного обеспечения», подчеркнув, что это «возможность для Broadcom добиться устойчивого роста в софте и потенциально снизить негативные последствия усиленной текучести клиентов к 2027 году».

Кроме того, Broadcom продала некоторые бизнес-подразделения, такие как End-User Computing.

Компания Broadcom сообщает, что с 24 марта 2025 года произойдёт важное изменение в процессе загрузки бинарных файлов ПО VMware (включая обновления и исправления) для продуктов VMware Cloud Foundation (VCF), vCenter, ESXi и служб vSAN. Это обновление упростит доступ и приведёт его в соответствие с текущими передовыми практиками отрасли.

Ниже представлена вся необходимая информация о грядущих изменениях и их влиянии на вас.

Что именно изменится?

С 24 марта 2025 года текущий процесс загрузки бинарных файлов будет заменён новым методом. Данное изменение предполагает:

• Централизация на едином ресурсе: бинарные файлы программного обеспечения будут доступны для загрузки с единого сайта, а не с нескольких различных ресурсов, как ранее. Это будет доступно как для онлайн-сред, так и для изолированных («air-gapped») систем.

• Проверка загрузок: загрузка будет авторизована с помощью уникального токена. Новые URL-адреса будут содержать этот токен, подтверждающий, что именно вы являетесь авторизованным пользователем или стороной, осуществляющей загрузку файла.

Примечание: текущие URL-адреса для загрузки будут доступны в течение одного месяца для облегчения переходного периода. С 24 апреля 2025 года текущие URL-адреса перестанут действовать.

Что это значит для вас?

Вам необходимо выполнить следующие действия:

• Получите токен загрузки: войдите на сайт support.broadcom.com, чтобы получить уникальный токен.
• Изучите техническую документацию: ознакомьтесь с KB-статьями, в которых изложены требования и пошаговые инструкции.
• Обновите URL-адреса в продуктах: Broadcom предоставит скрипт, который автоматизирует замену текущих URL-адресов в продуктах ESXi, vCenter и SDDC Manager.
• Обновите скрипты автоматизации (если применимо): Если у вас есть собственные скрипты, обновите URL-адреса согласно рекомендациям из KB-статей.

Где получить дополнительную информацию?

Рекомендуемые материалы для успешного перехода на новую систему:

• Статья KB «VCF Authenticated downloads Configuration Update Instructions» (Инструкции по обновлению конфигурации аутентифицированной загрузки для VCF).
• Статья KB «Authenticated Download Configuration Update Script» (Скрипт обновления конфигурации аутентифицированной загрузки).

В случае возникновения трудностей с выполнением шагов, описанных в этих статьях, обращайтесь в глобальную службу поддержки.

Недавно Broadcom и VMware поделились новостями тесного партнёрства с Microsoft, которые привели к расширению списка сервисов Azure, поддерживаемых на платформе VMware Cloud Foundation (VCF). В ноябре прошлого года добавили поддержку Azure AI Video Indexer на VCF, а на днях было объявлено, что теперь также поддерживается Azure Machine Learning (AML) на платформе VCF.

Благодаря этому, у пользователей появляется ещё больше возможностей использовать подход Private AI для запуска моделей искусственного интеллекта и машинного обучения в непосредственной близости от приватных данных, как локально (on-premises), так и в облаке Azure VMware Solution.

Высокоуровневые компоненты данного решения представлены ниже:

Для получения подробных технических рекомендаций по интеграции Azure Machine Learning (AML) с VMware Cloud Foundation (VCF), пожалуйста, обратитесь к недавно опубликованной архитектуре решения.

Общие клиенты Broadcom и Microsoft признают, что гибридные решения в области искусственного интеллекта, сочетающие преимущества публичного облака и локальной (on-premises) или периферийной (edge) инфраструктуры, являются важнейшей частью их текущих и будущих архитектурных планов. Совместно с Microsoft компания Broadcom упрощает для организаций задачу обеспечения единого входа в Azure для разработчиков и специалистов по данным при планировании сервисов машинного обучения, таких как классификация данных или компьютерное зрение, и при этом дает возможность развертывать их на платформе VCF в любой точке присутствия бизнеса.

Сегодня искусственный интеллект преобразует бизнес во всех отраслях, однако компании сталкиваются с проблемами, связанными со стоимостью, безопасностью данных и масштабируемостью при запуске задач инференса (производительной нагрузки) в публичных облаках. VMware и NVIDIA предлагают альтернативу — платформу VMware Private AI Foundation with NVIDIA, предназначенную для эффективного и безопасного размещения AI-инфраструктуры непосредственно в частном датацентре. В документе "VMware Private AI Foundation with NVIDIA on HGX Servers" подробно рассматривается работа технологии Private AI на серверном оборудовании HGX.

Зачем бизнесу нужна частная инфраструктура AI?

На практике графические ускорители (GPU), размещенные в собственных датацентрах, часто используются неэффективно. Они могут простаивать из-за неправильного распределения или чрезмерного резервирования. Платформа VMware Private AI Foundation решает эту проблему, позволяя динамически распределять ресурсы GPU. Это обеспечивает максимальную загрузку графических процессоров и существенное повышение общей эффективности инфраструктуры.

Современные сценарии работы с AI требуют высокой скорости и гибкости в работе специалистов по данным. Платформа VMware обеспечивает привычный облачный опыт работы, позволяя командам специалистов быстро разворачивать AI-среды, при этом сохраняя полный контроль инфраструктуры у ИТ-команд.

Публичные облака вызывают беспокойство в вопросах приватности, особенно когда AI-модели обрабатывают конфиденциальные данные. Решение VMware Private AI Foundation гарантирует полную конфиденциальность, соответствие нормативным требованиям и контроль доступа к проприетарным моделям и наборам данных.

Внедрение нового программного обеспечения обычно требует значительных усилий на изучение и адаптацию. Платформа VMware использует уже знакомые инструменты администрирования (vSphere, vCenter, NSX и другие), что существенно сокращает время и затраты на внедрение и эксплуатацию.

Основные компоненты платформы VMware Private AI Foundation с NVIDIA

Это интегрированная платформа, объединяющая ключевые продукты VMware:

• vSphere для виртуализации серверов.
• vSAN для виртуализации хранилищ.
• NSX для программного управления сетью.
• Aria Suite (бывшая платформа vRealize) для мониторинга и автоматизации управления инфраструктурой.

NVIDIA AI Enterprise является важным элементом платформы и включает:

• Технологию виртуализации GPU (NVIDIA vGPU C-Series) для совместного использования GPU несколькими виртуальными машинами.
• NIM (NVIDIA Infrastructure Manager) для простого управления инфраструктурой GPU.
• NeMo Retriever и AI Blueprints для быстрого развёртывания и масштабирования моделей AI и генеративного AI.

Серверы HGX специально разработаны NVIDIA для интенсивных задач AI и инференса. Каждый сервер оснащён 8 ускорителями NVIDIA H100 или H200, которые взаимосвязаны через высокоскоростные интерфейсы NVSwitch и NVLink, обеспечивающие высокую пропускную способность и минимальные задержки.

Сетевое взаимодействие в кластере обеспечивается Ethernet-коммутаторами NVIDIA Spectrum-X, которые предлагают скорость передачи данных до 100 GbE, обеспечивая необходимую производительность для требовательных к данным задач AI.

Референсная архитектура для задач инференса

Референсная архитектура предлагает точные рекомендации по конфигурации аппаратного и программного обеспечения:

• Серверы инференса: от 4 до 16 серверов NVIDIA HGX с GPU H100/H200.
• Сетевая инфраструктура: 100 GbE для рабочих нагрузок инференса, 25 GbE для управления и хранения данных.
• Управляющие серверы: 4 узла, совместимые с VMware vSAN, для запуска сервисов VMware.

• Домен управления: vCenter, SDDC Manager, NSX, Aria Suite для управления облачной инфраструктурой.
• Домен рабочих нагрузок: виртуальные машины с GPU и Supervisor Clusters для запуска Kubernetes-кластеров и виртуальных машин с глубоким обучением (DLVM).
• Векторные базы данных: PostgreSQL с расширением pgVector для поддержки Retrieval-Augmented Generation (RAG) в генеративном AI.

Производительность и валидация

VMware и NVIDIA протестировали платформу с помощью набора тестов GenAI-Perf, сравнив производительность виртуализированных и bare-metal сред. Решение VMware Private AI Foundation продемонстрировало высокую пропускную способность и низкую задержку, соответствующие или превосходящие показатели не виртуализированных решений.

Почему компании выбирают VMware Private AI Foundation с NVIDIA?

• Эффективное использование GPU: максимизация загрузки GPU, что экономит ресурсы.
• Высокий уровень безопасности и защиты данных: конфиденциальность данных и контроль над AI-моделями.
• Операционная эффективность: использование привычных инструментов VMware сокращает затраты на внедрение и управление.
• Масштабируемость и перспективность: возможность роста и адаптации к новым задачам в области AI.

Итоговые выводы

Платформа VMware Private AI Foundation с NVIDIA является комплексным решением для компаний, стремящихся эффективно и безопасно реализовывать задачи искусственного интеллекта в частных дата-центрах. Она обеспечивает высокую производительность, гибкость и конфиденциальность данных, являясь оптимальным решением для организаций, которым критично важно сохранять контроль над AI-инфраструктурой, не жертвуя при этом удобством и масштабируемостью.

Дункану Эппингу задали вопрос, основанный на материале, который он написал несколько лет назад для углублённого разбора механизма кластеризации VMware vSphere («Clustering Deepdive»).

В этой статье описывается последовательность действий, которые HA выполняет при возникновении отказа. Например, при выходе из строя вторичного (slave/secondary) узла последовательность выглядит так:

• T – сбой вторичного узла.
• T+3 сек – основной узел начинает мониторинг heartbeat-хранилищ в течение следующих 15 секунд.
• T+10 сек – узел помечается как недоступный, и основной узел начинает пинговать управляющую сеть (management network) отказавшего узла. Пинг непрерывно продолжается в течение 5 секунд.
• T+15 сек – если heartbeat-хранилища не настроены, узел объявляется «мёртвым».
• T+18 сек – если heartbeat-хранилища настроены, узел объявляется «мёртвым».

Таким образом, в зависимости от того, есть ли настроенные heartbeat-хранилища, процедура занимает либо 15, либо 18 секунд. Значит ли это, что виртуальные машины сразу же перезапускаются, и если да, то сколько это займёт времени? На самом деле нет, они не перезапускаются моментально, потому что по завершении этой последовательности отказавший вторичный узел только объявляется недоступным. Затем необходимо проверить статус виртуальных машин, которые могли быть затронуты отказом, составить список ВМ для перезапуска и определить их размещение.

Запрос на размещение отправляется либо в DRS, либо обрабатывается самим HA, в зависимости от того, включён ли DRS и доступен ли сервер vCenter. После определения размещения основной (master) узел отправит на хосты команду перезапустить указанные виртуальные машины. После получения списка ВМ хосты начинают их перезапускать партиями по 32 штуки, при этом применяется установленный приоритет и порядок перезапуска. Этот процесс легко может занять 10–15 секунд (и даже больше), что означает, что в идеальных условиях перезапуск ВМ начнётся примерно через 30 секунд после сбоя. Но это лишь момент запуска виртуальной машины — сама ВМ и размещённые на ней сервисы, конечно же, не будут доступны через эти 30 секунд. Процесс включения машины может занять от нескольких секунд до нескольких минут, в зависимости от размера ВМ, гостевой ОС и сервисов, которые должны быть запущены.

Таким образом, хотя для определения и объявления отказа vSphere HA требуется всего 15–18 секунд, на самом деле процесс гораздо более сложный.

За последние 12 месяцев, с момента завершения приобретения VMware компанией Broadcom, сотрудники этих компаний провели многочисленные встречи с партнёрами — от индивидуальных консультаций до очных заседаний региональных консультативных советов и виртуальных мероприятий, чтобы понять, что именно им необходимо для увеличения выручки, повышения прибыльности и, что самое важное, улучшения обслуживания общих клиентов. На основе этих обсуждений в Broadcom обновили партнёрскую программу Broadcom Advantage и недавно представили новую систему на основе баллов, которая обеспечивает явные преимущества как для партнёров, так и для клиентов.

Обратная связь от партнёров легла в основу новой программы на основе баллов

Новая партнёрская программа на основе баллов поощряет и признаёт заслуги партнёров, основываясь на ключевых атрибутах, таких как объём заказов, обучение и развитие компетенций в области услуг. Она также выравнивает конкурентные условия: партнёры, инвестирующие в эти направления, продвигаются в программе независимо от размера компании. Основные элементы программы включают:

• 70% баллов начисляется за заказы, оценивая финансовый вклад.
• 30% баллов начисляется за технические знания, сертификации и возможности оказания услуг, такие как:
  • предпродажная поддержка и наличие сертифицированных технических специалистов VMware (Broadcom Knights со специализацией VMware Cloud Foundation);
  • послепродажное внедрение, сопровождение и поддержка клиентов;
  • участие в программе Expert Advantage, предоставление профессиональных или образовательных услуг и участие в других важных партнёрских инициативах.

Пересмотренная структура программы гарантирует, что партнёры, нацеленные на совершенство через услуги, сертификации или стратегические инвестиции, будут соответствующим образом вознаграждены.

Улучшения, ориентированные на партнёров

Следующие улучшения программы обеспечивают партнёрам необходимые инструменты, защиту и возможности для процветания в меняющихся условиях рынка ИТ:

Программа Achievers

Она представляет собой гибридную модель, сочетающую предварительные скидки с дополнительной прибылью после завершения сделок. Это позволяет партнёрам сохранять маржинальность, продолжая инвестировать в технические и сервисные возможности для долгосрочного успеха.

Ключевые особенности программы Achievers:

• Возвращает ретроспективные выплаты (рибэйты) через дистрибьюторов, улучшая финансовую стабильность партнёров.
• Включает компонент начисления вознаграждений за активности (Activities-Based Claim, ABC), стимулирующий постоянные инвестиции в решения VMware.
• Вводит уровневую дифференциацию, предлагая более высокие выплаты в зависимости от уровня партнёра в рамках программы Advantage Partner Program.

Регистрация сделок на основе ценности

Broadcom высоко ценит экспертизу и усилия, которые партнёры вкладывают в работу с клиентами. Мы отдаём приоритет партнёрам, которые инвестируют в предпродажную работу, техническое развитие, послепродажные услуги и успех клиентов. Такой подход обеспечивает:

• Более надёжную защиту сделок для партнёров, активно развивающих клиентские проекты.
• Более выраженную дифференциацию партнёров, предоставляющих дополнительную ценность помимо перепродажи.
• Повышенную маржинальность и конкурентные преимущества для партнёров, демонстрирующих высокую экспертизу.

Новая защита при продлении договоров

Продления являются критически важными для сохранения клиентов и прибыльности партнёров. Политика защиты теперь строго применяется к реальным продлениям, которые определяются как сделки с тем же продуктом, сроком действия и количеством ядер. Новые ёмкости (дополнительные ядра), новые сделки и миграции теперь подпадают под регистрацию сделок, а не под защиту существующих условий.

Новая модель защиты продлений гарантирует приоритет партнёрам, которые управляют текущими отношениями с VMware, сохраняя их долгосрочные инвестиции в успех клиентов. Эта модель обеспечивает партнёрам:

• Защиту цен для партнёров, активно взаимодействующих с клиентами.
• Упрощённый процесс продления, повышающий операционную эффективность.
• Более значимые стимулы для расширения возможностей продлений через дополнительные мощности и сопутствующие решения, которые теперь можно регистрировать одновременно с продлением.

Практические инструменты и аналитика для роста партнёров

Broadcom инвестирует в системы и инструменты, предоставляя партнёрам подробную аналитику для развития бизнеса и роста. Эти улучшения обеспечивают:

• Аналитику для мониторинга эффективности, сделок, уровня участия и прогресса в программе.
• Улучшенную видимость предстоящих продлений, что позволяет вести упреждающую работу с клиентами.
• Панели управления активацией клиентов, помогающие партнёрам оптимизировать возможности для роста, продажи дополнительных мощностей или продвижения услуг по внедрению.

Более подробно о нововведениях партнерской программы Broadcom можно почитать здесь.

В современной динамично развивающейся сфере информационных технологий автоматизация уже не роскошь, а необходимость. Команды, отвечающие за безопасность, сталкиваются с растущей сложностью управления политиками сетевой безопасности, что требует эффективных и автоматизированных решений. Межсетевой экран vDefend, интегрированный с VMware NSX, предлагает мощные возможности автоматизации с использованием различных инструментов и языков сценариев. Выпущенное недавно руководство "Beginners Guide to Automation with vDefend Firewall" рассматривает стратегии автоматизации, доступные в vDefend, которые помогают ИТ-специалистам упростить рабочие процессы и повысить эффективность обеспечения безопасности.

Понимание операций CRUD в сетевой автоматизации

Операции CRUD (Create, Read, Update, Delete) являются основой рабочих процессов автоматизации. vDefend позволяет выполнять эти операции через RESTful API-методы:

• GET — получение информации о ресурсе.
• POST — создание нового ресурса.
• PUT/PATCH — обновление существующих ресурсов.
• DELETE — удаление ресурса.

Используя эти методы REST API, ИТ-команды могут автоматизировать политики межсетевого экрана, создавать группы безопасности и настраивать сетевые параметры без ручного вмешательства.

Стратегии автоматизации для межсетевого экрана vDefend

С vDefend можно использовать несколько инструментов автоматизации, каждый из которых предлагает уникальные преимущества:

1. Вызовы REST API через NSX Policy API - API политики NSX Manager позволяют напрямую выполнять действия CRUD с сетевыми ресурсами. Разработчики могут использовать языки программирования, такие как Python, GoLang и JavaScript, для написания сценариев взаимодействия с NSX Manager, обеспечивая бесшовную автоматизацию задач безопасности.

2. Terraform и OpenTofu - эти инструменты «инфраструктура-как-код» (IaC) помогают стандартизировать развертывание сетей и политик безопасности. Используя декларативные манифесты, организации могут определять балансировщики нагрузки, правила межсетевого экрана и политики безопасности, которые могут контролироваться версионно и развертываться через CI/CD-конвейеры.

3. Ansible - этот инструмент часто применяется для развертывания основных компонентов NSX, включая NSX Manager, Edge и транспортные узлы. ИТ-команды могут интегрировать Ansible с Terraform для полной автоматизации конфигурации сети.

4. PowerCLI — это модуль PowerShell для VMware, который позволяет администраторам эффективно автоматизировать конфигурации межсетевых экранов и политик сетевой безопасности.

5. Aria Automation Suite - платформа Aria обеспечивает оркестрацию задач сетевой безопасности корпоративного уровня. Она включает:

• Aria Assembler — разработка и развертывание облачных шаблонов для настройки безопасности.
• Aria Orchestrator — автоматизация сложных рабочих процессов для управления безопасностью NSX.
• Aria Service Broker — портал самообслуживания для автоматизации сетевых и защитных операций.

Ключевые основы работы с API

Для эффективного использования возможностей автоматизации vDefend важно понимать архитектуру его API:

• Иерархическая структура API: API NSX построен по древовидной структуре с ресурсами в отношениях родитель-потомок.
• Пагинация с курсорами: большие наборы данных разбиваются на страницы с использованием курсоров для повышения эффективности запросов.
• Порядковые номера: правила межсетевого экрана выполняются сверху вниз, приоритет отдается правилам с меньшими порядковыми номерами.
• Методы аутентификации: вызовы API требуют аутентификации через базовую авторизацию, сеансовые токены или ключи API.

Пример полномасштабной автоматизации

Реальный сценарий автоматизации с использованием vDefend включает:

• Сбор информации о виртуальных машинах — идентификацию ВМ и получение тегов безопасности.
• Присвоение тегов ВМ — назначение меток для категоризации ресурсов.
• Создание групп — динамическое формирование групп безопасности на основе тегов ВМ.
• Определение пользовательских служб — создание пользовательских сервисов межсетевого экрана с конкретными требованиями к портам.
• Создание политик и правил межсетевого экрана — автоматизация развертывания политик для применения мер безопасности.

Например, автоматизированное правило межсетевого экрана для разрешения HTTPS-трафика от группы веб-серверов к группе приложений будет выглядеть следующим образом в формате JSON:

{
  "action": "ALLOW",
  "source_groups": ["/infra/domains/default/groups/WebGroup"],
  "destination_groups": ["/infra/domains/default/groups/AppGroup"],
  "services": ["/infra/services/HTTPS"],
  "scope": ["/infra/domains/default/groups/WebGroup"]
}

В данной статье описывается, как развернуть дома полноценную лабораторию VMware Cloud Foundation (VCF) на одном физическом компьютере. Мы рассмотрим выбор оптимального оборудования, поэтапную установку всех компонентов VCF (включая ESXi, vCenter, NSX, vSAN и SDDC Manager), разберем архитектуру и взаимодействие компонентов, поделимся лучшими практиками...

С момента объявления о том, что VMware Fusion и VMware Workstation стали доступными бесплатно с 11 ноября 2024 года, команда инженеров VMware получила положительный отклик от пользователей в коммерческом, образовательном и личном секторах. Благодаря этому изменению пользователи теперь могут бесплатно использовать эти инструменты виртуализации для настольных платформ.

Положительный отклик клиентов и обратная связь

После перехода на бесплатную модель были получены ценные отзывы от пользователей, которые воспользовались возможностью свободно применять VMware Fusion и Workstation. Многие клиенты поделились, как эти инструменты соответствуют их потребностям и помогают в их проектах. Доступность этих продуктов помогла упростить рабочие процессы и повысить продуктивность.

Однако надо напомнить, что пользователи бесплатных версий VMware Fusion и VMware Workstation НЕ ИМЕЮТ ПРАВА НА ПОДДЕРЖКУ ЧЕРЕЗ ГЛОБАЛЬНУЮ СЛУЖБУ ПОДДЕРЖКИ. Компания Broadcom призывает всех пользователей продолжать предоставлять обратную связь, публикуя свои вопросы, замечания и проблемы на различных порталах сообщества (Fusion и Workstation), которые лучше всего подходят для получения ответов на такие вопросы.

Улучшение поддержки с помощью доступных ресурсов

VMware еще раз приводит список ресурсов, которые в настоящее время доступны пользователям VMware Fusion и Workstation. Эти ресурсы разработаны для решения распространенных вопросов, предоставления руководств по устранению неполадок и помощи в освоении функций данных продуктов.

Вот что сейчас доступно:

• Обновленные рекомендации по запросам в службу поддержки: VMware создала новую статью в базе знаний, в которой освещены наиболее распространенные вопросы и проблемы, с которыми сталкиваются пользователи при начальном освоении VMware Desktop Hypervisor. В статье представлено краткое описание этих проблем и их решений. Ознакомиться с материалом можно здесь.
• Пошаговое руководство по установке: VMware подготовила подробное руководство по загрузке и установке VMware Desktop Hypervisor. Оно включает полезные ссылки и скриншоты всего процесса, чтобы вы могли быстро начать работу. Доступ к руководству можно получить здесь.
• Обновленные ссылки для загрузки и руководство по установке: VMware обновила ссылки для скачивания VMware Desktop Hypervisor. Актуальные версии VMware Fusion и Workstation теперь можно скачать здесь.
• Расширенная база знаний: VMware пополнила базу знаний новыми статьями и решениями, охватывающими дополнительные сценарии устранения неполадок, расширенные функции и советы по настройке. Независимо от того, являетесь ли вы новым пользователем или опытным специалистом, эти ресурсы помогут вам быстро найти ответы.
• Дополнительные обучающие материалы и руководства: чтобы упростить освоение и эффективное использование VMware Fusion и Workstation, VMware добавила новые пошаговые руководства (Workstation и Fusion). В них рассматриваются вопросы от базовой установки до продвинутых настроек, предлагая практические решения для повседневного использования.
• Доступ к сообществу: пользовательское сообщество остается ценным пространством для обмена советами, решениями и опытом. VMware наблюдает рост активности на форумах, где пользователи помогают друг другу решать проблемы и делятся лучшими практиками. В компании приглашают вас присоединиться к обсуждениям и внести свой вклад:
  • Workstation Community
  • Fusion Community

Эти ресурсы доступны всем пользователям, и VMware рекомендует вам активно использовать их для самостоятельной поддержки и обучения.

Переход на бесплатную модель – лишь один из шагов в продолжающихся усилиях по удовлетворению потребностей пользователей. VMware продолжает совершенствовать пользовательский опыт, улучшая и расширяя предложения, чтобы VMware Fusion и Workstation оставались ценными инструментами. Чтобы узнать больше о платформах VMware Desktop Hypervisors и получить дополнительные ресурсы, посетите страницу продуктов и раздел FAQ.

Если логи вашего vCenter переполнены сообщениями ApiGwServicePrincipal об истечении срока действия токенов, вы не одиноки. Частые записи уровня «info» в файле apigw.log могут засорять вашу систему, затрудняя выявление реальных проблем. К счастью, есть простое решение: измените уровень логирования с «info» на «error». Автор блога cosmin.us подробно рассказал, как именно можно эффективно уменьшить количество этих лишних записей в журнале.

Со стороны сервера VMware vCenter в логе вы можете увидеть записи следующего вида:

The token with id '_9eb499f7-5f0e-4b83-9149-e64ae5bbf202' for domain vsphere.local(9d121150-d80b-4dbe-8f8a-0254435cf32a) is unusable (EXPIRED). Will acquire a fresh one.

Эти сообщения появляются потому, что по умолчанию для файла apigw.log установлен уровень логирования «info». В результате регистрируется каждое истечение срока действия и обновление токена — обычный процесс, который не требует постоянного внимания. Итог — перегруженные журналы и возможное снижение производительности. Изменив уровень логирования на «error», вы сможете ограничить записи в журналах только критически важными проблемами.

Внимательно следуйте данным инструкциям, чтобы изменить уровень логирования для apigw.log. Этот процесс применим как к отдельным серверам vCenter, так и к серверам в режиме Enhanced Linked Mode.

1. Создание снапшота сервера vCenter

   Перед внесением изменений защитите свою среду, создав снапшот vCenter. Если ваши серверы vCenter работают в режиме Enhanced Linked Mode, используйте оффлайн-снапшоты для обеспечения согласованности всех узлов. Этот снимок послужит вариантом отката, если что-то пойдёт не так.

2. Резервное копирование оригинального конфигурационного файла

   Войдите на устройство vCenter Server Appliance (VCSA) по SSH с правами root. Выполните следующую команду для резервного копирования файла vmware-services-vsphere-ui.conf:

cp /etc/vmware-syslog/vmware-services-vsphere-ui.conf /etc/vmware-syslog/vmware-services-vsphere-ui.conf.backup

Это создаст резервную копию (vmware-services-vsphere-ui.conf.backup), к которой можно вернуться при необходимости.

3. Редактирование конфигурационного файла логирования
   
   Откройте конфигурационный файл с помощью редактора vi:

vi /etc/vmware-syslog/vmware-services-vsphere-ui.conf

Нажмите i для перехода в режим вставки. Найдите строку, задающую уровень логирования для apigw.log, обычно это:

#vsphere-ui apigw log input(type="imfile" File="/var/log/vmware/vsphere-ui/logs/apigw.log" Tag="ui-apigw" Severity="info" Facility="local0")

Измените «info» на «error», чтобы получилось:

#vsphere-ui apigw log input(type="imfile" File="/var/log/vmware/vsphere-ui/logs/apigw.log" Tag="ui-apigw" Severity="Error" Facility="local0")

Теперь vCenter будет записывать в apigw.log только ошибки.

4. Сохранение изменений и выход из редактора

   Нажмите Esc, чтобы выйти из режима вставки. Введите :wq! и нажмите Enter, чтобы сохранить изменения и закрыть редактор.

5. Перезапуск сервисов vCenter

   Чтобы изменения вступили в силу, перезапустите службы vsphere-ui и vmware-stsd следующими командами:

service-control --restart vsphere-ui service-control --restart vmware-stsd

Перезапуск этих служб активирует новые настройки логирования.

Проверка результата

После перезапуска сервисов убедитесь, что избыточные сообщения об истечении срока действия токенов прекратились. Теперь при уровне логирования «error» будут появляться только критические проблемы, делая ваши журналы более понятными и полезными.

Недавно было объявлено о доступности VMware vSphere Kubernetes Service (VKS) 3.3 (ранее известного как решение VMware Tanzu Kubernetes Grid (TKG) Service), а также о выпуске vSphere Kubernetes release (VKr) 1.32, ранее называвшегося Tanzu Kubernetes release. В этом выпуске представлены важные функции и улучшения, направленные на повышение безопасности, масштабируемости и управления кластерами.

Поддержка актуального релиза Kubernetes 1.32

С выпуском VKS 3.3 теперь возможно развертывание рабочих кластеров на базе VKr 1.32, основанного на последнем минорном выпуске Kubernetes 1.32. Использование последних версий Kubernetes обеспечивает безопасность, высокую производительность и совместимость с современными приложениями. vSphere Kubernetes release 1.32 обеспечивает повышение эффективности, безопасности и гибкости рабочих нагрузок.

Гибкость активации режима FIPS на уровне ОС

Данный выпуск вводит новую возможность настройки режима FIPS на уровне операционной системы, гарантируя использование только одобренных FIPS криптографических модулей. Администраторы могут самостоятельно решить, активировать ли режим FIPS для кластеров на Linux и Windows. Для активации функции необходимо настроить переменную класса кластера 'osConfiguration'. Для включения данной функции в Ubuntu-версии vSphere Kubernetes может потребоваться подписка Ubuntu Pro. Подробная информация представлена в документации.

Если ваша организация работает в регулируемой отрасли (государственные учреждения, финансы, здравоохранение и др.), соответствие стандартам FIPS необходимо для соблюдения требований безопасности и снижения рисков несоответствия.

Переход на Cluster API

Как было объявлено в документации к выпуску VKS 3.2, API TanzuKubernetesCluster будет удалён не ранее июня 2025 года. VKS 3.3 вводит упрощённый механизм миграции кластеров с TKC на Cluster API для развертывания и настройки рабочих кластеров. Переход на Cluster API обеспечивает лучшую автоматизацию и будущую совместимость. Рекомендуется заранее планировать переход на Cluster API, чтобы избежать сбоев после удаления TKC API.

Другие важные улучшения

• Интеграция узлов Windows с Active Directory (поддержка gMSA) – начиная с VKS 3.3, вы можете подключать узлы Windows к локальной службе Active Directory с использованием учётных записей группового управления (Group Managed Service Accounts, gMSA) для безопасной аутентификации. Можно автоматизировать подключение узлов Windows к домену Active Directory в организационных подразделениях и добавлять их в группу безопасности, управляющую доступом к gMSA. Это упрощает интеграцию рабочих нагрузок Kubernetes на базе Windows в предприятиях, использующих Active Directory, повышая безопасность и операционную эффективность. Подробности можно найти в документации.

• Автомасштабирование кластеров в обе стороны – VKS 3.3 позволяет масштабировать кластеры от нуля до любого количества рабочих узлов при использовании VKr версии 1.31.4 и новее. Ранее эта функция была недоступна со времен появления Cluster Autoscaler в vSphere 8.0 U3. Также это способствует экономии средств и оптимизации ресурсов, позволяя динамически масштабировать рабочие нагрузки до нуля в неиспользуемый период и эффективно справляться с сезонными всплесками активности.
• Механизмы для упрощения обновления (Guard Rails) - обновления через несколько версий могут быть затруднены, особенно с устаревшими ресурсами. В версии VKr 1.31.1 в Antrea 2.1 некоторые CRD были объявлены устаревшими и должны быть заменены на новые версии.
  • Обновление до VKr 1.31.1 – перед обновлением обязательно выполнить минимальные ручные инструкции, указанные в Release Notes 1.31.1, иначе обновление может завершиться неудачно.
  • Обновление до VKr 1.31.4 – При обновлении до версии VKr 1.31.4 устаревшие CRD Antrea автоматически заменяются новыми версиями, поэтому ручные действия не требуются.
• В VKS 3.3 встроены механизмы защиты от потенциальных ошибок при обновлении. Если рабочий кластер использует Kubernetes версии 1.30.x и обновлен до VKS 3.3, обновление до Kubernetes версии 1.31.1 заблокировано. Вместо этого рекомендуется сразу перейти на версию 1.31.4, которая не требует ручных действий. Если рабочий кластер уже на версии VKr 1.31.1, то обновление до VKS 3.3 заблокировано до предварительного обновления до VKr 1.31.4.

Заключение

vSphere Kubernetes Service 3.3 предлагает повышенную безопасность, улучшенную масштабируемость, оптимизацию расходов и усовершенствованное управление жизненным циклом кластеров для оптимизации Kubernetes-сред клиентов. О работе продукта также можно почитать вот эту полезную статью.

VMware Validated Solutions – это проверенный портфель технически валидированных решений, разработанных для того, чтобы помочь клиентам создавать безопасную, высокопроизводительную, устойчивую и эффективную инфраструктуру для их приложений и рабочих нагрузок, развернутых в облаке VMware Cloud Foundation. Эти решения предлагают систематический подход к быстрому и эффективному развертыванию, охватывая планирование и подготовку, принятие проектных решений, реализацию, эксплуатационные рекомендации и совместимость решений. Кроме того, многие из таких решений могут автоматизировать значительную часть процесса развертывания. Примером такого решения служит VMware Private AI Ready Validated Solution.

Lateral Security for VMware Cloud Foundation with VMware vDefend – это хорошо продуманное, модульное решение, которое направляет процесс проектирования, внедрения и эксплуатации VMware vDefend для защиты компонентов управления и рабочих нагрузок VMware Cloud Foundation. О нем мы подробно писали вот тут.

Создание безопасной инфраструктуры является ключевым фактором в обеспечении защиты рабочих нагрузок частного облака клиентов с первого дня. Решение этой задачи может оказаться сложным для администраторов без специализированных знаний. Настройка и управление безопасными средами требуют глубокого понимания инфраструктуры и специфики сетевого взаимодействия приложений.

Использование проверенного решения Lateral Security for VMware Cloud Foundation with VMware vDefend позволяет организациям эффективно решать эти задачи и уверенно защищать свои частные облака и рабочие нагрузки с помощью проверенных конфигураций и индивидуальных рекомендаций.

Что входит в решение?

Решение основывается на лучших принципах проектирования Broadcom для использования продуктов и функций безопасности VMware vDefend в средах VMware Cloud Foundation.

Оно включает в себя проектные решения и автоматизированные шаги по защите компонентов домена управления VMware Cloud Foundation, а также упрощенные рекомендации по проектированию и внедрению макро- и микросегментации для защиты клиентских рабочих нагрузок в доменах рабочих нагрузок. Решение направляет эффективное развертывание NSX Application Platform, предоставляя важные рекомендации по выбору размеров и масштабированию для обеспечения оптимальной производительности.

Кроме того, оно предлагает руководство по использованию Security Intelligence для автоматизации и расширения возможностей защиты vDefend, обеспечивая повторяемые процессы, которые можно адаптировать для любых сред и рабочих нагрузок VMware Cloud Foundation.

Готовы углубиться и раскрыть полный потенциал продукта VMware vDefend? Вы можете получить доступ к готовому решению VMware Validated Solution по этой ссылке.

VMware vDefend – это передовая служба для VMware Cloud Foundation, обеспечивающая новейшие возможности для реализации принципов нулевого доверия (zero-trust) в области латеральной безопасности. Это единственное решение безопасности, которое предоставляет детализированную защиту компонентов управления VMware Cloud Foundation с использованием микросегментации.

Lateral Security for VMware Cloud Foundation – это корпоративное решение, позволяющее клиентам быстро и эффективно разрабатывать, планировать и развертывать защиту VMware vDefend для обеспечения безопасности инфраструктуры и рабочих нагрузок VMware Cloud Foundation.

VMware vCenter Server поставляется с рядом системных и пользовательских ролей, которые можно использовать, а также пользователи могут создавать собственные роли с необходимыми привилегиями. Если вам нужно понять, какие роли активно используются, следующий фрагмент кода PowerCLI, который сделал Дункан Эппинг, поможет получить информацию о назначенных ролях. Кроме того, скрипт также создаст файл, содержащий все привилегии, определенные для активно используемых ролей vCenter.

$roles = Get-VIRole
$permissions = Get-VIPermission

$results = @{}
foreach ($permission in $permissions) {
    $role = $permission.Role
    if($results.ContainsKey($role)) {
        $results[$role]+=1
    } else {
        $results[$role]=1
    }
}

Write-Host "`nTotal Roles: $($roles.count)"
Write-Host "Total Roles Used: $($results.count)"
Write-Host "Role Usage:"

$results.GetEnumerator() | Sort-Object -Property Value -Descending

$outfile = "used-roles.txt"
foreach ($key in $results.keys) {
    $role = Get-VIRole $key
    if(!$role.IsSystem) {
        $key | Out-File -Append -LiteralPath $outfile
        "=========================================================" | Out-File -Append -FilePath $outfile
        $role.ExtensionData.Privilege | Out-File -Append -LiteralPath $outfile
        "" | Out-File -Append -LiteralPath $outfile
    }
}

Вот пример выполнения сценария:

А вот пример вывода из файла used-roles.txt, который генерируется и содержит список привилегий для каждой используемой роли:

Недавно Дункану Эппингу задали вопрос о том, сколько памяти должна иметь конфигурация AF-4 ReadyNode, чтобы она поддерживалась. Понтяно, откуда возник этот вопрос, но большинство людей не осознают, что существует набор минимальных требований, а профили ReadyNode, как указано в базе знаний (KB), являются лишь рекомендациями. Перечисленные конфигурации – это ориентир. Эти рекомендации основаны на предполагаемом потреблении ресурсов для определенного набора виртуальных машин. Конечно, для вашей нагрузки требования могут быть совершенно другими. Именно поэтому в статье, описывающей аппаратные рекомендации, теперь четко указано следующее:

Чтобы конфигурация поддерживалась службой глобальной поддержки VMware Global Services (GS), все сертифицированные для vSAN ESA ReadyNode должны соответствовать или превышать ресурсы самой минимальной конфигурации (vSAN-ESA-AF-0 для vSAN HCI или vSAN-Max-XS для vSAN Max).

Это относится не только к объему памяти, но и к другим компонентам, при условии соблюдения минимальных требований, перечисленных в таблице ниже (учтите, что это требования для архитектуры ESA, для OSA они другие):

С выходом TKG Service 3.2.0 в октябре 2024 года VMware объявила об устаревании API Tanzu Kubernetes Cluster (TKC), направляя клиентов на использование Cluster API в качестве поддерживаемого метода для инициализации, настройки и управления кластерами Kubernetes. Ниже описан процесс отказа от использования API TKC в пользу более современной методологии на основе Cluster API.

Далее термины "TKG Service", "TKGS" и "vSphere Kubernetes Service" (VKS) используются взаимозаменяемо. VMware проводит небольшую ребрендинг-кампанию, и в будущих выпусках вы начнете замечать обновленный брендинг.

API TanzuKubernetesCluster долгое время был полезным инструментом для управления кластерами Kubernetes, но по мере развития экосистемы Cluster API стал предлагать более зрелый, функциональный и управляемый по версиям подход к управлению жизненным циклом кластеров. Этот переход гарантирует клиентам стандартизацию, большую гибкость и долгосрочную поддержку. Однако в VMware понимают, что у многих пользователей уже развернуты кластеры, созданные с помощью API Tanzu Kubernetes Cluster. Это создает определенные сложности: необходимо обеспечить возможность корректного отказа от TKC-ресурсов без нарушения существующих рабочих процессов. Общий план по обновлению включает три ключевых этапа:

Начиная с TKG Service 3.2.0, пользователи, работающие с ресурсами TKC, получают предупреждения об устаревании и рекомендации по переходу на Cluster API.

С выпуском TKG Service 3.3.0 был представлен упрощенный процесс вывода ресурсов TKC для существующих кластеров, при этом управление ими продолжается через Cluster API. Подробное описание этого процесса приведено ниже.

В одном из будущих выпусков поддержка API TKC будет полностью прекращена. К этому моменту пользователи должны будут вывести из эксплуатации все ресурсы TKC перед обновлением до новых версий TKG Service/VKS.

Обзор процесса вывода из эксплуатации

Этот процесс позволяет корректно удалить ресурсы TKC, при этом кластеры остаются полностью работоспособными и управляемыми через ресурс Cluster в Cluster API.

При применении метки kubernetes.vmware.com/retire-tkc к кластеру TKC:

• Если кластер соответствует предварительным условиям вывода из эксплуатации, ресурс TKC удаляется, а управление кластером полностью переходит на его ресурс Cluster.
• Если условия не выполнены, валидация заблокирует процесс вывода, и вам будут предоставлены подробные сведения об ошибках, которые помогут устранить проблемы.

Примечание: вывод ресурса TKC из эксплуатации не влияет на сам кластер или его узлы и не вызывает поэтапного обновления (rolling update).

Начало работы

Перед началом убедитесь, что ваш кластер не работает на устаревшей версии Kubernetes. Устаревшие версии совместимы только с vSphere 7.x (и 8.x для обновления) и должны быть обновлены до поддерживаемой версии Kubernetes перед выводом из эксплуатации. Используйте шаги проверки совместимости кластера, чтобы определить и обновить устаревшие версии.

Также убедитесь, что в кластере нет активных обновлений, и что он находится в стабильном состоянии. Важно об управлении через TMC: на данный момент кластеры, управляемые Tanzu Mission Control (TMC), не могут быть выведены из эксплуатации. Эта функциональность пока не поддерживается.

Шаги

Подробное руководство по процессу вывода из эксплуатации можно найти в официальной документации в разделе Retiring Tanzu Kubernetes Cluster resources.

Добавьте метку к ресурсу TKC для кластера, который вы хотите вывести из эксплуатации:

kubectl label tanzukubernetescluster/<cluster-name> kubernetes.vmware.com/retire-tkc="" 

После применения метки webhook выполняется ряд автоматизированных проверок. В частности, проверяются следующие условия:

• Неустаревшая версия Kubernetes: кластер должен работать на поддерживаемой версии Kubernetes (не может быть переопределено).
• Существующий ресурс Cluster: должен существовать соответствующий ресурс Cluster, находящийся в состоянии Ready (можно переопределить — см. документацию).
• Нет активных обновлений: в кластере не должно выполняться обновление (можно переопределить, если версии Kubernetes совпадают).
• Нет других миграций: кластеры, находящиеся в процессе миграции, не могут быть выведены из эксплуатации (не может быть переопределено).
• Кластер не управляется TMC: кластеры, управляемые Tanzu Mission Control, не могут быть выведены из эксплуатации (не может быть переопределено).

Если все проверки пройдены, процесс вывода продолжается. Если какая-либо из проверок не проходит, процесс приостанавливается, и в статусе TKCRetired указывается причина отказа. После устранения проблем процесс можно перезапустить.

Чтобы отслеживать процесс вывода из эксплуатации, используйте команду:

После запуска процесса вывода вы увидите обновления через события:

• RetirementTriggered – событие публикуется при запуске процесса.
• RetirementDone – событие публикуется при удалении ресурса TKC.

Остановка процесса при необходимости

Если нужно приостановить или остановить процесс вывода из эксплуатации, установите значение метки в false, чтобы предотвратить дальнейшие действия:

Результат

При успешном завершении процесса:

• Старый ресурс API TKC будет удален.
• Кластер продолжит работать без перебоев и будет полностью управляться через ресурс Cluster.
• Все операции жизненного цикла, включая обновления и масштабирование, будут выполняться через Cluster API.

Этот процесс обеспечивает чистый и безопасный переход от управления кластерами через TKC к полному управлению с помощью Cluster API.

Иногда у администратора VMware vSphere возникает необходимость отключить физический интерфейс на хосте VMware ESXi, чтобы сделать некоторые операции или протестировать различные сценарии.

Например:

• Тестирование сценариев отказоустойчивости сети.
• Определение и изоляция сетевых проблем за счет отключения подозрительного неисправного сетевого адаптера (NIC).
• Временное отключение сетевого адаптера (NIC), чтобы оценить влияние на производительность сети и проверить эффективность балансировки нагрузки.
• Проверка того, как виртуальные машины реагируют на отказ определенного сетевого пути.
• Отключение vmnic, который подключен к ненадежному VLAN или неправильно настроенной сети.
• Тестирование различных сетевых конфигураций без внесения постоянных изменений в физические соединения.

Итак, чтобы отключить vmnic, нужно зайти на ESXi по SSH и выполнить там следующую команду, чтобы вывести список сетевых адаптеров:

esxcli network nic list

Далее отключаем vmnic командой (X - это номер в имени адаптера):

esxcli network nic down -n vmnicX

В разделе физических адаптеров vSphere Client мы увидим следующую картину (адаптер в статусе "down"):

Чтобы вернуть vmnic в исходное состояние, просто выполняем команду:

esxcli network nic up -n vmnicX

Источник.