В последнее время компания VMware активно перепаковывает свои продукты и пересматривает целесообразность их существования. Недавно было объявлено о снятии с производства решения для защиты сервисов управляющего компонента виртуальной инфраструктуры - VMware vCenter Server Heartbeat:
На смену ему пришел продукт нового поколения VMware Virtual SAN, про который мы уже очень много писали на страницах нашего сайта (см. поиск по тэгу VSAN).
Теперь пришел черед продукта для биллинга использования ресурсов виртуальной инфраструктуры VMware vCenter Chargeback Manager, о котором мы уже писали вот тут. Он стал недоступен для заказа с 10 июня этого года (поддержка будет оказываться еще год):
Возможности биллинга виртуальной инфраструктуры уже некоторое время назад были перемещены в модуль IT Business Management (ITBM), который позволяет считать затраты в частном облаке VMware vSphere и vCloud Director:
Этот модуль интегрирован с продуктом vCloud Automation Center 6.0 (vCAC), предназначенным для управления облачной инфраструктурой предприятия (SaaS, PaaS, IaaS) средствами единого решения, построенного поверх VMware vCloud Director (для IaaS-инфраструктуры) и разработанного на базе решения DynamicOps (бывший продукт Virtual Resource Manager, VRM). О нем мы уже писали вот тут.
Функции биллинга и финансовой отчетности уже есть в блоке IT Financial Management продукта ITBM. Так например видит затраты на инфраструктуру VMware ИТ-директор предприятия:
Сам продукт IT Business Management Suite поставляется в трех изданиях, функции финансовой отчетности и планирования есть в двух их них:
Напомним, что жизненный цикл доступности продуктов VMware и сроки их поддержки регулируются документом VMware Lifecycle Product Matrix.
На прошедшей неделе компания VMware вплотную занялась патчингом и фиксингом своих продуктов, закрывая те проблемные места, которые накопились за прошедшие пару-тройку месяцев. Прежде всего, было выпущено обновление ESXi550-201406401-SG, которое решает сразу две проблемы на VMware vSphere 5.5 Update 1.
Во-первых, мы уже писали о том, что в VMware vSphere 5.5 Update 1 был баг - если использовать NFS-хранилища, то они периодически отваливаются, переходя в состояние APD (All paths down). Это касается и VSA-хранилищ. В логах при этом наблюдается что-то вроде такого:
2014-04-01T14:35:08.074Z: [APDCorrelator] 9413898746us: [vob.storage.apd.start] Device or filesystem with identifier [12345678-abcdefg0] has entered the All Paths Down state.
2014-04-01T14:35:08.075Z: [APDCorrelator] 9414268686us: [esx.problem.storage.apd.start] Device or filesystem with identifier [12345678-abcdefg0] has entered the All Paths Down state.
2014-04-01T14:36:55.274Z: No correlator for vob.vmfs.nfs.server.disconnect
2014-04-01T14:36:55.274Z: [vmfsCorrelator] 9521467867us: [esx.problem.vmfs.nfs.server.disconnect] 192.168.1.1/NFS-DS1 12345678-abcdefg0-0000-000000000000 NFS-DS1
2014-04-01T14:37:28.081Z: [APDCorrelator] 9553899639us: [vob.storage.apd.timeout] Device or filesystem with identifier [12345678-abcdefg0] has entered the All Paths Down Timeout state after being in the All Paths Down state for 140 seconds. I/Os will now be fast failed.
2014-04-01T14:37:28.081Z: [APDCorrelator] 9554275221us: [esx.problem.storage.apd.timeout] Device or filesystem with identifier [12345678-abcdefg0] has entered the All Paths Down Timeout state after being in the All Paths Down state for 140 seconds. I/Os will now be fast failed.
В выпущенном обновлении эта ошибка была исправлена.
Во-вторых, была также исправлена ошибка безопасности в OpenSSL, которая может оказаться даже серьезнее, чем исправленный ранее баг OpenSSL Heartbleed. В ESXi существует вероятность атаки типа MiM (Man in the Middle), о которой подробнее рассказано вот тут. Этот баг в приведенном выше обновлении был также зафикшен. Кстати, в своем блоге компания VMware объявила о том, что ее команда безопасности расследует новые возможные уязвимости OpenSSL, и вот тут приведены результаты ее работы.
Чтобы скачать патч, идем на VMware Patch Portal, выбираем там продукт "ESXi Embedded & Installable", версию релиза 5.5.0 и дату - 10 июня. Получаем ссылку на патч:
Применить этот патч можно и не скачивая его с сайта VMware, а просто с помощью следующей последовательности команд:
# открываем фаервол для http
esxcli network firewall ruleset set -e true -r httpClient
# устанавливаем образ ESXi-5.5.0-20140604001-standard из хранилища VMware Online depot
Оба этих исправления прежде всего несут в себе фиксы в плане безопасности протокола OpenSSL, однако там есть и другие мелкие улучшения. Рекомендуется их установить.
Надо отметить, что VMware vCenter Server Appliance не подвержен багу OpenSSL, поэтому и исправлений для него нет.
Таги: VMware, vSphere, Security, Bug, Bugs, ESXi, vCenter, vCloud, Director
На днях компания VMware сделала неожиданное для некоторых своих клиентов заявление - продукт для защиты серверов VMware vCenter (на уровне различных его компонентов) VMware vCenter Server Heartbeat снят с производства со 2-го июня 2014 года и не будет больше доступен. То есть, для него уже наступил End of Availability (EoA).
На самом деле, этот продукт всегда был каким-то непонятным. Продавали его в довесок к VMware vSphere, а заказчик потом и не знал, что с ним делать - интерфейс корявый, установка сложная, полезность сомнительная. Достаточно просто посмотреть на окно версии vCenter Server Heartbeat 5.5:
По-видимому, не меня одного раздражал этот иконочный привет из девяностых, а развивать продукт было сложно - надо ведь поддерживать как обычный vCenter, так и его линуксового собрата в виде готовой виртуальной машины - VMware vCenter Server Appliance (а его поддержки в Heartbeat не было).
Таким образом, теперь остаются следующие способы защитить сервер управления vCenter от сбоев:
Использовать виртуальную машину с vCenter Server и защищать ее средствами VMware HA (полностью поддерживается).
Использовать последние версии vCenter Server Heartbeat (End of Live).
Использовать сторонние решения по кластеризации (не поддерживается).
Использовать технологию VMware Fault Tolerance (в целом работает, но не поддерживается).
Так что способ защиты vCenter остался, по-сути, только один. Но и ничего страшного - не такая это суперкритичная часть инфраструктуры. Разворачивайте его в виртуальной машине, бэкапьте, включайте в кластер HA, да и все.
Поддержка VMware vCenter Server Heartbeat продлится до сентября 2018 года, поэтому пока можно не волноваться. Об остальном можно прочитать в FAQ на странице продукта.
Таги: VMware, vCenter, Heartbeat, EoL, Support, HA
Пару недель назад мы писали об уязвимости OpenSSL HeartBleed, которая коснулась виртуальной инфраструктуры VMware vSphere, а также других продуктов компании VMware. Напомним, что эта уязвимость позволяла злоумышленнику получить доступ к памяти сервера, где могут храниться логины/пароли и другая информация пользователей.
На прошлой неделе компания VMware выпустила фиксы для этого бага в виде обновлений VMware vSphere 5.5 Update 1a и VMware vSphere 5.5c, подробнее о которых написано в специальной статье KB 2076665.
Но тут, как часто бывает, вышла оказия. Нашелся еще один баг в VMware vSphere 5.5 Update 1 - оказывается, если для этого билда использовать NFS-хранилища, то они периодически отваливаются, то есть переходят в состояние APD (All paths down). Это касается и VSA-хранилищ. В логах при этом наблюдается что-то вроде такого:
2014-04-01T14:35:08.074Z: [APDCorrelator] 9413898746us: [vob.storage.apd.start] Device or filesystem with identifier [12345678-abcdefg0] has entered the All Paths Down state.
2014-04-01T14:35:08.075Z: [APDCorrelator] 9414268686us: [esx.problem.storage.apd.start] Device or filesystem with identifier [12345678-abcdefg0] has entered the All Paths Down state.
2014-04-01T14:36:55.274Z: No correlator for vob.vmfs.nfs.server.disconnect
2014-04-01T14:36:55.274Z: [vmfsCorrelator] 9521467867us: [esx.problem.vmfs.nfs.server.disconnect] 192.168.1.1/NFS-DS1 12345678-abcdefg0-0000-000000000000 NFS-DS1
2014-04-01T14:37:28.081Z: [APDCorrelator] 9553899639us: [vob.storage.apd.timeout] Device or filesystem with identifier [12345678-abcdefg0] has entered the All Paths Down Timeout state after being in the All Paths Down state for 140 seconds. I/Os will now be fast failed.
2014-04-01T14:37:28.081Z: [APDCorrelator] 9554275221us: [esx.problem.storage.apd.timeout] Device or filesystem with identifier [12345678-abcdefg0] has entered the All Paths Down Timeout state after being in the All Paths Down state for 140 seconds. I/Os will now be fast failed.
Решения для этой проблемы пока нет, поэтому рекомендуется просто откатиться на VMware vSphere 5.5 (без Update 1), если вы используете NFS-хранилища или модуль VSA.
Так вот, поэтому vSphere 5.5 Update 1 и просто vSphere 5.5 надо обновлять разными патчами для устранения уязвимости OpenSSL HeartBleed (чтобы на 5.5 не накатилась проблема с APD):
VMware ESXi 5.5, Patch Release ESXi550-201404001
Это патч только для фикса хостов
ESXi 5.5 Update 1
VMware ESXi 5.5, Patch Release ESXi550-201404020
А этот патч для фикса хостов разных версий 5.5 за исключением ESXi 5.5 Update 1, а именно:
ESXi 5.5.0 hosts
ESXi 5.5.0 hosts patched with ESXi550-201312101-SG bulletin
ESXi 5.5.0 hosts patched with ESXi550-201312401-BG bulletin
ESXi 5.5.0 hosts patched with ESXi550-201403101-SG bulletin
ESXi 5.5.0 hosts patched with ESXi-5.5.0-20131201001s-standard image profile
ESXi 5.5.0 hosts patched with ESXi-5.5.0-20131201001s-no-tools image profile
ESXi 5.5.0 hosts patched with ESXi-5.5.0-20131204001-standard image profile
ESXi 5.5.0 hosts patched with ESXi-5.5.0-20131204001-no-tools image profile
ESXi 5.5.0 hosts patched with ESXi-5.5.0-20140301001s-standard image profile
ESXi 5.5.0 hosts patched with ESXi-5.5.0-20140301001s-no-tools image profile
Для серверов vCenter есть также соответствующие патчи:
Это позволяет злоумышленнику получить доступ к оперативной памяти сервера, где хранятся, в том числе, сами секретные ключи, имена и пароли пользователей, а также много чего еще. После того, как нехороший товарищ получил, что хотел, обнаружить факт его проникновения в систему невозможно. За один такт можно получить сегмент в 64 КБ памяти, но делать это такими кусочками можно сколь угодно долго, постоянно обновляя соединение.
Как пишет Хабр, 1 января 2012 года, Robin Seggelmann отправил, а steve проверил commit, который добавлял HeartBeat в OpenSSL. Именно этот коммит и привнес уязвимость, которую назвали Heartbleed. То есть, пару лет любой желающий мог вылавливать данные из памяти где-то 2/3 всех защищенных серверов мира. Эта версия OpenSSL используется в веб-серверах Nginx и Apache, в почтовых серверах, IM-системах, VPN, а также еще очень-очень много где. Сертификаты скомпрометированы, логины/пароли, возможно, утекли к посторонним людям. Кошмар, бардак, ядерная война.
Например, уязвимость есть вот в этих Linux-дистрибутивах:
OpenBSD 5.3 (OpenSSL 1.0.1c) и 5.4 (OpenSSL 1.0.1c)
FreeBSD 8.4 (OpenSSL 1.0.1e) и 9.1 (OpenSSL 1.0.1c)
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)
Ну и, конечно же, серверы VMware ESXi 5.5 (build 1331820) и ESXi 5.5 Update 1 (build 1623387) также имеют эту уязвимость. Проверить это просто - выполняем команду:
# vmware -vl
VMware ESXi 5.5.0 build-1331820
VMware ESXi 5.5.0 GA
# openssl version -a
OpenSSL 1.0.1e 11 Feb 2013
built on: Tue Feb 26 16:34:26 PST 2013
Видим, что здесь версия 1.0.1e, которая подвержена уязвимости.
А вот для пользователей VMware ESXi 5.1 бонус - уязвимости тут нет, так как используется другой бранч OpenSSL (0.9.8y):
OpenSSL 0.9.8y 5 Feb 2013
built on: Wed Mar 20 20:44:08 PDT 2013
Есть даже вот такая табличка с VMware Communities, где показано, какие компоненты и каких версий подвержены уязвимости (выделенные цветом - подвержены):
Product
Build
OpenSSL Version
ESXi 5.1 U2
VMware ESXi 5.1.0 build-1612806
OpenSSL 0.9.8y 5 Feb 2013
ESXi 5.5 GA (no U1)
VMware ESXi 5.5.0 build-1331820
OpenSSL 1.0.1e 11 Feb 2013
vCenter 5.1 U1
VMware vCenter Server 5.1.0 Build 1235232
OpenSSL 0.9.8t 18 Jan 2012
vCenter 5.1 U2
<unknown>
OpenSSL 0.9.8y 5 Feb 2013
vCenter 5.5 GA
<unknown>
OpenSSL 1.0.1e 11 Feb 2013
OpenSSL 0.9.8y 5 Feb 2013
vMA 5.0 virtual appliance
vMA 5.0.0 BUILD-724898
OpenSSL 0.9.8j-fips 07 Jan 2009
vMA 5.1 virtual appliance
vMA 5.1.0 BUILD-1062361
OpenSSL 1.0.0c 2 Dec 2010
Фикса бага пока нет - но он ожидается в ближайшие дни (возможно, на момент прочтения вами этой заметки он уже выйдет). За развитием ситуации можно также следить тут.
Подробное описание уязвимости можно прочитать на специальном сайте: http://heartbleed.com/.
Как знают те из вас, кто интересуется программами обучения VMware, сертификация VMware VCP, являющаяся одной из самых востребованных на рынке, требует предварительного прохождения авторизованных учебных курсов и последующей сдачи экзаменов.
Так вот, с недавних пор, курсы эти можно пройти дома или у себя в офисе, при этом они будут полностью соответствовать требованиям программы VMware Certified Professional. На данный момент доступны курсы только по VMware vSphere 5.1, но эта сертификация по-прежнему действующая и вполне катит под требования к партнерской программе VMware, например.
Сейчас вот тут доступны следующие курсы (только английский):
Само обучение доступно в течение 30 дней или 30 часов активного времени, в зависимости от того, что истечет раньше. Для тех, кто хочет посмотреть, что это такое, есть бесплатная возможность посмотреть первые два следующих модуля:
Module 1: Course Introduction and Logistics
Module 2: Introduction to VMware Virtualization, which includes:
Доступны они будут в течение 90 минут. Получить бесплатный доступ к ним можно по этой ссылке.
Правда стоит это удовольствие чуть больше, чем дофига:
Зато можно пройти его в любое время, ведь курсы (в том числе онлайн) проводятся далеко не каждый день.
Ну а для тех кто хочет дешевле (в два раза, между прочим!) мы советуем авторизованные курсы от HP. Это не реклама - там просто дешевле, чем в любом другом месте + дают бесплатный ваучер на сдачу экзамена:
Нашли дешевле (с учетом ваучера)? Пишите в каменты!
Раньше пользователи думали о том, как нужно развертывать VMware vCenter - в виртуальной машине или на физическом сервере. Теперь время этих размышлений прошло - большинство ставит его в виртуальной машине. Однако с появлением готового модуля vCenter Server Appliance (vCSA) встал немного другой вопрос - использовать ли готовый vCSA или устанавливать vCenter в Windows. Попробуем разобраться.
Не так давно мы уже писали о средстве vCenter Support Assistant, представляющем собой бесплатный плагин к VMware vCenter Server, который призван облегчить сбор диагностических данных об инфраструктуре VMware vSphere, а также помочь обратиться в техническую поддержку.
Напомним, что Support Assistant через плагин к vSphere Client позволяет работать с реквестами в техподдержку, вне зависимости от того как она куплена - на базе подписки или по инцидентам
В vCenter Support Assistant 5.5 появилась новая функциональность, касающаяся автоматизации процесса сбора и загрузки данных, необходимых технической поддержке VMware. Кроме того, диагностические данные передаются по защищенному каналу HTTPS или по FTP напрямую в VMware, минуя посредников. Также было исправлено несколько ошибок.
Более подробно обо всем этом можно почитать в Release Notes. Скачать VMware vCenter Support Assistant 5.5 можно по этой ссылке.
Для тех из вас, кто по причине отсутствия купленной подписки, лени или еще какой другой, использует старую версию платформы виртуализации VMware vSphere 5.1, компания VMware выпустила обновление VMware vCenter Server 5.1 Update 2.
Что нового в Update 2:
vCenter Server 5.1 теперь поддерживается на платформе Windows Server 2012 R2.
Возможность кастомизации нескольких дополнительных гостевых ОС через vCenter:
Windows 8.1
RHEL 6.4
Windows Server 2012 R2
SLES 11 Service Pack 3
Добавлена поддержка СУБД Microsoft SQL Server 2012 Service Pack 1.
Обновление протокола OpenSSL до версии openssl-0.9.8y.
Вместе с VMware vSphere 5.5 компания VMware выпустила также виртуальный модуль (Virtual Appliance) сервера управления VMware vCenter Virtual Appliance 5.5 (vCVA или, он же, vCSA), который позволяет развернуть уже готовую виртуальную машину для управления виртуальной инфраструктурой.
Как часто бывает, улучшения новой версии в плане безопасности обернулись геморроем для администраторов - оказалось, что в дефолтном варианте (если вы не меняете своевременно пароль root или не увеличиваете срок устаревания пароля) виртуальный модуль (а точнее, аккаунт root) блокируется через 90 дней после начала использования. А так как эти 90 дней для многих закончились именно сейчас, после праздников, то эта проблема стала весьма актуальной.
Итак, если эти 90 дней у вас еще не прошли, и виртуальный модуль еще не залочен, то можно сделать следующее:
1. Можно продлить срок устаревания пароля.
Зайдем в консоль vCSA как root и выведем содержимое файла безопасности /etc/shadow:
# more /etc/shadow
Пятый аргумент (выделено красным) - это число дней, через которое происходит устаревание пароля root - в данном случае установлено 1095 дней (3 года). Чтобы такое получить, нужно выполнить команду:
# passwd –x 1095 root
Следующие 3 года можно будет не беспокоиться вопросом устаревания пароля root на vCSA.
То же самое можно сделать и через веб-интерфейс настройки vCSA (https://<адрес вашего vCSA>:5480):
2. Можно отключить блокировку root на VMware vCenter Server Appliance по окончанию срока устаревания пароля.
Для этого открываем файл /etc/cron.daily/pass-expiration и меняем там фрагмент:
# disable the password if it's time and not already done.
# don't rely on the pam account facility. prepend an x in the shadow file.
if [ $TODAY -ge $DEADLINE ] && ! grep -q 'root:x' $SHADOW; then
sed -e 's/^root:\(.*\)/root:x\1/' $SHADOW -i
fi
На вот такое:
# force a password change for root if we've reached the password expiration date.
# pam.unix2 doesn't do this the way we would like, so we do this instead.
if [ $TODAY -ge $DEADLINE ]; then
chage –d 0 root
fi
Из комментария понятно, что теперь вместо блокировки root-аккаунта, мы получим запрос о смене пароля по окончании срока действия пароля.
3. Если 90 дней уже прошло, и аккаунт root залочен.
В этом случае делаем следующее:
При загрузке VMware vCSA нажимаем пробел, чтобы предотвратить автозагрузку.
Если загрузка происходит слишком быстро, и вы не успеваете нажать пробел - посмотрите сюда.
Далее нажмите клавишу <p> и введите пароль загрузчика GRUB. По умолчанию это "vmware" или, если вы меняли пароль root, сам пароль пользователя root и есть.
На пункте VMware vCenter Server Appliance нажмите клавишу <e>:
Выберите второй пункт для установки kernel boot parameters:
Далее снова нажмите клавишу <e> и в появившейся строке ввода напишите:
init=/bin/bash
Далее нажмите <Enter>.
Затем клавишу <b>, чтобы начать процесс загрузки.
Произойдет загрузка в однопользовательском режиме.
Напишите команду:
passwd root
Перезагрузите vCSA командой reboot.
Процесс также описан в KB 2069041. Обратите также внимание, что наличие включенного однопользовательского режима Linux тоже является потенциальной дыркой безопасности.
Таги: VMware, vCSA, vCenter, Server, Virtual Appliance, Bugs, Обучение, Linux
Те из вас, кто интересуется облачными технологиями, наверняка знают инициативу OpenStack, которая представляет собой комплекс проектов свободного программного обеспечения, предназначенного для построения облачной инфраструктуры.
Open Stack - это не продукт, не платформа и не фреймворк. Это некий набор "кирпичиков", с помощью которых может строиться инфраструктура облака, в том числе гетерогенная:
OpenStack называют еще облачной операционной системой, хотя, строго говоря, она таковой не является. Эту инициативу в той или иной степени поддерживают 150 компаний (это активных, а пассивных намного больше), хотя большинство архитектур OpenStack используют в качестве ОС Ubuntu (в 80% случаев), а в качестве гипервизора KVM.
Но поскольку основной целью OpenStack провозглашается открытость и вендоронезависимость при построении частного или публичного облака, то вы можете использовать в качестве гипервизора, например, VMware ESXi, а в качестве хранилищ Microsoft Windows Server 2012 R2, используя при этом компоненты OpenStack, предназначенные для комплексного управления облачными сервисами (многие из них, кстати ориентированы на средства самообслуживания пользователей, которые сами могут запрашивать себе ресурсы облака). В этом смысле средства OpenStack чем-то похожи на решение vCloud Director от компании VMware.
Еще летом 2013 года компания VMware объявила о скором запуске виртуального модуля vSphere OpenStack Virtual Appliance (VOVA), который позволит наладить интеграцию с такими компонентами OpenStack, как Nova (контроллер вычислительных ресурсов) and Cinder (облачные блочные хранилища).
Однако, скажем сразу, что этот модуль не является официальным решением VMware, это просто способ показать, как именно можно интегрировать компоненты VMware vSphere в архитектуру OpenStack.
Вот что можно делать с помощью VOVA:
В качестве OpenStack Compute service (Nova) использовать VMware vCenter Server
В качестве OpenStack Networking service (Neutron) использовать VMware NSX (пока недоступно в текущей версии)
В качестве OpenStack Block Storage service (Cinder) использовать виртуальные диски формата VMware VMDK
Возможность совместимости с дистрибутивом OpenStack Havana в будущих релизах
Видеодемонстрация решения vSphere OpenStack Virtual Appliance:
Для тех, кто дочитал до конца, бонус - лабораторная работа, где можно самостоятельно потыкать Вову и ознакомиться с архитектурой OpenStack: http://labs.hol.vmware.com/HOL/#lab/698.
В новой версии VMware vSphere 5.5 при развертывании сервера vCenter 5.5 появился выбор между Simple и Custom методами установки:
Когда вы развертываете VMware vSphere 5.5 в небольшой организации (или делаете апгрейд с vSphere 5.1), где есть несколько серверов ESXi - однозначно следует выбирать Simple Install для сервера vCenter. Это установит все управляющие компоненты на один сервер в следующей последовательности:
Custom Install для vCenter нужно использовать только в следующих случаях:
Установка нескольких серверов vCenter в режиме Linked Mode (при этом первый сервер развертываем в Simple Install, а остальные - в режиме Custom). Помните, что серверы vCenter 5.1 не поддерживаются для Linked Mode в vCenter 5.5.
Разнесение управляющих компонентов по разным виртуальным или физическим серверам (актуально для очень крупных инфраструктур).
Выбор собственной директории для vCenter вместо стандартной C:\Program Files\VMware\Infrastructure
В остальных случаях будет вполне достаточно режима Simple Install для vCenter 5.5.
Иногда при установке cервера VMware vCenter 5.1 или толстого клиента VMware vSphere Client 5.1 (пока мы еще ждем vSphere 5.5) на Windows Server 2012 мы получаем вот такое сообщение:
Internal error 28173
Это все потому, что у вас не установлен Microsoft .NET Framework 3.5, который требуется для работы компонентов VMware vCenter.
Решается проблема просто. Надо запустить Server Manager, запустить мастер "Add roles and features wizard" и установить .NET Framework 3.5:
После этого установка vCenter или vSphere Client пройдет успешно.
Не так давно мы уже писали о планируемых новых возможностях VMware vSphere 5.5, однако большинство новых функций были описаны в общих чертах, кроме того, до последнего момента так и не было окончательно известно, что же еще нового появится в vSphere 5.5. На проходящей сейчас конференции VMworld 2013 компания VMware наконец-то объявила о выходе обновленной платформы VMware vSphere 5.5, которая стала еще более мощным средством для построения виртуальных инфраструктур.
Кстати, забыл тут про одну вещь. Не все администраторы VMware vSphere знают, что для того, чтобы зайти в черно-серое меню сервера VMware ESXi вовсе не обязательно использовать доступ через встроенную консоль типа HP iLO. Имеется в виду вот это меню настройки сервера (аналогично DCUI - Direct Console User Interface):
Все можно сделать прямо из SSH-сессии, если вы работаете под пользователем, имеющим локальную роль Administrator. Нужно просто выполнить команду:
# dcui
И вуаля - можно настраивать сервер без всяких iLO:
Само собой, это не работает в Lockdown mode, так как оно запрещает использование всех внешних интерфейсов, за исключением VMware vCenter Server (однако непосредственно в физическую консоль администратору залогиниться в этом режиме, конечно, можно).
Представляем вам восьмую статью автора VM Guru Максима Федотенко, посвященную дополнительным режимам работы инфраструктуры виртуальных ПК. В данной части даются только общие рекомендации по использованию методов резервного копирования виртуальных десктопов и пользовательских данных. Очевидно, что резервное копирование виртуальных десктопов связанного клонирования не имеет смысла, т.к. они создаются каждый раз заново. Поэтому... Таги: VMware, View, VDI, Security, Backup
Когда-то давно мы публиковали заметки о P2V-миграции физических серверов в виртуальные машины на платформе тогда еще VMware ESX Server (а также рассказывали о необходимых действиях после миграции). С тех пор многое изменилось, вышел VMware vCenter Converter Standalone 5.0, процесс миграции стал проще и стабильнее, а также накопилось пару моментов, о которых можно рассказать. Кроме того, появилась отличная статья на эту тему. Итак, есть 3 типа P2V-миграции...
Не так давно мы писали про средства управления питанием хост-серверов ESXi, которые имеются в VMware vSphere 5.1. Там мы рассматривали такую политику как Balanced - она разработана для того, чтобы максимально использовать переключения между состояниями P-states процессора в целях экономии энергии. Она обладает слегка большей инерционностью, чем обычное максимальное использование ресурсов процессора (High performance), но почти не влияет на производительность. Эта политика выставлена по умолчанию для серверов VMware ESXi 5.0 и более поздней версии.
Недавно на блоге VROOM! компании VMware появилось интересное исследование, посвященное механизмам управления питанием серверов ESXi. Как и обычно, в качестве инструмента для тестирования и создания нагрузки на хосты ESXi использовался продукт VMware VMmark, который и был разработан для тестирования производительности решений VMware на различных аппаратных платформах.
Сравнивались три подхода к управлению питанием:
Политика Performance - максимальное использование процессора за счет его поддержки в наивысшем P-state состоянии все время (то есть, по-сути политика энергосбережения отключена). При этом используются только 2 C-state состояния: С0 (running) и C1 (halted). Соответственно, данный режим выдает максимальную производительность, не имеет инерционности и потребляет больше всего энергии. Управляется эта политика BIOS'ом сервера.
Политика Balanced - сбалансированное энергопотребление за счет переключения между P-states. Эта политика управляется хостом ESXi.
Политика BIOS Balanced - функции энергосбережения, которые управляются на уровне BIOS сервера (например, Dell Active Power Controller).
Для тестирования производительности использовался стандартный подход VMmark, который предполагает создание возрастающих уровней нагрузки на хост-серверы (Tiles).
С точки зрения аппаратной платформы, использовалась следующая конфигурация:
4 сервера Dell PowerEdge R620
CPUs (на сервер): один Eight-Core Intel® Xeon® E5-2665 @ 2.4 GHz, Hyper-Threading enabled
Memory (на сервер): 96GB DDR3 ECC @ 1067 MHz
Host Bus Adapter: два QLogic QLE2562, Dual Port 8Gb Fibre Channel to PCI Express
Network Controller: один Intel Gigabit Quad Port I350 Adapter
Версия гипервизора: VMware ESXi 5.1.0
Дисковый массив: EMC VNX5700
62 флеш-диска (SSDs), RAID 0, сгруппированных в 3 x 8 SSD LUNs, 7 x 5 SSD LUNs и 1 x 3 SSD LUN
Средства управления: VMware vCenter Server 5.1.0
Версия VMmark: 2.5
Power Meters: три устройства Yokogawa WT210
Итак, что получилось. График очков VMmark (чем выше столбики - тем лучше). Результаты нормализованы к BIOS Balanced на уровне Tile 1:
Как мы видим, худшие результаты показывает политика BIOS Balanced.
Теперь посмотрим на результаты тестов по новой методике VMmark 2.5, позволяющей измерять производительность сервера на киловатт питания:
Как мы видим, политика Performance показывает самые низкие результаты (это логично, так как энергии потребляется много, а столько мощности не всегда требуется процессору), политика ESXi Balanced показывает результат на 3% лучше, а вот политика BIOS Balanced - аж на 20% лучше.
Кстати, интересны измерения потребления мощности при простаивающем процессоре:
Политика Performance потребляет 128 Вт
ESXi Balanced - 85 Вт
BIOS Balanced - тоже около 85 Вт
Казалось бы, почему тогда не использовать BIOS Balanced? А вот почему - при тестировании нагрузки приложений политика BIOS Balanced выдает огромные задержки (latency), негативно влияющие на производительность:
Таким образом, если снова вернуться к первому графику с обобщенными результатами, можно понять, что политика ESXi Balanced является наиболее оптимальной с точки зрения энергопотребления/производительности, поэтому-то она и установлена по умолчанию.
Таги: VMware, ESXi, Performance, vSphere, Hardware, Power
Не все администраторы платформы VMware vSphere в курсе, что на сервере VMware vCenter могут быть отключены различные фильтры хранилищ для хостов ESXi, что может оказаться полезным в нестандартных ситуациях.
Эти фильтры могут настраиваться через консоль vCenter в разделе расширенных настроек. Чтобы иметь возможность настраивать фильтры нужно выбрать пункт меню Administration > vCenter Server Settings. Далее в списке настроек нужно выбрать Advanced Settings.
На данный момент актуально четыре фильтра для хранилищ, включенных на хостах ESXi по умолчанию. Они помогают предотвращать ошибки, которые могут привести к повреждению и потере данных в исключительных ситуациях. Однако (зачастую, временно) эти фильтры можно отключить, но делать это нужно обдуманно, при этом не нужно забывать их снова включать.
В таблице ниже представлены назначение фильтров и конфигурация их выключения на сервере vCenter.
Название фильтра
Назначение фильтра
Конфигурация выключения
VMFS Filter
Этот фильтр не позволяет при выборе LUN для нового тома VMFS выбрать существующий и используемый VMFS-том. Действует это для любого хоста, управляемого сервером vCenter. Также этот фильтр работает при добавлении RDM-диска виртуальной машине - он не позволит выбрать существующий VMFS-том для этих целей.
config.vpxd.filter.vmfsFilter = false
RDM Filter
Этот фильтр отсеивает те LUN, которые используются как RDM-диски для виртуальных машин на каком-либо из хостов ESXi, управляемых vCenter. В среде vSphere две виртуальные машины не могут иметь непосредственный доступ к одному LUN через 2 разных mapping-файла. Однако через один такой файл - могут. Соответственно, если вам нужны две машины, использующих один RDM-том (например, для кластеров MSCS), то отключение этого фильтра может понадобиться.
config.vpxd.filter.rdmFilter = false
Same Host and Transports Filter
Этот фильтр не позволяет расширять существующий VMFS-том несовместимыми экстентами. Таким несовместимым томом может быть том, доступный только части хостов ESXi, а также LUN, имеющий не поддерживаемый на всех хостах тип хранилища, протокол и т.п.
Когда вы расширяете, растягиваете, удаляете хранилища или добавляете extent'ы, то автоматически вызывается rescan всех HBA-адаптеров, чтобы актуализировать конфигурацию хранилищ. Однако в большой инфраструктуре это может привести к так называемому "rescan storm", следствием чего может стать падение производительности. Отключение этого фильтра позволит выполнять эти действия без операций рескана. Это может оказаться очень удобным, когда вам в целях тестирования требуется производить описанные выше операции с виртуальными хранилищами.
config.vpxd.filter.hostRescanFilter = false
Ну и видео для тех, кому удобнее воспринимать из визуального ряда:
Иногда попытка включить фильтр после его временного отключения приводит к ошибке. Тогда нужно на сервере vCenter в файле vpxd.cfg найти и поправить соответствующую строчку в конфигурационном xml-файле:
При внесении описанных здесь изменений не обязательно перезапускать сервер vCenter - так как это всего лишь фильтры для мастера добавления хранилищ, они будут применены сразу же. Однако будьте осторожны с изменением фильтров, так как можно потерять данные.
Таги: VMware, vSphere, Storage, Troubleshooting, ESXi, VMachines, Обучение
Не так давно мы писали про странный продукт VMware для управления не только собственной платформой, но и гипервизором от Microsoft - VMware vCenter Multi-Hypervisor Manager. Странным он был потому, что не поддерживал свежую версию Hyper-V 3.0 в Windows Server 2012, а значит, в сущности, был бесполезен.
На днях VMware начала исправлять эту ошибку, выпустив обновленную бета-версию решения VMware vCenter Multi-Hypervisor Manager 1.1, которое теперь поддерживает управление платформой Hyper-V 3.0.
VMware vCenter Multi-Hypervisor Manager поставляется в виде плагина к "толстому" клиенту vSphere Client (Web Client не поддерживается), который предоставляет доступ к дереву объектов Microsoft Hyper-V. Серверная часть Multi-Hypervisor Manager - это Windows-приложение, поэтому если вы используете, например, виртуальный модуль VMware vCenter Server Appliance (vCSA), то придется устанавливать MHM на отдельную виртуальную или физическую Windows-машину и связывать его с сервисом vCenter.
Напомним основные возможности vCenter Multi-Hypervisor Manager для хостов Hyper-V и их виртуальных машин:
Добавление/удаление хостов Hyper-V в окружение vCenter
Информация о конфигурации хостов Hyper-V (processor, memory, network)
Создание/удаление виртуальных машин на Hyper-V
Удаленная консоль как к самим хостам Hyper-V, так и к виртуальным машинам
Простейшие операции по управлению питанием хостов и виртуальных машин (power off, power on, suspend, shut down guest и reset)
Изменение настроек виртуальных машин: память, vCPU, диски, сетевые адаптеры и прочее виртуальное "железо"
Отображение задач для хостов Hyper-V и виртуальных машин на общей панели задач и событий vSphere Client
Интегрированная авторизация с vCenter, а также поддержка механизма пользователей и ролей
Что нового появилось в VMware vCenter Multi-Hypervisor Manager 1.1:
Поддержка окружения Microsoft Hyper-V 3.0 и его виртуальных машин (более ранние версии гипервизора также поддерживаются). Кроме того, поддерживается бесплатная платформа Hyper-V Server 2012.
Возможность миграции ВМ с хостов Hyper-V на платформу ESX или ESXi.
Улучшенная масштабируемость, что выражается в поддержке окружения размером до 50 хостов Hyper-V (ранее было 20).
Возможность предоставления собственных сертификатов для сервера MHM из мастера установки.
Возможность выбрать сразу несколько объектов в интерфейсе, а также другие улучшения юзабилити.
Множественные багофиксы.
Скачать бета-версию VMware vCenter Multi-Hypervisor Manager 1.1 можно по этой ссылке. Руководство пользователя доступно здесь.
Кому-то может пригодиться видео по установке продукта:
Таги: VMware, MHM, Update, vCenter, vSphere, Hyper-V, Windows, Server
Не так давно компания VMware выпустила новый документ "VMware
Network
Virtualization Design Guide", который полезно будет почитать менеджерам и сетевым администраторам виртуализованного ЦОД на платформе VMware vSphere.
В документе на довольно концептуальном уровне рассматривается сетевая модель виртуального датацентра (virtual datacenter, VDC) в контексте использования следующих продуктов и технологий VMware:
VMware vSphere Distributed Switch 5.1 (1)
VMware vSphere logical network VXLAN (2)
VMware vCloud Networking and Security Edge 5.1 (3)
VMware vCloud Networking and Security Manager 5.1 (4)
VMware vCloud Director 5.1 (5)
VMware vCenter Server 5.1
Кстати, об организации сетей VXLAN в виртуальной инфраструктуре VMware vSphere и о том, для чего они нужны, мы уже писали вот тут.
В рамках концепции VXLAN рассмотрено прохождение пакетов в рамках одной виртуальной сети VXLAN:
А также прохождение пакетов из одной сети VXLAN в другую:
Интересны также комплексные сценарии, например, по организации доступа к виртуальной машине, работающей в рамках растянутого кластера (Stretched Cluster) и переехавшей из одного датацентра в другой посредством vMotion.
VMware vCenter Support Assistant 5.1 - это бесплатный плагин к VMware vCenter Server, который призван облегчить сбор диагностических данных об инфраструктуре VMware vSphere, а также помочь обратиться в техническую поддержку:
Если вы обращались в техподдержку VMware, то, наверняка, знаете, что это не очень удобный и весьма замороченный процесс. Теперь все это станет проще, поэтому продукт просто необходимо поставить в своей инфраструктуре. Тем более, что это плагин к vCenter, а не виртуальный модуль (Virtual Appliance).
Для начала обратите внимание, что обновление вышло не для ESXi 5.1 (последней версии гипервизора), а для ESXi 5.0 - его предыдущей версии. Так что это обновление актуально только для тех, кто еще не успел переехать со старой версии платформы.
Помимо VMware ESXi 5.0 Update 2, вышел и VMware vCenter 5.0 Update 2. Новые возможности обновлений:
Официальная поддержка работы vCenter 5.0 на Windows Server 2012.
Официальная поддержка новых гостевых ОС: Oracle Solaris 11, Solaris 11.1, а также Mac OS X Server Lion 10.7.5.
Поддержка сервером vCenter механизма Guest Operating System Customization для следующих гостевых ОС: Windows 8, Windows Server 2012, Ubuntu 12.04, RHEL 6.2, RHEL 6.3.
Не так давно мы писали о планируемом VMware продукте VMware vCenter Multi-Hypervisor Manager (MHM), который позволяет управлять серверами и виртуальными машинами на платформе Hyper-V. На днях компания VMware выпустила первую версию плагина Multi-Hypervisor Manager, который, конечно же, не поддерживает Hyper-V 3.0 в Windows Server 2012 (конечно же - потому что VMware в последнее время взяла моду выпускать продукты без поддержки последних версий). Однако, вроде бы, в скором времени обещают версию и под новый Hyper-V.
VMware vCenter Multi-Hypervisor Manager поставляется в виде плагина к "толстому" клиенту vSphere Client (Web Client не поддерживается), который предоставляет доступ к дереву объектов Microsoft Hyper-V на базе следующих ОС:
Microsoft Hyper-V Server 2008
Microsoft Hyper-V Server 2008 R2
Напомним, что, согласно архитектуре решения, MHM имеет не только клиентскую часть, но и серверный компонент:
Для установки серверной части потребуются следующие вычислительные ресурсы:
2 CPU на частоте 2 ГГц или более
4 ГБ памяти
1 ГБ дискового пространства
Сетевой адаптер
Между всеми компонентами данной архитектуры осуществляется безопасная коммуникация по HTTPS.
Надо отметить, что серверная часть Multi-Hypervisor Manager - это Windows-приложение, поэтому если вы используете, например, виртуальный модуль VMware vCenter Server Appliance (vCSA), то придется устанавливать MHM на отдельную виртуальную или физическую Windows-машину и связывать его с сервисом vCenter. И да, надо отметить, что:
vCenter Multi-Hypervisor Manager is a fully-supported vCenter Server feature. VMware provides support for all vCenter Multi-Hypervisor Manager or vSphere related issues
Возможности vCenter Multi-Hypervisor Manager 1.0 для хостов Hyper-V:
Добавление/удаление хостов Hyper-V в окружение vCenter
Информация о конфигурации хостов Hyper-V (processor, memory, network)
Создание/удаление виртуальных машин на Hyper-V
Удаленная консоль как к самим хостам Hyper-V, так и к виртуальным машинам
Простейшие операции по управлению питанием хостов и виртуальных машин (power off, power on, suspend, shut down guest и reset)
Изменение настроек виртуальных машин: память, vCPU, диски, сетевые адаптеры и прочее виртуальное "железо"
Отображение задач для хостов Hyper-V и виртуальных машин на общей панели задач и событий vSphere Client
Интегрированная авторизация с vCenter, а также поддержка механизма пользователей и ролей
Скачать VMware vCenter Multi-Hypervisor Manager 1.0 можно по этой ссылке. Есть еще FAQ в KB 2037570.
Мы уже писали о виртуальном модуле VMware vCenter Server Appliance (vCSA), который представляет собой готовую к развертыванию виртуальную машину, содержащую сервисы управления виртуальной инфраструктурой VMware vSphere. Также мы уже писали о настройке vCSA для работы с внешней СУБД Oracle. В этом посте мы хотели бы обобщить актуальную информацию по VMware vCenter Server Appliance версии 5.1, который построен на базе 64-битного SUSE Linux Enterprise Server 11, а также привести полезные ссылки по работе с этим средством. Основные требования vCSA 5.1:
2 vCPU для виртуальной машины
8 ГБ памяти
Около 80 ГБ диска для нормальной работы
Итак, во-первых, небольшое видео по первичной установке и настройке vCSA 5.1:
Во-вторых, приведем причины, по которым вам может быть полезно использовать vCSA 5.1:
Простота развертывания и настройки виртуального модуля в тестовых окружениях
Компания VMware сделала доступными для скачивания продукты VMware vSphere 5.1, Site Recovery Manager 5.1, vSphere Storage Appliance 5.1 и другие продукты, про новые возможности которых мы уже писали в следующих статьях:
Напомним, что отмена лицензирования по vRAM для vSphere имеет и обратный эффект - на версию 5.0. То есть, в VMware vSphere 5.0 вы можете использовать столько памяти виртуальных машин, сколько вам нужно, не обращая внимания на алерты (видимо, до выхода соответствующего патча). Версии Essentials и Esssentials Plus нужно будет обновить для отмены ограничения, поскольку там был захардкоженный лимит.
На конференции VMworld 2012 компания VMware анонсировала выпуск новой версии серверной платформы виртуализации VMware vSphere 5.1. В обновленной версии продукта появилось множество интересных возможностей, отражающих движение компании VMware в направлении развития облачных вычислений. В этой статье мы приведем полный список новой функциональности VMware vSphere 5.1, которая доступна пользователям уже сегодня...
Не так давно обновились сразу несколько продуктов VMware и Microsoft, о которых мы расскажем в этой заметке. Во-первых, вышло обновление VMware vCenter 5.0 Update 1b (напомним, что не так давно вышло обновление 1a).
VMware vCenter Server 5.0 Update 1b - это патч-релиз, имеющий следующие улучшения:
Поддержка следующих СУБД для vCenter:
Oracle 11g Enterprise Edition, Standard Edition, Standard ONE Edition Release 2 [11.2.0.3] - 64 bit
Oracle 11g Enterprise Edition, Standard Edition, Standard ONE Edition Release 2 [11.2.0.3] - 32 bit
Смена БД vCenter Server Appliance - встроенная база данных DB2 Express теперь заменена на VMware vPostgres.
Во-вторых, вышел минорный апдейт продукта VMware View 5.1.1 (о версии View 5.1 мы уже писали тут). Этот релиз исправляет только некоторые ошибки в компонентах View Connection Server, View Agent и View Persona Management. Соответственно, вам не нужно обновлять компоненты View Security Server, View Transfer Server и View Composer Server. Также появился документ "Obtaining SSL Certificates for VMware View Servers". Основные улучшения касаются представлений View Manager, когда у вас большое количество виртуальных ПК в VDI-инфраструктуре (>10 000), которые разбиты на блоки, в соответствии с референсной архитектурой:
Бесплатный доступ к Windows Azure в течение 30 дней можно получить без кредитной карты и прочих платежных данных на сайте официального дистрибьютора сервисов Azure, а если вы хотите триал на 90 дней, то понадобится указать данные кредитной карты, которая оформлена в США, и будьте готовы заплатить за превышение указанных в условиях лимитов использования вычислительных ресурсов.
Напомним, что это средство необходимо в случаях, когда требуется обновление выключенных виртуальных машин (например, эти машины используются редко, но для них в целях безопасности нужно поддерживать необходимый уровень обновлений). Утилита VMST 2012 предназначена для совместной работы с System Center 2012 Virtual Machine Manager (VMM), System Center 2012 Configuration Manager и Windows Server Update Services (WSUS) 3.0 SP2.
В конце прошлой недели были выпущены патчи для ESXi (Patch Release ESXi500-201207001), решающие эту проблему. Скачать их можно с портала патчей VMware, выбрав продукт ESXi версии 5.0.0 и дату - 12 июля:
Эти патчи включают в себя обновления подсистемы безопасности, а также множественные исправления ошибок, в том числе, фикс проблем Auto Start и SvMotion / VDS / HA :
Как вы знаете, с появлением VMware vSphere 5 в состав решения вошел также виртуальный модуль VMware vCenter Server Virtual Appliance (vCSA), который представляет собой готовую виртуальную машину с преднастроенными сервисами vCenter, работающими с интегрированной БД IBM DB2.
Однако такая конфигурация подходит лишь для небольших инсталляций (не более 5 хост-серверов ESXi и 50 виртуальных машин), поэтому в корпоративной инфраструктуре необходимо будет подключать внешнюю базу данных, например, Microsoft SQL Server или Oracle Database.
В данной заметке мы рассмотрим настройку СУБД Oracle 11g R2 x64, работающей Windows Server 2008 для использования совместно с VMware vCenter Server Virtual Appliance.
Для начала сконфигурируем Oracle и пользователя БД:
1. Откройте сессию SQL*Plus как SYSDBA:
C:`>sqlplus sys/<password> as SYSDBA
2. Создайте базу данных с помощью следующих SQL-команд:
CREATE SMALLFILE TABLESPACE “VPX” DATAFILE ‘e:/app/oracle/oradata/orcl/vpx01.dbf’ SIZE 1G AUTOEXTEND ON NEXT 10M MAXSIZE UNLIMITED LOGGING EXTENT MANAGEMENT LOCAL SEGMENT SPACE MANAGEMENT AUTO;
3. Создайте пользователя БД Oracle с необходимыми для vCenter Server привилегиями с помощью следующих команд SQL:
CREATE USER "VPXADMIN" PROFILE "DEFAULT" IDENTIFIED BY "oracle" DEFAULT TABLESPACE "VPX" ACCOUNT UNLOCK; grant connect to VPXADMIN; grant resource to VPXADMIN; grant create view to VPXADMIN; grant create sequence to VPXADMIN; grant create table to VPXADMIN; grant create materialized view to VPXADMIN; grant execute on dbms_lock to VPXADMIN; grant execute on dbms_job to VPXADMIN; grant select on dba_tablespaces to VPXADMIN; grant select on dba_temp_files to VPXADMIN; grant select on dba_data_files to VPXADMIN; grant unlimited tablespace to VPXADMIN;
Теперь приступим к настройке VMware vCenter Server Virtual Appliance:
1. Зайдите на vCenter по адресу:
https://<имя vcsa>:5480/
2. На вкладке vCenter Server перейдите в категорию Database.
3. Выберите oracle в качестве Database Type и введите информацию о БД, затем нажмите Save Settings. Обратите внимание, что в tnsnames.ora ничего добавлять не нужно, а также не надо настраивать ODBC-конфигурацию.
4. Подождите около 5 минут, пока vCSA создаст схему БД.
5. Перейдите в категорию Status и в поле Service Status должно отображаться "Running":
6. После этого уберите ненужные больше привилегии пользователя следующими командами в SQL*Plus:
revoke select on dba_tablespaces from VPXADMIN; revoke select on dba_temp_files from VPXADMIN; revoke select on dba_data_files from VPXADMIN;
RSS
