Лондон, 4 мая 2011 г. ? Компания VMware, мировой лидер в области виртуализации и облачных вычислений, опубликовала результаты комплексного исследования, рассматривающего распространение облачных вычислений среди предприятий малого и среднего бизнеса в Европе. Таги:
Как вы знаете, в рамках партнерства с компанией Код Безопасности мы будем вас знакомить с продуктом vGate 2, который позволяет автоматизировать работу администраторов по конфигурированию и эксплуатации системы безопасности, а также облегчает приведение виртуальной инфраструктуры на платформах компании VMware в соответствие законодательству и отраслевым стандартам.
Мы уже много писали о таком документе как VMware vSphere Security Hardening (есть также и версия для VMware View), который описывает основные принципы и приемы обеспечения информационной безопасности VMware vSphere и виртуальных машин (без учета гостевых ОС).
Так вот, недавно компания VMware выпустила бесплатный продукт "VMware Compliance Checker for vSphere", который и проверяет вашу виртуальную инфраструктуру VMware vSphere на соответствие требованиям данного документа.
Основные возможности VMware Compliance Checker for vSphere:
Проверка соответствия нескольких серверов VMware ESX / ESXi в рамках одной сессии (поддерживается только соединение с vCenter).
Сканируются не только хост-серверы, но и vmx-параметры виртуальных машин.
Основан на VMware vSphere Security Hardening.
После того как обследование запущено, можно посмотреть пункты по виртуальным машинам и по типу категории обследования
Ну а теперь самое главное - у российской компании "Код Безопасности" есть бесплатный продукт vGate Compliance Checker, который не только объединяет в себе возможности сканирования виртуальной инфраструктуры на соответствие обоим видам требований по безопасности (Security Hardening и PCI DSS), но и поддерживает сканирование по различным версиям этих стандартов и руководящих документов. То есть, он круче, чем VMware Compliance Checker for vSphere.
Как вы знаете, хорошая компания Veeam Software делает не только всем известный Veeam Backup and Replication, но и полезный продукт Veeam Reporter, который позволяет вести трекинг изменений виртуальной инфраструктуры VMware vSphere и получать отчетность обо всех ее аспектах. О продукте Veeam Reporter мы уже писали.
Сейчас компания Veeam работает над созданием второй версии Capacity Planning Report pack for Veeam Reporter, которая позволит осуществлять планирование мощностей инфраструктуры виртуализации VMware vSphere. Он станет частью законченного решения для мониторинга и отчетности Veeam ONE.
Какими возможностями будет обладать Capacity Planning Report pack for Veeam Reporter:
Recommendations for hardware planning and provisioning. В рамках этих возможностей можно будет получать грамотные рекомендации по планированию новых серверных мощностей и дозакупке хранилищ. В отличие от других решений по capacity planning, которые идентифицируют проблемные области и предсказывают, когда пороговые значения будут превышены, Capacity Planning Report pack анализирует узкие места в производительности и росте инфраструктры и выдает конкретные рекомендации по оборудованию и хранилищам, а также их конфигурациям.
Enhanced what-if analysis. В дополнение к сценариям моделирования развития инфраструктуры, которые есть в текущей версии, появятся новые типы конфигураций хостов и виртуальных машин, которые можно использовать для анализа в стиле "что произойдет, если будет как есть, или как будет, если мы добавим такие-то мощности".
Identification of over-provisioned storage. При использовании thin provisioning для виртуальных машин может возникнуть ситуация, когда машины при росте данных могут заполнить хранилище, что вызовет отказ гостевых ОС. Capacity Planning Report pack все это учитывает и своевременно дает рекомендации по хранилищам.
А теперь, слайды:
Приятно, что Capacity Planning Report pack for Veeam Reporter будет доступен абсолютно бесплатно для всех текущих и новых пользователей Veeam Reporter и Veeam ONE.
Напоминаю, что будущая версия VMware vSphere 5, которая уже выйдет в этом году, будет полностью основана на "тонком" гипервизоре VMware ESXi и не будет иметь в своем составе платформы ESX. То есть, вам всем уже нужно готовиться к переходу на ESXi и все новые инсталляции компания VMware рекомендует делать именно на базе этой платформы.
Как вы знаете, мы начали стратегическое сотрудничество с компанией "Код Безопасности", которая выпускает такой нужный для российского рынка продукт как vGate 2. Он нужен, чтобы автоматизировать работу администраторов по конфигурированию и эксплуатации системы безопасности, а также привести виртуальную инфраструктуру на платформах VMware в соответствие законодательству и отраслевым стандартам. Он имеет сертификат ФСТЭК, что очень нужно при наведении порядка в организации, которая хочет соответствовать нормам ФЗ 152.
Но у компании "Код Безопасности" есть и бесплатный продукт, с которого лучшего всего начать приобщение к продуктовой линейке по обеспечению безопасности VMware vSphere. Это утилита vGate Compliance Checker.
vGate Compliance Checker позволяет проверить соответствие виртуальных инфраструктур на платформах компании VMware требованиям таких стандартов, как PCI DSS и рекомендаций CIS VMware ESX Server Benchmarks и VMware Security Hardening Best Practices. Результатом проверки, которую ИТ-специалисты смогут провести с помощью vGate Compliance Checker, является структурированный отчет (можно экспортировать в HTML), представляющий информацию о положениях стандартов и о соответствии протестированной системы этим положениям. Проверять систему можно произвольно на соответствие только интересующим стандартам и рекомендациям.
Добавим в vGate Compliance Checker сервер VMware ESX (кнопка "Добавить") и запустим проверку безопасности VMware vSphere (кнопка "Запустить").
Начнется сканирование хоста VMware ESX:
После чего, ваш хост ESX конечно не будет соответствовать основным политикам безопасности. Поэтому чтобы узнать, каким именно - нажимаем кнопку "Детали":
Чтобы получить полный отчет в формате html, нужно нажать на кнопку "Сохранить". Отчет vGate Compliance Checker удобно разбит по категориям, соответствующим нормам безопасности виртуальной инфраструктуры VMware vSphere:
Давайте раскроем политику VMware и посмотрим что там внутри:
Как видите, для каждого несоответствия vGate Compliance Checker рассказывает о том, какие именно рекомендации и стандарты нарушены с точки зрения безопасности сервера VMware ESX, а также суть необходимой политики, которую нужно применить в целях повышения уровня безопасности.
Как устранить эти дырки и привести свои серверы ESX в соответствие нормам и стандартам? Ну, во-первых, вы можете воспользоваться материалами нашего сайта, где по тэгу Security можно найти решения для некоторых требований безопасности (например, вот про политики паролей).
Но лучше всего, в целях настоящей безопасности, установить, попробовать, а потом и купить продукт vGate 2, который позволяет держать под контролем безопасность виртуальной инфраструктуры vSphere. Это уже более серьезный уровень, и, если вы озабочены тем, как сделать все правильно с точки зрения Security - не отключайтесь, на следующей неделе мы поговорим про vGate 2 подробнее.
На сайте проекта VMware Labs (о котором мы уже писали) появился новый интересный продукт - VMware PXE Manager for vCenter. Продукт позволяет настроить автоматизированное развертывание серверов VMware ESXi в виртуальной инфраструктуре.
Основные возможности VMware PXE Manager for vCenter:
Автоматизированное развертывание stateless и stateful хостов ESXi (без поддержки ESX)
Резервное копирование состояния ESXi (firmware), а также восстановление и архивирование в соответствии с политиками
Управление репозиториями билдов ESXi (stateless и statefull)
Управление патчами ESXi
Поддержка нескольких серверов vCenter
Поддержка сложных сетевых конфигураций за счет агентов (позже будет готов виртуальный модуль на базе Linux CentOS, который будет отвечать за развертывание хостов ESXi в своем сегменте датацентра)
Поддержка технологии WoL (Wake on Lan)
Выполнение тестирования памяти хостов ESXi (memtest)
Наличие плагина к vCenter
Развертывание систем в VMware Cloud Director напрямую
Развертывание серверов ESXi на блейд-системах Cisco UCS
Как обещают, эта утилита будет включена в состав платформы VMware vSphere 5. Сам PXE Manager состоит из нескольких компонентов (как и, например, Update Manager) - сервера, устанавливаемого на vCenter, и плагина к vSphere Client. Кроме того, в дочерних датацентрах (например, логических, под управлением Cloud Director) могут быть PXE-агенты в виде виртуальных модулей (это появится позже):
Обзорное видео по установке продукта:
Скачать VMware PXE Manager for vCenter можно по этой ссылке.
Хорошо, что на свете есть Veeam Backup and Replication 5, который оставил конкурентов на сотни километров позади, и является лучшим на сегодняшний день средством резервного копирования виртуальных машин VMware vSphere. Мы уже писали о новых возможностях Veeam Backup and Replication 5.0, а сегодня рассмотрим нововведения в версиях 5.0.1 и 5.0.2 (последняя вышла не так давно).
Итак, новое в Veeam Backup and Replication 5.0.1:
Поддержка Distributed Virtual Switches (dvSwitch). Теперь это устройство VMware vSphere поддерживается для создания виртуальных лабораторий (Virtual Labs), позволяя еще более гибко подходить к их созданию.
SQL Server Role - новый скрипт для поддержки верификации резервных копий с SQL-серверами с помощью SureBackup.
Automatic failover for Veeam Backup - при попытке забэкапить сам сервер Veeam Backup в режиме Virtual Appliance происходит переключение в Network
mode.
Multi-OS File Level Restore DHCP requirement removed - теперь виртуальный модуль для восстановления файлов из резервных копий не требует наличия DHCP и может работать со статическим IP-адресом.
Multi-OS File Level Restore via FTP - теперь на виртуальном модуле для восстановления файлов можно включить FTP-сервер, который можно использовать в сценариях восстановления для тысяч файлов из гостевых ОС. Также в рамках этого, пользователь конкретной ВМ может восстанавливать файлы самостоятельно.
А вот что нового появилось в версии 5.0.2:
Internet access from virtual lab - теперь при тестировании бэкапов SureBackup в виртуальных лабораториях можно использовать доступ в интернет из этих машин (настраивается в реестре сервера Veeam).
Automated retention for removed and deleted VMs - в интерфейсе можно настроить удаление данных из резервных копий, которые относятся к уже удаленным из окружения vSphere виртуальным машинам. Удаление произойдет через заданное количество дней. Очень удобно для временных и тестовых систем.
Optional catalog import - импорт каталога гостевой ОС теперь не обязателен при импорте бэкапа для Veeam Backup (то есть когда не нужно залезать в гостевую ОС для восстановления, а достаточно восстановить машину целиком). Теперь импорт бэкапа работает быстрее.
Date Modified attribute preservation - теперь при мгновенном восстановлении файлов в ОС Microsoft сохраняется аттрибут Date Modified.
Поддержка Microsoft Windows Storage Server - теперь сюда можно устанавливать Veeam Backup Server и Veeam Enterprise Manager.
Напоминаю, что скачивать Veeam Backup and Replication 5 нужно по этой ссылке, а покупать - по этой.
Как вы уже все знаете, мы очень любим продукт StarWind Enterprise HA (о нем написано тут, тут и в разделе StarWind), который позволяет создавать отказоустойчивые хранилища для виртуальных машин на платформах VMware vSphere и Microsoft Hyper-V. Это позволяет существенно сэкономить на средствах репликации данных (например, VMware Site Recovery Manager) и не требует покупки дорогостоящих массивов Fibre Channel. То есть можно использовать существующую инфраструктуру Ethernet и дисковые массивы iSCSI, либо вообще серверы-хранилища.
Сегодня компания StarWind запустила промо-программу, в рамках которой можно купить StarWind Enterprise HA со скидкой 5% до конца июня. Продукт нужный - поэтому поторопитесь и закладывайте его в бюджет.
Не требуется никакого дополнительного ПО (виртуальные модули, VMware Mobile Access и т.п.). vmwClient соединяется с серверами VMware vSphere и vCenter напрямую как и vSphere Client.
Вменяемый и удобный интерфейс
Одновременное управление несколькими серверами vCenter и отдельными хостами ESX / ESXi. Не требуется logout при переключении к другому хосту.
vmwClient может хранить аккаунты для нескольких хостов и их настройки.
Клиент загружает только необходимую информацию из Inventory серверов vCenter или ESX / ESXi - что не требует большого объема трафика, передаваемого по сетям GPRS/3G/WCDMA.
Продукт развивается и постоянно обрастает функционалом.
Какие операции поддерживаются в vmwClient для работы с виртуальными машинами и хост-серверами:
Простейшие операции с хостами и ВМ: start, stop, reset, summary и т.п.
Просмотр событий (events) для объектов, просматриваемых в настоящий момент.
Как мы уже неоднократно писали, следующая версия платформы виртуализации VMware vSphere 5, которая выйдет в этом году, будет поставляться только на базе гипервизора VMware ESXi. Это означает, что всем пользователям VMware vSphere, которые работают с VMware ESX (а таких большинство), нужно уже сейчас задуматься о переходе на продукт ESXi.
Когда вышла VMware vSphere 4.1 в Release Notes мы могли прочитать подтверждение данного факта:
VMware vSphere 4.1 and its subsequent update and patch releases are the last releases to include both ESX and ESXi hypervisor architectures. Future major releases of VMware vSphere will include only the VMware ESXi architecture.
Сегодня мы поговорим о том, что нужно учитывать при неизбежной миграции на VMware ESXi c ESX, и почему можно сказать, что этот переход не будет особо болезненным. Для начала нужно посетить ресурс по переходу на ESXi на сайте VMware. Там есть много интересного, а в частности ESXi 4.1 migration guide, в котором описаны тонкости процесса миграции.
Если вы не хотите читать этот огромный 13-страничный гайд, то есть небольшая выжимка в виде презентации "Transitioning to the ESXi Hypervisor", где можно найти много полезной информации.
В частности, у каждого аспекта управления в VMware ESX есть свой аналог в VMware ESXi, совокупность которых справляется со всеми задачами, присутствующими в виртуальной инфраструктуре vSphere:
Кстати интересная фраза (август, 2010): "VMware users should put a plan in place to migrate to ESXi during the next 12 to 18 months".
Теперь вместо агентов в гостевой ОС (ESX), у нас есть партнерские модули Common Information Model (CIM) в ESXi:
В версии VMware ESX / ESXi 4.1 компания VMware свела различия в функциональности двух платформ к минимуму (красным выделено появившееся в 4.1):
Для диагностики и решения проблем у нас есть куча локальных и удаленных интерфейсов в ESXi. Tech Support Mode также поддерживается локально и по SSH, что делает настройку ESXi простым делом:
Через клиента vSphere Client или браузер мы проводим стандартные операции, в DCUI лезем, если что-то зависло, а TSM используем для глубокого копания.
К файлам настройки на ESXi мы можем ходить через браузер:
И к лог-файлам тоже:
Ну, то есть в ESXi есть то же, что и в ESX - поэтому переходить можно смело:
И, напоследок, для всех тех, кто хотел узнать, что за продукт такой vSphere Hypervizor:
VMware vSphere Hypervisor is the new name for what was formerly known as VMware ESXi Single Server or free ESXi (often abbreviated to simply “VMware ESXi”)
Вы уже знаете, что не так давно вышли окончательные версии платформы Microsoft Windows Server 2008 R2 SP1 и бесплатной ее версии Hyper-V Server 2008 R2 SP1, ориентированной только на задачи виртуализации. Одно из основных нововведений - функции Dynamic Memory для виртуальных машин, позволяющие динамически выделять и распределять оперативную память между ними.
Как вы знаете, в платформе виртуализации VMware vSphere 4.1 появилось несколько новых улучшений в плане производительности горячей миграции виртуальных машин vMotion между серверами VMware ESX / ESXi (об этом можно почитать тут и тут).
Одно из улучшений vMotion - функция Quick Resume, которая позволяет произвести успешную миграцию виртуальной машины, в которой происходит очень интенсивная работа с памятью (то есть страницы меняются быстрее, чем успевают передаваться по сети на другой хост). Обычно это высокопроизводительные приложения вроде баз данных и т.п.
Duncan Epping, сотрудник VMware и известный блоггер, недавно раскрыл подробности работы Quick Resume. За счет этой техники виртуальная машна перемещаемая на целевой хост запускается еще до того, как все страницы полностью скопируются. Но в этом случае целевая машина может запросить страницу памяти, которая еще не скопировалась.
В этом случае Quick Resume обеспечивает доступ к странице с исходной виртуальной машины, продолжая при этом копирование страниц на целевой хост. Но что будет, если в этот момент сеть перестанет быть доступной, а целевой машине понадобится страница?
В этом случае Quick Resume для vMotion, также как и Storage IO Control, использует общее хранилище для хостов ESX / ESXi. На хранилище создается специальный файл, который используется как backup buffer, к которому имеют доступ оба хоста, и за счет которого миграция vMotion доводится до конца. То есть, через этот буферный файл (несколько мегабайт) происходит обмен страницами между хостами в случае недоступности сети или высокоинтенсивной нагрузки. Естественно это все заметно влияет на производительность ВМ во время миграции, так как время доступа к памяти сильно увеличивается, зато все отрабатывает надежно.
Мы уже рассказывали о том, как известный профессионал в сфере виртуализации Eric Siebert начал писать свою книгу о лучших практиках резервного копирования виртуальных машин VMware vSphere. Сейчас на сайте Veeam появился документ "Top 10 Best Practices for VMware Data Protection", который именно об этом рассказывает, и который можно скачать бесплатно и без регистрации.
Документ рассказывает о довольно-таки простых, но важных вещах (все из которых реализованы в продукте Veeam Backup and Replication 5):
Не делайте резервные копии на уровне гостевой ОС - в среде виртуализации это делают на уровне образа виртуальной машины. Это не нагружает гостевую ОС, можно делать резервное копирование напрямую в SAN и можно таким образом бэкапить что угодно.
Используйте VMware vStorage API - эта технология (и, в частности, ее инструмент Changed Block Tracking) - в разы ускоряют создание инкрементальных резервных копий.
Обязательно используйте поддержку VSS для создания целостных бэкапов - Veeam Backup умеет работать с VSS в гостевых ОС.
Следите за использованием вычислительных и дисковых ресурсов - помните, что, с одной стороны, ваше решение по резервному копированию должно обеспечивать максимальную эффективность в отношении хранилища резервных копий - дедупликация, компрессия, возможность сохранять отдельные диски, возможность импорта изолированных бэкапов, а, с другой стороны, бэкап сервер должен иметь достаточные вычислительные мощности для обработки заданий и достаточную ширину канала резервного копирования.
Используйте репликацию для критичных систем - реплика создается в режиме Near-CDP, что позволяет добиться минимальных потерь в случае аварии и наименьшего времени восстановления работоспособности системы (показатели RPO и RTO).
Проверяйте целостность ваших резервных копий - с технологией SureBackup теперь это просто, а сама процедура автоматизирована. Теперь можно проверять абсолютно все бэкапы.
Используйте новые методики восстановления - отдельные файлы из образа можно восстанавливать в работающую ВМ уже давно, но теперь появилась возможность восстанавливать объекты Active Directory, SQL и Exchange - это действительно удобно и иногда по-настоящему (функция U-AIR).
Kenny Coleman, один из блоггеров, пишущий о виртуализации VMware, выпустил пакет утилит для администраторов виртуальной инфраструктуры vSphere / ESX под названием VM Advanced ISO. Пакет содержит в себе набор необходимых программ для рутинных задач с виртуальными машинами:
Утилиты 1 - P2V Clean-up
01 - Resolution Resize (меняем разрешение гостевой ОС)
02 - HP ProLiant Cleaner (вычищаем софт HP после миграции в ВМ)
Мы уже много писали о решении StarWind Enterprise iSCSI, которое позволяет создавать надежные отказоустойчивые хранилища для виртуальных машин на серверах VMware ESX и Microsoft Hyper-V (подробнее тут, тут и тут) и будем продолжать писать, пока вы все его не купите.
Сегодня мы поговорим о непрерывной защите данных виртуальных хранилищ, например, на томах VMFS, где размещены виртуальные машины VMware vSphere. Во-первых, настоятельно рекомендуем вам прочитать статью о виртуальных дисках типа Snapshot and CDP Device, которые позволяют создавать защищенные хранища на базе технологии снапшотов StarWind.
Диски типа Snapshot and CDP Device можно создать, когда вы выбираете опцию создания виртуального образа Advanced Virtual, а затем Snapshot and CDP Device:
CDP - это Continuous Data Protection, т.е. непрерывная защита данных ваших виртуальных машин. В этом режиме поддерживаются мгновенные снимки хранилища (snapshots), которые защитят вас от утраты каких-либо важных данных по вине пользователя - вы всегда сможете откатиться к снимку, созданному в определенный момент времени.
Диск типа Snapshot and CDP - в таком режиме StarWind будет автоматически создавать снапшоты хранилищ с заданным интервалом времени (опция Snapshot auto creation with interval of (minutes)). Такой тип диска полезен для постоянной защиты данных (Continuous Data Protection, CDP) хранилищ виртуальных машин от их утери или порчи. В случае сбоя можно откатиться к нужному снапшоту. Кроме того, поддерживаются также и снапшоты, создаваемые администратором вручную.
Здесь имеют значение следующие параметры:
Limit on the maximum number of stored snapshots - здесь мы ограничиваем число хранимых снапшотов.
Snapshot auto creation interval - это число минут, через которое будут автоматически создаваться снапшоты для защиты вашего хранилища от порчи пользовательских данных. Это очень удобно при разработке и тестировании, когда вам нужно создавать копии целого набора виртуальных машин на хранилище автоматически. Ну и, само собой, это удобно в производственной среде - когда есть шанс того, что какие-нибудь действия приведут к утере данных (БД и прочее).
В целях надежности - для каждой сессии при работе с хранилищем создается свой журнал. После снятия снапшота на диск пишутся только изменения, происходящие в хранилище, не затрагивая то, что было до создания снимка.
Почему иногда полезно использовать защиту хранилищ средствами снапшотов вместо бэкапов? Прежде всего, это скорость восстановления ваших данных - к снапшоту можно откатиться очень быстро, а восстановление хранилища из резервных копий занимает очень долгое время. Соответственно, снапшот делается быстро, а бэкап - долго. Все это влияет на показатели RTO (Recovery Time Objective), а по-русски - время восстановления работоспособности сервисов.
Кроме того, хранилище StarWind Enterprise, на котором сделан снапшот - просто забрать для резервной копии, поскольку все те данные, что были до момента снятия снапшота освобождены от операций записи:
Если вы задали параметры Limit on the maximum number of stored snapshots и Snapshot auto creation interval - то у вас снапшоты будут создаваться автоматически, а откатиться к ним вы сможете используя материалы вот этой нашей заметки.
В папке с виртуальным диском Snapshot and CDP вы можете увидеть следующие файлы, знать назначение которых полезно:
*.ibv - заголовок тома виртуального диска
*.ibvm - карта секторов тома, создаваемая на период сессии
*.ibvd - этот файл содержит отличия снапшота от базового образа (то есть сами данные)
*.ibvss - в этом файле содержится заголовок снапшота
Что насчет консистентности снапшотов StarWind Enterprise? Об этом разработчики также позаботились. В продукте есть поддержка технологии Volume Shadow Services - VSS Module (он есть как для 32-х, так и для 64-битных систем).
Технология VSS, работающая на блочном уровне, позволяет получать целостные копии томов при работе со снапшотами, таким образом, чтобы два куска одного файла не оказались по разные стороны от снапшота. В данном случае эта технология работает на уровне целого хранилища (помним, что StarWind - это ПО для Windows Server), не позволяя файлам VMDK или VHD получаться неконсистентными (то есть, невосстановимыми) при работе со снапшотами.
Бывает такое, что при резервном копировании виртуальной машине VMware vSphere на томе NFS (не VMFS!) виртуальная машина перестает отвечать на пинги, консоль подвисает и с ней не соединиться по RDP.
Такие вещи случаются, когда вы используете Veeam Backup and Replication 5 в режиме Changed Block Tracking (CBT), то есть с отслеживанием изменившихся блоков для более быстрого резервного копирования. Связано это с особенностями работы NFS-лочек, которые могут "провисать" до 30 секунд, в течении которых машина и зависает.
Если это вас так сильно беспокоит, Changed Block Tracking можно просто отключить в настройках задачи резервного копирования Veeam Backup and Replication:
Но если отключите CBT - бэкапы будут делаться медленнее. Так что выбирайте.
О чем нам рассказывает данный документ в плане безопасности платформы VMware vSphere 4.1:
Защита хост-серверов виртуализации VMware ESX / ESXi 4.1
Безопасность виртуальной машины как контейнера для гостевой ОС (то есть не рассматривается защита ОС в виртуальной машине и приложений)
Правильная конфигурация виртуальной инфраструктуры в целом: средства управления, сети хранения данных, виртуальные коммутаторы (но не сеть между ВМ)
Защита VMware vCenter Server, его базы данных, а также vSphere Client
Защита сервера VMware Update Manager (как главного средства своевременного наката обновлений, в том числе в плане безопасности)
Есть полезные рекомендации, а есть весьма пространные. Очень удобно, что они разбиты на блоки, в пределах которого разъясняется суть угрозы, пример воздействия на инфраструктуру и область применения (Enterprise, DMZ и Specialized Security Limited Functionality (SSLF)). Вот пример полезной рекомендации:
Напоминаем также, что в настоящее время идет публичное обсуждение данного руководства для продукта VMware View - VMware View Security Hardening.
P.S. Не забываем про скрипт VMware vSphere Security Hardening Report Check, который позволяет проверить вашу виртуальную инфраструктуру на соответствие VMware vSphere 4.x Security Hardening Guide.
Мы уже писали о ставших официально известными подробностях о новой версии платформы виртуализации VMware vSphere 5.0. С мной поделились интересной ссылкой на подробное описание новых функций vSphere 5.0, которое сделано, судя по всему, на базе Release Candidate версии продукта.
Поскольку я не нахожусь под действием NDA и не участвую в бета-программе, я могу поделиться с вами основными ключевыми возможностями vSphere 5.0 (приведены лишь ключевые особенности - остальные по ссылке выше):
1. Платформа vSphere 5.0 будет построена только на базе гипервизора ESXi - без возможности установки ESX. Сервер управления VMware vCenter 5.0 будет поддерживать управление хостами ESXi 5.0, ESX/ESXi 4.x и ESX/ESXi 3.5.
2. VMware vSphere Auto Deploy - полная поддержка автоматизированного развертывания хостов ESXi.
3. Новые возможности виртуальных машин - 32 виртуальных процессора (vCPU), 1 TB RAM, 3D-акселерация для поддержки Windows Aero, UEFI virtual BIOS, поддержка устройств USB 3.0 (пока только для Linux-систем и только для проброса через vSphere Web Client - напрямую к хосту нельзя). Устройства USB 2.0 теперь поддерживаются к пробросу в виртуальные машины через vSphere Client или vSphere Web Client.
6. Dynamic Resource Scheduling (DRS) for Storage - эта давно ожидаемая функция платформы виртуализации, которая позволит автоматически выравнивать нагрузку на системы хранения путем динамического перемещения работающих виртуальных машин между хранилищами (сейчас это можно сделать вручную за счет Storage VMotion). Пользователи смогут определять группы Datastor'ов (они зовутся Storage Pods), которые будут использоваться для балансировки по хранилищам на базе их заполненности. Предполагается, что это повысит автоматизацию датацентров. Вроде как присутствует и генерация рекомендаций по балансировке и Initial Placement на базе параметров IO.
7. Policy-driven storage delivery - политики размещения виртуальных машин на хранилищах на базе правил, задаваемых администратором. Это позволит регулировать качество обслуживания систем со стороны хранилищ и автоматически определять наилучшее место хранения виртуальных машин.
8. Файловая система VMFS 5.0.
9. Accelerator - новая технология кэширования данных виртуальных ПК для VMware View, увеличивающая их производительность.
10. Полный контроль за iSCSI адаптерами (программными и аппаратными) из графического интерфейса.
12. Swap to SSD - для хранилищ администратор будет назначать тэги, наиболее производительные хранилища SSD будет рекомендовано использовать для хранения swap-файлов в целях ускорения быстродействия.
13. Поддержка LUN для VMFS томов размером более 2 ТБ.
14. Поддержка технологии Storage vMotion для виртуальных машин со снапшотами.
15. Enhanced Network I/O Control (на уровне виртуальных машин) - эта возможность будет позволять резервировать часть канала для приоритетных задач в кластере HA/DRS на случай его перегрузки. Актуально это будет для сетей 10G, где канал шире, а вот физических адаптеров значительно меньше.
16. ESXi Firewal - новый сетевой экран с фильтрами по диапазонам IP для каждой службы.
17. vSphere Web Client на базе технологии Adobe Flex с большим спектром возможностей. Старый vSphere Client под Windows также останется.
18. vCenter Server Appliance - виртуальный модуль на базе Linux с предустановленной службой vCenter. О CTP-версии данного продукта мы уже писали.
19. Enhanced logging support - поддержка логирования на удаленные серверы, в том числе на несколько серверов от одного источника по безопасному каналу SSL. Для vSphere Client будет плагин vSphere syslog listener, который позволит настраивать данную функциональность.
20. Fault Domain Manager - специализированный модуль управления высокой доступностью VMware HA, который еще больше увеличивает уровень доступности виртуальных машин. Кроме того, теперь все хост-серверы VMware ESXi в кластере являются первичными узлами (primary nodes) - то есть кластер HA переживет любое число отказов.
21. Host-based replication for Site Recovery Manager - возможность репликации виртуальных машин на уровне хостов а не SAN-хранилищ (как делается сейчас). То есть, поддержка технологии репликации со стороны СХД будет не нужна, репликация будет работать в асинхронном режиме со стороны хост-серверов. По-сути, это аналог репликации виртуальных машин в продукте Veeam Backup and Replication 5, которая сейчас активно используется в производственной среде многими компаниями для защиты данных виртуальных машин и наиболее быстрого восстановления работоспособности сервисов (показатели RTO).
Выход VMware vSphere 5.0 запланирован на второе полугодие 2011 года. Но скорее всего пятая версия платформы выйдет до VMworld 2011, который начнется 29 августа.
Естественно, информация неофициальная и список новых возможностей VMware vSphere 5.0 может быть изменен в любой момент. Но вот что будет точно - так это отсутствие гипервизора ESX - так что всем организациям пора задуматься о плане перехода на "тонкую" платформу ESXi 5.0.
Механизм VMware High Availability (HA) в VMware vSphere позволяет автоматически перезапустить виртуальные машины отказавшего сервера в кластере с общего хранилища в случае сбоя. При настройке кластера VMware HA можно использовать несколько расширенных настроек (HA Advanced Settings), которые позволяют настроить его работу наиболее гибко.
Таги: VMware, HA, ESX, ESXi, Bugs, vSphere, VI, VMachines, Обучение
Компания «Код Безопасности» объявляет об успешном прохождении продуктом vGate 2 сертификационных испытаний и получении им сертификата соответствия Федеральной службы по техническому и экспортному контролю (ФСТЭК России). Таги:
О решении StarWind Enterprise iSCSI для создания отказоустойчивых хранилищ VMware vSphere и Microsoft Hyper-V мы уже писали немало (для этого есть специальный раздел на нашем сайте) и будем писать еще, пока все кому оно нужно его не купят. А нужно оно очень многим, так как позволяет создать отказоустойчивый кластер хранения на базе существующей инфраструктуры Ethernet при минимальных инвестициях (не надо покупать FC-хранилища, устройства коммутации SAN и прочее).
Сегодня мы поговорим о типе диска Snapshot and CDP Device в StarWind Enterprise iSCSI. Во-первых, вам нужно прочитать первую часть статьи, где описаны основные режимы работы дисков со снапшотами, которые поддерживает продукт.
Диски типа Snapshot and CDP Device можно создать, когда вы выбираете опцию создания виртуального образа Advanced Virtual, а затем Snapshot and CDP Device:
CDP - это Continuous Data Protection, т.е. непрерывная защита данных ваших виртуальных машин. В этом режиме поддерживаются мгновенные снимки хранилища (snapshots), которые защитят вас от утраты каких-либо важных данных по вине пользователя - вы всегда сможете откатиться к снимку, созданному в определенный момент времени.
Какие опции мы имеем (кстати, обратите внимание, что StarWind можно использовать и для Citrix XenServer, где он находится в официальном HCL):
Во-первых, у нас есть три режима работы диска Snapshot and CDP Device...(нажимаем читать дальше и комментировать)
После выпуска черновой версии VMware vSphere 4.1 Security Hardening, содержащей в себе рекомендации по обеспечению безопасности серверной виртуальной инфраструктуры, компания VMware выпустила черновик очередного документа по безопасности VMware View Security Hardening, в котором приведены лучшие практики для инфраструктуры виртуальных ПК.
Основные разделы:
Лучшие практики по использованию продукта vShield Endpoint (об этом мы писали тут и тут)
Безопасность серверов
VMware View Connection Server и Security Server
Безопасность гостевых ОС – Windows 7
Политики использования PowerShell
Использование клиента View with
Local Mode (как он работает - вот тут)
Работа в режиме
Kiosk Mode (публичный доступ к инфраструктуре виртуальных ПК)
Основные общие практики по сопровождению инфраструктуры View (приложения, сертификаты, сетевая безопасность, роли)
В нем раскрываются технические детали работы антивирусных решений с технологией vShield Endpoint и Security VM (вспомогательная виртуальная машина на хосте ESX, осуществляющая сканирование всех ВМ на нем).
Мы уже писали о решении vBlock, которое в рамках инициативы VCE (Virtual Computing Environment) объединяет решения Cisco (блейд-системы, коммутаторы Nexus, хранилища EMC и платформу VMware vSphere), а вот про конкурента этого решения мы еще не писали.
Есть такая штука как FlexPod - это тоже совместная инициатива, но в ней EMC как производитель хранилищ меняется на NetApp.
На всем этом деле, само собой, работает VMware vSphere в самом продвинутом издании Enterprise Plus с сервером управления vCenter. Все это предлагается использовать как для серверных нагрузок, так и для VDI (Virtual Desktop Infrastructure) на базе VMware View.
Какие преимущества имеет покупка такого блочного решения по сравнению с отдельной закупкой компонентов:
Оно протестировано и сбалансировано с точки зрения производительности - а значит есть лучшие практики по тому, как правильно и какие нагрузки в таких шкафах можно размещать (например, почтовые системы, базы данных и т.п.)
Интегрированные средства управления таким блоком
Пакет документации по развертыванию, настройке и сопровождению
Единая поддержка решения - от объединения вендоров (например, у vBlock - это объединение Acadia)
Хороший выбор для облаков - внутренних (корпоративных) и внешних (сервис-провайдеры)
Недостаток этого всего - жутко дорого, а значит подходит только для крупных и, иногда, средних компаний. Больше рассказывать не буду, а то подумаете, что это реклама.
Как вы знаете, цены у VMware для России и для Северной Америки значительно отличаются, при этом мы, как наиболее инновационная страна, должны платить больше, чем коллеги из США.
До недавнего времени широкому кругу было неизвестно, сколько же на самом деле стоит VMware vSphere на базе ESX или ESXi в России? Приходилось писать письма интеграторам, реселлерам, дистрибьюторам и прочей кружащейся вокруг торговли программным обеспечением шелупони.
Но вот обнаружилась страница (я просто ее раньше не видел - может она и давно есть), где абсолютно все могут ясно и четко увидеть российский прайс - http://www.vmware.com/products/vsphere/pricing.html. Выбираем регион и страну:
И видим нормальную прайсовую цену для России для всех продуктов VMware vSphere и vCenter в общей таблице:
Но внимание: цена на поддержку указана без учета НДС - так что смело прибавляйте к стоимости обязательной поддержки уровня Basic или Production 18%. Программное же обеспечение налогом не облагается, его цена остается той, что в таблице.
Полезность данной страницы очевидна: она будет поддерживаться up-to-date, поэтому нормальный заказчик, исполненный чувством собственного достоинства, потому что он не берет за- и от- каты, может заложить в бюджет конкурса не больше того, что нужно. Ну а вам домашнее задание в стиле "проверь себя" - не купили ли вы VMware дороже чем оно того стоит? А может собираетесь покупать?
Так что больше не спрашивайте меня сколько стоит VMware vSphere и VMware vCenter. Но прайс - есть прайс. А мы, естественно, даем от него скидки в зависимости от объема, заказчика, фазы луны и других условий.
Мы уже писали о семействе продуктов VMware vShield, призванных обеспечивать безопасность виртуальной инфраструктуры на базе VMware vSphere, но многие до сих пор не понимают кому и для чего они нужны. Постараемся вкратце описать их. Massimo Re Ferrè опубликовал хорошую статью по vShield, где нарисовал понятную картинку:
Есть три разных продукта:
vShield Endpoint - это мидлваре (то есть, само по себе для пользователя ничего не делающее ПО), которое построено поверх VMsafe API и позволяет сторонним производителям антивирусов интегрироваться с инфраструктурой виртуализации VMware vSphere. Это, понятное дело, важнее всего для VDI-инсталляций на базе VMware View (поэтому, если у вас нет VDI - продукт вам не нужен). О том, как это работает, и почему это хорошо, мы уже здесь писали. vShield Endpoint идет в комплекте с VMware View Premier.
vShield App - думайте об этом компоненте как о виртуальном распределенном коммутаторе (dvSwitch) с логикой фаервола с неограниченным количеством портов. То есть мы можем контролировать трафик на уровне гипервизора на хостах ESX (опять-таки, работает VMsafe) для различных уровней сетевого взаимодействия. Ну и дальше настраиваем правила, как виртуальные машины будут между собой общаться (порты, протоколы), и все это мониторим. Об этом продукте надо задуматься, когда у вас большая инфраструктура VMware vSphere и повышенные требования к безопасности. Но учтите - продукт этот подходит для внутренней защиты датацентра (т.е. внутренние взаимодействия ВМ).
vShield Edge - это продукт для комплексной защиты периметра датацентра. Это уже более глобальный продукт, он включает в себя такие сервисы как Stateful firewall, VPN, DHCP, NAT, Web Load Balancing и другое. То есть, это такая большая бронированная дверь в ваш виртуальный датацентр, которая обладает возможностями по защите от внешнего мира и контроля взаимодействия с ним. Не всем такое нужно - многие используют свои собственные решения. Но что надо упомянуть, так это то, что vShield Edge интегрирован с продуктом VMware vCloud Director, который предназначен для управления облаками, которые создаются в частных организациях и у сервис-провайдеров. То есть vShiled Edge понимает объекты vCloud Director и защищает их в соответствии с настроенными политиками. То есть, для инсталляций где виртуальная инфраструктра не предоставляется как услуга и где нет внутреннего облака (а, соответственно, и vCloud Director) - продукт Edge особо не нужен.
Теперь еще два важных момента:
Что такое vShield Manager? Это название консоли, которая управляет всеми этими продуктами.
Куда делся vShiled Zones? Никуда он не делся, он так и есть в составе изданий vSphere, начиная с Advanced. Этот продукт является частью vShiled App, а поэтому обладает только некоторыми из его возможностей:
Ну а дальше - читайте статью, там много интересных вещей написано.
Кстати, недавно наши соотечественники из Лаборатории Касперского объявили о поддержке в своих антивирусах продукта vShield Endpoint:
Скачать продукты семейства vShield можно по этой ссылке.
Вы, наверняка, слышали про компанию VKernel, которая производит средства для управления виртуальной инфраструктурой VMware vSphere. Исторически сложилось так, что продукты компании часто перекрываются их аналогами со стороны VMware (например). Вот и не так давно вышел в свет продукт VKernel Performance Analyzer 1.0, являющийся частью пакета vOperation Suite. Он является прямым конкурентом VMware vCenter Operations, о котором мы писали на прошлой неделе.
Предназначен VKernel Performance Analyzer для обнаружения проблем в виртуальной инфраструктуре vSphere в реальном времени на базе алармов VMware vCenter. Приводится детальное описание проблемы производительности объекта (например, виртуальной машины), а дальше предлагается, что с этой виртуальной машиной можно сделать (а в колонке Action предлагается действие, которое можно сделать прямо из интерфейса программы):
Зацените, кстати, имена машин русские - это все потому, что чуваки сидят под Москвой.
Небольшой обзор о функционале VKernel Performance Analyzer 1.0:
Требования к VKernel Performance Analyzer такие:
VMware ESX 3.0 и vCenter 2.5 и выше
1 vCPU если у вас меньше 200 ВМ, 2 vCPUs если у вас 200-1500 ВМ, 4 vCPUs - более 1500 ВМ
3 ГБ памяти
10 ГБ дискового пространства
Что умеет VKernel Performance Analyzer:
Мониторинг тревог vCenter с рекомендациями по разрешению проблем
Поиск виртуальных машин и других объектов (например, Datastore), испытывающих проблемы с производительностью
Решение проблем в один клик за счет действий, выполняемых при интеграции с vCenter
Карта узких мест виртуальной инфраструктуры (недостаток ресурсов)
Отчет о проблемах производительности инфраструктуры с указанием путей их устранения
Alarm by Virtual Object Heat Map - проблемы производительности выраженные через алармы vCenter для всех объектов vSphere
Нотификации по трендам загрузки
Графики использования ресурсов для объектов
vCenter Alert Auto-configurator - установка алармов vCenter в соответствии с лучшими практиками
Обзорное видео по продукту:
Скачать VKernel Performance Analyzer можно по этой ссылке.
P.S. Кстати, Милош, хватит там отсиживаться - давайте уже покупайте рекламу на VM Guru. О вас тут мало кто знает, а реклама - это двигатель сам знаешь чего. Для кого тут баннер справа висит:)
Вы уже много знаете о решении StarWind Enterprise для создания отказоустойчивых хранилищ iSCSI благодаря статьям тут, тут и тут, а также специальному разделу на нашем сайте. Многие из вас уже задумываются о покупке этого волшебного продукта для создания надежных и недорогих хранилищ для своих виртуальных машин на VMware vSphere. Так вот - сейчас самое время сделать это, ибо:
Уникальное предложение месяца!
Купи StarwindEnterprise5.6 до конца марта и сэкономь:
10% - на лицензии Starwind Enterprise HA Edition;
5% - на лицензиях Starwind Enterprise Mirroring & Replication Edition и Starwind Enterprise CDP Edition.
Количество серверов за лицензию (сколько процессоров - неважно)
1
2
2
2
2
4
4
Максимальная мощность
4ТБ
Безлимит
2ТБ
4ТБ
8ТБ
16ТБ
Безлимит
Количество одновременных соединений ISCSI
Безлимит
Безлимит
Безлимит
Безлимит
Безлимит
Безлимит
Безлимит
Ethernet порты
Безлимит
Безлимит
Безлимит
Безлимит
Безлимит
Безлимит
Безлимит
Обслуживаемые диски
Безлимит
Безлимит
Безлимит
Безлимит
Безлимит
Безлимит
Безлимит
Файлы образов диска
IPSec, CHAP, ACL, iSNS
Сетевой мост
SPTI
CDP / Snapshots
Thin Provisioning
Высокоскоростное кэширование
Синхронное зеркалирование
Удаленная репликация
Автоматическое восстановление после отказа
Целостность данных с быстрой синхронизацией (FastSync)
Цена
$995.00
По запросу
По запросу
По запросу
По запросу
По запросу
По запросу
Приятный момент при покупке StarWind - вы покупаете какое-нибудь издание (например, базовое на один сервер), а потом решаете, что вам нужна высокая доступность. Вы делаете апгрейд - и платите только разницу в цене между изданиями, без диковинных наценок, которые появляются, например, у VMware.
vSphere Client для iPad имеет несколько ограниченный функционал по сравнению с обычным клиентов для Windows. По сути, он позволяет выполнять базовые административные задачи, такие как:
Поиск в виртуальной инфраструктуре хост-серверов ESX и виртуальных машин
Отслеживать производительность хостов и виртуальных машин
Управлять состоянием виртуальных машин (start, stop и suspend)
Откатывать виртуальные машины к снапшотам
Перезагружать серверы ESX/ESXi и отправлять их в maintenance mode
Использовать встроенные утилиты ping и traceroute для диагностики состояния инфраструктуры
Для работы vSphere Client под iPad нужны следующие компоненты:
Виртуальный модуль vCenter Mobile Access (vCMA - мы уже писали про него тут и тут) - скачать его можно на сайте проекта VMware Labs: http://labs.vmware.com/flings/vcma
Подключение к vCMA virtual appliance - можно использовать встроенный VPN-клиент
Инфраструктура VMware vSphere с сервером VMware vCenter Server
То есть нужно будет развертывать интерфейс для мобильного управления инфраструктурой vSphere с телефона, а уже потом использовать клиент:
Много познавательной информации находится на странице Community, посвященной vSphere Client для iPad (обратите внимание на фразу - This application is only available as-is, with community support only).
В качестве настройки vSphere Client для iPad нужно всего лишь прописать адрес виртуального модуля vCMA в категории Settings клиента.
Наиболее полезными возможностями по работе с инфраструктурой vSphere являются мониторинг виртуальной инфраструктуры:
и, конечно, управление состоянием виртуальных машин:
Для самых несообразительных сделали два видео. Первое - по установке vCenter Mobile Access:
Второе - настройка и использование vSphere Client для iPad:
RSS
