Некоторые из вас помнят, что в VMware vSphere 6.5 одной из новых возможностей гипервизора ESXi 6.5 стала функция его безопасной загрузки (Secure Boot). Об этом мы уже упоминали в посте с видеороликами о новых возможностях vSphere 6.5:
Суть механизма безопасной загрузки в vSphere 6.5 заключается в том, что загрузка подписанного кода гипервизора ESXi контролируется со стороны UEFI firmware, а также не разрешается исполнение неподписанных пакетов.
UEFI (Unified Extensible Firmware Interface) - это замена традиционному BIOS в серверах и настольных ПК. Механизм Secure Boot - это один из "протоколов" UEFI, который предоставляет возможности контроля загрузки подписанного кода за счет хранения цифровых сертификатов, которые хранятся в микрокоде (firmware) компьютера (signature database). Это все позволяет убедиться в том, что некий root kit не будет присутствовать в составе загружаемых компонентов и не предоставит доступ злоумышленнику на самом низком уровне.
Большинство UEFI содержит набор сертификатов по умолчанию типа x509 Microsoft UEFI Public CA, а также позволяет устанавливать собственные сертификаты дополнительно. Надо отметить, что эти сертификаты поставляются производителем серверов и обновляются вместе с его микрокодом.
Для обеспечения безопасной загрузки используются следующие компоненты:
Загрузчик ESXi (boot loader) - он убеждается в том, что цифровая сигнатура кода не была изменена. Загрузчик подписан сертификатом Microsoft UEFI Public CA. Он также содержит VMware public key, с помощью которого проверяются компоненты VM Kernel, Secure Boot Verifier, а также пакеты VIB.
Ядро VM Kernel - это также подписанная часть кода. Первое, что делает VM Kernel, это запускает Secure Boot Verifier.
Secure Boot Verifier - он также хранит VMware public key и проверяет аутентичность всех VIB-пакетов, которые загружаются во время загрузки ESXi.
VIB-пакеты (vSphere Installation Bundles) - эти пакеты, помимо реализуемых ими сервисов, содержат файл XML descriptor и файл цифровой подписи (digital signature file). Во время загрузки ESXi в памяти создается "карта" содержимого каждого из VIB-пакетов, соответственно не требуется проверять каждый из его файлов, а достаточно проверить подпись пакета целиком (это быстрее работает).
Вот как выглядит процесс загрузки хоста ESXi с точки зрения Secure Boot:
Включение питания.
UEFI Firmware валидирует загрузчик ESXi Boot Loader на предмет соответствия сертификату Microsoft внутри микрокода UEFI.
ESXi Boot Loader валидирует компонент VM Kernel на предмет соответствия сертификату в Boot Loader.
VM Kernel запускает компонент Secure Boot Verifier.
Secure Boot Verifier валидирует каждый VIB-пакет на соответствие сертификату VMware, который находится в хранилище Secure Boot Verifier.
Запускаются необходимые сервисы управления (DCUI, hostd и т.п.).
При апгрейде VMware ESXi прошлых версий с помощью ESXCLI происходит обновление сигнатур VIB-пакетов, но Boot Loader остается прежним, поэтому когда вы включите Secure Boot - возникнет ошибка. Как следствие - нужно будет переустановить ESXi.
Если вы обновляете ESXi из ISO-образа, то для некоторых старых VIB-пакетов сигнатуры могут не обновиться (например, кастомные драйвера, которые вы устанавливали отдельно), что приведет к неудаче при безопасной загрузке. То есть для нормального обновления из ISO нужно, чтобы все VIB-пакеты в этом образе обновили все предыдущие VIB. Надо отметить, что VIB-пакеты уровня Community supported не поддерживаются для безопасной загрузки (так как они не подписаны).
В составе VMware vSphere 6.5 есть специальный скрипт, который проверяет возможность безопасного апгрейда прошлой версии платформы.
Сначала надо проверить, что серверы поддерживают UEFI secure boot. Далее надо убедиться, что все ваши VIB-пакеты имеют хотя бы уровень Partner Supported, и у вас нет Community Supported пакетов.
Если вы обновили хост на ESXi 6.5, то можно выполнить следующий скрипт для проверки возможности включения Secure Boot:
/usr/lib/vmware/secureboot/bin/secureBoot.py -c
Результатом будет строчка "Secure Boot can be enabled" или "Secure boot CANNOT be enabled".
Если вы включите Secure Boot в микрокоде сервера, но у вас есть неподписанные пакеты, то при загрузке сервера вы увидите розовый экран и сообщение о том, что нельзя проверить подписи VIB-пакетов:
Чтобы выйти из этой ситуации, надо выключить безопасную загрузку, удалить неподписанные VIB-пакеты и снова включить ее.
Еще одна фишка включенной функции Secure Boot - это то, что вы не сможете установить неподписанные VIB-пакеты с опцией force подобным образом:
Если говорить о модуле TPM, то он тут не участвует, и мало того - TPM 2.0 вообще не поддерживается со стороны VMware vSphere 6.5.
Ну и последнее. Если вы хотите использовать Secure Boot вместе с механизмом vSphere Auto Deploy, то вы должны добавить сертификат VMware в список UEFI firmware whitelist (DB). Это требуется потому, что только ESXi Boot Loader подписан сертификатом Microsoft, а часть кода PXE-загрузчика, которая грузится до Boot Loader, подписана сертификатом VMware. Более подробно об этом написано в KB 2148532.
Начиная с VMware vSphere 6.0, компания VMware предлагает администраторам очень удобный механизм для назначения прав доступа на самом высоком уровне при наличии нескольких серверов VMware vCenter - глобальные пермиссии (global permissions).
Для тех, кто использует режим vCenter Enhanced Linked Mode (ELM) с несколькими географически разделенными площадками и разнородными инфраструктурами, глобальные пермиссии - это отличное решение, так как они создаются один раз, после чего распространяются и (что самое главное) поддерживаются в согласованном состоянии на всех серверах vCenter связанной инфраструктуры в рамках одного домена Single Sign-On (SSO).
Вильям Лам, известный своими сценариями для автоматизации инфраструктуры vSphere, написал удобный скрипт GlobalPermissions.ps1, позволяющий добавлять и удалять глобальные пермиссии. Он содержит методы New-GlobalPermission и Remove-GlobalPermission, для которых можно задавать следующие параметры:
vc_server - хост сервера vCenter
vc_username - имя пользователя vCenter
vc_password - пароль пользователя vCenter
vc_user - пользователь vCenter, которому будут назначаться пермиссии
vc_role_id - идентификатор Role ID, который связан с ролью vSphere на данном vCenter Server
propagate - значение true или false для распространения пермиссий вниз по уровням иерархии
Чтобы получить параметр vc_role_id, нужно соединиться с vCenter Server и указать имя роли, выполнив сниппет ниже. В данном примере мы получаем ID административной роли с именем Admin:
(Get-VIRole -Name Admin).ExtensionData.RoleId
Вот пример создания новой глобальной пермиссии для одного из пользователей:
В апреле компания VMware выпустила интересный документ, касающийся улучшений в плане производительности различных компонентов последней версии платформы виртуализации - "What's New in Performance? VMware vSphere 6.5".
В документе не только рассказывается об увеличении максимальных параметров конфигурации виртуальной среды и улучшениях различных аспектов производительности, но и большинство пунктов иллюстрируется графиками, по которым наглядно можно увидеть прогресс платформы.
Итак, посмотрим на количественные оценки улучшений. Вот так улучшилось число операций в минуту, которое может выдавать VMware vCenter 6.5:
А вот на столько уменьшилось время этих операций в VMware vSphere Web Client:
Кроме того, как вы знаете, в vSphere 6.5 есть HTML 5 Client (он сейчас называется просто vSphere Client). Основные операции он выполняет намного производительнее своего предшественника - Web Client:
Шифрование vMotion практически не влияет на время этой операции:
Но CPU при выполнении шифрования vMotion нагружается сильнее, соответственно требуется задействовать больше ядер процессора:
При шифровании дисков виртуальных машин производительность в IOPS также падает для обычных HDD-дисков, но это практически незаметно для SSD-дисков:
Ну и уменьшение Latency (задержки) при использовании технологии Direct Path I/O для сетевого адаптера, очень близко к нативной производительности:
Скачать документ "What's New in Performance? VMware vSphere 6.5" можно по этой ссылке.
Как знают все администраторы vSphere, в инфраструктуре виртуализации есть основной пароль компонента Single Sign-On (SSO), являющегося частью служб Platform Service Controller (PSC). SSO отвечает за предоставление токена авторизации пользователю, который соединяется с vCenter и использует остальные решения, которые с ним интегрированы.
Если вы забыли пароль SSO, то никак не сможете администрировать основные службы PSC и vCenter. Также вы не сможете никаким способом повысить одного из пользователей с любой ролью до администратора SSO.
Но есть способ восстановить/сбросить пароль Single Sign-On, если вы используете vCenter Server Appliance (vCSA). Для этого нужно зайти на vCSA под пользователем root (его же вы не забыли, правда?):
После чего ввести команду для доступа к шеллу:
shell.set --enabled true
После этого напишите shell и нажмите Enter:
Далее запустите VDC админ-тул, и вы увидите вот такой результат:
Нажмите клавишу <3>, после чего у вас попросят ввести аккаунт (Account UPN), для которого будет сгенерирован временный пароль. Введите administrator@vsphere.local:
После этого с данным паролем войдите в vCenter Single Sign-On:
Ну а там уже перейдите в Administration>Single Sign On > Users и выберите Edit для пользователя Administrator. Там можно сменить пароль:
Это, кстати, говорит о том, что пароль root для vCenter Server Appliance нужно хранить особенно внимательно и не забывать.
Недавно мы писали об анонсированных новых возможностях продукта для организации кластеров хранилищ VMware vSAN 6.6, а вчера он стал официально доступен для скачивания. Так как VMware vSAN работает в рамках инфраструктуры серверной виртуализации VMware vSphere, были также выпущены обновления ESXi 6.5d и vCenter 6.5d, поддерживающие vSAN 6.6.
Напомним также, что совсем недавно выходил апдейт VMware vCenter 6.5c, в котором была исправлена уязвимость компонента Apache BlazeDS. Что касается обновления ESXi 6.5d, то оно включает в себя поддержку vSAN 6.6, исправления некоторых ошибок а также отображения статусов VMware vSAN health checks в интерфейсе клиента ESXi Host Client (он же Embedded Host Client).
Загрузить VMware vSAN 6.6 в составе платформы VMware vSphere 6.5 и ее компонентов можно по этой ссылке.
На прошлой неделе мы писали о том, что компания VMware выпустила релиз-кандидат своего основного документа по обеспечению безопасности виртуальной инфраструктуры. Ну а на днях вышла окончательная версия VMware vSphere 6.5 Security Configuration Guide (ранее он назывался Hardening Guide).
В прошлом посте мы рассказывали о том, что 65% настроек, приведенных в документе, либо задаются администратором, либо уже сделаны VMware по умолчанию, и администратору лишь нужно регулярно проверять, что ничего не изменилось. Поэтому здесь мы подробнее остановимся на том, что было удалено из документа и добавлено в него, чтобы понимать, как у VMware построен процесс работы с аудитом основного руководства по безопасности.
Удаленные настройки
С каждым релизом vSphere команда инженеров VMware проводит аудит каждой настройки и сверяет ее актуальность в отношении текущего функционала vSphere. Например, были удалены рекомендации относительно настройки VM.disable-VMTools-autoinstall, которая подразумевала, что можно примонтировать некорректную исошку с тулзами, автоинстал которой поселит вредоносное ПО в вашу госетвую ОС. Но в vSphere 6.5 монтируются только подписанные исошки с VMware Tools, а значит эта опасность ушла. Ну и к тому же, дефолтная политика обновления ESXi подразумевает ручное обновление тулзов, а значит указанная настройка не вполне актуальна.
Второй пример - это настройка vCenter.verify-nfc-ssl, которая была удалена, поскольку VMware больше не поддерживает "толстый" C#-клиент. Ранее этот клиент не использовал SSL для транзакций копирования файлов (Network File Copy), хотя отдельной настройкой шифрование можно было включить. Сейчас это стало неактуально.
Ну а вот полный список удаленных настроек:
VM.disable-VMtools-autoinstall
VM.disable-unexposed-features-biosbbs
VM.disable-unexposed-features-getcreds
VM.disable-unexposed-features-toporequest
VM.disable-unexposed-features-trashfolderstate
VM.disable-vix-messages
VM.prevent-device-interaction-connect
VM.prevent-device-interaction-edit
vCenter.verify-nfc-ssl
Каждая из этих настроек была удалена по той причине, что либо она потеряла актуальность из-за того, что фичи больше нет, либо изменился рабочий процесс, касающийся этой настройки, либо изменилось дефолтное состояние настройки.
Добавленные настройки
Во-первых, в документ были добавлены новые колонки. Это DISA STIG ID (ссылка на соответствующие гайдлайны правительства США), а также "Hardening" и "Site Specific Setting". Колонка Hardening указывает на то, что это действительно настройка, которой нужно уделить внимание при конфигурации, а Site Specific Setting говорит о том, что задать конфигурацию должен сам пользователь, в зависимости от его окружения.
Также была добавлена колонка "Audit Setting", которая говорит о том, что вам необходимо время от времени проверять эту настройку, чтобы убедиться, что значение по умолчанию не было изменено администратором необоснованно. В то же время, они могут быть изменены осознанно в соответствии с корпоративными политиками, и в этом нет ничего плохого (например, настройка *timeout).
Например, настройка, которая была добавлена - это ESXi.Audit-SSH-Disable. По умолчанию доступ по SSH отключен для хостов ESXi, но иногда администраторы могут включать его для решения своих задач. Поэтому эта настройка и помечена как "Audit Setting".
Также появились настройки VM.Enable-VGA-Only-Mode и VM.disable-non-essential-3d-features. Первая отключает функциональность SVGA для виртуальной машины. Эта настройка помечена как Site Specific, то есть администратор с параноидальным уровнем отношения к безопасности может отключить SVGA-драйвер для консольных гостевых ОС, но эта настройка, конечно же, не помечена как Hardening, чтобы все повально не стали отключать SVGA-драйверы, а потом писали письма в поддержку с вопросом о том, чего это не работает гостевая ОС.
Настройка disable 3D по умолчанию отключена, но помечена как "Audit Setting", чтобы время от времени просматривать, не включил ли ее зачем-то администратор.
Отметим, что никаких значительных изменений с момента релиз-кандидата документа не произошло. Скачать финальную версию VMware vSphere 6.5 Security Configuration Guide можно по этой ссылке (там же находятся и остальные руководства по безопасности от VMware).
Компания VMware на днях выпустила Release Candidate версию своего основного руководства по обеспечению безопасности виртуальной среды серверной виртуализации - vSphere 6.5 Security Configuration Guide (ранее он назывался Hardening Guide).
Традиционно Hardening Guide представляет собой Excel-табличку с необходимыми конфигурациями серверов ESXi, виртуальных машин, сетей и т.п. для обеспечения безопасной работы виртуальной инфраструктуры на различных уровнях (от легкой до параноидальной защиты):
Интересная картинка, которую приводит VMware в отношении состояния конфигурационных настроек по умолчанию при развертывании среды vSphere:
Здесь раздел "Non-Hardening" означает, что рекомендуемые с точки зрения безопасности настройки либо уже выставлены по умолчанию, либо задаются пользователем (например, IP-адрес сервера NTP). Оставшиеся 35% настроек как раз могут быть изменены администратором vSphere, чтобы сделать инфраструктуру более защищенной.
Однако помните, что повышение уровня безопасности неизбежно рождает повышение уровня геморроя в связи с бОльшими неудобствами пользователей и администраторов, которые должны делать больше дополнительных действий и ждать дольше завершения рабочих процессов. Очевидно, что безопасность - это палка о двух концах.
Пока в документе всего 68 настроек, но не исключено, что их количество будет увеличено. Соответственно, как Hardening предполагается всего 24 настройки.
18 из этих настроек - это настройки раздела VM.disable-unexposed-features.*, которые касаются скрытых/недокументированных возможностей ВМ, а остальные 6 настроек касаются следующего:
3 штуки - это настройки стандартного vSwitch из значений accept в reject (эти рекомендации есть еще со времен самого первого Hardening Guide).
1 настройка - это BPDU filter.
1 штука - это просто рекомендация своевременно патчить хосты ("Apply your ESXi patches").
1 настройка - это "Disable TLS 1.0/1.1", то есть отключение старых версий протокола TLS, у которых есть проблемы с безопасностью (более подробно смотрите тут).
TLS 1.0/1.1 не отключен по умолчанию, так как некоторые системы продолжают использовать его, соответственно отключение может привести к различным проблемам, поэтому делать это нужно осознанно.
Из руководства были удалены рекомендации, касающиеся следующих настроек (сделано это было после консультаций с инженерами vSphere):
Платформа VMware vSphere 6.5 станет последней, которая включает в себя данное средство - для всех последующих версий решения резервное копирование виртуальных машин нужно будет осуществлять с помощью сторонних продуктов. Например, Veeam Backup and Replication - он уже и так является практически стандартом на рынке резервного копирования виртуальных машин и занимает большую его часть, так что ничего страшного для большинства не произойдет.
На тему окончания поддержки Data Protection есть специальная статья KB 2149614, в которой говорится, что теперь VMware будет фокусироваться на интерфейсе vSphere Storage API, отдавая нишу продуктов для резервного копирования партнерам. В то же время VMware продолжит предоставление поддержки по VDP текущим пользователям в соответствии с правилами, указанными в VMware Lifecycle Product Matrix, до даты End of General Support (EOGS).
Тем, кто уже использует Data Protection компания Dell дарит бесплатную лицензию на 3 года на продукт Avamar Virtual Edition (AVE) для первых 4 ТБ защищаемых данных. Когда так просто раздают лицензии - становится понятно, что продукт не вполне конкурентоспособен. Поэтому берите лучше Veeam)
Ну и для особо обеспокоенных снятием с производства продукта vSphere Data Protection компания VMware выпустила специальный FAQ.
Не все знают, что в VMware vSphere Web Client есть удобное средство для просмотра основных логов VMware vSphere на хостах с поиском по ним, которе можно использовать для анализа и разрешения возникающих в виртуальной инфраструктуре проблем.
Чтобы его запустить, в VMware vSphere 5.5 надо выбрать пункт Log Browser в навигаторе:
Однако в VMware vSphere 6.0 и 6.5 этот плагин был отключен, в связи с чем его нет в данном меню. Но достаточно его включить, чтобы можно было использовать это удобное средство анализа лог-файлов.
Чтобы сделать это на VMware vCenter Server Appliance (vCSA) нужно:
Зайдите в оболочку vCenter Server Appliance Bash Shell под администратором.
Перейдите к файлу манифеста, который по умолчанию расположен вот в этой директории: /usr/lib/vmware-vsphere-client/plugin-packages/logbrwoser.
Переименуйте файл plugin-package.xml.unused в plugin-package.xml и сохраните его у себя.
Из vSphere Web Client перезапустите службу VMware Service Lifecycle Manager API.
На VMware vCenter для Windows процедура выглядит следующим образом:
Перейдите к файлу манифеста, который по умолчанию расположен вот в этой директории: C:\ProgramData\VMware\vCenterServer\runtime\vsphere-client\plugin-packages\logbrowser.
Переименуйте файл plugin-package.xml.unused в plugin-package.xml и сохраните его у себя.
Из vSphere Web Client перезапустите службу VMware Service Lifecycle Manager API.
После этого пункт Log Browser появится на вкладке Monitor клиента vSphere Web Client.
В последнее время VMware отчаянно борется за то, чтобы сделать обновленную версию VMware vSphere Client (он же бывший HTML5 Client) полнофункциональной и поскорее заменить ею устаревший Web Client. Мы писали о том, что недавно было выпущено обновление VMware vSphere 6.5b, в состав которого вошел vSphere Client 3.7-3.8.
Но последний раз мы писали о возможностях vSphere Client 3.6 вот тут, поэтому давайте взглянем на функциональность VMware vSphere Client последних версий 3.7 - 3.9:
Улучшенные графики производительности: можно выбирать объекты и счетчики.
Возможность включить/выключить LED-индикаторы для Host Storage Devices
Возможность пометить диск как Remote/Local в представлении Host Storage Device.
Мониторинг компонентов Storage Providers для хранилищ VVol.
Миграция виртуальных машин из одной виртуальной сети (VM Network) в другую.
Возможность изменять настройки NetFlow на коммутаторе Distributed Switch.
Компонент Content Library (пока представление read only для библиотек, шаблонов и других типов контента),
Возможность удалить Content Library.
Создание библиотеки Subscribed Library на странице Content Library.
Действие "Erase device partition" в представлении Host Storage Devices.
Возможность пометить диски Flash/HDD в представлении Host Storage Devices.
Создание новых хранилищ NFS 4.1 с аутентификацией Kerberos.
Поддержка Protocol endpoints для хостов ESXi и хранилищ.
Возможность изменения конфигурации стека TCP/IP.
Представление VM Customization Specifications в разделе "Policies and Profiles".
Был произведен перевод приложения vSphere Client (HTML5) с фреймворка Angular Javascript (Angular 4) на последнюю версию Clarity. По идее, это должно пройти незаметно для пользователей, но возможны небольшие изменения во внешнем виде.
Возможность создания хранилища VVol в мастере "New datastore".
Возможность размонтировать тома VVol с хостов ESXi.
Перемещение файлов и папок между датасторами в Datastore Browser.
Скачать VMware vSphere Client 3.9 можно по этой ссылке. Таблица отличий vSphere Client и Web Client приведена тут (смотрите на номер билда - данные там не самые актуальные).
Компания VMware время от времени выпускает видеоролики серии Whiteboarding, где технические специалисты компании рассказывают в понятной форме о продуктах и технологиях, рисуя на доске схемы и элементы интерфейса.
На днях вышло несколько новых видео, посвященных VMware vSphere и PowerCLI и заслуживающих внимания (а еще и со стильным бородатым мужиком в последнем ролике). Давайте взглянем:
О шифровании ВМ и трафика vMotion
О режиме безопасной загрузки (Secure Boot) в VMware vSphere
О механизме доступности управляющего сервера - VMware vCenter High Availability
О топологии составляющих архитектуры VMware vCenter
Об апгрейде VMware vCenter и миграции на vCenter Server Appliance (vCSA)
О методах API access methods в интерфейсе PowerCLI
Ну и, конечно же, обратите внимание на плейлист компании VMware, посвященный новой версии платформы VMware vSphere 6.5 - там есть что посмотреть.
Как некоторые знают, в VMware vSphere 6.5 появилась (а точнее вернулась снова) возможность Automatic VMFS UNMAP - возврат дискового пространства виртуальной машины (ее VMDK) на сторону дискового массива средствами VAAI (vStorage API for Array Integration). Если раньше эта возможность требовала выполнения различных команд, то теперь управление этой штукой доступно из GUI, а возврат дисковых блоков происходит автоматически. Работает UNMAP только для "тонких" (Thin Provisioned) LUN, на которых размещаются тома VMFS.
Из GUI vSphere Web Client можно управлять только UNMAP'ом для томов VMFS 6, для пятой версии файловой системы это нужно делать вручную с помощью ESXCLI. Кроме того, механизм UNMAP работает в асинхронном режиме, а иногда хочется почистить хранилища от неиспользуемых блоков прямо сейчас.
Поэтому весьма кстати, что на сайте EnterpriseDaddy обнаружился полезный PowerCLI-скрипт, который возвращает дисковое пространство в LUN для заданного хранилища хоста ESXi.
Эта функция принимает на вход имя хоста ESXi и Datastore, а также отключает таймаут на исполнение операций, так как возврат дискового пространства LUN может занять часы.
Function Perform-VMFSUnmap {
[CmdletBinding()]
param(
[Parameter(
Mandatory=$true)]
[String[]]$Datastore,
[String]$ESXiHost
)
Set-PowerCLIConfiguration -WebOperationTimeoutSeconds -1 -Scope Session -Confirm:$false
$ESXHost = Get-VMHost $ESXiHost
$DatastoreName = Get-Datastore $Datastore
Write-Host 'Using ESXCLI and connecting to $VMHost' -ForegroundColor Green
$esxcli = Get-EsxCli -VMHost $ESXHost
Write-Host 'Unmapping $Datastore on $VMHost' -ForegroundColor Green
$esxcli.storage.vmfs.unmap($null,$DatastoreName,$null)
}
Многие знают утилиту RVTools, которая в течение многих лет помогает администраторам при выполнении рутинных операций с виртуальной инфраструктурой в различных аспектах. Наверное, это самая древняя из регулярно обновляемых любительских утилит для VMware vSphere. Напомним, что последнее существенное обновление RVTools 3.8 было в прошлом году. Большой плюс, что утилита полностью бесплатна.
Недавно вышла новая версия RVTools 3.9.2, в которой появилось несколько полезных возможностей:
Полная поддержка VMware vSphere 6.5
RVTools переехали на .NET Framework 4
Использование NPOI 2.1.3.1
Логин происходит быстрее
RVTools больше не пишет сообщения в журнал Windows eventlog
Новая колонка OS во всех вкладках, относящихся к ВМ
Новая колонка на всех вкладках - VI SDK Server
Колонка vCenter UUID переименована в VI SDK UUID
Новая колонка VI SDK API version на вкладке vInfo
Экспорт в Excel теперь происходит в формате xlsx
Автосайз колонок в Excel при экспорте данных
Вкладки эксельного документа называются как вкладки в приложении
Поля Annotations теперь могут быть исключены из экспорта
Новая колонка Consumed MB на вкладке vPartition
Директории vHealth _replica и файлы *_sesparse.vmdk исключены из проверок на "зомби"-состояние
Новая вкладка с лицензионной информацией о vSphere
Было добавлено новое приложение для шифрования пароля, так что теперь доступ из утилиты к vSphere лучше защищен
Интерфейс командной строки RVTools теперь принимает зашифрованные пароли
Пофикшена неправильная ссылка в приложении на информацию о версии RVTools на веб-сайте
Скачать RVTools 3.9.2 для VMware vSphere 6.5 можно по этой ссылке. Документация доступна тут.
Не секрет, что многие крупные предприятия до сих пор используют платформу виртуализации VMware vSphere 6.0, так как обновление на версию 6.5 требует времени, привлечения ресурсов, а иногда и денег, если планируется продление поддержки, апгрейд на старшее издание или покупка дополнительных лицензий.
Поэтому VMware продолжает поддерживать таких клиентов, для которых и было выпущено обновление VMware vSphere 6.0 Update 3, включающее в себя как обновление управляющего сервера vCenter 6.0 Update 3, так и хост-серверов - ESXi 6.0 Update 3.
Напомним, что обновления Update 2 основной продуктовой линейки vSphere были выпущены год назад.
Что нового в VMware vCenter 6.0 Update 3:
Поддержка протокола Transport Layer Security (TLS) версий TLSv 1.0, TLSv 1.1 и TLSv 1.2, которая включена по умолчанию и доступна к настройке в vCenter Server 6.0 Update 3.
VMware Syslog Collector на vCenter Server Appliance поддерживает только TLSv1.0.
Для настройки TLSv 1.0, TLSv 1.1 и TLSv 1.2 смотрите KB 2148819.
Для продуктов с поддержкой TLSv1.1 и TLSv1.2 смотрите KB 2145796.
TLS configuration script доступен для загрузки с этой страницы.
Об известных проблемах с протоколом TLS написано в KB 2148819.
Поддержка новых баз данных: vCenter Server теперь поддерживает новую СУБД - Microsoft SQL Server 2012 Service Pack 3.
Теперь поддерживается миграция с vCenter Server Windows 5.5.x на виртуальный модуль vCenter Server Appliance 6.0 Update 3 на базе Linux (мастер миграции доступен на приветственном экране vCSA).
Обновления в Operating System customization для гостевых ОС Windows и Linux с точки зрения таймзон - там теперь поддерживаются самые последние изменения.
Компонент Platform Services Controller для vCenter Server Appliance теперь устанавливается с 4 ГБ памяти по умолчанию при свежей установке и при апгрейде с PSC 5.5.
Функции Transmission Control Protocol (TCP) over User Datagram Protocol (UDP) для Kerberos. Для их поддержки нужно вывести и ввести vCenter в домен заново (это только для vCSA, для vCenter for Windows это будет работать само).
Вышло обновление механизма репликации VMware vSphere Replication 6.1.2, которое совместимо с vCenter 6.0 Update 3. Там предоставляются возможности апгрейда с vSphere Replication 5.8.1.3 на vSphere Replication 6.1.2, а также гостевая ОС модуля vSphere Replication Appliance была обновлена до SLES 12 SP1.
А вот что нового появилось в VMware ESXi 6.0 Update 3:
Обновленный ESXi Host Client: VMware ESXi 6.0 Update 3 включает в себя ESXi Host Client версии 1.14.0. Он как бы поддерживается в производственной среде в отличие от того, что выложен на VMware Labs.
Поддержка TLSv 1.0, TLSv 1.1 и TLSv 1.2.
Производительность кластеров vSAN:
Улучшения управления логами и хранилищами, что позволяет более эффективно хранить файлы журнала. Это существенно улучшает производительность для нагрузок, требовательных к операциям записи.
Более эффективное управление большими файлами и дестейджингом файлов на capacity tier из кэша.
Улучшения блока кода по работе с контрольными суммами.
На прошлой неделе мы писали о выходе обновленной версии решения для виртуализации и агрегации сетей предприятия VMware NSX 6.3, где появилась масса новых возможностей и поддержка обновленной версии решения VMware vSphere 6.5.
Чтобы обеспечить поддержку этого продукта со стороны самой платформы vSphere, компания VMware выпустила обновленные версии VMware vCenter 6.5a и VMware ESXi 6.5a.
Также в обновлении был пофикшен баг с vMotion, который приводил к "розовому экрану смерти" (PSOD) хост-сервера, когда машина перемещалась с ESXi 5.5 или 6.0 на ESXi 6.5. Он проявлялся в следующих условиях (очень и очень редких):
Исходный хост ESXi 5.5 или 6.0.
Машина работает с поддержкой NUMA и имеет более 8 vCPU.
У машины недефолтные vNUMA-настройки, такие как coresPerSocket, numa.autosize.once = false и т.п.
Скачать vCenter Server 6.5.0a можно по этой ссылке, а release notes доступны здесь. Скачать ESXi 6.5.0a можно тут, а release notes - тут.
После выхода обновления VMware vSphere 6.5 многие из вас, должно быть, заметили, что теперь в качестве основного средства управления виртуальной инфраструктурой позиционируется виртуальный модуль VMware vCenter Server Appliance (vCSA). Между тем, на данный момент подавляющее большинство клиентов VMware использует vCenter на базе виртуальной (совсем редко - физической) машины с ОС Windows внутри. Причина проста - до недавнего времени в модуле не было жизненно важных фич, таких как, например, средство обновления VMware Update Manager.
Начиная с vSphere 6.5, с модулем vCSA все в полном порядке, поэтому пора на него обновляться с обычного vCenter. Напомним, что ранее VMware выпускала средство миграции, которое выходило отдельно как специальный апдейт, но теперь механизм миграции на vCSA вшит в решение vSphere.
Чтобы смигрировать vCenter для Windows версии 5.5 или 6.0 на vCSA версии 6.5, потребуется воспользоваться двумя инструментами:
1. Migration Assistant.
Эта консольная утилита, которую нужно выполнить до мастера миграции vCenter, позволяет сделать следующие вещи:
Проверка предварительных требований vCenter Server (например, проверяются все установленные расширения vCenter и предлагаются действия для разрешения проблем с каждым из них).
Показывает исходный и целевой тип развертывания средства управления (кстати, подробнее об этом тут).
Показывает шаги миграции, которые необходимо выполнить далее в установщике vCSA.
2. Migration Tool.
Это мастер, который доступен из стандартного установщика vCSA, если выбрать пункт Migrate:
Миграция с помощью этой утилиты происходит в два этапа. Сначала развертывается модуль vCenter Server Appliance с временными настройками, а в это время происходит копирование данных исходного vCenter.
Кстати, в процессе миграции можно переносить не только сам инстанс с его конфигурацией, но и копировать данные о событиях и задачах, либо смигрировать еще и исторические данные о производительности. Это очень удобно.
На втором шаге миграции с помощью Migration Tool происходит импорт всех скопированных данных в виртуальный модуль vCSA (включая параметры идентификации vCenter, такие как FQDN, IP-адрес, UUID, сертификаты, MoRef IDs и прочее). Надо отметить, что в процессе миграции не происходит никаких изменений в исходном vCenter, поэтому откат в случае неудачного обновления прост.
Ну и для тех, кто хочет предварительно посмотреть, как будет выглядеть весь процесс миграции, есть замечательный vCenter Server 6.0 Embedded Migration to Appliance Walkthrough, где показаны основные аспекты этого процесса, а во второй части интерактивного демо можно пройти его весь по шагам.
Если вы пока еще не используете последнюю версию платформы VMware vSphere 6.5, но очень хотите посмотреть, как она выглядит и покликать в консоли, чтобы заценить новые возможности, то есть способ - лабораторная работа (Hands-on-Lab) What's New with vSphere 6.5 [HOL-1710-SDC-6-MYVMW-HOL].
После регистрации вы попадаете в консоль машины, в которой можете запустить браузер и через тонкий клиент vSphere Client управлять виртуальными машинами, хостами и кластерами в настоящей инфраструктуре:
Обратите внимание, что логин и пароль к VMware vCenter указан в примечании, куда надо еще догадаться тыкнуть. Ну и работать в виртуальной тестовой лаборатории вы сможете 90 минут, а сама лаба проходится за один час.
То, что нужно делать, указано в меню справа (Lab Guidance), которое надо развернуть как на картинке.
Полная поддержка означает, что резервное копирование и репликация могут совместно работать со следующими вещами:
Encrypted VMs support - в vSphere 6.5 появилось шифрование виртуальных дисков. Такие ВМ могут быть забэкаплены только в режимах hot add и NBD. По восстановлению нет никаких ограничений, так как бэкап хранится в обычном виде. Однако вы всегда можете опционально включить его шифрование.
VMFS6 support. В vSphere 6.5 появилась новая версия файловой системы VMFS, которая позволит использовать такую расширенную функциональность, как Backup from Storage Snapshots и Veeam Explorer for Storage Snapshots для виртуальных дисков на хранилищах VMFS 6.
Virtual hardware version 13 support. В vSphere 6.5 появилась новая версия виртуального аппаратного обеспечения, которая позволяет создавать машины с увеличенными максимумами конфигурации, которые поддерживает Veeam.
NBD compression. Интерфейс VDDK 6.5 добавляет возможность нативной компрессии NBD-траффика. Для управления уровнем компрессии используйте значение VMwareNBDCompressionLevel (DWORD) в ключе реестра HKLM\SOFTWARE\Veeam\Veeam Backup and Replication. Вы можете установить значение от 0 (без компрессии) до 3 (максимум сжатия). Не ожидайте от компрессии существенного увеличения производительности (за исключением медленных сетей).
New guest interaction API support. vSphere 6.5 больше не поддерживает VIX API, на который опирался Veeam в прошлых версиях продукта для взаимодействия с гостевой системой виртуальной машины (функции application-aware processing). Но теперь вместо этого используются vSphere API for guest interaction, поэтому вы сможете продолжить использование in-guest функций в vSphere 6.5.
New VM tag API support. В vSphere 6.5 появился новый API для управления тэгами (vSphere tags). Veeam Backup полностью поддерживает его, то есть вы сможете использовать политики, основанные на тэгах, после апгрейда на vSphere 6.5.
Кроме всего этого, была также добавлена поддержка следующих продуктов:
Dell EMC Data Domain OS 6.0 - включая оптимизации создания синтетических бэкапов.
HPE 3PAR 3.2.2 MU3 - включая оптимизации надежности и производительности.
HPE StoreOnce 3.15.1 - добавлены возможности Instant VM Recovery для репозиториев на основе Catalyst.
Veeam Agent for Linux 1.0 - мы писали о нем здесь.
Veeam Agent for Microsoft Windows 2.0 Public Beta (build 2.0.0.594).
Также в Veeam Backup & Replication 9.5 Update 1 появилось несколько интересных новых возможностей (их полный список - в KB 2222):
Double-byte support - поддержка символов из двух байтов в названии объектов виртуальной инфраструктуры.
Export performance improvements - экспорт содержимого диска в агентских бэкапах идет в параллельном режиме и работает быстрее.
Улучшена производительность Backup Copy jobs для большого числа ВМ.
При кратковременных неполадках в сети можно впоследствии возобновить докачку бэкапа (в том числе на ленточные носители).
Поддержка Open Enterprise Server 2015 SP1 для восстановления на уровне файлов.
Возможность сохранять оригинальные ВМ и vApps при восстановлении в инфраструктуру vCloud Director (они будут с суффиксом _restored).
Добавлена поддержка параллельного восстановления через несколько Direct SAN backup proxies.
Операции VM restore и Instant VM Recovery сохраняют кастомный параметр workingDir исходной ВМ.
Экспериментальная поддержка мониторов с высоким DPI.
Полезные ссылки (вышли также апдейты продуктов Veeam ONE 9.5 и Veeam Backup for Microsoft Office 365):
Скачать Veeam Backup & Replication 9.5 Update 1 можно по этой ссылке. Убедитесь, что у вас установлены билды 9.5.0.580, 9.5.0.711 или 9.5.0.802 перед обновлением.
Напомним, что шифрование как данных виртуальных машин, так и трафика vMotion, появилось в обновленной версии платформы VMware vSphere 6.5. Шифрование трафика vMotion происходит на уровне VMkernel средствами широко распространенного алгоритма AES-GCM (Advanced Encryption Standard / Galois Counter Mode).
Эксперименты, описанные в открытом документе, подтвердили следующее:
Миграция vSphere 6.5 Encrypted vMotion работает практически с той же скоростью, что и vMotion.
Нагрузка на CPU для шифрования небольшая за счет оптимизации в коде реализации vMotion.
vSphere 6.5 Encrypted vMotion работает так же надежно, как и обычный vMotion.
Миграция в корпоративной инфраструктуры виртуальной машины с СУБД Redis:
Миграция виртуальной машины SQL Server на длинную дистанцию при различных задержках в канале, зависящих от удаленности датацентров:
Содержание документа:
Encrypted vMotion Architecture
Encryption Protocol
Encryption Algorithms
Defending Against Replays
Workflow
Encrypted vMotion Configuration
Performance Test Configuration and Methodology
Test Configuration
Measuring Encrypted vMotion Performance
Encrypted vMotion Performance in a Private Cloud Deployment
Performance Impact on Duration and Switch-Over Time
Performance Impact on Throughput and CPU Usage
Encrypted vMotion Performance Over Long Distance
Test Methodology
Load Generation Software
Results
Encrypted vMotion Performance Best Practices
Кстати, шифрованные виртуальные машины всегда перемещаются между хостами ESXi средствами также шифрованного vMotion.
Мы много пишем о новом поколении тонкого клиента для управления инфраструктурой виртуализации VMware vSphere Client (он же бывший HTML5 Web Client). Напомним, что с выходом VMware vSphere 6.5 он считается как бы релизным продуктом (см. его страничку на VMware Labs), но продолжает обновляться очень часто. Например, последнее обновление вышло совсем недавно - 21 декабря, а вообще за декабрь вышли версии 2.16-2.19, для которых расписан огромный Changelog. Между тем, множество стандартных функций Web Client по-прежнему отсутствуют в vSphere Client.
Давайте посмотрим на основные новые возможности VMware vSphere Client 2.17-2.19:
Новый дэшборд стартовой страницы. Теперь если вы пойдете в Home Menu -> Home, то увидите экспериментальный дэшборд с различными административными метриками. Теперь можно получить высокоуровневую статистику о ресурсах vCenter, наиболее важных алертах и прочем в очень удобном визуальном оформлении. Старый дэшборд переехал в Home Menu -> Shortcuts.
Из представления hosts and clusters можно видеть соответствие профилей хостов (Host profiles).
Можно настраивать параметры SDRS automation settings и просматривать общую конфигурацию.
Возможность изменять настройки Distributed Switch.
Новое действие Storage Provider и возможность просмотра нового представления Storage Providers view со всеми деталями подсистемы хранения.
Новое действие Disable Software iSCSI/FCoE adapter.
Изменение имени и алиаса iSCSI.
Изменение настроек Space Reclamation.
Возможность переименовать Storage Device.
Кастомизация профилей хостов (Host profiles).
Управление физическими адаптерами (NIC) на виртуальном коммутаторе.
Роли и пермиссии: можно просматривать, клонировать и удалять роли, а также просматривать и добавлять глобальные пермиссии.
Теперь можно просматривать список плагинов, установленных на vSphere Client
Возможность копирования данных грида для представлений Storage Adapters, Storage Devices и Storage Paths.
Добавление CHAP-конфигурации для Dynamic/Static Discovery Targets.
Представления Utilization и resource reservation для кластеров и хостов.
Множество мелких улучшений по унификации и работе с элементами, а также исправления ошибок.
Скачать VMware vSphere Client версии 2.19 можно по этой ссылке.
Минус только в том, что эти данные относятся к версии клиента, вошедшей в состав vSphere 6.5, а не к отдельному виртуальному модулю, доступному на VMware Labs. Но эту табличку обещают поддерживать в актуальном состоянии и дополнять.
До выхода новой версии платформы виртуализации VMware vSphere 6.5, механизмы AutoDeploy и Image Builder можно было использовать только с консольным фреймворком PowerCLI. Теперь же у Image Builder / AutoDeploy появилось собственное GUI в vSphere Web Client, с помощью которого можно удобно создавать кастомные образы VMware ESXi.
Но сначала нужно включить службу ImageBuilder Service. Для этого в веб-клиенте идем в Administration -> System Configuration -> Services > выбираем ImageBuilder Service и из меню Actions выбираем Start. После этого Image Builder будет доступен для использования:
Слева есть менюшка Auto Deploy:
Выбираем ее:
На вкладке Software Depots добавляем новый Depot:
Импортируем в него образ VMware ESXi:
Например, VMware-ESXi-6.5.0-4564106-depot.zip (оригинальный образ ESXi 6.5)... Читать статью далее
Многие из вас читали, что в новой версии VMware vSphere 6.5 появилась экспериментальная поддержка механизма Predictive DRS, который проактивно предпринимает действия по выравниванию нагрузки виртуальных машин на хосты ESXi, еще до того, как эта нагрузка придет.
Посмотрим как раньше работал VMware Distributed Resource Scheduler (DRS):
Работал он реактивно (Reactive) - то есть, когда нагрузка пошла, только тогда включался механизм ее выравнивания. При этом пользователи во время этого процесса могут испытывать неудобства из-за миграций vMotion между хостами и, собственно, самой резко растущей нагрузки (например, весь отдел вернулся с обеда). В этом случае происходит миграция только необходимого числа машин, чтобы выровнять основные показатели нагрузки.
Поэтому появился сбалансированный метод (Balanced). В этом случае DRS старается поддерживать баланс по нагрузке на хосты кластера (или даже между кластерами), чтобы не было перекосов в ту или другую сторону. Работает этот метод совместно с продуктом vRealize Operations (vROps), который собирает метрики с хостов и старается поддерживать баланс в виртуальном датацентре:
Этот алгоритм пытается сгладить углы резко изменяющейся нагрузки, но требует серьезных вычислений на стороне vROps и, как мы видим из картинки, не дает никаких гарантий.
Поэтому в VMware решили применить другой подход - Predictive DRS. Суть этого метода проста - компонент vROps ежедневно собирает сотни различных метрик со всех объектов виртуального датацентра (хосты, ВМ, хранилища). Эти метрики "обучают" механизм vROps, который каждую ночь анализирует данные о производительности хостов и формирует так называемые Dynamic Thresholds:
Predictive DRS производит очень сложный анализ на основе 10 различных алгоритмов и формирует коридор производительности "нормального" поведения виртуальных машин (обозначен на картинке серым). Границы этого коридора и есть Dynamic Thresholds, при выходе за границы которых в данное время, поведение в кластере считается аномальным. Работает этот механизм на уровне каждой виртуальной машины.
И тут самое интересное - Predictive DRS позволяет заранее понять, что на таких-то хостах виртуальные машины будут биться за ресурсы через некоторое время, и проактивно начинает мигрировать виртуальные машины, готовясь к ситуации изменения нагрузки:
То есть, синяя линия - это то, как будет (а точнее, как обычно было раньше - ведь так, скорее всего, будет и сегодня), а вот красная линия - это то, что подается на вход обычного DRS, чтобы он заранее начинал действия по подготовке ко всплеску нагрузки, который произойдет через некоторое время (например, бухгалтерия придет к 9-00 и будет включать свои виртуальные десктопы). В этот момент их, например, можно поддержать простаивающими хостами ESXi, где хостятся десктопы ленивых менеджеров, приходящих к 11 утра.
Ну а какой метод нужно использовать? VMware рекомендует использовать все три, в зависимости от ситуации:
Ну и отметим, что этот функционал доступен только в рамках решения vRealize Operations, о котором также можно почитать вот тут.
Вчера мы писали о том, как работают средства высокой доступности (HA) виртуального модуля VMware vCenter Server Appliance, а сегодня расскажем про то, как восстановить пароль на сервере vCSA 6.5.
Как вы возможно знаете, в VMware vSphere 6.5 для виртуального модуля vCSA поменялась хостовая ОС - теперь это собственная ОС VMware - Photon OS, а значит все предыдущие способы восстановления пароля root работать не будут. Перед восстановлением пароля обязательно сделайте резервную копию виртуального модуля или хотя бы снимите его снапшот.
Для того, чтобы сбросить пароль root на vCenter Server Appliance, нужно:
1. Сразу же после загрузки нажать клавишу <e>, чтобы зайти в меню GNU GRUB Edit Menu.
2. Найти секцию, в которой происходит инициализация запуска Linux (она начинается со слова "linux"), и добавить в ее конец следующую строчку:
rw init=/bin/bash
3. После этого нажмите <F10>, чтобы продолжить загрузку.
4. Далее в командной строке введите команду:
passwd
и задайте пароль root.
5. Затем размонтируйте файловую систему следующей командой:
umount /
6. Перезагрузите vCenter Server Appliance 6.5, выполнив следующую команду:
reboot -f
7. После этого пароль root на vCenter Server Appliance будет сброшен. Не забудьте удалить снапшот, если вы его делали, после того как убедитесь, что новый пароль установлен.
Как мы писали ранее, в новой версии платформы VMware vSphere 6.5 появились встроенные возможности обеспечения высокой доступности сервера vCenter, правда только если он развернут на базе виртуального модуля vCenter Server Appliance (vCSA). Для стандартного vCenter Server for Windows высокая доступность обеспечивается средствами MSCS/WFCS.
Функция vCenter Server High Availability позволяет обеспечить доступность для сервисов vCSA, развернув 2 экземпляра виртуального модуля и компонент Witness, обеспечивающий защиту от ситуации Split Brain:
Отметим, что кластер из серверов vCenter типа Active/Passive состоит из минимум двух машин vCSA, каждая из которых может выполнять функции сервера управления, а также из компонента Witness, который не может быть узлом vCSA, но наблюдает за доступностью серверов vCenter, чтобы выступить в роле третейского судьи при разделении кластера.
Между активным и пассивным узлами кластера серверов vCenter производится репликация на базе технологии Linux RSYNC, которая работает на уровне файлов, реплицируя конфигурацию всего сервера управления. Для репликации основной базы данных VCDB и базы данных Update Manager (VUMDB) используются средства Native vPostgres DB replication.
Если текущий узел vCSA испытывает проблемы с доступностью, происходит переключение на резервный узел (FQDN-имя сервера сохраняется без изменений):
При этом новый активный узел сразу же пытается наладить обратную репликацию на бывший основной узел и восстанавливает канал, как только он становится доступен:
Есть 2 типа развертывания vCenter HA - это Basic и Advanced. В режиме Basic все происходит почти в автоматическом режиме - администратору потребуется только настроить IP-адреса, размещение машин на хостах и хранилищах, и все - дальше мастер настройки сделает все сам.
Но режим Basic доступен только когда серверы vCenter будут находиться у вас в одном домене SSO, а сами машины vCSA будут под управлением одного vCenter (то есть, в одном инвентори).
В случае, если у вас разные домены SSO и разные виртуальные датацентры с разным инвентори для vCenter, нужно будет сделать некоторое количество ручных операций:
Добавить второй NIC на машину с VCSA, который нужно присоединить к VCHA Network Portgroup.
Через интерфейс VAMI (https://IP_FQDN:5480) настроить статический IP-адрес для внутренней сети VCHA.
В мастере VCHA Configuration Wizard выбрать опцию Advanced.
Задать IP-адреса узлов и компонентов Witness.
Склонировать виртуальную машину VCSA дважды, убедившись, что в спецификации Guest Customization указаны IP-адреса вторых адаптеров (NIC), которые вы создали для каждого клона.
Включить каждый узел и завершить на нем мастер конфигурации.
Выглядит режим Advanced следующим образом:
На этом все, посмотрите видео подетальнее, чтобы увидеть, как выглядит процесс развертывания и настройки в интерфейсе vSphere Client.
Недавно мы писали о новых возможностях VMware vSphere 6.5, где, в частности, мы рассказывали о том, что VMware vSphere Update Manager 6.5 (VUM) теперь интегрирован с vCenter Server Appliance (vCSA). Но надо отметить, что VUM теперь не просто интегрирован, а является неотъемлемой частью vCSA, что делает его очень удобным в использовании.
Его не нужно устанавливать, его можно сразу же начать применять для обновлений хостов ESXi, виртуальных машин и виртуальных модулей (Virtual Appliances):
Пройти все шаги по обновлению хостов ESXi кластера VMware HA/DRS с помощью Update Manager можно в специальном кликабельном демо (feature walkthrough) - "vSphere Update Manager Overview & Cluster Upgrade".
Давайте пройдем этот процесс по шагам:
1. Кликнем на вкладку Update Manager в vSphere Client:
2. Здесь мы видим основное представление Update Manager. Нажимаем кнопку "Go to Admin View":
3. Мы видим настройки механизма Update Manager.
Первым делом нужно будет создать базовый уровень по обновлениям хоста ESXi (Host baseline). Идем в раздел Host Baselines....читать статью далее ->>
Мы уже много писали о новых возможностях обновленной версии платформы виртуализации VMware vSphere 6.5, а сегодня расскажем еще об одной - улучшениях механизма vSphere Host Profiles.
Напомним, что vSphere Host Profiles позволяют управлять конфигурациями хост-серверов VMware ESXi за счет создания эталонных профилей хостов, которые затем можно применить на хосты, нуждающиеся в приведении к заданным настройкам.
В VMware vSphere 6.5 в механизм Host Profiles были добавлены следующие возможности (по ссылкам можно опробовать их в виде Product Walkthroughs - то есть пошаговых гайдов на примере реального интерфейса продукта):
До vSphere 6.5 результатом сравнения профиля хоста с актуальными настройками на ESXi был отчет о том, какие параметры не соответствуют, но не было сравнения side-by-side - чтобы наглядно видеть актуальные и желаемые настройки. Теперь это показано в едином представлении (Host value и Host profile value):
В кластере, как правило, хосты настроены единообразно. Однако иногда необходимо на конкретном хосте сделать особенные настройки, которые называются host customizations (ранее это были answer files). Теперь их можно экспортировать в формате CSV в отдельные файлы и редактировать их офлайн, а потом залить обратно в Host Profiles.
Графический процесс создания и редактирования профилей хостов был существенно улучшен. Кроме того, появилась возможность копирования между профилями хостов, что очень удобно при изменении одной настройки, которую надо отреплицировать во все профили. Также это позволяет создавать иерархию профилей, по которой должны спускаться некоторые настройки (например, пароль root).
Ну и напоследок - обучающее видео, в котором показаны возможности vSphere Host Profiles 6.5:
Фишка этого блога в том, что там пишут вовсе не о продуктах StarWind (хотя они и очень полезные), а о различных технологиях, тем или иным образом имеющих отношение к виртуализации. Вот, например, некоторые из тем:
Недавно мы писали о новых возможностях VMware vSphere 6.5, где одним из нововведений стала релизная версия технологии vSphere Integrated Containers, позволяющая создавать инфраструктуру виртуальных приложений Docker в виртуальных машинах vSphere.
Недавно мы уже писали о vSphere Integrated Containers, а сегодня мы расскажем об этой технологии поподробнее. Начнем с обзорного видео:
Технологию можно представить следующей диаграммой:
Ниже будет рассказано о трех основных компонентах технологии vSphere Integrated Containers, каждый из которых построен как Open Source программное обеспечение, поэтому каждая компания может использовать различные компоненты экосистемы VIC, дорабатывать их и делать вклад в развитие этих проектов. Между тем, функциональность vSphere Integrated Containers доступна только для пользователей с лицензией vSphere Enterprise Plus (видимо, считается, что технология VIC нужна только крупным компаниям).
vSphere Integrated Container Engine (VIC Engine)
Это специальный движок контейнеров, который работает не в той же виртуальной машине, что и сам контейнер, а вынесен в специальный компонент Virtual Containter Host (VCH), который представляет собой специальный объект vApp, создаваемый при развертывании. Также VCH обслуживает компонент Docker Endpoint (это маленькая ВМ), который предоставляет внешние интерфейсы для управления контейнерами через API администраторам приложений (развертывание новых контейнеров и обслуживание существующих).
IP-адрес машины Docker Endpoint передается администратором vSphere пользователям, которые развертывают и обслуживают приложения Docker. Когда пользователь VIC Engine выполняет команду:
docker run –H <IP> busybox
то небольшой образ на базе busybox вытаскивается с хранилища Docker Hub и превращается в виртуальную машину со всеми необходимыми интерфейсами внутри объекта vApp, которым является Virtual Container Host.
Этот компонент позволяет хранить образы контейнеров. Если вам необходимо поместить приложение в контейнер и распространять его в своей инфраструктуре, нужно воспользоваться таким реестром. Для движка Docker - это компонент Docker Hub.
Проблема в том, что репозиторий Docker Hub открыт абсолютно всем, поэтому VMware сделала свой репозиторий Project Harbor (это форк проекта Docker Hub), который также является Open Source-компонентом, но предоставляет отдельное корпоративное хранилище образов в рамках инфраструктуры компании. Поставляется он в виде виртуального модуля в формате OVA.
Инженеры VMware взяли исходный код Docker Registry, добавили Enteprise-возможности, такие как поддержку LDAP/AD, ролевую модель доступа, а также пользовательский интерфейс - и выделили его в отдельный проект Harbor.
Вот тут на GitHub можно найти публичный репозиторий проекта Harbor.
Container Management Portal (Project Admiral)
Это специализированный портал управления, который при операциях с контейнерами предоставляет следующие возможности:
Создание нового хоста для контейнеров ( Virtual Containter Host, VCH).
Управление квотами ресурсов.
Определение новых шаблонов контейнеров для развертывания.
Управление состоянием контейнеров.
Admiral - это расширение набора средств автоматизации vRealize Automation 7.2, которое добавляет туда возможности управления контейнерами. Информация об этом доступна здесь.
Но поскольку Admiral может быть развернут отдельно от vRA, VMware включила его в состав VIC как отдельный продукт. Кстати, не все возможности Admiral используются для виртуальных машин с контейнерами внутри, так как типа они могут конфликтовать со средствами виртуализации, но все основные функции там есть.
Посмотрите, как работает Admiral:
Публичный репозиторий Project Admiral находится здесь. Помните, что он все еще находится в состоянии беты!
Таги: VMware, vSphere, VIC, Update, Open Source, Docker
Недавно мы писали об основных новых возможностях VMware vSphere 6.5, среди которых не упомянули о том, что в новой версии платформы теперь полностью поддерживается репликация томов VVols. Именно отсутствие репликации было для многих критичным фактором, препятствующим внедрению VVols 2.0 в производственных средах. Об репликации VVols 2.0 мы уже подробно рассказывали вот тут.
Репликация стала возможной благодаря обновленному интерфейсу APIs for Storage Awareness (VASA) версии 3.0. VASA 3.0 предоставляет компоненты политик движка SPBM, который позволяет скомбинировать политику VVol и фильтр интерфейса VAIO Filter, для которого могут предоставляться такие сервисы, как шифрование (VMCrypt), репликация или кэширование от сторонних производителей программного и аппаратного обеспечения.
Попросту говоря, за счет API VASA и VAIO можно поддерживать различные функции VVols на базе хранилищ, а со стороны хостов ESXi предоставлять различные сервисы, обеспечиваемые фильтрами, для виртуальных машин на базе политик SPBM.
Совсем скоро эти возможности будут поддерживаться в Nimble и HPE 3PAR, а впоследствии будут доступны и у других вендоров.
Напомним, что с VVols 2.0 можно реплицировать не весь том VMFS целиком, а отдельную виртуальную машину (и даже отдельные виртуальные диски). Также несколько ВМ можно реплицировать в рамках одной Replication Group (при этом сразу в несколько географически разнесенных локаций).
Кроме того, уже доступны командлеты PowerCLI для управления репликацией на базе VVols (Get-SpbmReplicationPair, Start-SpbmReplicationFailover, Sync-SpbmReplicationGroup и прочие).
Недавно мы писали о новых возможностях VMware vSphere 6.5, где упомянули, что VMware vSphere HTML5 Web Client, о котором мы много писали, еще не совсем функционален, а потому не может быть рекомендован к использованию в производственной среде.
Между тем, на сайте VMware Labs, где выкладываются регулярные обновления клиента, появился апдейт с важной информацией о том, что теперь VMware vSphere HTML5 Web Client полностью вышел в релиз, а сам клиент называется теперь vSphere Client (и поставляется в составе vSphere 6.5 и выше).
Текущая версия vSphere Client - это 2.16, а мы писали про 2.8, поэтому приведем здесь вкратце новые возможности последних версий (2.9, 2.10, 2.11, 2.12, 2.13, 2.14, 2.15 и 2.16), которые вместе уже и составляют полноценный спектр возможностей нового веб-клиента vSphere.
Настройка параметров CHAP для iSCSI-адаптеров
Детали сети для привязки портов Software iSCSI и полное редактирование настроек
Включение/выключение логгирования для ВМ в настройках
Изменение свойств и политик стандартных порт-групп коммутаторов
Хосты могут быть передвинуты в инвентори драг энд дропом
Удаление нескольких ВМ с диска
Удаление шаблонов ВМ с диска
Действие
Upload Folder в File Browser (доступно только для Chrome, Edge и Firefox 50 и выше)
Возможность задать тип сети в настройках ВМ
Портлеты на странице Summary можно перемещать драг энд дропом
Действие Upgrade to VMFS5
Диаграмма Partition Layout в разделе создания датастора и при увеличении датастора
Монтирование/размонтирования хранилищ NFS
Просмотр, редактирование свойств и политик Distributed Port Groups
Добавление/удаление физических адаптеров и порт групп для Standard или Distributed Switch
Редактирование и просмотр свойств и политик стандартного коммутатора
Графики производительности можно открыть в новом окне
Можно создавать и удалять кластеры хранилищ
Возможность включить проброс (passthrough) для устройств ESXi PCI
Можно смотреть использование GPU серверов ESXi
Настройки Storage I/O Control
Возможность привязки/отвязки устройств на странице Host Storage Devices
Конвертирование и клонирование ВМ в шаблон
Создание датасторов NFS3 / NFS4.1 (в том числе, в режиме Read-only)
Управление политиками доступа по нескольким путям (Multipathing)
Монтирование/размонтирование томов VMFS
Горячие клавиши для операций с питанием ВМ
Rescan storage (новых томов VMFS и устройств)
Детали разделов в Host > Configure > Storage Devices
Детали устройств в Datastore > Configure > Device Backing
Управление Lockdown mode для ESXi
Хосты ESXi можно присоединить к домену
Полное управление тэгами
Скачать vSphere Client можно по этой ссылке. Также он доступен в составе дистрибутива vSphere 6.5.
RSS
