Не так давно мы писали о том, что компания VMware выпустила бета-версию своего основного руководства по обеспечению информационной безопасности виртуальной инфраструктуры vSphere 6.0 Hardening Guide. На днях же вышла финальная версия этого документа. Надо отметить, что документ весьма сильно поменялся по структуре и содержанию:
Согласно записи в блоге VMware, в данной версии руководства были сделаны следующие позитивные изменения:
Сделан упор на автоматизацию воплощения рекомендаций через API, чтобы доставить меньше хлопот по ручному конфигурированию настроек. Приводятся конкретные команды PowerCLI и vCLI для исследования конфигураций и задания необходимых параметров.
В качестве рекомендуемого значения добавлен параметр "site-specific", что означает, что конкретная имплементация данной настройки зависит от особенностей инфраструктуры пользователя.
Появилась колонка с разносторонним обсуждением проблемы потенциальной уязвимости (с учетом предыдущего пункта).
Дается больше информации о потенциальных рисках - на что влияет данная настройка в итоге.
Кстати, вот полный список руководящих документов по обеспечению безопасности других продуктов компании VMware и прошлых версий VMware vSphere:
Ну и надо обязательно добавить, что VMware Configuration Manager теперь полностью поддерживает конфигурации из руководства vSphere 6 Hardening Guide. Более подробно об этом написано в блоге VMware Security.
В нескольких заметках мы освещали новости о продукте VMware Log Insight, который предназначен для автоматизированного управления файлами журналов, а также сбора различных данных, их анализа и поиска.
Многие администраторы VMware vSphere знают, что такой продукт есть, на мало кто знает, зачем он реально нужен. Ну да, централизованно собирает логи, есть аналитика, но когда он может пригодиться? Поэтому приведем тут пример решения конкретной административной задачи с помощью VMware Log Insight, которую описал у себя в блоге Iwan Rahabok.
Итак, каждый из вас, я надеюсь, знает, что снапшоты виртуальных машин - это плохо (назовем их "snapshits"). Поэтому в большой инфраструктуре часто оказывается необходимым найти тех, кто снапшоты создает, а если он потом их удалил, то когда это было сделано.
Для начала создадим и удалим снапшот виртуальной машины. Это отобразится в списке последних задач vSphere Web Client:
Откроем консоль VMware Log Insight и перейдем в представление "Virtual Machine – Snapshots", как показано ниже:
Видим, что оба события были пойманы. Переключимся в представление Interactive Analytics (в верхнем меню):
Тут мы видим оба события на таймлайне. Расширим диапазон до 7 дней и добавим фильтр по строчкам "vmw_esxi_snapshot_operation". Видим записи лога о снапшотах:
Ну и переключимся на вкладку Field Table, где выберем параметр vc_username в качестве фильтра (если пользователь заходил из vCenter):
Ну и видим тут, что всеми этими делами занимался пользователь obi-wan.
На самом деле, с помощью Log Insight можно вытягивать очень много чего полезного, например, можно было бы составить фильтр так, чтобы показать виртуальные машины только по указанному шаблону именования.
Как вы знаете, мы уже много лет сотрудничаем с компанией Код Безопасности, которая выпускает лучший продукт для защиты виртуальных инфраструктур - vGate. Средство комплексного обеспечения безопасности виртуальной среды vGate позволяет защитить инфраструктуру VMware vSphere, а также инфраструктуру предприятия на базе гипервизора Microsoft Hyper-V.
Сертифицированные продукты семейства vGate обеспечивают безопасность виртуальной инфраструктуры, в которой ведется обработка персональных данных, конфиденциальной информации и сведений, относящихся к гостайне. Широкие функциональные возможности vGate предоставляют службе безопасности предприятия удобные инструменты контроля и противодействия злоупотреблениям в виртуальной среде с учетом особенностей ее использования.
vGate позволяет выполнить необходимые технические меры защиты информации и способствует приведению виртуальной инфраструктуры в соответствие нормам российского законодательства, отраслевым стандартам и лучшим мировым практикам.
Основные возможности vGate:
Усиленная аутентификация администраторов виртуальной инфраструктуры и администраторов информационной безопасности
Защита средств управления виртуальной инфраструктурой от несанкционированного доступа (НСД)
Мандатное управление доступом
Защита серверов ESXi и Hyper-V от НСД
Поддержка распределенных инфраструктур
Контроль целостности конфигурации виртуальных машин и доверенная загрузка
Контроль доступа администраторов ВИ к файлам виртуальных машин
Разграничение доступа серверов ESXi и Hyper-V на запуск виртуальных машин
Контроль целостности и доверенная загрузка хост-серверов виртуализации
Контроль целостности и защита от НСД компонентов СЗИ
Регистрация событий, связанных с информационной безопасностью
Централизованное управление и мониторинг
В ближайшее время мы расскажем о новой версии продукта vGate для Hyper-V версии 2.8, где появилось множество новых и полезных для адимнистраторов возможностей. Не отключайтесь!
Рано или поздно любой администратор VMware vSphere сталкивается с проблемой разросшихся тонких дисков виртуальных машин, которые увеличиваются неизбежно по своей природе (при удалении файлов в гостевой ОС блоки не обнуляются и не отдаются обратно на хранилище с уменьшением VMDK).
Но, во-первых, SVMotion есть не у всех (так как в начальные издания vSphere эта технология не входит), а, во-вторых, есть более простой способ. Итак:
1. Давайте сначала "раздуем" исходный тонкий диск с помощью утилиты sdelete.
Было (18,74 ГБ):
Запускаем в гостевой ОС Windows утилиту:
sdelete -c
Стало (41,8 ГБ):
2. Очищаем удаленные блоки в гостевой ОС, заполняя их нулями.
Для этого запустим команду:
sdelete -z
3. Уменьшаем размер виртуального диска с помощью утилиты vmkfstools.
Делается это с помощью ключа -K (можно также использовать ключ --punchzero) в консоли сервера ESXi:
vmkfstools -K Test.vmdk
Вот и все, смотрим на получившийся размер:
Надо отметить, что утилита vmkfstools, запущенная с ключом -K, еще и может преобразовать обычный диск (zeroedthick или eagerzeroedthick) в thin disk с вычищением нулевых блоков и, соответственно, уменьшением размера vmdk.
В середине весны компания Symantec выпустила обновление своего продукта для резервного копирования данных физических и виртуальных машин Symantec Backup Exec 15. Этот продукт стал одним из первых, кто поддержал все новые фичи VMware vSphere 6, такие как Virtual Volumes (VVols) и Virtual SAN 6.0. Теперь это действительно удобное комплексное решение как для резервного копирования ВМ в гетерогенной виртуальной среде (VMware vSphere и Microsoft Hyper-V), так и для бэкапа данных физической инфраструктуры с корпоративными приложениями, такими как Microsoft SQL Server или Sharepoint.
В новой версии VMware vSphere 6 для хостов ESXi было сделано следующее нововведение в плане безопасности - теперь после 10 неудачных попыток входа наступает блокировка учетной записи (account lockout), которая длится 2 минуты.
Этот эффект наблюдается теперь при логине через SSH, а также при доступе через vSphere Client (ну и в целом через vSphere Web Services SDK). При локальном доступе через DCUI (напрямую из консоли) такого нет.
Сделано это понятно зачем - чтобы никто не перебирал пароли рута брутфорсом.
Отрегулировать настройки блокировки можно в следующих параметрах Advanced Options хоста ESXi:
Security.AccountLockFailures - максимальное число попыток входа, после которого аккаунт блокируется. Если поставить 0, то функция локаута будет отключена.
Security.AccountUnlockTime - число секунд, на которое блокируется аккаунт.
Если вкратце, то компоненты vCenter предлагается защищать с помощью следующих решений:
1. Кластер высокой доступности VMware HA и сервис слежения за vCenter - Watchdog.
Сервис HA автоматически перезапускает виртуальную машину с vCenter отказавшего сервера на другом хосте кластера, а сервис Watchdog (он есть как на обычном vCenter, так и на vCenter Server Appliance) следит за тем, чтобы основная служба vCenter работала и отвечала, и запускает/перезапускает ее в случае сбоя.
2. Защита средствами VMware Fault Tolerance.
Теперь технология VMware FT в VMware vSphere 6.0 позволяет защищать ВМ с несколькими vCPU, поэтому данный способ теперь подходит для обеспечения непрерывной доступности сервисов vCenter и мгновенного восстановления в случае сбоя оборудования основного хоста ESXi.
Компания VMware предоставляет специализированный API, который могут использовать партнеры для создания решений, защищающих приложения в гостевой ОС, в частности, сервис vCenter. Одно из таких приложений - Symantec ApplicationHA. Оно полностью поддерживает vCenter, имеет специализированного агента и перезапускает нужные службы в случае сбоя или зависания сервиса.
4. Средства кластеризации на уровне гостевой ОС (с кворумным диском).
Это один из древнейших подходов к защите сервисов vCenter. О нем мы писали еще вот тут.
Для организации данного типа защиты потребуется основная и резервная ВМ, которые лучше разместить на разных хостах vCenter. С помощью кластера Windows Server Failover Clustering (WSFC) организуется кворумный диск, общий для виртуальных машин, на котором размещены данные vCenter. В случае сбоя происходит переключение на резервную ВМ, которая продолжает работу с общим диском. Этот метод полностью поддерживается с vCenter 6.0:
Кстати, в документе есть пошаговое руководство по настройке кластера WSFC для кластеризации vCenter 6.0 (не забудьте потом, где его искать).
Ну и в заключение, сводная таблица по функциям и преимуществам приведенных методов:
Далее идет описание средств высокой доступности в Enterprise-инфраструктуре с несколькими серверами vCenter, где компоненты PSC (Platform Services Controller) и vCenter разнесены по разным серверам. Схема с использованием балансировщика:
Обратите внимание, что для PSC отказоустойчивость уже встроена - они реплицируют данные между собой.
Та же схема, но с кластеризованными серверами vCenter средствами технологии WSFC:
Использование географически распределенных датацентров и сервисов vCenter в них в едином домене доступа SSO (Single Sign-On) за счет технологии Enhanced Linked Mode (каждый сайт независим):
То же самое, но со схемой отказоустойчивости на уровне каждой из площадок:
Ну и напоследок 2 дополнительных совета:
1. Используйте Network Teaming для адаптеров vCenter (физических или виртуальных) в режиме отказоустойчивости, подключенные к дублирующим друг друга сетям.
2. Используйте Anti-affinity rules кластера HA/DRS, чтобы основная и резервная машина с vCenter не оказались на одном хосте VMware ESXi.
Да, и не забывайте о резервном копировании и репликации виртуальной машины с vCenter. Сделать это можно либо средствами Veeam Backup and Replication 8, либо с помощью VMware vSphere Replication/VMware vSphere Data Protection.
19 мая 2015 в 11:00 (по Московскому времени) Softline и VMware приглашают вас принять участие в бесплатном вебинаре «VMware vSphere with Operation Management vs. VMware vSphere». Таги:
19 мая 2015 в 11:00 (по Московскому времени) Softline и VMware приглашают вас принять участие в бесплатном вебинаре «VMware vSphere with Operation Management vs. VMware vSphere».
VMware vSphere with Operation Management – надежная платформа виртуализации, в состав которой входят средства мониторинга производительности и управления ресурсами. Решение разработано для компаний любых размеров и выполняет задачи по обеспечению высокого уровня обслуживания для корпоративных приложений; снижению расходов на оборудование за счет эффективного использования ресурсов и повышения коэффициентов консолидации.
Программа:
Обзор vSphere with Operation Management;
Преимущества апгрейда с vSphere на vSphere with Operation Management;
Комплектации решения;
Специальные условия апгрейда для пользователей vSphere.
20 мая 2015 года в 11:00 компании Softline и Veeam приглашают вас посетить бесплатный вебинар: «Облачная модель лицензирования Veeam Cloud Provider Program для оптимизации затрат на IT».
В ходе нашего вебинара у Вас будет возможность пообщаться с техническим консультантом компании VEEAM, задать вопросы и узнать::
Что такое VPC
Зачем нужна программа VCP
Как она работает
Как стать участником
Истории успеха использования
Новейшие технологические решения от Veeam под названием Veeam Cloud Connect.
Благодаря программе VCP у Вас появятся следующие преимущества:
широчайший спектр услуг по защите данных и резервному копированию
повышение эффективности и мониторинга виртуальных сред благодаря использованию продуктов Veeam.
Недавно компания EMC сделала доступным виртуальный модуль (Virtial Appliance) vVNX community edition, представляющий собой готовую ВМ в формате OVF, с помощью которой можно организовать общее хранилище для других виртуальных машин.
Видеообзор vVNX с EMC World:
Сам продукт фактически представляет собой виртуальный VNXe 3200. Для его работы вам потребуется:
VMware vSphere 5.5 или более поздняя версия
Сетевая инфраструктура с двумя адаптерами 1 GbE или 10 GbE
Replication – возможность асинхронной репликации на уровне блоков для локальных и удаленных инстансов vVNX. Также поддерживается репликация между vVNX и настоящим VNXe 3200.
Unified Snapshots – поддержка технологии снапшотов как на уровне блоков, так и на уровне файлов. Для этого используется технология Redirect on Write (ROW).
VMware Integration – vVNX предоставляет несколько механизмов интеграции с платформой VMware vSphere, таких как VASA, VAI и VAAI. Это позволяет производить мониторинг хранилищ vVNX из клиента vSphere, создавать хранилища из Unisphere, а также использовать техники compute offloading.
Flexible File Access – к хранилищам можно предоставить доступ через CIFS или NFS. Причем оба протокола можно использовать для одной файловой системы. Также можно использовать FTP/SFTP-доступ.
Для виртуальной машины с Virtual VNX потребуется 2 vCPU, 12 ГБ оперативной памяти и до 4 ТБ хранилища для виртуальных дисков.
Также кое-где на сайте EMC заявляется, что vVNX поддерживает технологию Virtual Volumes (VVOls) от VMware, что позволяет потестировать эти хранилища, не имея физического хранилища с поддержкой этого механизма. Это неверно. Поддержка VVols в vVNX будет добавлена только в третьем квартале этого года (пруф).
Пока можно посмотреть вот это видео на эту тему:
Скачать vVNX и получить бесплатную лицензию к нему можно по этой ссылке. Материалы сообщества, касающиеся vVNX объединены по этой ссылке, а вот тут можно посмотреть видео развертывания продукта и скачать гайд по установке. Ну и вот тут вот доступен FAQ.
Компания ИТ-ГРАД, предоставляющая услуги аренды инфраструктуры VMware, делится опытом резервного копирования данных в облако с помощью средства Veeam Cloud Connect. Тема резервного копирования была, есть и будет актуальной во все времена. С каждым годом объем данных, хранящихся как на физических, так и на облачных площадках различных компаний, постоянно увеличивается. Исследование, проведенное аналитической компанией Gartner, показало, что рост объема данных является самой большой проблемой инфраструктуры ЦОДов в крупных организациях...
Компания VMware в своем блоге затронула интересную тему - обновление микрокода для процессоров платформ Intel и AMD в гипервизоре VMware ESXi, входящем в состав vSphere. Суть проблемы тут такова - современные процессоры предоставляют возможность обновления своего микрокода при загрузке, что позволяет исправлять сделанные вендором ошибки или устранять проблемные места. Как правило, обновления микрокода идут вместе с апдейтом BIOS, за которые отвечает вендор процессоров (Intel или AMD), а также вендор платформы (HP, Dell и другие).
Между тем, не все производители платформ делают обновления BIOS своевременно, поэтому чтобы получить апдейт микрокода приходится весьма долго ждать, что может быть критичным если ошибка в текущей версии микрокода весьма серьезная. ESXi имеет свой механизм microcode loader, который позволяет накатить обновления микрокода при загрузке в том случае, если вы получили эти обновления от вендора и знаете, что делаете.
Надо сказать, что в VMware vSphere 6.0 обновления микрокода накатываются только при загрузке и только на очень ранней стадии, так как более поздняя загрузка может поменять данные, уже инициализированные загрузившимся VMkernel.
Сама VMware использует тоже не самые последние обновления микрокода процессоров, так как в целях максимальной безопасности накатываются только самые критичные апдейты, а вендоры платформ просят время на тестирование обновлений.
Есть два способа обновить микрокод процессоров в ESXi - через установку VIB-пакета и через обновление файлов-пакетов микрокода на хранилище ESXi. Если вы заглянете в папку /bootbank, то увидите там такие файлы:
uc_amd.b00
uc_intel.b00
Эти файлы и содержат обновления микрокода и идут в VIB-пакете cpu-microcode гипервизора ESXi. Ниже опишем процедуру обновления микрокода для ESXi с помощью обоих методов. Предпочтительный метод - это делать апдейт через VIB-пакет, так как это наиболее безопасно. Также вам потребуется Lunix-машина для манипуляций с микрокодом. Все описанное ниже вы делаете только на свой страх и риск.
После распаковки вы получите файл microcode.dat. Это файл в ASCII-формате, его надо будет преобразовать в бинарный. У AMD в репозитории есть сразу бинарные файлы (3 штуки, все нужные).
2. Делаем бинарный пакет микрокода.
Создаем следующий python-скрипт и называем его intelBlob.py:
#! /usr/bin/python
# Make a raw binary blob from Intel microcode format.
# Requires Python 2.6 or later (including Python 3)
# Usage: intelBlob.py < microcode.dat microcode.bin
import sys
outf = open(sys.argv[1], "wb")
for line in sys.stdin:
if line[0] == '/':
continue
hvals = line.split(',')
for hval in hvals:
if hval == '\n' or hval == '\r\n':
continue
val = int(hval, 16)
for shift in (0, 8, 16, 24):
outf.write(bytearray([(val >> shift) & 0xff]))
Тут все просто. Выполним одну из следующих команд для полученных файлов:
cp uc_intel.gz /bootbank/uc_intel.b00
cp uc_amd.gz /bootbank/uc_amd.b00
Далее можно переходить к шагу 5.
4. Метод создания VIB-пакета и его установки.
Тут нужно использовать утилиту VIB Author, которую можно поставить на Linux-машину (на данный момент утилита идет в RPM-формате, оптимизирована под SuSE Enterprise Linux 11 SP2, который и предлагается использовать). Скачайте файл cpu-microcode.xml и самостоятельно внесите в него изменения касающиеся версии микрокода.
Затем делаем VIB-пакет с помощью следующей команды:
Затем проверьте наличие файлов uc_*.b00, которые вы сделали на шаге 2, в директории /altbootbank.
5. Тестирование.
После перезагрузки хоста ESXi посмотрите в лог /var/log/vmkernel.log на наличие сообщений MicrocodeUpdate. Также можно посмотреть через vish в файлы /hardware/cpu/cpuList/*, в которых где-то в конце будут следующие строчки:
Number of microcode updates:1
Original Revision:0x00000011
Current Revision:0x00000017
Это и означает, что микрокод процессоров у вас обновлен. ESXi обновляет микрокод всех процессоров последовательно. Вы можете проверит это, посмотрев параметр Current Revision.
Также вы можете запретить на хосте любые обновления микрокода, установив опцию microcodeUpdate=FALSE в разделе VMkernel boot. Также по умолчанию запрещено обновление микрокода на более ранние версии (даунгрейд) и на экспериментальные версии. Это можно отключить, используя опцию microcodeUpdateForce=TRUE (однако микрокод большинства процессоров может быть обновлен только при наличии цифровой подписи вендора). Кроме того, чтобы поставить экспериментальный апдейт микрокода, нужно включить опции "debug mode" или "debug interface" в BIOS сервера, после чего полностью перезагрузить его.
Перейдите на надежную платформу со скидкой 25% и обновите VMware vSphere Standard, Enterprise или Enterprise Plus до версии vSphere with Operations Management.
Используйте надежную платформу виртуализации с поддержкой интеллектуальных процессов, благодаря которой компании любых размеров могут обеспечить наивысшие уровни обслуживания приложений и добиться максимальной окупаемости инвестиций в оборудование.
По условиям специального предложения предоставляется скидка 25% при обновлении VMware vSphere Standard, Enterprise или Enterprise Plus до версии vSphere with Operations Management.
Получить скидку просто: отправьте запрос менеджеру с сайта интернет-магазина Softline.
Специальное предложение распространяется на заказчиков, которые приобрели VMware vSphere Standard, Enterprise или Enterprise Plus до 1 февраля 2015 г. и имеют действующие договоры подписки и поддержки.
Дополнительные условия:
При переходе с vSphere Standard, Enterprise или Enterprise Plus на равноценную или более полную редакцию vSphere with Operations Management заказчики получают 25-процентную скидку от цены по каталогу.
Специальное предложение доступно всем заказчикам из коммерческого, образовательного и государственного секторов.
Данное специальное предложение нельзя комбинировать с другими специальными предложениями и скидками на продукты VMware.
Как вы все знаете, недавно вышла платформа виртуализации VMware vSphere 6.0, и мы много писали о ее новых возможностях. На одном из блогов появились полезные таблички, в которых просто и понятно описаны численные и качественные улучшения VMware vSphere 6.0 по сравнению с прошлыми версиями - 5.1 и 5.5. Приведем их тут.
Улучшения гипервизора VMware ESXi:
Улучшения на уровне виртуальных машин:
Улучшения на уровне средства управления VMware vCenter:
Компания StarWind, производитель лучшего средства для создания программных отказоустойчивых хранилищ Virtual SAN, выпустила два интересных документа на тему поддержки технологий
Второй документ - StarWind Virtual SAN ODX (Off-loaded Data Transfer) Configuration and Performance Tuning Guide - расскажет о том, как можно узнать включена ли поддержка ODX со стороны гипервизора Microsoft Hyper-V. Так же как и VAAI у VMware, технология ODX у Microsoft позволяет передать часть операций гипервизора с хранилищем на сторону дискового массива, что существенно повышает производительность ВМ.
Таги: StarWind, Whitepaper, VAAI, ODX, VMware, Microsoft
Не так давно мы писали про архитектуру и возможности технологии VVols в VMware vSphere 6, которая позволяет использовать хранилища виртуальных машин напрямую в виде томов на дисковом массиве за счет использования аппаратных интеграций VASA (vSphere APIs for Storage Awareness).
На днях компания VMware выпустила на эту тему преинтересный документ "vSphere Virtual Volumes Getting Started Guide", который вкратце описывает саму технологию, а также приводит пошаговое руководство по использованию vSphere Web Client для быстрого старта с VVols:
Основные темы документа:
Компоненты vSphere Virtual Volumes
Требования для развертывания VVols
Настройка VVols на практике
Совместимость VVols с другими продуктами и технологиями VMware
Команды vSphere Virtual Volumes CLI
Интересно также рассматривается архитектура взаимодействия между компонентами VVols:
Документ интересный и полезный, так как составлен в виде пошагового руководства по настройке политик хранения, маппинга хранилищ на эти политики и развертывания ВМ на томах VVols.
Таги: VMware, VVols, Whitepaper, vSphere, Web Client
Компания Veeam, как всегда первой проявила инициативу и оперативность в этом вопросе - вышел Veeam Availability Suite v8 Update 2, все компоненты которого полностью поддерживают vSphere 6. Полностью - это значит, что Veeam ONE v8 Update 2 - единое решение для мониторинга и отчетности в виртуальной среде, а также Veeam Backup and Replication v8 Update 2 - продукт номер 1 для резервного копирования виртуальных машин, полностью работают с шестой версией платформы виртуализации от VMware и не имеют там никаких ограничений.
Кроме этого, в Veeam Availability Suite v8 Update 2 появились следующие новые возможности, недоступные в продуктах других вендоров:
Поддержка VMware Virtual Volumes (VVols) и VMware Virtual SAN 2.0.
Механизм Storage Policy-Based Management (SPBM) для резервного копирования и восстановления (управление на базе политик).
Возможность резервного копирования и репликации машин, защищенных технологией Fault Tolerance (FT). Это очень круто!
Интеграция с тэгами vSphere 6.
Поддержка Cross-vCenter vMotion.
Поддержка функций Quick Migration на тома VVols (переезд машин с классических VMFS-хранилищ).
Режим транспорта данных Hot-Add для виртуальных SATA-дисков.
То есть теперь при восстановлении ВМ можно выбирать хранилище, подпадающее под определенные политики (по умолчанию будет использована исходная политика):
Также появилась поддержка продукта Veeam Endpoint Backup FREE. Теперь в консоли Veeam Backup & Replication мы видим бэкапы с рабочих станций и серверов, сделанные средствами Endpoint Backup.
Вот тут, например, мы задаем репозиторию пермиссии на сохранение в него бэкапов Veeam Endpoint Backup FREE:
Veeam ONE v8 Update 2 тоже получил несколько новых возможностей и теперь поддерживает мониторинг всех компонентов vSphere 6, включая такие как, например, тома VVols.
Некоторое время назад мы писали про обработку гипервизором VMware vSphere таких состояний хранилища ВМ, как APD (All Paths Down) и PDL (Permanent Device Loss). Вкратце: APD - это когда хост-сервер ESXi не может получить доступ к устройству ни по одному из путей, а также устройство не дает кодов ответа на SCSI-команды, а PDL - это когда хост-серверу ESXi удается понять, что устройство не только недоступно по всем имеющимся путям, но и удалено совсем, либо сломалось.
Так вот, в новой версии VMware vSphere 6.0 появился механизм VM Component Protection (VMCP), который позволяет обрабатывать эти ситуации со стороны кластера высокой доступности VMware HA в том случае, если в нем остались другие хосты, имеющие доступ к виртуальной машине, оставшейся без "хост-хозяина".
Для того чтобы это начало работать, нужно на уровне кластера включить настройку "Protect against Storage Connectivity Loss":
Далее посмотрим на настройки механизма Virtual Machine Monitoring, куда входят и настройки VM Component Protection (VMCP):
С ситуацией PDL все понятно - хост больше не имеет доступа к виртуальной машине, и массив знает об этом, то есть вернул серверу ESXi соответствующий статус - в этом случае разумно выключить процесс машины на данном хосте и запустить ВМ на других серверах. Тут выполняется действие, указанное в поле Response for a Datastore with Permanent Device Loss (PDL).
Со статусом же APD все происходит несколько иначе. Поскольку в этом состоянии мы не знаем пропал ли доступ к хранилищу ВМ ненадолго или же навсегда, происходит все следующим образом:
возникает пауза до 140 секунд, во время которой хост пытается восстановить соединение с хранилищем
если связь не восстановлена, хост помечает датастор как недоступный по причине APD Timout
далее VMware HA включает счетчик времени, который длится ровно столько, сколько указано в поле Delay for VM failover for APD (по умолчанию - 3 минуты)
по истечении этого времени начинается выполнение действия Response for a Datastore with All Paths Down (APD), а само хранилище помечается как утраченное (NO_Connect)
У такого механизма работы есть следующие особенности:
VMCP не поддерживает датасторы Virtual SAN - они будут просто игнорироваться.
VMCP не поддерживает Fault Tolerance. Машины, защищенные этой технологией, будут получать перекрывающую настройку не использовать VMCP.
Как мы недавно писали, компания StarWind Software, производитель средства номер 1 - Virtual SAN, предназначенного для создания отказоустойчивых хранилищ виртуальных машин на платформах VMware vSphere и Microsoft Hyper-V, запустила инициативу вебинаров по четвергам в неформально формате "On Tap" (то есть в розлив). Инициатива не заглохла, а, наоборот, живет и развивается.
Сегодня в 22-00 по московскому времени Анатолий Вильчинский расскажет вам о том, как можно использовать один единственный продукт для хранилищ ВМ и операций с ними в виртуальной инфраструктуре Hyper-V.
Зарегистрироваться на вебинар можно по этой ссылке.
На днях компания VMware сделала пару интересных анонсов в сфере облачных вычислений. Одним из таких анонсов стал Project Photon - легковесная ОС, построенная на базе Linux-ядра, предназначенная для использования в облачных инфраструктурах.
Project Photon - это ОС для так называемых cloud-native applications, то есть приложений, изначально созданных для облачной инфраструктуры и запакованных в контейнеры виртуальных машин. Напомним, что VMware уже делала шаги в этом направлении с инициативой CoreOS, а также интеграцией с механизмом Docker (также см. вот тут). Теперь же VMware дошла и до создания своей ОС на базе компонентов с открытым исходным кодом, чтобы обеспечить пользователям полный набор инструментов для создания приложений, которые просто масштабируются в облачной среде.
Project Photon будет обладать следующими возможностями:
Поддержка большинства форматов Linux-контейнеров приложений, таких как Docker, rkt и Garden от компании Pivotal (дружественная VMware компания, ее директор, Пол Мориц, был раньше директором VMware).
Минимальный размер машины на диске (около 300 МБ).
Инструменты для миграции приложений в контейнерах из среды разработки в производственную среду.
Возможности обеспечения безопасности, централизованного управления и оркестрации операций на базе инструментов, доступных для платформы VMware vSphere.
Обзор решения Project Photon для запуска контейнеров на базе движков Docker и Rocket Containers (от создателей CoreOS):
На данный момент код Project Photon доступен для всех желающих на GitHub. Вот тут можно прочитать небольшой обзор процесса развертывания.
Одновременно с Project Photon был запущен и Project Lightwave, который призван решать задачи аутентификации и управления доступом в среде контейнеризованных приложений с сотнями пользователей. Это средство позволит централизованно управлять идентификацией пользователей через интеграцию с VMware vSphere и vCloud Air, а также осуществлять управление сертификатами и ключами в облачной среде. Lightwave поддерживает большинство открытых стандартов в области аутентификации и обеспечения безопасности, таких как Kerberos, LDAP v3, SAML, X.509 и WS-Trust.
Демонстрация работы решения Project Lightwave:
Код проекта Project Lightwave также будет доступен как Open Source в репозитории на GitHub. Его финальный релиз ожидается через несколько месяцев.
Мы уже упоминали компанию opvizor на нашем сайте - она тогда называлась еще Icomasoft. Она время от времени делает утилитки для виртуальной инфраструктуры. Оказалось у нее есть могущая оказаться полезной многим утилита Snapwatcher Enterprise Edition.
Как знают администраторы VMware vSphere, снапшоты виртуальных машин в большой виртуальной инфраструктуре - это просто беда. Они плодятся неаккуратными пользователями и администраторами, создаются пачками в тестовых системах и почему-то иногда не удаляются средствами резервного копирования. Для решения таких проблем и предлагается использовать Snapwatcher:
Что умеет Snapwatcher:
Отслеживание имеющихся снапшотов ВМ на различных vCenter.
Отчет о количестве паразитно занятого снапшотами дискового пространства.
Нахождение некорректных снапшотов (например, после средств бэкапа).
Удаление ненужных снапшотов централизованно, из одной консоли.
Починка невалидных снапшотов (очевидно, работает не всегда - но весьма интересная функция).
Отслеживание истории снапшотов.
Как это работает:
Сам продукт Snapwatcher платный ($200 за лицензию на пользователя), но у него есть триальная версия. А так как в большинстве случаев проблема со снапшотами в виртуальной среде - разовая, то можно скачать Snapwatcher бесплатно и все пофиксить.
Компания VMware довольно оперативно выставила на всеобщее обсуждение бета-версию своего основного руководства по обеспечению информационной безопасности виртуальной инфраструктуры vSphere 6.0 Hardening Guide.
В этой Excel-табличке на данный момент общим списком собраны основные рекомендации (подчеркнем, что список неполный, и в релизной версии рекомендаций будет больше). Часть рекомендаций была удалена из руководства или перемещена в документацию - список этих пунктов приведен вот тут.
Основное, что ушло из руководства - это операционные рекомендации, то есть что следует делать правильно во время эксплуатации VMware vSphere. Это переместилось в соответствующие разделы документации по платформе. В итоге, осталась сухая выжимка из необходимых настроек безопасности, которые нужно правильно применять в своей инфраструктуре.
Гайдлайны сгруппированы в профили риска (Risk Profiles) - их всего три штуки (1, 2, 3), и они определяют степень критичности их применения. Уровень 1 - только для высокозащищенных систем, 2 - для окружений с чувствительными данными (например, персональными), 3 - для обычных производственных систем.
Также прибавились префиксы компонентов для рекомендаций:
Было: enable-ad-auth
Стало: ESXi.enable-ad-auth
Кстати, интересное видео о том, как нужно использовать Hardening Guide:
Компания VMware с радостью примет пожелания и замечания к руководству, которые можно оставить вот тут. Релиз финальной версии VMware vSphere 6.0 Hardening Guide ожидается во втором квартале 2015 года.
Не так давно мы писали про технологию Virtual Volumes (VVols), которая полноценно была запущена в новой версии платформы виртуализации VMware vSphere 6. VVols - это низкоуровневое хранилище для виртуальных машин, с которым позволены операции на уровне массива по аналогии с теми, которые доступны для традиционных LUN - например, снапшоты дискового уровня, репликация и прочее.
VVols - это один из типов хранилищ (Datastore) в vSphere:
Тома vVOLs создаются на дисковом массиве при обращении платформы к новой виртуальной машине (создание, клонирование или снапшот). Для каждой виртуальной машины и ее файлов, которые вы сейчас видите в папке с ВМ, создается отдельный vVOL.
Многие администраторы задаются вопросом: а почему VVols - это крутая штука, нужны ли они вообще? VMware в своем блоге отвечает на этот вопрос. Попробуем изложить их позицию здесь вкратце.
Ну, во-первых, VVols дают возможность создавать аппаратные снапшоты, клоны и снапклоны на уровне одной виртуальной машины, а не целых LUN, но это неконцептуально. Вопрос следует понимать глубже.
Все идет из концепции SDDC (Software Defined Datacenter), которая подразумевает абстракцию всех уровней аппаратных компонентов (вычислительные ресурсы, сети, хранилища) на программный уровень таким образом, чтобы администратор виртуальных ресурсов не ломал себе голову насчет физического устройства датацентра при развертывании новых систем. Иными словами, при создании виртуальной машины администратор должен определить требования к виртуальной машине в виде политики (например система Tier 1), а программно-определяемый датацентр сам решит где и как эту машину разместить (хост+хранилище) и подключить ее к сети (тут вспомним про продукт VMware NSX).
С точки зрения хранилищ (SDS - software defined storage) эта концепция реализуется через подход Storage Policy Based Management (SPBM), предполагающий развертывание новых систем на хранилищах, которые описаны политиками. Этого мы уже касались в статье "VMware vSphere Storage DRS и Profile Driven Storage - что это такое и как работает".
Если раньше дисковый массив определял возможности хранилища, на котором размещалась ВМ (через LUN для Datastore), и машина довольствовалась тем, что есть, то теперь подход изменился: с Virtual Volumes, к которым привязаны политики виртуальных машин, сама машина "рассказывает" о своих требованиях дисковому массиву, который уже ищет, где он может ее "поселить". Этот подход является более правильным с точки зрения автоматизации и человеческого фактора (ниже расскажем почему).
Представим, что у нас есть три фактора, которые определяют качество хранилища:
Тип избыточности и размещения данных (например, RAID - Stripe/Mirror)
Наличие дедупликации (да/нет)
Тип носителя (Flash/SAS/SATA)
Это нам даст 12 возможных комбинаций типов LUN, которые мы можем создать на дисковом массиве:
Соответственно, чтобы учесть все такие комбинации требований при создании виртуальных хранилищ (Datastores), мы должны были бы создать 12 LUN. Но на этом проблемы только начинаются, так как администратор всегда стремится выбрать лучшее с его точки зрения доступное хранилище, что может привести к тому, что LUN1 у нас будет заполнен под завязку системами разной критичности, а новые критичные системы придется размещать на LUN более низкого качества.
На помощь тут приходят политики хранилищ (VM Storage Policies). Например, мы создаем политики Platinum, Silver и Gold, для которых определяем необходимые поддерживаемые хранилищами функции, которые обоснованы, например, критичностью систем:
Если говорить о примере выше, то Platinum - это, например, хранилище с характеристиками LUN типов 1 и 3.
Интерфейс vSphere Web Client нам сразу показывает совместимые и несовместимые с этими политиками хранилища:
Так вот при развертывании новой ВМ администратору должно быть более-менее неважно, на каком именно массиве или LUN будет расположена машина, он должен будет просто выбрать политику, которая отражает его требования к хранилищу. Удобно же!
При создании политики администратор просто выбирает провайдера сервисов хранения (в данном случае массив NetApp с поддержкой VVols) и определяет необходимые поддерживаемые фичи для набора правил в политике:
После этого при развертывании новой виртуальной машины администратор просто выбирает нужную политику, зная обеспечиваемый ей уровень обслуживания, и хранилищем запускается процесс поиска места для новой ВМ (а точнее, ее объектов) в соответствии с определенными в политике требованиями. Если эти требования возможно обеспечить, то создаются необходимые тома VVOls (как бы отдельные LUN для объектов машины). Таким образом, с помощью политик машины автоматически "вселяются" в пространство хранения дисковых массивов в соответствии с требованиями, не позволяя субъективному человеку дисбалансировать распределение машин по хранилищам различных ярусов. Вот тут и устраняется человеческий фактор, и проявляется сервисно-ориентированный подход: не машину "селят" куда скажет дядя-админ, а система выбирает хранилище для ВМ, которое соответсвует ее требованиям.
На днях компания Veeam официально анонсировала доступность еще одного бесплатного продукта - Veeam Endpoint Backup Free, который является бесплатным средством для резервного копирования данных любого Windows-компьютера (не обязательно виртуальной машины).
Возможности продукта:
1. Быстрое и простое резервное копирование
Вы сможете сохранить резервные копии данных, созданные при помощи Veeam Endpoint Backup FREE, на такие носители, как:
внешние устройства хранения (например, съемные USB-накопители)
сетевая общая папка
репозиторий Veeam Backup & Replication
После выполнения первоначального полного резервного копирования Veeam Endpoint Backup FREE осуществляет инкрементальное резервное копирование, при котором копируются только новые или измененные блоки данных, которые появились после предыдущего выполнения резервного копирования. В сочетании со сжатием и дедупликацией данных это значительно ускоряет резервное копирование и уменьшает размеры резервных копий.
2. Простое восстановление
Если вам требуется восстановить данные, вы можете использовать один из следующих методов восстановления:
восстановление с нуля - восстановление системы целиком с той же или иной аппаратной конфигурацией
восстановление томов - восстановление отказавшего жесткого диска или раздела
восстановление файлов - восстановление отдельных файлов
3. Интеграция с коммерческой версией Veeam Backup & Replication
Veeam Endpoint Backup FREE интегрируется с Veeam Backup & Replication в среде VMware vSphere или Microsoft Hyper-V, что позволяет использовать репозитории Veeam в качестве целевых устройств для заданий Veeam Endpoint Backup FREE.
Помимо этого, Veeam Backup & Replication предлагает такие возможности, как:
восстановление файлов гостевой системы и объектов приложений с помощью инструментов Veeam Explorer для Microsoft Active Directory, Exchange, SharePoint и SQL Server
экспорт содержимого физических дисков из резервных копий в файлы виртуальных дисков VMDK/VHD/VHDX
базовый мониторинг и управление для заданий резервного копирования, включая уведомления о статусе заданий резервного копирования компьютера
архивирование резервных копий компьютера на диск, магнитную ленту или облако с помощью соответствующих заданий Veeam Backup & Replication
назначение пользователям прав доступа к отдельным репозиториям Veeam
регулирование загруженности канала сети (traffic throttling) при выполнении заданий Veeam Endpoint Backup
4. Аварийный загрузочный диск
Если операционная система, установленная на компьютере, по какой-то причине не загружается, вы можете загрузить ОС с помощью аварийного загрузочного диска. Veeam Endpoint Backup FREE позволяет создать аварийный загрузочный диск на различных типах носителей, таких как:
съемные устройства хранения (например, USB- накопители, SD-карты и т.д.)
диски CD/DVD/BD
образы ISO
5. Встроенные инструменты для управления и диагностики
Veeam Endpoint Backup FREE включает собственные инструменты для диагностики, а также несколько полезных инструментов Microsoft Windows, которые помогут вам обнаружить проблемы и выполнить ряд задач по администрированию системы:
сброс пароля: сброс пароля встроенной учетной записи администратора
восстановление при запуске: позволяет устранить проблемы, которые мешают запуску Windows (напр., отсутствуют или повреждены системные файлы, поврежден загрузочный сектор и т. п.)
диагностика системной памяти компьютера: позволяет обнаружить потенциальные проблемы после перезагрузки системы
запуск командной строки Microsoft Windows
Для тех, кто хочет погрузиться в детали решения Veeam Endpoint Backup FREE, есть вот такое видео записанного вебинара по продукту на русском языке от системного инженера Veeam:
Скачать бесплатное решение Veeam Endpoint Backup FREE можно по этой ссылке. Руководство пользователя доступно вот тут.
Вскоре после выхода платформы виртуализации VMware vSphere 6.0 компания VMware выпустила апрельский патч VMware ESXi 6.0 (Build 2615704). Обновление ESXi600-201504001 описано в KB 2111975. В данном билде есть только исправления багов, его статус - Critical.
Какие ошибки были исправлены:
Выпадение в "розовый экран смерти" при промотке логов хоста через прямое подключение к консоли сервера - DCUI (по комбинации клавиш ALT+F12).
Stateless-хосты VMware ESXi (бездисковые, загруженные в память) могут упасть при применении профиля из VMware Host Profiles (с ошибкой A specified parameter was not correct: dvsName).
Производительность виртуальной машины с ОС Windows, для которой включена технология Fault Tolerance, может неожиданно сильно упасть.
Баг с непредоставлением сервером vCenter лицензии stateless-хосту.
Когда у вас много виртуальных машин с небольшой памятью (< 128 МБ), в процессе NUMA remapping может выскочить "розовый экран смерти".
Как мы видим, баги в ESXi 6.0 еще есть, и пока некуда торопиться с обновлением с версий 5.x.
Скачать апрельский патч VMware ESXi 6.0 (Build 2615704) можно с VMware Patch Portal, введя номер билда в поиск.
Незадолго до выпуска платформы виртуализации VMware vSphere 6 компания VMware решила обновить пути сертификации технических специалистов по продуктам линейки, привязанных к шестой версии базового продукта. Итак, теперь у нас есть Certification Roadmap for 2015, которая графически представлена следующим образом...
Какое-то время назад мы писали о том, что на сайте проекта VMware Labs доступен пакет VMware Tools для виртуальных серверов VMware ESXi, работающих как виртуальные машины. В версии VMware vSphere 6 этот пакет по умолчанию уже вшит в ESXi 6.0, и ничего ставить дополнительно не нужно:
Это можно также просто проверить с помощью консольной команды:
Кстати, самих представителей компании StarWind Software можно будет найти на стойке #343. Они вам расскажут про самый лучших продукт для создания программных отказоустойчивых хранилищ StarWind Virtual SAN для виртуальных машин VMware vSphere и Microsoft Hyper-V.
Как вы знаете, в обновленной версии платформы виртуализации VMware vSphere 6.0 появились не только новые возможности, но и были сделаны существенные улучшения в плане производительности (например, вот).
В компании VMware провели тест, использовав несколько виртуальных машин с базами данных SQL Server, где была OLTP-модель нагрузки (то есть большой поток небольших транзакций). Для стресс-теста БД использовалась утилита DVD Store 2.1. Архитектура тестовой конфигурации:
Сначала на хосте с 4 процессорами (10 ядер в каждом) запустили 8 виртуальных машин с 8 vCPU на борту у каждой, потом же на хосте 4 процессорами и 15 ядер в каждом запустили 8 ВМ с 16 vCPU. По количеству операций в минуту (Operations per minute, OPM) вторая конфигурация показала почти в два раза лучший результат:
Это не совсем "сравнение яблок с яблоками", но если понимать, что хосты по производительности отличаются не в два раза - то результат показателен.
Интересен также эксперимент с режимом Affinity у процессоров для "большой" виртуальной машины. В первом случае машину с 60 vCPU привязали к двум физическим процессорам хоста (15 ядер на процессор, итого 30 ядер, но использовалось 60 логических CPU - так как в каждом физическом ядре два логических).
Во втором же случае дали машине те же 60 vCPU и все оставили по дефолту (то есть позволили планировщику ESXi шедулить исполнение на всех физических ядрах сервера):
Результат, как мы видим, показателен - физические ядра лучше логических. Используйте дефолтные настройки, предоставьте планировщику ESXi самому решать, как исполнять виртуальные машины.
RSS
