Недавно мы писали о недавнем обновлении продукта для виртуализации и агрегации сетей датацентра VMware NSX for vSphere 6.4, а на днях блогер Sam McGeown опубликовал интересную диаграмму соединений и портов VMware NSX 6.x Network Communications Diagram, на которой в центре расположено решений NSX Manager (главный управляющий компонент), а остальные компоненты сетевой инфраструктуры указаны с ведущими к ним коммуникациями по соответствующим портам:

Пока данная диаграмма показывает только соединения в рамках одной площадки, но автор обещает вскоре ее обновить, включив туда Cross vCenter коммуникации.

Загрузить диаграмму:

• PNG: NSX Communication Ports
• PDF: NSX Communication Ports

Многие из вас хотя бы раз задумывались о том, сколько виртуальных машин должно в среднем приходиться на один хост, а кроме того, в частности, сколько виртуальных процессоров (vCPU) могут исполняться на физических процессорах (pCPU) хост-сервера VMware ESXi.

На этот счет системные архитекторы часто дают следующие рекомендации (в соответствии с критичностью нагрузок в кластере):

• Tier 1 cluster (mission-critical приложения) - соотношение 1:1 vCPU / pCPU.
• Tier 2 cluster (business-critical приложения) - соотношение 3:1 vCPU / pCPU.
• Tier 3 cluster (инфраструктурные и обеспечивающие приложения) - соотношение 5:1 vCPU / pCPU.
• Tier 4 cluster (виртуальные десктопы) - соотношение 10:1 vCPU / pCPU.

Это общие рекомендации и, конечно же, не железные правила - отталкиваться нужно от имеющегося оборудования и характера нагрузок в виртуальных машинах.

Для того, чтобы регулировать это соотношение со стороны кластера балансировки нагрузки VMware DRS есть 2 специальные расширенные настройки:

• MaxVcpusPerClusterPct - регулирует соотношение vCPU/pCPU на уровне всего кластера, не привязываясь к конкретным хостам ESXi (то есть сумма vCPU всех машин делится на сумму pCPU всех хостов).
• MaxVCPUsPerCore - регулирует соотношение vCPU/pCPU на уровне каждого из хостов ESXi, то есть ни на одном из них это соотношение не может быть превышено.

Указываются эти расширенные настройки в разделе Configuration Parameters в vSphere Web Client при настройке DRS-кластера:

Также их можно задать и в HTML5-клиенте vSphere Client:

Но самое интересное - это то, что в vSpher Web Client эта настройка есть в GUI и регулирует параметр MaxVcpusPerClusterPct на уровне всего кластера (можно задать процент от 0 до 500, но разумно задавать значения от 100 до 500, если задать 500 - число vCPU может быть больше pCPU в пять раз):

А вот в vSphere Client - эта настройка уже MaxVCPUsPerCore, то есть задание CPU Overcommitment на уровне каждого из хостов ESXi, о чем и написано в интерфейсе:

Кстати, выставить эту настройку можно в диапазоне от 0 до 32.

Пару недель назад мы писали о новых возможностях последних версий HTML5-клиента для управления виртуальной инфраструктурой VMware vSphere Client 3.31-3.32, а на днях компания VMware выпустила очередное обновление vSphere Client 3.33, где появилось немало новых возможностей (а не как обычно).

Давайте посмотрим, что нового в этом обновлении:

• Поддержка устройств PCI и Shared PCI для виртуальных машин.
• Мастер создания нового виртуального сервиса (vApp).
• Мастер клонирования vApp.
• Перемещение vApp в между хостами и кластерами.
• Возможность копирования customization specification виртуальной машины на другой сервер vCenter с возможностью изменения имени и описания спецификации.
• Действие Synchronize Licenses (ранее оно называлось Import License Keys Data).
• Детали об имеющихся ассетах и лицензиях.
• Возможность изменять VM Advanced configurations в настройках виртуальной машины (пункт Edit Settings).
• Изменение ярлыков для операций с состоянием ВМ (Power Operations) в разделе VMware tools в опциях Edit Settings для виртуальной машины.
• Изменение максимального количества сессий VMRC для виртуальной машины в настройках (Edit Settings).

В целом, не так уж и мало для очередного обновления. Скачать VMware vSphere Client 3.33 можно по этой ссылке.

На днях компания VMware обновила свое основное решение для виртуализации и агрегации сетей виртуального датацентра до версии VMware NSX for vSphere 6.4. Напомним, что о возможностях прошлой версии NSX 6.3 мы писали в начале прошлого года.

Давайте посмотрим, что нового появилось в NSX 6.4:

1. Механизм Context-aware micro-segmentation.

Как знают администраторы NSX, эта платформа уже давно не оперирует понятиями IP-адресов и базовой сетевой идентификацией, вместо этого NSX позволяет управлять сетями на базе политик, в составе которых такие настройки, как операционная система, имена виртуальных машин и приложения. Это позволяет более гибко оперировать метриками.

Теперь NSX позволяет создавать и управлять политиками на базе контекстов приложений (это и есть микросегментация) - сетевом (на уровне 7 модели OSI), пользовательском (ID, сессия RDSH и прочее), а также рабочей нагрузки (тэги, группы безопасности):

Отсюда следуют 3 новых возможности:

• Network flow app detection и управление на уровне 7.

NSX реализует технологию глубокого анализа Deep Packet Inspection (через заголовки пакетов TCP/UDP) для идентификации приложения в сетевом трафике. Это избавляет от необходимости вручную идентифицировать приложения датацентров и задавать политики для различных приложений, которые обнаруживаются по их сигнатурам.

• Virtual Desktop and Remote (RDSH) Session Security per User.

Одна из фишек микросегментации - это защита виртуальных ПК, поскольку несколько сессий исполняется на одном хост-сервере и данные пользовательских ПК должны быть надежно защищены друг от друга. NSX работает с политиками безопасности на уровне виртуальных машин и пользователей, что позволяет создавать разграничения трафика в таких VDI-средах, как VMware Horizon, Citrix XenDesktop и Microsoft RDSH.

• Улучшения Application Rule Manager.

Теперь это средство предлагает не только сами правила для приложений, но и рекомендует группы безопасности, чтобы наиболее эффективно организовать микросегментацию датацентра.

2. Поддержка vSphere Client и HTML5.

Интерфейс NSX был полностью переработан, чтобы поддерживать vSphere Client на базе технологии HTML5 (плагин называется VMware NSX UI Plug-in for vSphere Client). Например, Upgrade Coordinator был также полностью переосмыслен, и теперь можно наслаждаться новым видом рабочего процесса по планированию и обновлению NSX:

Помимо этого, было существенно улучшено меню навигации в продукте.

3. Улучшения сервисов безопасности.

• Identity Firewall - теперь поддерживаются пользовательские сессии к виртуальным ПК и серверам RDSH, а также выборочная синхронизация с Active Directory в целях ускорения процесса.
• Distributed Firewall - теперь он может быть создан из набора stateless-правил на уровне секции DFW. Кроме того, поддерживается реализация IP-адресов на уровне гипервизора, а также проверка вхождения IP-адресов в группы безопасности, кластеры, хосты или пулы ресурсов.
• Улучшения механизмов IP discovery.
• Улучшения анализа трафика гостевых ОС (Guest Introspection).

4. Улучшения средств управления и средств решения проблем.

• Новый дэшборд HTML5, доступный по дефолту.
• Новый дэшборд System Scale, который показывает текущий масштаб системы на фоне максимумов конфигурации, поддерживаемых NSX.
• Улучшения Guest Introspection - такие фичи, как EAM status notification, мониторинг процесса апгрейда, кастомные имена для SVMs, выделение дополнительной памяти и т.п.
• Единый интерфейс командной строки для logical switch, logical router и edge distributed firewall.
• Новая вкладка Support Bundle позволяет сгенерировать пакет данных для техподдержки, а также наблюдать за ходом выполнения этого процесса.
• Вкладка Packet Capture - она позволяет в ручном режиме перехватывать и анализировать пакеты.
• Возможность включения режима Controller Disconnected Operation (CDO), который позволят избежать проблем при временной недоступности сетевого соединения с основной площадкой.
• Поддержка до 5 Syslog-серверов.
• Поддержка форматов JSON и XML.
• Множество улучшений NSX Edge, которые описаны вот тут.

Загрузить VMware NSX for vSphere 6.4 можно прямо сейчас по этой ссылке.

Почти все из вас в курсе, что недавно в процессорах Intel были найдены уязвимости Meltdown и Spectre. Недавно мы писали о том, то компания VMware выпустила патчи для хост-серверов VMware ESXi, а также для управляющего сервера vCenter. Вильям Лам даже написал скрипт PowerCLI для проверки накаченных обновлений на хосты и виртуальные машины.

Но...18 января VMware, получив некую "важную информацию" от Intel, отозвала выпущенные патчи и опубликовала специальную KB 117649, в которой описала сложившуюся ситуацию, не особенно ее проясняя. Пока мы ждем патчей от VMware и Intel, можно взглянуть на некоторые результаты тестов производительности (раз и два), где показано, как исправления микрокода серверов от описанных уязвимостей негативно влияют на производительность:

Говорят, что падение производительности для тяжелых нагрузок (особенно по вводу-выводу) может составить от 5% до 30%, что как бы очень много.

В связи с этими событиями (последствия от которых еще проявят себя в ближайшие недели), компания Login VSI сделала специальную бесплатную лицензию на свое одноименное средство тестирования (мы писали об одной из версий тут). Запросить бесплатную лицензию на инструмент Login VSI можно по этой ссылке. Она, кстати, абсолютно ничем не ограничена - ни числом хостов, ни виртуальных машин в вашей виртуальной инфраструктуре, а для тестирования доступны все рабочие нагрузки.

Единственное ее ограничение - бесплатная версия прекратит работать 31 марта этого года. С помощью Login VSI вы можете протестировать производительность таких платформ, как Citrix XenApp, XenDesktop, Microsoft RDS и, конечно же, VMware Horizon View. 

В целом, влияние обновлений безопасности на производительность особенно чувствительно именно для VDI-инфраструктур, где коэффициент консолидации виртуальных машин на хостах существенно выше, чем в серверной среде.

Запросить бесплатную лицензию на Login VSI можно здесь.

Компания VMware на днях объявила о доступности для загрузки обновленной версии решения VMware Integrated OpenStack 4.1. Напомним, что о версии 4.0 данной платформы мы писали вот тут осенью прошлого года. Данный релиз поддерживает не только платформа vSphere, но и такие продукты, как vSphere, vSAN и NSX V|T (включая решение NSX-T LBaaSv2). Облачным администраторам в этом обновлении понравятся средства расширенного управления, а администраторам хранилищ Kubernetes - различные утилиты для автоматизации рабочих процессов.

В основе архитектуры VMware лежит виртуальный модуль vSphere OpenStack Virtual Appliance (VOVA), позволяющий построить инфраструктуру OpenStack на базе платформы виртуализации VMware vSphere. Сам же VMware Integrated OpenStack (VIO) - это специальный дистрибутив, поддерживаемый VMware, оптимизированный для работы на базе инфраструктуры SDDC (software defined data center).

Давайте посмотрим на новые возможности VMware Integrated OpenStack 4.1:

• Поддержка последних продуктов VMware. VIO 4.1 полностью поддерживает VMware vSphere 6.5 U1 (подробнее тут), vSAN 6.6.1, VMware NSX for vSphere 6.3.5 и VMware NSX-T 2.1 (подробнее тут).
• Public OMS API – появился API для управляющих серверов, который может быть использован для автоматизации и обслуживания жизненного цикла компонентов инфраструктуры OpenStack. Например, можно развернуть кластер OpenStack, остановить или запустить его, собрать бандлы для техподдержки и т.п. Вы также можете использовать Swagger UI для проверки валидности API и его спецификаций. Вот основные адреса для доступа:

API Base URL: https://[oms_ip]:8443/v1

Swagger UI: https://[oms_ip]:8443/swagger-ui.html

Swagger Docs: https://[oms_ip]:8443/v2/api-docs

• HAProxy Rate Limiting – облачный администратор теперь имеет возможность ограничить публичный доступ к API в определенном объеме. Это настраивается в шаблоне custom.yml.
• Neutron QoS – В VIO 4.1 облачный админ может использовать Neutron QoS для создания профиля QoS и его маппинга к портам или логическому коммутатору. При этом виртуальная машина при таком подключении будет наследовать политику портов.
• Native NSX-T Load Balancer as a Service (LBaaS) – В VIO 4.1 NSX-T LBaaSv2 может быть развернут с использованием как Horizon, так и Neutron LBaaS API.  Каждый балансировщик обязательно должен быть замаплен к логическому маршрутизатору NSX-T Tier 1 logical router (LR).
• Multiple domain LDAP backend – поддерживается SQL, а также один или несколько доменов как identity source (всего до 10 доменов). Каждый домен может иметь свой бэкенд аутентификации (поддерживается Active Directory и OpenDirectory).

Отдельно надо упомянуть новые фичи NFV и Kubernetes:

• VIO-in-a-box (так называемый Tiny deployment). Все компоненты VIO можно развернуть на одном физическом сервере. Его можно развернуть в ручном режиме или через OMS API. 
• CPU Policy for Latency Sensitivity Workflows – рабочие нагрузки, чувствительные к задержкам (Latency), часто требуют заранее выделенных ресурсов CPU, памяти и сети. В VIO 4.1 появилась поддержка политик в стиле Nova - ‘hw:cpu_policy”.  Эта политика мапит vCPU к конкретному инстансу процессора.
• Networking Passthrough – В VIO 4.1появился фреймворк на базе Neutron для проброса физических сетевых устройств в виртуальные машины.  Это позволяет с помощью Neutron настраивать MAC, IP и QoS сетевого устройства проброшенного через passthrough. Потом этот подход будет применен ко всем типам  passthrough-устройств.
• Enhanced Kubernetes support – VIO 4.1 идет вместе Kubernetes версии 1.8.1.  Также доступна интеграция с решениями Helm и Heapster. VIO 4.1 совместно с решением NSX-T2.1. также позволит использовать сетевые политики безопасности Kubernetes.
• VIO Kubernetes Support Bundle –  с помощью одной команды, указав начальную и конечную даты, можно собрать логи со всех компонентов, необходимые для анализа и решения проблем со всей инфраструктурой. Это позволяет легко и просто открыть тикет в техподдержке сервис-провайдера.
• VIO Kubernetes Log Insight Integration – как часть создания кластера Kubernetes, облачный админ может указать адрес сервера Log Insight в качестве внешней системы логгирования (пока только один сервер).
• VIO Kubernetes Control Plane Backup / Restore –  админ Kubernetes может делать резервные копии на уровне кластера через машину VIOK management VM. Бэкапы складываются в файлы tar.

Начать знакомство с VIO можно с прохождения лабораторной работы онлайн по этой ссылке: VMware Integrated OpenStack Hands-on Lab. Скачать VMware Integrated OpenStack 4.1 можно по этой ссылке.

Как вы знаете, механизм динамической балансировки нагрузки VMware DRS используется для того, чтобы в условиях неравномерной нагрузки на хост-серверы VMware ESXi выравнивать ее за счет дачи рекомендаций по миграции виртуальных машин средствами vMotion на другие хосты, либо автоматического выполнения этих рекомендаций.

Давайте посмотрим как Distributed Resource Scheduler работает с оперативной памятью. В кластере DRS есть такая настройка "Memory Metric for Load Balancing", которая отключена по умолчанию, и если почитать к ней описание, то становится понятно, что DRS по умолчанию руководствуется параметром Active memory для балансировки.

У машины есть три основных параметра памяти, учитываемых DRS - это Active, Consumed и Configured Memory:

• Configured - это память, указанная в настройках виртуальной машины, то есть ее максимальное значение.
• Consumed - это память, которая использовалась виртуальной машиной с момента ее загрузки (а вы знаете, что при загрузке операционная система обращается к большему объему памяти, чем затем ее использует).
• Active - это активные страницы памяти (RAM), которые сейчас используются гостевой ОС.

На картинке ниже показан пример - у машины 16 ГБ памяти, при этом при загрузке она наинициализировала страниц памяти на 12 ГБ, а активно использует только 5734 МБ.

Для того чтобы подчитывать используемую память, планировщик DRS подсчитывает working set из страниц Active Memory и прибавляет к нему 25% от разницы между Consumed и Active (это называется Idle Consumed Memory) на незапланированные резкие изменения нагрузки - и это число использует в своих вычислениях балансировки кластера:

В данном случае будет использоваться значение 5734+0,25*(12288-5734) = 7372,5 МБ (на картинке 7373 МБ). Кстати, это еще не все - к машине с памятью в 16 ГБ прибавляются накладные расходы (Overhead) в размере 90 МБ, поэтому DRS в своих вычислениях будет использовать значение 7373+90 = 7463 МБ.

Если же включить настройку DRS-кластера, упомянутую выше, то DRS в своих вычислениях будет использовать Consumed Memory и также прибавлять Memory Overhead:

В обновлении vSphere 6.5 update 1d клиент позволяет вам просматривать как метрику Active Memory, так и Consumed Memory.

Вот так выглядит картинка для сбалансированного кластера DRS (рекомендаций и ошибок нет):

Кстати, если вы посмотрите на Active Memory сбалансированного кластера, то там вполне может быть дисбаланс:

В этом нет ничего страшного, так как машины используют менее 20% active memory от памяти хоста, всем памяти хватает, и DRS решает, что балансировать машины в таком случае - это только тратить ресурсы CPU и сети на vMotion.

Переключимся теперь на Consumed memory:

Тут мы видим большой дисбаланс и разница между хостами более 20% от значений Consumed memory на них. Поэтому если мы включим настройку "Memory Metric for Load Balancing", то кластер DRS начнет работу по миграции виртуальных машин между хост-серверами. Итогом будет вот такая картина:

Вывод тут вот какой. Если у вас кластер работает без оверкомита (non-overcommitted) и есть большой запас по RAM на хостах, то, возможно, вам и следует поставить настройку "Memory Metric for Load Balancing", чтобы DRS балансировал хосты по consumed memory, а сами рекомендации по миграциям, например, можно применять в ручном режиме, чтобы контролировать ситуацию.

Многие из вас знают, что одной из новых возможностей решения для организации отказоустойчивых кластеров хранения VMware vSAN стали проактивные тесты, которые доступны через VMware vSphere Web Client. Раньше их было три штуки:

Но недавно некоторые из вас, возможно, заметили, что в новой версии VMware vSAN (которая доступна с VMware vSphere 6.5 Update 1 Patch 02) остался только одиноко болтающийся тест на создание виртуальной машины:

Дункан Эппинг пишет, что это обусловлено двумя факторами:

• Тест Multicast performance ушел, так как мультикаст-режим был убран из VMware vSAN (еще в версии vSAN 6.6), соответственно, ушел и тест на его производительность. Теперь когда вы используете vSAN в режиме юникаст, то тест показан не будет, но если будете использовать все же мультикаст - тест появится.
• А вот тест Storage Performance ушел вот почему: у VMware есть методика тестирования HCI Bench, которая позволяет провести комплексный тест производительности отказоустойчивых кластеров хранилищ vSAN, а также других конфигураций виртуальной инфраструктуры. Это очень гибкий инструмент, который позволяет проводить наиболее точное тестирование и настраивать различные аспекты методики и среды тестирования. Соответственно, VMware решила поддерживать только один инструмент, а Storage Performance Test убрать из клиента для управления виртуальной инфраструктурой.

Недавно мы писали, что в начале года компания VMware выпустила обновления своей платформы виртуализации настольных ПК предприятия - VMware Horizon 7.4. Параллельно с апдейтом этого VDI-решения было проведено и обновление клиентов, в частности вышел VMware Horizon Client 4.7 for iOS, работающий на устройствах iPhone и iPad.

Давайте посмотрим, что нового появилось в Horizon Client 4.7:

• Улучшения восстановления соединения VMware Blast. Эта функция была улучшена в плане надежности механизмов пересоединения и повторной передачи при временных сбоях в сети. В большинстве таких случаев приложения продолжают работать после короткой паузы. Для приложений чувствительных ко времени отклика VMware Blast перезапускает сессию.
• Поддержка Derived credentials (аутентификация через одноразовые пароли) для аутентификации на удаленном десктопе. Для этого поддерживается решение Purebred.
• Драг энд дроп текста и картинок. Эта функция показана в видео ниже. Можно перетаскивать объекты из клиентского устройства в опубликованное приложение или в открытое приложение на виртуальном десктопе.

А вот так это работает с клавиатурой и мышью Swiftpoint GT:

• Генерация ярлыков и ссылок на сайты. Теперь можно перетащить ярлык сервера, десктопа или приложения на другое приложение, чтобы сгенерировать URI. Также можно перетащить имя сервера на страницу Servers, чтобы присоединиться к нему.

• Поддержка аутентификации Face ID. Теперь можно выбрать этот способ аутентификации на айфонах и других будущих устройствах с поддержкой Apple Face ID.

Как всегда клиент VMware Horizon Client 4.7 for iOS доступен на общей странице загрузки клиентов VMware Horizon.

Уважаемые коллеги!

Приглашаем на интереснейший вебинар «VMware vCloud Extender – новейший инструмент построения гибридных облаков для vSphere 6.5». Про vCloud Extender мы уже писали вот тут. Это бывший продукт vCloud Connector, сейчас vCloud Extender позволяет пользователям облачных инфраструктур бесплатно перенести свои онпремизные виртуальные машины в облако сервис-провайдеров IaaS.

Будет проведён краткий обзор функционала VMware vCloud Extender, существенно упрощающего и расширяющего возможности миграции сервисов в облако, а также решающий задачи обеспечения высокой доступности для ЦОД, рассмотрены наиболее характерные сценарии его применения. Кроме того, вас ждёт живая демонстрация продукта на платформе VMware vSphere 6.5 от Облакотеки.

Вебинар будет интересен прежде всего техническим руководителям и специалистам компаний, которые только планируют или уже активно используют для своих нужд облачные среды на платформе VMware.

Приходите - будет действительно интересно, живое демо продукта и разъяснение технических моментов по продукту vCloud Extender, о которых вы часто спрашиваете.

Присоединяйтесь к нам на нашем мероприятии, будем рады общению!

На днях мы писали о том, что компания VMware выпустила обновления VMware vCenter и ESXi, закрывающие потенциальную угрозу безопасности Spectre (она же Hypervisor-Assisted Guest Mitigation - CVE-2017-5715), которая недавно была обнаружена в процессорах Intel. Для закрытия уязвимости нужно обновить не только серверы ESXi и vCenter, но и микрокод (BIOS/Firmware) серверов (более подробная информация также приведена в KB 52085).

На днях наш читатель Сергей прислал ссылку на скрипт от Вильяма Лама, который позволяет провести проверку компонентов виртуальной инфраструктуры VMware vSphere на данную уязвимость. Этот PowerCLI-скрипт содержит две функции:

• Verify-ESXiMicrocodePatchAndVM
• Verify-ESXiMicrocodePatch

Первая функция позволяет проверить хосты ESXi и виртуальные машины и сгенерировать отчет в разрезе виртуальных машин. Если в колонке Affected стоит значение False - значит обновления и микрокода сервера, и хоста ESXi были применены, а сами ВМ и хост-сервер не подвержены уязвимости Spectre.

Вторая функция проверяет только, что на хостах ESXi накачено обновление как микрокода, так и самого гипервизора ESXi, который видит обновленные CPU features.

Функция Verify-ESXiMicrocodePatchAndVM может быть запущена тремя способами:

• Без параметров - проверяется все окружение VMware vSphere и все виртуальные машины в нем.
• С параметром - ClusterName - проверяется конкретный кластер и всего его хосты и ВМ.
• С параметром - VMName - проверяется только конкретная ВМ и ее хост, соответственно.

У функции Verify-ESXiMicrocodePatch также есть три способа вызова:

• Без параметров - проверяются все хост-сервера в инфраструктуре vCenter.
• С параметром - ClusterName - проверяется конкретный кластер и всего его хосты.
• С параметром - VMHostName - проверяется конкретный хост-сервер ESXi.

Скачать этот PowerCLI-сценарий можно по этой ссылке: VerifyESXiMicrocodePatch.ps1.

Кстати говоря, этот скрипт был добавлен в полезный скрипт vCheck, который перед Новым годом обновился до версии 6.25, скачать его можно вот тут - https://github.com/alanrenouf/vCheck-vSphere.

На днях компания VMware выпустила обновленную версию решения для виртуализации и доставки виртуальных ПК и приложений предприятия - VMware Horizon 7.4. Напомним, что предыдущее обновление этого продукта VMware Horizon 7.3.1 вышло осенью прошлого года.

Давайте посмотрим, что нового появилось в новой версии этой платформы для организации VDI-инфраструктуры:

1. Функция Session Collaboration.

Это средство для совместной работы - пользователь просто вызывает диалог шаринга сессии и генерирует линк на нее. После этого линк можно послать по почте, кинуть в скайп или передать еще каким-либо образом.

При этом получивший экран пользователь также может расшарить его, а изначальный юзер может передать управление любому из них.

Для работы этой возможности нужно включить ее на уровне пула виртуальных ПК или фермы серверов RDSH:

Требования к фиче Session Collaboration:

• Протокол VMware Blast Extreme.
• Клиент Horizon Client 4.7 (для Windows, Mac или Linux), а также HTML Access 4.7.
• Максимум 5 одновременных пользователей по умолчанию (это можно увеличить).
• Агент Horizon Agent 7.4 для VDI или RDSH.
• Сервер Horizon 7.4 Connection Server.
• Лицензия на издание Horizon 7 Enterprise Edition.

2. Instant Clones for Linux.

Теперь функция мгновенных клонов доступна и для Linux-систем. Для ее работы должны быть выполнены следующие требования:

• Плавающий (floating) пул десктопов Instant-clone.
• Версия Horizon 7.4 Connection Server и Linux Agent.
• Версия Ubuntu 14.04 или 16.04.
• Интеграция с Active Directory, предоставляемая Power Broker Identity Services Open (PBISO) v8.5.6 или более поздней версией.

3. Фермы RDSH Instant-Clone Farms с поддержкой vGPU.

Теперь фермы серверов RDSH могут быть с поддержкой технологии NVIDIA vGPU. Они могут в полной мере получить преимущества технологии Instant Clone.

На данный момент поддерживаются архитектуры графических карт NVIDIA M10, M60 и P40.

4. Улучшения RSDH Published Applications.

В этой категории были сделаны следующие улучшения:

• Поддержка Hardware GPU для Windows Server 2016.
• Функция USB AutoConnect: позволяет USB-устройствам автоматически подключаться при следующем запуске удаленного приложения.
• Улучшенная производительность запуска приложений - теперь время логина в published applications стало значительно меньше.
• Улучшенный механизм Empty-Session Timeout - теперь можно ставить нулевой таймаут при отключении RDSH-сессий.

5. Улучшенная точность цветов для кодирования H264.

Иногда в сессии кодека H.264 при работе схемы 4:2:2 chroma subsampling могут быть проблемы:

Для улучшения ситуации можно использовать цветовую схему YUV 4:4:4 вместо 4:2:2. Это дает большую ясность восприятия текста, как в примере слева на картинке выше. Включается это в настройках шаблона Blast Extreme ADMX (файл vdm_blast.admx).

5. Улучшения продукта Virtualization Pack for Skype for Business, Update 3.

Напомним, что о прошлых улучшениях мы писали вот тут и тут. Теперь из нового появилось следующее:

• Поддержка клиента Horizon 7 для Mac, включая HID-устройства и аппаратные камеры H.264.
• Интеграция с Microsoft Office - это включает в себя Microsoft SharePoint, Yammer, Microsoft Word и Microsoft Outlook.
• Функция Call Delegation - пользователи могут принимать звонки от имени кого-то или в дополнение к чьему-то вызову (также можно звонить от имени кого-то).
• Функция Call via X (из дома/работы) - пользователь может звонить как внутренний абонент, а также как внешний пользователь.
• Функция Active Speaker Identification - при конференц-звонках выводится видеопоток того, кто говорит в данный момент.
• Функция Volume Control from Remote Desktop - теперь пользователь может изнутри гостевой ОС регулировать громкость звонка.
• Группы ответа (Response Groups) - маршрутизация вызовов в группе пользователей (например, если кому-то звонят, то телефон звонит для всей группы).

6. Улучшения Horizon Client for Chrome OS.

Клиент для хромбуков получил следующие улучшения:

• Поддержка многомониторных конфигураций.
• Несколько одновременных сессий для десктопов и приложений Horizon 7 в бесшовных окнах.
• Drag and drop картинок и текста из телефонов Android в виртуальные машины.

Обо всех прочих улучшениях клиента Horizon Client 4.7 читайте в документации.

Скачать VMware Horizon 7.4 можно по этой ссылке. Release notes доступны тут. А клиентов как всегда можно скачать здесь.

Те из вас, кто следят за ИТ-новостями, наверняка слышали о последних уязвимостях, обнаруженных в процессорах Intel. Одной из таких уязвимостей стала Spectre - она потенциально позволяет локальным приложениям (локальному атакующему, при запуске специальной программы) получить доступ к содержимому виртуальной памяти текущего приложения или других программ.

На днях компания VMware опубликовала обновления для своей платформы VMware vSphere, которые устраняют потенциальные проблемы со Spectre (сама уязвимость описана вот тут).

Исправления для серверов VMware vCenter можно скачать по этим ссылкам:

• VMware vCenter Server 5.5 Update 3g - Release Notes - Загрузить
• VMware vCenter Server 6.0 U3d - Release Notes - Загрузить
• VMware vCenter Server 6.5 U1e - Release Notes - Загрузить

Вы можете скачать как установочный образ:

так и патч к vCenter с VMware Patch Portal (ищите обновление от 9 января):

Для серверов VMware ESXi надо пойти на VMware Patch Portal и загрузить оттуда обновление ESXi650-201801401-BG / ESXi650-201801402-BG. (номер билда 7526125). Подробная информация об обновлении приведена в KB 2151099.

Также данное исправление доступно и для настольных платформ виртуализации VMware:

• VMware Workstation 14.1.1 Pro for Linux - Загрузить
• VMware Workstation 14.1.1 Pro for Windows - Загрузить
• VMware Fusion 10.1.1 (для Intel-based Macs) - Загрузить
• VMware Fusion 8.5.10 (для Mac OS X) - Загрузить

Спасибо нашему читателю Стасу за новость об этих исправлениях.

В декабре прошлого года мы писали о том, что компания VMware выпустила обновление ESXi 6.5 Update 1 Patch 2, а также вскользь упомянули апдейт сервера управления - VMware vCenter 6.5 Update 1d. А вчера в нашей заметке про обновленный vSphere Client наш читатель обратил внимание на статью в блоге VMware, где рассказано о некоторых новых фичах vSphere Client, версия 3.21 которого была включена в состав vCenter 6.5 Update 1d.

Как обычно обновился и документ о различиях vSphere Client и vSphere Web Client на момент 18 декабря прошлого года (то есть до версии vSphere Client 3.31).

Давайте посмотрим, что за фичи есть в HTML5-клиенте, который поставляется с vCenter 6.5 Update 1d, по сравнению с его прошлой версией, включенной в vCenter.

1. Улучшенный вид интерфейса Clarity.

Благодаря новому подходу VMware за счет фреймворка Clarity интерфейс клиента стал более эстетичным и удобным в использовании. Давайте взглянем, например, на возможность переключения между Active и Consumed Memory в vSphere Client:

2. Настройка vSphere Proactive HA.

Ранее это можно было делать только через Web Client, теперь это выглядит удобно и красиво:

3. Появилась настройка Content Library.

Важная фича - добавление уже существующей библиотеки с контентом (например, с другого сервера vCenter):

4. Настройка Network IO Control (NIOC) на VDS.

Теперь это возможно через vSphere Client (вместе с настройкой LAGs и LACP) для vSphere Distributed Switch (VDS), включая изменение параметров шлюза на адаптерах VMkernel:

5. Настройка политик хранения (Storage Policies).

Ранее это было доступно только через Web Client (например, нельзя было создать новую политику в HTML5-клиенте), но теперь можно делать все операции в удобном рабочем процессе для vSphere Client, который, кстати, был упрощен.

6. Управление VIB-пакетами.

Очень удобный раздел, чтобы узнать, какие дополнения в виде VIB-пакетов установлены на хосте ESXi. Доступно по адресу Host –> Configure –> System –> Packages:

7. Управление настройками ВМ и шаблонами.

Теперь в VM Settings можно настраивать все параметры виртуальных машин, включая добавление новых виртуальных устройств, таких как NVMe, SCSI, USB Controller и Host-based USB Adapter. Кроме того, появилась возможность работы с шаблонами (VM Templates).

8. Настройка VM Guest Customization Specifications.

При развертывании ВМ из шаблонов с помощью HTML5-клиента теперь можно использовать спецификацию созданную с помощью встроенного мастера, либо указать уже существующий файл спецификации.

Скачать текущую версию VMware vSphere Client можно по этой ссылке. VMware vCenter 6.5 Update 1d доступен тут.

Компания VMware в первые дни нового года выпустила очередное обновление своего HTML5-клиента для управления виртуальной инфраструктурой - VMware vSphere Client 3.32.

Напомним, что ранее мы писали о возможностях клиента 3.30 и ниже, поэтому приведем новые возможности версий vSphere Client 3.31 и 3.32, где, в основном, из нового - это управление объектами vApp:

• Операции включить/выключить/перезагрузить/приостановить для виртуальных сервисов (vApp) - это показано на рисунке выше.
• Переименование/удаление сервиса vApp.
• Экспорт объекта vApp в шаблон виртуального модуля OVF.
• Отоносящиеся к объектам vApp вкладки VM, datatastore и networking.
• Действие Add Permission для шаблонов ВМ (templates).
• Выбранные счетчики производительности в разделе Performance Charts сохраняются для данного пользователя в локальном хранилище его браузера. Это позволяет не настраивать их заново при открытии новой сессии клиента.
• Исправлены некоторые ошибки.

Скачать VMware vSphere Client можно по этой ссылке.

«Код безопасности» анонсировал выход продукта vGate 4.0. Решение для защиты виртуальных инфраструктур будет востребовано компаниями, применяющими виртуальные платформы VMware vSphere или Microsoft Hyper-V последних версий. Продукт позволяет настроить инфраструктуру согласно различным требованиям с помощью наборов политик, разграничить права доступа администраторов, а также обеспечить защиту от несанкционированного доступа к виртуализованным ресурсам.

На днях компания DoubleCloud, выпускающая средства для управления виртуальной средой, обновила свою главню бесплатную утилиту до второй версии - VMDeployer 2.0. Напомним, что это Java-приложение с графическим интерфейсом, позволяющее развернуть виртуальный модуль OVA/OVF с расширенными опциями.

Это удобно для тех администраторов виртуальной инфраструктуры VMware vSphere, у которых не получается развернуть модуль через vSphere Web Client или vSphere Client, либо не хватает его возможностей, а также возможностей консольной утилиты ovftool (кстати, для нее VMDeployer генерирует команды). О версии VMDeployer 1.4 мы писали вот тут.

Давайте посмотрим на новые возможности VMDeployer 2.0:

1. Поддержка VM Migration (только vCener). Теперь вы можете выбрать любую виртуальную машину из списка и переместить ее на любой другой хост ESXi и/или датастор. При этом GUI был сильно упрощен, что экономит время. Также добавилась панель основных операций с ВМ - включение, конфигурация, снапшот и т.п.

2. Панель Recent Tasks. Теперь появилась новая вкладка "Recent Tasks", которая отображает последние задачи целевого сервера, которые выполнялись последние 5 или 10 минут. Также вкладка отображает список похожих задач (similar tasks) - похожая панель существует в vSphere Client и Web Client.

3. Улучшенный Virtual Machine Cloning с поддержкой шаблонов. В прошлых релизах вы выбирали только папку назначения и все - утилита использовала тот же хост-сервер ESXi, пул ресурсов и датастор в качестве исходной виртуальной машины. Это хорошо работает с машинами, но не подходит для шаблонов. Другими словами, таким образом нельзя было развернуть новую ВМ из шаблона, так как у шаблонов нет опции выбора пула ресурсов.

Скачать VMDeployer 2.0 можно по этой ссылке.

Недавно компания Microsoft выпустила интересное сравнение стоимости владения онпремизной инфраструктурой VMware vSphere с облачной IaaS-инфраструктурой Microsoft Azure. Оформлено это сравнение в виде калькулятора совокупной стоимости владения (Total Cost of Ownership, TCO) - Azure TCO Calculator.

Результаты расчетов на Azure TCO Calculator показывают экономию на Azure в размере до 84% относительно аналогичной онпремизной инфраструктуры VMware (на отрезке в 3 года). Сотрудники VMware смотреть на такое спокойно не смогли и разразились гневным постом, где написали о том, что вот буквально недавно закончили Whitepaper, где многие опрошенные ИТ-компании говорят о том, что онпремизная инфраструктура обходится иногда дешевле облачной, а 65% говорит, что если и дешевле, то не более, чем на 10% (некоторые выводы суммаризованы вот тут).

Сотрудники VMware сетуют на следующие недочеты в подходе Microsoft к анализу TCO:

• Microsoft почему-то считает необходимым покупку лицензий vSphere каждый год при расчете 3-летней TCO.
• При расчете используется 500 ВМ с конфигурацией 2 vCPU / 4 ГБ, для которых требуется аж 1 984 ядра и 33 ТБ RAM. Это в 4 раза больше по CPU и в 16 раз больше по памяти чем требуется, считают в VMware.
• Для расчета Azure Pay-As-You-Go модели используются инстансы B-series, которые Microsoft рекомендует для небольших нагрузок (типа разработки/тестирования).
• Для расчета облачной нагрузки используется дефолтная цифра 40% в качестве времени работы серверов в течение месяца. Это неприменимо к продакшен серверам - они должны быть включены круглосуточно.
• Для расчета TCO VMware используются лицензии vSphere Enterprise Plus, которые существенно функциональнее текущих сервисов Azure. А вот функции Premium storage и Operations Management Suite в облаке будут стоить дополнительных денег (и тогда уже можно сравнивать с Enterprise Plus).
• По расчетам Microsoft, онпремизные серверы, хранилища и сети потребляют 20% от своей стоимости в год на обслуживание. VMware считает это дороговато.
• Microsoft не учитывает остаточную стоимость серверов и оборудования по прошествии трех лет расчета. Что надо бы учесть по мнению VMware.

На основе тезисов, приведенных выше, компания VMware добавила в сравнительную таблицу колонку "Calculator with corrections", которая отражает реальное по мнению VMware положение дел:

В качестве исходных данных здесь предполагается инфраструктура из 500 ВМ с конфигурацией 2 vCPU / 4 ГБ. Если считать, что для одной ВМ нужно 2 vCPU на одно физическое ядро, то понадобится всего 8 двухпроцессорных хостов (по 32 ядра на процессор в каждом). С точки зрения памяти, VMware считает, что будет достаточно 8 ТБ на 500 машин, что достаточно разумно (16 ГБ на машину с учетом техник оптимизации памяти - это в целом ок).

Согласитесь, что VMware считает деньги в данном случае совсем по-другому и очевидно, что с лукавством Microsoft в своем калькуляторе немного перегнула палку.

Или нет? Что вы думаете?

На сайте проекта VMware Labs появилась новая утилита Cross vCenter Workload Migration Utility, предназначенная для переноса виртуальных машин между виртуальными датацентрами под управлением разных серверов VMware vCenter (поддерживаются как единый SSO-домен, так и разные). Миграция машин происходит за счет возможности Cross-vCenter vMotion.

Основные возможности утилиты:

• Весь рабочий процесс миграции ВМ проводится в графическом интерфейсе.
• Предоставляется REST API для управления процессом миграции.
• Работает для перенесения машин на vCenter, находящийся в другом SSO-домене.
• Поддержка пакетного режима - миграция нескольких ВМ одновременно. Обратите внимание, что контрол называется Virtual Machine(s).
• Поддержка как горячей (vMotion), так и холодной миграции машин.
• Возможно выполнить операцию Storage vMotion, при этом общего хранилища между серверами vCenter не требуется.
• Гибкий маппинг сетей между исходной площадкой и целевой.

Также есть возможность реализации миграции с помощью сценариев PowerCLI (подробнее об этом тут):

Загрузить Cross vCenter vMotion Utility Fling можно по этой ссылке.

Дункан Эппинг и Кормаг Хоган решили сделать своим подписчикам подарок на Рождество - бесплатную книгу VMware vSAN Essentials, которая доступна всем желающим по этой ссылке. Книга, правда, о довольно старой версии vSAN 6.2, вышедшей в начале прошлого года, но большинство информации в ней по-прежнему актуально.

На 306 страницах авторы рассказывают о первоначальной установке и настройке решения vSAN, различных архитектурных решениях кластеров отказоустойчивых хранилищ, применении политик хранения в виртуальной инфраструктуре, а также касаются темы "растянутых" кластеров в географически разделенных датацентрах. Ну и, конечно же, всем полезна будет глава о мониторинге и решении проблем, в том числе с производительностью.

Содержание:

• Chapter 1 - Introduction to vSAN
• Chapter 2 - vSAN Prerequisites and Requirements for Deployment
• Chapter 3 - vSAN Installation and Configuration
• Chapter 4 - VM Storage Policies on vSAN
• Chapter 5 - Architectural Details
• Chapter 6 - VM Storage Policies and Virtual Machine Provisioning
• Chapter 7 - Management and Maintenance
• Chapter 8 - Stretched Cluster
• Chapter 9 - Designing a vSAN Cluster
• Chapter 10 - Troubleshooting, Monitoring, and Performance

Скачать книгу можно в разных форматах:

• vSAN 6.2 Essentials PDF
• vSAN 6.2 Essentials EPUB
• vSAN 6.2 Essentials MOBI

На днях компания VMware выпустила пакет обновления к VMware ESXi 6.5 Update 1, именуемый как Patch 02, добавляющий несколько новых возможностей к решению для создания отказоустойчивых кластеров хранилищ VMware vSAN. Более подробно об этом патче написано в KB 51891.

Новое обновление ESXi включaет в себя следующие фичи vSAN:

• Продукт vSAN Support Insight - эта фича показана в видео выше. Она позволяет пользователям, участвующим в программе CEIP (Customer Experience Improvement Program) получить доступ к расширенной аналитике vSAN в целях решения проблем. Средствами Support Insight сотрудники техподдержки VMware могут исследовать окружения пользователей, понимать их конфигурацию, статус исполнения, производительность и прочие детали в масштабе времени близком к реальному. Документация по этой фиче доступна тут.

Выглядит это примерно следующим образом:

• Технология Adaptive resynchronization – функция Adaptive Resync адаптивно изменяет долю полосы пропускания, выделенную для канала ресинхронизации Resync I/O, чтобы минимизировать негативное влияние на работу клиентского канала ввода-вывода. За счет этого в периоды меньшей загрузки (выходные) канал для ресинхронизации используется больше, а во время часов пик - меньше.
• Поддержка доступа по нескольким путям для SAS-систем. Теперь из коробки поддерживается multipathing для SAS c запасными путями. Пример такого хранилища - HPE Synergy.

Скачать VMware ESXi 6.5 Patch 2 можно c VMware Patch Portal по этой ссылке (надо выбрать релиз ESXi650-201712001 с номером билда 7388607).

Более детальная информация об обновлении приведена тут.

Также вышел и vCenter Server 6.5 Update 1d - там ничего нового, кроме обновлений отдельных компонентов.

Компания VMware после очень долгого перерыва выпустила новую версию своего главного продукта для перенесения физических серверов в виртуальную среду - VMware vCenter Converter Standalone 6.2. Напомним, что прошлая версия этого средства вышла почти два года назад (мы писали о vCenter Converter Standalone 6.1 вот тут) - и никто не переживал по этому поводу.

Давайте посмотрим, что нового VMware добавила в Converter за прошедшие почти 2 года:

• Поддержка целевых хостов VMware vSphere 6.5 Update 1.
• Поддержка новых ОС физических серверов - Windows Server 2016 и Ubuntu 16.
• Новая конфигурация для миграции Linux-серверов. Теперь можно указать путь ко временным файлам vmware-sysinfo, которые будут распакованы и запущены.
• Новая опция, позволяющая изменить дефолтный тип диска целевой виртуальной машины с thick ("толстого") на thin ("тонкий"). Для этого нужно отредактировать файл converter-worker.xml.

Не так уж и много, да? Похоже, конвертером особо никто не занимался... Таким образом, список поддерживаемых конвертеров операционных систем выглядит так:

• Windows Vista SP2 до Windows 10
• Windows Server 2008 SP2 до Windows Server 2016
• CentOS 6.x and 7.0
• Red Hat Enterprise Linux 4.x up to 7.x
• SUSE Linux Enterprise Server 10.x and 11.x
• Ubuntu 12.04 LTS, 14.04 LTS, and 16.04 LTS

Офлайн конверсия машин с Microsoft Hyper-V может быть проведена для следующих ОС:

• Windows Server 2008 R2 (64-bit)
• Windows Server 2012 (64-bit)
• Windows Server 2012 R2 (64-bit)
• Windows 10 (64-bit)
• Windows Server 2016 (64-bit)

Более подробно о новой версии VMware vCenter Converter Standalone 6.2 написано в Release Notes, скачать продукт можно по этой ссылке.

На днях компания VMware выпустила очередное обновление средства интеграции с гостевыми ОС виртуальных машин - VMware Tools 10.2.0. Напомним, что о прошлом релизе тулзов (10.1) мы писали вот тут. Кстати, у нас в последнее время было несколько интересных статей на тему этого пакета, например - раз, два и три.

Давайте посмотрим, что нового появилось в VMware Tools 10.2:

• Офлайн бандл VMware Tools VIB-пакета: его можно установить на vSphere 5.5.x, 6.0.x and 6.5.x через vSphere Update Manager.
• Поддерживаемые ОС:
  • windows.iso - поддерживает Windows Vista и более поздние.
  • linux.iso - поддерживает Red Hat Enterprise Linux (RHEL) 5 и более поздние, SUSE Linux Enterprise Server (SLES) 11 и новее, Ubuntu 10.04 и новее. Также поддерживаются дистрибутивы Linux - c glibc версии 2.5 и новее.
  • darwin.iso - поддерживает Mac OS X 10.11 и новее.
  • solaris.iso - для гостевых ОС Solaris.
• Улучшенное управление жизненным циклом VMware Tools: теперь Microsoft System Center Configuration Manager (SCCM) можно использовать для распространения и обновления VMware Tools. Для получения детальной информации смотрите статью Deploying VMware Tools using SCCM.
• Убрана поддержка FreeBSD. Это сделано для того, чтобы перенести ее в пакет open-vm-tools. Подробнее об этом читайте у нас тут.
• Поддержка ASLR (Address space layout randomization).
• Пофикшены ошибки. Для этого смотрите секцию Resolved Issues в Release notes.

Напомним, что для VMware Tools, начиная с версии 10.1, доступна подробная документация. Обновлять VMware Tools лучше через VMware Update Manager. Кстати, в онлайн-репозитории VMware версии 10.2 на момент написания заметки еще не было, но скоро он должен обновиться.

Часто администраторы виртуальной инфраструктуры VMware vSphere испытывают необходимость увеличить размер виртуального диска VMDK, который защищен технологией репликации VMware vSphere Replication. Если попытаться увеличить диск из vSphere Client, то вы получите вот такую ошибку:

vSphere Replication does not support changing the length of a replicated disk

Поэтому для увеличения реплицируемого VMDK-диска нужно сделать следующее:

• Переименуйте папку с виртуальной машиной и виртуальным диском на резервном сайте. Это нужно для того, чтобы при отключении репликации папка с ВМ на резервной площадке не удалилась.
• Запомните настройки репликации ВМ (RPO, датастор назначения и т.п.).
• Отключите репликацию виртуальной машины.
• Увеличьте размер виртуального диска на основной площадке из GUI vSphere Web Client через Edit Settings.
• Теперь увеличьте размер виртуального диска на резервной площадке с помощью утилиты vmkfstools. Для этого выполните команду:

vmkfstools –X 50G virtual_machine.vmdk

• Далее на резервном сайте переименуйте папку с ВМ обратно к исходному имени.
• Настройте репликацию ВМ заново, выбрав пункт Specify datastore folder и указав папку с ВМ, которую будете реплицировать. Появится сообщение:

A file with the name ‘[<datastore>] <folder>/<filename> already exists. Press Yes to use file as an initial copy.

• Нажимайте Yes и репликация должна завестись.

Если вы не увеличите размер виртуального диска на резервной площадке, то получите вот такое сообщение об ошибке:

The capacity of the seed disk does not match the capacity of the replication source disk. Create a new seed copy or verify that you selected the correct seed to use for this replication

Поэтому не пропускайте этот шаг. Также о процедуре написано в KB 2052883.

Недавно мы писали о полезных утилитах командной строки виртуального модуля VMware vCenter Server Appliance (vCSA), которые могут пригодиться при ежедневном администрировании виртуальной инфраструктуры VMware vSphere. А сегодня поговорим о сервисах vCSA - как они запускаются, и как ими управлять.

Первичный порядок загрузки служб vCenter Server Appliance выглядит следующим образом (приведены в порядке запуска):

• lwsmd (Likewise Service Manager)
• vmafdd (VMware Authentication Framework)
• vmdird (VMware Directory Service)
• vmcad (VMware Certificate Service)
• vmware-sts-idmd (VMware Identity Management Service)
• vmware-stsd (VMware Security Token Service)
• vmdnsd (VMware Domain Name Service)
• vmware-psc-client (VMware Platform Services Controller Client)
• vmon (VMware Service Lifecycle Manager)

А где же такие службы, как vmware-vpostgres, vpxd и прочие? Все просто - их запускает служба vmon. Это новый watchdog-сервис, который управляет службами vCSA в vSphere 6.5 и унифицирует доступ к ним через API.

Чтобы увидеть, в каком порядке она запускает прочие сервисы, выполним команды vmon-cli для остановки и запуска служб vmon на сервере vCSA:

/usr/lib/vmware-vmon/vmon-cli --batchstop ALL 

/usr/lib/vmware-vmon/vmon-cli --batchstart ALL

Вывод будет примерно таким:

root@vc01 [ /var/log/vmware/vmon ]# grep "Executing op START on service" vmon-sys 

17-12-12T09:44:23.639142+00:00 notice vmon Executing op START on service eam... 

17-12-12T09:44:23.643113+00:00 notice vmon Executing op START on service cis-license... 

17-12-12T09:44:23.643619+00:00 notice vmon Executing op START on service rhttpproxy... 

17-12-12T09:44:23.644161+00:00 notice vmon Executing op START on service vmonapi... 

17-12-12T09:44:23.644704+00:00 notice vmon Executing op START on service statsmonitor... 

17-12-12T09:44:23.645413+00:00 notice vmon Executing op START on service applmgmt... 

17-12-12T09:44:26.076456+00:00 notice vmon Executing op START on service sca... 

17-12-12T09:44:26.139508+00:00 notice vmon Executing op START on service vsphere-client... 

17-12-12T09:44:26.199049+00:00 notice vmon Executing op START on service cm... 

17-12-12T09:44:26.199579+00:00 notice vmon Executing op START on service vsphere-ui... 

17-12-12T09:44:26.200095+00:00 notice vmon Executing op START on service vmware-vpostgres... 

17-12-12T09:45:33.427357+00:00 notice vmon Executing op START on service vpxd-svcs... 

17-12-12T09:45:33.431203+00:00 notice vmon Executing op START on service vapi-endpoint... 

17-12-12T09:46:54.874107+00:00 notice vmon Executing op START on service vpxd... 

17-12-12T09:47:28.148275+00:00 notice vmon Executing op START on service sps... 

17-12-12T09:47:28.169502+00:00 notice vmon Executing op START on service content-library... 

17-12-12T09:47:28.176130+00:00 notice vmon Executing op START on service vsm... 

17-12-12T09:47:28.195833+00:00 notice vmon Executing op START on service updatemgr... 

17-12-12T09:47:28.206981+00:00 notice vmon Executing op START on service pschealth... 

17-12-12T09:47:28.220975+00:00 notice vmon Executing op START on service vsan-health...

Как мы видим, службы запускаются в следующем порядке:

• eam (VMware ESX Agent Manager)
• cis-license (VMware License Service)
• rhttpproxy (VMware HTTP Reverse Proxy)
• vmonapi
• statsmonitor
• applmgmt
• sca (VMware Service Control Agent)
• vsphere-client
• cm
• vsphere-ui
• vmware-vpostgres (VMware Postgres)
• vpxd-svcs
• vapi-endpoint
• vpxd (VMware vCenter Server)
• sps (VMware vSphere Profile-Driven Storage Service)
• content-library
• vsm
• updatemgr
• pschealth
• vsan-health

Утилиту vmon-cli можно использовать для запуска и остановки этих сервисов в следующем формате:

/usr/lib/vmware-vmon/vmon-cli -r ServiceName

Например, чтобы перезагрузить vSphere Client, можно использовать команду:

/usr/lib/vmware-vmon/vmon-cli -r vsphere-client

А вы знали, что резервные копии vCSA имеют срок годности? Вот и я тоже нет. Скажу вам больше, не все инженеры технической поддержки VMware GSS знают об этом! На самом деле то, что имеет срок годности — это пароль учётной записи root внутри OVF template на инсталляционном диске vCSA ISO! Я тоже был удивлён, но VMware называет это известной проблемой “known issue” в своей KB51124.

Известный своими скриптами блоггер Luc Dekens (LucD) опубликовал интересный сценарий PowerCLI для виртуальной инфраструктуры VMware vSphere, который позволяет вычистить права доступа на объекты, для которых уже существуют права на уровне родительских объектов.

Например, у вас есть такая картина:

Соответственно, нам нужно почистить пермиссии в папке Test1131 для пользователя Local\test, чтобы разрешения остались только на уровне родительского объекта Test1 (там, как мы видим, установлена опция применения разрешений вниз к дочерним объектам).

Собственно, сам скрипт:

<#
.SYNOPSIS
  Find and remove redundant permissions on vSphere objects 
.DESCRIPTION
  The function will recursively scan the permissions on the
  inventory objects passed via the Entity parameter.
  Redundant permissions will be removed.
.NOTES
  Author:  Luc Dekens
.PARAMETER Entity
  One or more vSphere inventory objects from where the scan
  shall start
.EXAMPLE
  PS> Optimize-Permission -Entity Folder1 -WhatIf
.EXAMPLE
  PS> Optimize-Permission -Entity Folder?
.EXAMPLE
  PS> Get-Folder -Name Folder* | Optimize-Permission
#>
 
  [cmdletbinding(SupportsShouldProcess=$true)]
  param(
    [parameter(ValueFromPipeline)]
    [PSObject[]]$Entity
  )
 
  Begin{
    function Optimize-iVIPermission{
      [cmdletbinding(SupportsShouldProcess=$true)]
      param(
        [parameter(ValueFromPipeline)]
        [VMware.Vim.ManagedObjectReference]$Entity,
        [VMware.Vim.Permission[]]$Permission = $null
      )
 
      Process{
        $entityObj = Get-View -Id $Entity
        $removePermission = @()
        $newParentPermission = @()
        if($Permission){
          foreach($currentPermission in $entityObj.Permission){
            foreach($parentPermission in $Permission){
              if($parentPermission.Principal -eq $currentPermission.Principal -and
                 $parentPermission.RoleId -eq $currentPermission.RoleId){
                $removePermission += $currentPermission
                break
              }
              else{
                $newParentPermission += $currentPermission
              }
            }
          }
        }
        else{
          $newParentPermission += $entityObj.Permission
        }
        if($removePermission){
          if($pscmdlet.ShouldProcess("$($entityObj.Name)", "Cleaning up permissions")){
            $removePermission | %{
              $authMgr.RemoveEntityPermission($Entity,$_.Principal,$_.Group)
            }
          }
        }
        $Permission += $newParentPermission
       
        if($entityObj.ChildEntity){
            $entityObj.ChildEntity | Optimize-iVIPermission -Permission $Permission
        }
      }
    }
  }
 
  Process{
    foreach($entry in $Entity){
       if($entry -is [System.String]){
        $entry = Get-Inventory -Name $entry
       }
       Optimize-iVIPermission -Entity $entry.ExtensionData.MoRef
    }
  }
}

Скрипт работает так, что пробегается по дереву объектов, обнаруживает избыточные разрешения и удаляет их. У скрипта есть удобный параметр WhatIf, который выводит операции по очистке разрешений, которые как бы применяются к дочерним объектам, но на самом деле не применяет их:

Optimize-VIPermission -Entity Test1 -WhatIf

Результатом будет список объектов, где разрешения будут очищены, в данном случае, если посмотреть на пример выше, это будет папка Test1131:

Можно запустить скрипт и на 2 папки сразу:

Optimize-VIPermission -Entity Test1,Test2 -WhatIf

Результат будет таким (в папке Test22 также есть дублирующиеся разрешения):

Также можно использовать и конструкции с масками, например:

Get-Folder -Name Test? | Optimize-VIPermission -WhatIf

Теперь неплохо было бы, если бы кто-то написал GUI к этой штуке, а также добавил туда функции поиска и удаления произвольных разрешений в выбранных объектах.

Недавно мы писали о том, что такое и как работает механизм отказоустойчивости VMware vCenter Server Appliance High Availability (vCHA), защищающий виртуальные модули vCenter Server Appliance (vCSA) в случае программных и аппаратных сбоев.

Там мы рассказывали, что vCHA - это Active/Passive кластер, который состоит из трех компонентов - активного узла, работающего под нагрузкой, пассивного, готового взять на себя нагрузку в случае сбоя активного, а также компонента Witness ("свидетель") - который защищает кластер от ситуации split-brain (оба узла считают себя активными в случае изоляции сети) и является кворумным узлом:

Напомним, что кворумный узел не может получить роль сервера vCenter, это лишь маленькая машина, реализующую функцию Witness в ситуациях изоляции и разделения сети.

Если посмотреть на архитектуру решения, то можно понять, что оно не использует сеть хранения для сигналов доступности и не рассчитано на множественные сбои, что позволит гарантированно сохранить или восстановить работоспособность только в случае отказа/изоляции лишь одного из компонентов. Если, например, вся сеть развалится между всеми тремя узлами - vCHA вас не спасет.

С точки зрения синхронизации, кластер vCHA использует синхронную репликацию PostgreSQL native replication для синхронизации базы данных (в случае отказа БД будет консистентная) и утилиту rsync для репликации файлов vCenter (например, файлов конфигурации):

Поэтому надо понимать, что теоретически некоторые файлы при сбое можно будет потерять, так как репликация асинхронная (но это, в целом, маловероятно).

Оба узла vCSA в кластере vCHA используют один публичный IP-адрес, который используется при доступе и к резервному узлу в случае сбоя основного. В условия восстановления работоспособности сервера vCSA заложен показатель RTO=5 минут. Это значит, что в случае сбоя основного узла, где-то 5 минут пользователи могут испытывать проблемы с доступностью vCenter через vSphere Client или vSphere Web Client. При этом API vCenter будет доступен уже где-то через 2-3 минуты.

Теперь давайте посмотрим, как обрабатываются механизмом vCHA различные варианты отказов:

• Отказ активного узла. В этом случае пассивный узел видит, что активный узел больше недоступен, при этом узел Witness работает и доступен. Пассивный узел назначает себя активным и начинает обслуживать запросы клиентов vSphere.
• Отказ пассивного узла. Поскольку активный узел и Witness чувствуют себя нормально, сервер vCenter продолжит обслуживание клиентов.
• Отказ узла Witness. В этом случае сохранится статус кво - активный узел продолжит обрабатывать запросы, а пассивный будет готов взять на себя нагрузку в случае сбоя активного.
• Изоляция или отказ более чем одного узла. В этом случае вполне может возникнуть ситуация, когда у вас сервисы vCenter не функционируют - например, оба узла vCSA могут посчитать себя изолированными (см. далее).

Поведение изолированного узла vCSA при изоляции

Как только узел себя считает изолированным, он сразу гасит все сервисы vCenter, чтобы второй узел мог взять на себя нагрузку по обслуживанию запросов (при этом неважно, видит ли второй узел компонент Witness). При детектировании события изоляции учитываются возможные короткие промежутки в доступности сети, которые могут иногда возникать при нормальном сетевом взаимодействии. Только когда все попытки достучаться до второго узла и Witness исчерпаны, узел vCSA считает себя изолированным.

Ну и, напоследок, порекомендуем документ "vCenter Server 6.5 High Availability Performance and Best Practices", о котором мы писали вот тут.

Как знают администраторы VMware vSphere, с выходом каждой новой версии платформы увеличиваются и максимумы для ее компонентов. Многие из этих максимумов трудно достижимы на практике, поскольку еще нет серверов такой возможности (например, для запуска такого количества машин в производственной среде), но некоторые аспекты требуют того, чтобы лимиты параметров были увеличены (например, число vNIC на одну машину иногда для тестирования нужно больше).

Давайте взглянем на эволюцию максимумов VMware vSphere в таблицах ниже, где отображены параметры версии 5.5, 6.0 и 6.5:

Максимумы виртуальных машин

Максимумы вычислительных мощностей VMware ESXi

Максимумы хранилищ VMware ESXi

Максимумы сетевого взаимодействия VMware ESXi

Мы часто пишем о виртуальном модуле VMware vCenter Server Appliance (vCSA), который представляет собой готовую виртуальную машину для управления виртуальной инфраструктурой VMware vSphere (напомним, что это полноценная замена vCenter for Windows).

Сегодня мы покажем несколько интересных утилит командной строки vCSA, которые могут помочь вам в ежедневной эксплуатации этого управляющего сервиса.

1. Просмотр журнала Cron.

vCSA имел раньше проблемы со сжатием фалов журнала (логов), что приводило к тому, что дисковые разделы быстро заполнялись. Поэтому следующей командой можно посмотреть, когда в последний раз выполнялись запланированные задачи Cron:

ls -l /var/spool/cron/lastrun/

Для сравнения ниже приведен вывод этой команды совместно с выводом текущей даты:

vc:~ # date

Mon Dec 4 12:55:39 CET 2017

vc:~ # ls -l /var/spool/cron/lastrun/

total 0

-rw------- 1 root root 0 Dec 3 20:00 cron.daily

-rw------- 1 root root 0 Dec 4 12:15 cron.hourly

-rw------- 1 root root 0 Dec 1 20:00 cron.weekly

Как мы видим, крон успешно выполнялся для ежечасной задачи, ежедневной и еженедельной. Если же крон отвалился, то значит, скорее всего, устарел пароль root. Узнать это можно следующей командой:

grep "Authentication token is no longer valid; new one required" /var/log/messages.0.log | head

Если в выводе этой команды будет что-то вроде этого:

<timestamp> vcenter /usr/sbin/cron[<ID>]: Authentication token is no longer valid; new one required

значит пароль root устарел.

2. Смена устаревшего пароля root.

Если ваш пароль root устарел, и крон-таски vCSA не запускаются, то сменить его проще всего будет следующей командой (обратите внимание, что это НЕ слово change):

chage -l root

У вас запросят старый пароль и попросят задать новый:

Password change requested. Choose a new password.

Old Password:

New password:

После этого можно снова вывести срок действия пароля с помощью chage (тут видно, что он устареет через 99999 дней, то есть 274 года):

vc:~ # chage -l root

Minimum: 0

Maximum: 99999

Warning: 7

Inactive: -1

Last Change: Dec 27, 2016

Password Expires: Never

Password Inactive: Never

Account Expires: Never

3. Перезапуск служб vCSA.

Если вы хотите поправить странное поведение vCSA, которое может быть связано с некорректным поведением сервисов Linux внутри виртуального модуля, то можно перезапустить все службы:

service-control --stop --all

service-control --start --all

Можно перезапустить, например, только vSphere Client:

service-control --stop vsphere-client

Список запущенных служб узнается так:

service-control --list

А вот так узнается статус того или иного сервиса:

service-control --status

4. Работа с LVM

Если вам надо увеличить виртуальные диски VMDK, а потом расширить тома LVM, то можете прочитать вот эту нашу статью. Чтобы не использовать API Explorer или PowerCLI, можно выполнить следующую команду для просмотра томов LVM:

lsblk

Далее вы получите примерно следующее:

vc:~ # lsblk

NAME MAJ:MIN RM SIZE RO MOUNTPOINT

sda 8:0 0 20G 0

??sda1 8:1 0 132M 0 /boot

??sda2 8:2 0 1G 0 [SWAP]

??sda3 8:3 0 10.9G 0 /

sdb 8:16 0 1.4G 0

sdc 8:32 0 25G 0

??swap_vg-swap1 (dm-8) 253:8 0 25G 0 [SWAP]

sdd 8:48 0 50G 0

??core_vg-core (dm-7) 253:7 0 50G 0 /storage/core

sde 8:64 0 10G 0

??log_vg-log (dm-6) 253:6 0 10G 0 /storage/log

sdf 8:80 0 10G 0

??db_vg-db (dm-5) 253:5 0 10G 0 /storage/db

sdg 8:96 0 5G 0

??dblog_vg-dblog (dm-4) 253:4 0 5G 0 /storage/dblog

sdh 8:112 0 25G 0

??seat_vg-seat (dm-3) 253:3 0 25G 0 /storage/seat

sdi 8:128 0 1G 0

??netdump_vg-netdump (dm-2) 253:2 0 1016M 0 /storage/netdump

sdj 8:144 0 10G 0

??autodeploy_vg-autodeploy (dm-1) 253:1 0 10G 0 /storage/autodeploy

sdk 8:160 0 10G 0

??invsvc_vg-invsvc (dm-0) 253:0 0 10G 0 /storage/invsvc

fd0 2:0 1 4K 0

sr0 11:0 1 1024M 0

Для идентификации дисковых устройств и их типов можно выполнить следующее:

lsscsi

Вывод будет примерно таков:

vc:~ # lsscsi

[0:0:0:0] disk VMware Virtual disk 1.0 /dev/sda

[0:0:1:0] disk VMware Virtual disk 1.0 /dev/sdb

[0:0:2:0] disk VMware Virtual disk 1.0 /dev/sdc

[0:0:3:0] disk VMware Virtual disk 1.0 /dev/sdd

[0:0:4:0] disk VMware Virtual disk 1.0 /dev/sde

[0:0:5:0] disk VMware Virtual disk 1.0 /dev/sdf

[0:0:6:0] disk VMware Virtual disk 1.0 /dev/sdg

[0:0:8:0] disk VMware Virtual disk 1.0 /dev/sdh

[0:0:10:0] disk VMware Virtual disk 1.0 /dev/sdi

[0:0:12:0] disk VMware Virtual disk 1.0 /dev/sdj

[0:0:14:0] disk VMware Virtual disk 1.0 /dev/sdk

[1:0:0:0] cd/dvd NECVMWar VMware IDE CDR00 1.00 /dev/sr0

Когда вы поймете, какой том нужно увеличить, выполните команду:

vpxd_servicecfg storage lvm autogrow

Надо помнить, что это сработает только для томов под управлением LVM (например, для disk 1 (sda) с разделом / - не сработает).

5. Поиск "загрязняющих" файлов.

Чтобы найти логи, которые могут засорить корневой раздел или раздел /storage/log, выполните одну из следующих команд:

du -a /var | sort -n -r | head -n 10
du -a /storage/log | sort -n -r | head -n 10

6. Изменение режима ротации логов (Log Rotation).

Сначала перейдем в папку с логами:

cd /etc/logrotate.d

Далее сделаем бэкап настроек:

cp dnsmasq ./dnsmasq.old

Затем откроем настройки:

vi dnsmasq

И поменяем слово "weekly" (еженедельно) на "daily" (ежедневно), например:

/var/log/dnsmasq.log {

daily

missingok

notifempty

delaycompress

sharedscripts

postrotate

[ ! -f /var/run/dnsmasq.pid ] || kill -USR2 cat /var/run/dnsmasq.pid

endscript

create 0640 dnsmasq dnsmasq

После этого можно удалить старый большой лог следующими командами:

cd /var/log

rm dnsmasq.log

7. Удаление файлов, которые не удалились.

Бывает так, что вы удалили большой файл, а дисковое пространство не высвободилось - и это видно командой df -h. Это происходит потому, что какой-то из процессов в памяти еще держит файл (при этом не обязательно использует его). Чтобы узнать, что это за процесс выполняем команду:

lsof | grep deleted

Вывод будет примерно таким:

postgres 8860 vpostgres 10u REG 253,4 16777216 16395 /storage/dblog/vpostgres/pg_xlog/000000010000011900000041 (deleted)

Видим, что это Postgres держит файл, поэтому если он нам сейчас не нужен, убиваем процесс:

kill -9 <PID>

После этого вы увидите, что свободного дискового пространства на сервере vCSA стало больше.