Те из вас, кто испытывает потребность в балансировке соединений в виртуальной инфраструктуре VMware vSphere, а также функциях безопасности, могут обратить свое внимание на продукт от Loadbalancer.org, поставляемый в виде виртуального модуля (Virtual Appliance).
Основные возможности продукта:
Средства высокой доступности компонентов
Полнофункциональная балансировка на уровнях 4/7
Поддержка виртуальных и физических серверов
Веб-консоль управления
Функции HTTP Cookie Persistence
Функции RDP Cookie Persistence
Поддержка SSL Offloading
Поддержка 802.1q VLAN
Группировка интерфейсов 802.3ad Bonding
Широкие возможности анализа пакетов
Поддержка IPv6
Поддержка SIP с функциями Call-ID Persistence
Виртуальный модуль может работать в трех режимах:
Direct Routing (DR) - режим прямой маршрутизации
Network Address Translation (NAT) - режим трансляции сетевых адресов
Межсетевой экран Cisco ASA теперь доступен не только в виде аппаратного решения, но также и в виде независимой виртуальной машины. Cisco ASA 1000V Cloud Firewall специально оптимизирован для поддержания безопасности многопользовательских инфраструктур, Cisco ASA 1000V способен обеспечить надежное функционирование физических, виртуальных и облачных инфраструктур в комплексе.
С этого момента межсетевой экран Cisco ASA 1000v Cloud Firewall доступен в публичном облаке ИТ-ГРАД в виде преднастроенного шаблона.
Используя проверенные технологии Adaptive Security Appliance (ASA), экран Cisco ASA 1000V нацелен на виртуальную и облачную среду. От привычной «железной» ASA он отличается как раз виртуальностью, которая проявляется в высокой доступности и независимости от инфраструктуры. Выходя за пределы стандартного устройства ASA, функционирующего на виртуальной машине, Cisco ASA 1000V обеспечивает особую гибкость управления и повышенную эффективность использования ресурсов, что в совокупности с признанной стабильностью технологий ASA и широким функционалом выгодно отличает Cisco ASA 1000V от конкурирующих предложений.
Используемое средство контроля сетевого трафика Cisco Virtual Security Gateway (VSG) гарантирует безопасность в многопользовательских средах, функциональность шлюзов и защиту от сетевых атак. Его функции дополняются за счет коммутатора Cisco Nexus 1000V, интеграция с которым позволяет обеспечить безопасность сразу нескольких хостов VMware ESX, что повышает масштабируемость в разнородной среде и упрощает установку.
Cisco ASA 1000V Firewall также использует Cisco Virtual Network Management Center, что дает следующие преимущества:
быстрое и масштабное развертывание с помощью динамичной шаблонной политики управления на основе профилей безопасности;
повышение гибкости управления через XML API, что помогает обеспечить программную интеграцию со сторонними инструментами управления;
совместное управление соответствующими интерфейсами сети, серверами и администраторов безопасности.
Разделяя сеть на защищенные сегменты и охватывая граничные области, Cisco ASA 1000V гарантирует комплексную информационную безопасность физической, виртуальной и облачной среды, обеспеченной на базе проверенного практикой сетевого экрана.
Недавно ассоциация DMTF, в которую входят многие вендоры платформ виртуализации, такие как VMware, Citrix, Microsoft и другие, объявила о выпуске спецификации на стандарт формата OVF 2.0 (Open Virtualization Format), предназначенного для распространения программного обеспечения в виде виртуальных модулей (VIrtual Appliances) - т.е. готовых к импорту в виртуальную среду машин.
Надо отметить, что в последнее время формат OVF набирает все большую популярность у производителей программного обеспечения. Вот пример развертывания ПО Cisco Prime LMS из OVF-пакета:
Теперь стандарт OVF 2.0 больше ориентирован на облачные инфраструктуры, в том числе IaaS-провайдеров. Это выражается в том, что теперь есть средства для повышения гибкости сетевой инфраструктуры виртуальных машин и механизмы обеспечения повышенной безопасности.
Какие нововведения подразумевает формат OVF 2.0:
Улучшенная поддержка конфигурации сетевого взаимодействия с возможностями отображения сетевой конфигурации виртуального модуля на физическую и виртуальные сети инфраструктуры предприятия
Возможность шифрования пакета OVF (EncryptionSection), позволяющая гарантировать использование корректного пакета
Расширенные возможности параметров развертывания
Поддержка базовых политик первоначального размещения машины - affinity и availability
Поддержка общих дисков (Shared disks)
Улучшенная обработка механизма приоритета загрузки с устройств
Улучшенные механизмы передачи данных в гостевую ОС (например, IP-адреса и прочего)
Улучшенные схемы CIM
Спецификацию формата OVF 2.0 можно найти по этой ссылке, а FAQ доступен тут.
На прошлой неделе мы писали про возможность бесплатного демо-доступа к работающей инфраструктуре VMware vSphere и средств vCloud Director от компании ИТ-ГРАД (даже регистрироваться не нужно).
Если вы не хотите сами устанавливать, настраивать и обслуживать операционную систему и необходимый Вам пакет программ, или, например, хотите показать клиенту демо-версию программы, но не знаете насколько он правильно сможет ее установить и настроить, то можно использовать уже готовые виртуальные модули (Virtual Appliances).
Технология VMware Virtual Appliances предоставляет возможность оперировать не набором операционных систем, программ и списком настроек под определенные задачи, а одним дистрибутивом, который представляет собой единое целое и позволяет решить конкретный набор проблем. Такой подход упрощает обслуживание и позволяет снизить затраты на дополнительный обслуживающий персонал. Теперь достаточно протестировать обновление, версию программы или операционной системы на одной машине и распространить дистрибутив на все остальные.
Виртуальные устройства – это операционная система и приложениея, объединенные с метаданными в стандартном формате OVF (Open Virtual Machine Format) . Даное устройство представляет из себя готовую для запуска виртуальную машину, что очень удобно для пользователя облачной инфраструктуры.
Не хотите создавать дистрибутив самостоятельно? Есть варианты!
Достаточно давно, известный многим Duncan Epping писал о стартапе CloudPhysics, для которого он является техническим эдвайзором, и который выпускает продукт в виде виртуального модуля (Observer Virtual Appliance), систематизирующий информацию о количественных параметрах виртуальной среды VMware vSphere в виде карточек. На основе этих карточек можно составить заключение о существующих проблемах своей инфраструктуры виртуализации:
Для работы продукта потребуется установить OVA-модуль в своем окружении VMware vSphere, а дальше для просмотра параметров карточек можно использовать веб-консоль (для кого-то это может быть проблемой, так как данные посылаются на сервер CloudPhysics, однако они утверждают, что данные полностью обезличены).
Сами карточки формируются на базе опросов пользователей и всяческих голосований, которые проводятся, например, на конференциях VMworld. Вот примеры таких карточек:
Затем лучшие карточки, будучи реализованными технически, попадают в основной интерфейс продукта (при этом для появления новых карточек не обязательно обновлять виртуальный модуль в своей инсталляции).
Помимо этого есть всякие технические детали о виртуальной инфраструктуре, корелляции параметров и необычные метрики. В общем, для больших инсталляций в плане траблшутинга - штука интересная, попробуйте, это пока бесплатно.
Интересная штука обнаружилась среди средств управления и мониторинга инфраструктуры VMware vSphere - Cloud Resource Meter от компании 6fusion, которая специализируется на утилитах для облачных сред. Это такая штука, которая реализована в виде виртуального модуля (Virtual Appliance), позволяющая оценить облачную инфраструктуру vSphere "в попугаях", то есть в специальных единицах Workload Allocation Cube (WAC), потребляемых за час. Убеждают, что алгоритм этого WAC - не хухры-мухры, а patent pending.
Этот WAC - это шестимерная сущность, представляющая собой эталонную совокупность ресурсов, потребляемых виртуальной машиной в облаке, а именно:
Вот в количестве таких шестигранных кубиков вы и увидите каждую из виртуальных машин своего (или провайдерского) датацентра в реальном времени. Предполагается, что такая модель позволит наиболее адекватно обсчитать вычислительные мощности своего ЦОД (chargeback), вести учет и планировать вычислительные мощности. Облачные провайдеры и менеджеры корпоративных датацентров могут устанавливать параметры и цену такого "вака", что позволит понимать, сколько ресурсов есть в наличии и сколько будет стоить разместить то или иное приложение в облаке.
Для каждой машины ведется исторический учет потребляемых "вакочасов":
Авторы этой программулины утверждают, что алгоритм этих "ваков" был разработан еще в 2004 году для профилирования приложений под ESX 1.0, так что может стоит и посмотреть, что они с тех пор сделали, тем более, что есть бесплатная версия продукта Cloud Resource Meter. На данный момент он, правда, находится в бете, но поддерживает vSphere 4.1 и 5.0.
Помните мы писали о бесплатных утилитах от компании VKernel - vScope Explorer и SearchMyVM? Оказывается VKernel их не забросила (как обычно бывает с бесплатными средствами), а продолжает их развивать. Обе этих утилиты теперь выпущены в виде бесплатного пакета vOPS Server Explorer, который состоит из двух указанных утилит и позволяет обнаруживать проблемы в виртуальной инфраструктуре VMware vSphere, а также искать различные объекты в ней через google-like интерфейс:
Все это поставляется в виде виртуального модуля (Virtual Appliance). vOPS Server Explorer собирает метрики с виртуальных машин VMware vSphere, которые потом анализируются для определения производительности, эффективности и "самочувствии" самих ВМ, хранилищ и хост-серверов.
Основные возможности vOPS Server Explorer:
Визуализация датацентра, его объектов и имеющихся проблем:
Просмотр состояния всех виртуальных машин в датацентре, в том числе, между несколькими серверами vCenter:
И самое полезное - поиск по множеству критериев:
Скачать VKernel vOPS Server Explorer можно бесплатно по этой ссылке.
Поскольку виртуальная машина может состоять из множества файлов (виртуальные диски, конфигурация и т.п) и не имеет формальных правил ее описания для переносимости между платформами, был придуман формат OVF ( Open Virtualization Format). Он представляет собой унифицированный формат распространения готовых виртуальных машин (Virtual Appliances) - виртуальных модулей, которые можно просто скачать и импортировать на платформу виртуализации VMware vSphere или какую-нибудь другую.
В vSphere Client делается это так:
А как наоборот сделать из большого набора файлов vmdk и прочего виртуальную машину в формате OVF? Можно воспользоваться встроенной функцией vSphere Client - Export OVF Template:
Но ее возможности весьма невелики. Намного интереснее - воспользоваться утилитой OVF Tool от VMware, которая позволяет создавать виртуальные модули из виртуальных машин и виртуальных сервисов (vApp) для различных платформ виртуализации. Также утилита может и импортировать виртуальные модули в VMware vSphere.
Простейший способ ее использования - это запаковать машину в OVF, указав путь к vmx-файлу и путь к целевому ovf-файлу:
ovftool.exe <path to vmx> <path to ovf>
Получится вот такой симпатичный набор, который дальше можно выкладывать для скачивания или переносить на флэшках:
Ну а дальше есть куча опций по созданию OVF-пакета, которые можно вывести командой:
ovftool.exe -h
Далее нужно изучать документацию, чтобы построить свой Virtual Appliance по следующим ссылкам:
Как вы знаете, с появлением VMware vSphere 5 в состав решения вошел также виртуальный модуль VMware vCenter Server Virtual Appliance (vCSA), который представляет собой готовую виртуальную машину с преднастроенными сервисами vCenter, работающими с интегрированной БД IBM DB2.
Однако такая конфигурация подходит лишь для небольших инсталляций (не более 5 хост-серверов ESXi и 50 виртуальных машин), поэтому в корпоративной инфраструктуре необходимо будет подключать внешнюю базу данных, например, Microsoft SQL Server или Oracle Database.
В данной заметке мы рассмотрим настройку СУБД Oracle 11g R2 x64, работающей Windows Server 2008 для использования совместно с VMware vCenter Server Virtual Appliance.
Для начала сконфигурируем Oracle и пользователя БД:
1. Откройте сессию SQL*Plus как SYSDBA:
C:`>sqlplus sys/<password> as SYSDBA
2. Создайте базу данных с помощью следующих SQL-команд:
CREATE SMALLFILE TABLESPACE “VPX” DATAFILE ‘e:/app/oracle/oradata/orcl/vpx01.dbf’ SIZE 1G AUTOEXTEND ON NEXT 10M MAXSIZE UNLIMITED LOGGING EXTENT MANAGEMENT LOCAL SEGMENT SPACE MANAGEMENT AUTO;
3. Создайте пользователя БД Oracle с необходимыми для vCenter Server привилегиями с помощью следующих команд SQL:
CREATE USER "VPXADMIN" PROFILE "DEFAULT" IDENTIFIED BY "oracle" DEFAULT TABLESPACE "VPX" ACCOUNT UNLOCK; grant connect to VPXADMIN; grant resource to VPXADMIN; grant create view to VPXADMIN; grant create sequence to VPXADMIN; grant create table to VPXADMIN; grant create materialized view to VPXADMIN; grant execute on dbms_lock to VPXADMIN; grant execute on dbms_job to VPXADMIN; grant select on dba_tablespaces to VPXADMIN; grant select on dba_temp_files to VPXADMIN; grant select on dba_data_files to VPXADMIN; grant unlimited tablespace to VPXADMIN;
Теперь приступим к настройке VMware vCenter Server Virtual Appliance:
1. Зайдите на vCenter по адресу:
https://<имя vcsa>:5480/
2. На вкладке vCenter Server перейдите в категорию Database.
3. Выберите oracle в качестве Database Type и введите информацию о БД, затем нажмите Save Settings. Обратите внимание, что в tnsnames.ora ничего добавлять не нужно, а также не надо настраивать ODBC-конфигурацию.
4. Подождите около 5 минут, пока vCSA создаст схему БД.
5. Перейдите в категорию Status и в поле Service Status должно отображаться "Running":
6. После этого уберите ненужные больше привилегии пользователя следующими командами в SQL*Plus:
revoke select on dba_tablespaces from VPXADMIN; revoke select on dba_temp_files from VPXADMIN; revoke select on dba_data_files from VPXADMIN;
На сайте Cisco есть интересная штука для инженеров, которым приходится заниматься внедрением инфраструктуры Cisco UCS - эмулятор данного решения. Поставляется он в виде виртуального модуля (Virtual Appliance), который можно использовать на любой платформе VMware, в частности, на бесплатном VMware Player.
Установка очень проста. Импортируем виртуальную машину и запускаем эмулятор, после чего попросят ввести логин и пароль, а в консоли вы увидите IP-адрес модуля:
Далее, для веб-администрирования, заходим по указанному IP-адресу через браузер: http://192.168.255.128/config :
Важно: используйте Firefox или Google Chrome, потому что IE не все вкладки отображает корректно.
На сайте проекта VMware Labs, где в последнее время часто появляются полезные утилиты от сотрудников VMware, опубликована новая штучка - VMware I/O Analyzer, виртуальный модуль (Virtual Appliance) для анализа статистики по вводу-выводу.
Данное ПО включает в себя стандартные средства для измерения производительности систем хранения VMware vSphere, которые позволят выявить проблемы и узкие места в инфраструктуре хранилищ.
Ключевые возможности VMware I/O Analyzer:
Интегрированный фрейворк для тестирования хранилищ
Готовый к развертыванию виртуальный модуль
Прост в настройке и возможность исполнения тестов на нескольких хостах ESX/ESXi
Возможность просмотра результатов производительности как на уровне хоста, так и на уровне гостевой ОС
Возможность экспорта данных для последующего анализа
Скачать VMware I/O Analyzer можно по этой ссылке. Инструкция по развертыванию доступна тут.
Один из наших читателей обнаружил интересную особенность VMware VSA при установке в триальном режиме:
Скачивал триальную версию, ключ не дали, нигде. Но, ведь все продукты работают без каких-либо ключей 60 дней, и нигде не написано, что для VSA это не так, даже наоборот - при инсталляции пишется, что без ввода ключа должен установиться и работать в триальном режиме. Я склоняюсь, что VSA глючит... может, русскоязычный Windows не нравится.
Это действительно проблема - на форумах уже попадались точно такие же вопросы от других людей, пока без ответов.
Когда мы ставили VMware VSA, то просто ввели партнерский ключик, и все заработало. А у вас, читатели, такой проблемы нет? Все работает в триальном режиме? Отпишитесь, плз, если есть такая же проблема.
Еще один интересный момент о VSA. Мы уже писали, что есть конфигурации VSA с двумя и с тремя хостами VMware ESXi. В частности, вот пример реализации с двумя хостами:
Однако, суть здесь в том, что в этом случае VMware vCenter у вас должен быть физический, а не в виртуальной машине, поскольку по своей сути кластер трехузловой. Более подробно можно почитать об этом в KB 2004834 (Running vCenter Server in a virtual machine within a VSA cluster is not supported).
То есть нужен либо физический vCenter, либо хост ESXi, не входящий в состав VSA-кластера, c vCenter в виртуальной машине.
И последнее о VMware VSA. Если вы все-таки планируете покупку VMware vSphere Essentials Plus и продукта дополнения VSA, у компании VMware сейчас есть хорошее промо - эти два продукта вместе существенно дешевле, чем по отдельности (есть отдельная позиция в прайсе). Это получается даже чуть дешевле, чем покупать vSphere 4 + vCenter VSA Addon. Так что имейте в виду (а покупайте у нас).
Помните такой проект как VMware Mobile Virtualization Platform, MVP? Теперь он преобразовался в проект Horizon Mobile, который позволит реализовывать виртуализацию для смартфонов и прочих переносных устройств, что позволит отделить персональное окружение сотрудника предприятия от корпоративной оболочки на устройстве.
С помощью данной технологии администраторы ИТ-инфраструктуры организации смогут создавать шаблоны корпоративных устройств компании, использовать политики использования телефона (что можно делать, а что нельзя в рабочем окружении), развертывать рабочее виртуальное окружение на телефоне, публиковать там мобильные приложения и следить за статусом рабочего окружения пользователя через dashboard.
В данный момент над этой технологией VMware работает совместно с компаниями LG and Samsung.
С помощью ThinApp Factory администраторы смогут извлекать приложения из рабочей среды пользователя (или своей) для их публикации на портале приложений посредством Horizon Application Manager или Horizon mobile.
Thinapp Factory будет представлять собой виртуальный модуль (Virtual Appliance), который и будет заниматься извлечением и упаковкой приложений. Надо отметить, что ThinApp Factory будет поддерживать приложения Citrix XenApp, Remote Desktop Services (RDS) и App-V (то есть, предоставлять интерфейс для соединения с ними).
То есть, это некая технология P2V (physical-to-virtual), но только для приложений.
По мере поступления информации будем описывать эти проекты подробнее.
Таги: VMware, ThinApp, Virtual Appliance, P2V, Horizon, Mobile
Как многим известно, компания VMware вместе с анонсом платформы виртуализации VMware vSphere 5 объявила также о выпуске продукта VMware vCenter Server Virtual Appliance, который представляет собой готовую виртуальную машину, реализующую все необходимые сервисы аналогичные VMware vCenter для Windows.
Такой вариант развертывания системы управления виртуализацией несет в себе некоторые преимущества (прежде всего, экономия на лицензии, простота развертывания и обновления), однако несет в себе некоторое количество ограничений, которые могут заставить вас отказаться от его использования.
Прежде всего, vCenter Server Virtual Appliance доступен для загрузки с сайта VMware в формате OVF вместе с обычным vCenter:
Скачав эти файлы, можно приступить к установке vCenter Server Virtual Appliance, на процесс которой можно посмотреть в этом видео:
Вкратце: после импорта OVF коннектимся браузером по адресу:
https://<ip_of_appliance>:5480
И вводим логин root, а пароль vmware.
Перечислим некоторые возможности и особенности vCenter Server Virtual Appliance (vCSA):
Построен на базе SUSE Linux Enterprise Server 11 x64.
После развертывания OVF виртуальная машина создается с 2 vCPU и 8Gb памяти, адаптер SCSI - LSI Logic Parallel, сетевой адаптер - VMXNET 3, диски - 15Gb и 60Gb (VMDKs), VMware Tools установлены.
Включает базу данных DB2, которая вполне хорошо работает до 5 хостов ESXi или до 50 виртуальных машин (то же самое, что и рекомендуется для связки Windows vCenter Server + MSSQL Express).
Поддерживает внешнюю СУБД Oracle для больших инсталляций.
Включает в себя аутентификацию в Active Directory (AD) и Network Information Services (NIS).
Поддержка vSphere Web Client встроена в vCenter Server Virtual Appliance.
Также поддерживается Windows vSphere Client.
Включает в себя преднастроенный сервер Auto Deploy (не надо устанавливать самому).
Может использовать NFS mounts для хранения компонентов vCenter Server Virtual Appliance и лог-файлов.
vCSA может использоваться как syslog-сервер для сбора логов от серверов ESXi.
Может использоваться как сборщик дампов ядра ESXi.
Малое время развертывания - всего 15 минут.
Не требуется лицензии на хостовую ОС.
Простой способ обновления - если внешняя БД Oracle, просто заменяем Appliance, если используется внутренняя база - есть опция импорта данных от прошлой установки.
Патчи можно устанавливать прямо через веб-интерфейс.
Кстати, вот список продуктов VMware, которые поддерживают vCenter Server Virtual Appliance:
vCenter Operations.
vCenter Orchestrator.
vCenter CapacityIQ.
SRM5.
Auto Deploy.
vCenter Update Manager.
vMA.
vSphere Client.
vSphere Web Client.
То есть видим, что штука, вроде бы, неплохая.
Однако давайте взглянем на ограничения vCenter Server Virtual Appliance:
Microsoft SQL в качестве внешней (и, само собой, внутренней) базы - не поддерживается, нужен ODBC driver for Linux.
Не поддерживается vCenter Server Linked Mode, так как он требует поддержки ADAM.
Не работает vCenter Server Heartbeat, который есть только для Windows.
Не поддерживается IPv6.
Нельзя сделать сквозной вход (Single sign-on), используя учетные данные текущей сессии.
Не работает VMware View Composer (технология связанных клонов, Linked Clones).
Нельзя использовать vSphere Storage Appliance – компоненты VSA Manager & VSA Cluster Server есть только для Windows.
Плагин VIX Plugin for vCenter Orchestrator – тоже не будет работать, так как VMware Tools API работает только под Windows.
А теперь подумаем, почему этот vCenter Server Virtual Appliance на данный момент, кроме перечисленных ограничений, не очень хорошая идея:
Неизвестно когда появится поддержка Microsoft SQL. Если встроенной базы не хватит, и у вас нет Oracle, непонятно, что делать дальше.
Версия 1.0 - значит есть куча ошибок и недоработок, а также граблей, на которые вы наступите одним из первых.
Проблемы совместимости - не работает View Composer, а также некоторые другие продукты VMware, которые вам, возможно, понадобятся.
Некоторые надстройки и компоненты не поставляются вместе с vCSA, они дотупны только для vCenter под Windows.
Трудно перенести существующий vCenter в новый vCSA для больших окружений.
Если что-то случается с vCSA - вам придется ковыряться в Linux, а не в Windows.
В итоге, vCenter Server Virtual Appliance - это пока игрушка, чтобы попробовать и потестировать для непроизводственной среды, ну и, возможно, его станут применять небольшие организации, купившие vSphere Essentials и vSphere Essentials Plus для 3 хост-серверов VMware ESXi.
Таги: VMware, vCenter, Virtual Appliance, ESXi, vSphere, Linux
Некоторым из вас должен быть знаком проект pfSense, который представляет собой разработку программного фаервола и роутера на базе дистрибутива FreeBSD. Это средство есть также в виде виртуального модуля (Virtual Appliance), которое можно импортировать в VMware vSphere в качестве уже готовой машины. Также Eric Sloof сделал его в в формате OVA.
Естественно, pfSense - это бесплатно и open source. Для продукта доступно огромное количество модулей, за счет которых можно расширять функционал.
StarWind Enterprise iSCSI Target в виде VSA позволит вам создать хранилища для виртуальных машин VMware vSphere или Microsoft Hyper-V в виде виртуальных серверов хранения (в ВМ), которые развертываются из уже готовой машины StarWind VSA. Для платформ ESX / ESXi и Hyper-V компания StarWind выпустила отдельные версии. Сам виртуальный модуль построен на базе Gentoo Linux и не требует отдельной лицензии Windows.
Отличительная особенность от аналогичных продуктов, поставляемых в виде виртуальных модулей (например, Openfiler) - это то, что с помощью этих модулей можно создать хранилища с высокой доступностью, которые в случае выхода из строя одного из узлов (т.е. ВМ или хост-сервера) мгновенно переключается на работу с синхронизированным резервным хранилищем.
О решении для создания хранилищ StarWind Enterprise iSCSI в виртуальных машинах мы уже писали тут. Его можно использовать для филиалов и небольших компаний, где нет возможности закупить дорогостоящие системы хранения данных, и даже нет денег на покупку отдельных серверов хранения.
Установка продукта StarWind VSA очень проста - вы импортируете виртуальный диск на хранилище VMware ESX или ESXi (понятное дело, что это может быть как локальный том VMFS, так и общее хранилище NFS/VMFS), создаете новую виртуальную машину, к которой подцепляете этот диск vmdk, а также еще один виртуальный диск для хранения данных виртуальных машин, которые будут защищены с помощью высокой доступности.
Конфигурацию машины StarWind VSA рекомендуется сделать такой (пока нет точной информации по этому поводу):
Guest OS - other Linux 64 bit
RAM - 1 GB
2 vNIC
можно поставить paravirtualized SCIS-контроллер для диска с данными
После загрузки этой машины, на стартовом скрине можно будет увидеть IP-адрес, полученный по DHCP, а дальше ее можно подцепить с помощью StarWind Management Console, где уже настраиваются сетевые и прочие параметры:
Процесс установки для платформы Hyper-V в принципе аналогичен. Понятное дело, когда выйдет релизная версия StarWind VSA, она будет поставляться в виде виртуального модуля OVF, чтобы машину можно было сразу импортировать на ESX.
Насчет логина и пароля к Linux-консоли StarWind VSA. Это vsa и starwind, соответственно. Для добавления VSA к консоли управления логин и пароль остались теми же: root и starwind.
Скачать StarWind VSA сейчас можно бесплатно и без регистрации с пробной лицензией на 120 дней по этой ссылке.
Как вы знаете, начиная с VMware vSphere 4.1, компания VMware включила с свою платформу виртуализации API для обеспечения безопасности виртуальных сред под названием EPSec (End Point Security). Совместно с технологией VMware VMsafe этот API должен позволить по-новому обеспечивать антивирусную защиту в виртуальных машинах на VMware ESX / ESXi (см. нашу запись о Trend Micro и Reflex VMC).
Сейчас традиционные антивирусы работают в виртуальных машинах, создавая нагрузку на них. Для виртуальных серверов это не так важно, поскольку их плотность на хост-машинах достаточно невелика. Да и потом, современнные антивирусы типа Symantec или Trend Micro имеют имеют функции случайного запуска, чтобы равномерно распределить нагрузку. Но для виртуальных ПК (например, на базе VMware View) коэффициент консолидации может достигать 50 и даже 100 к одному - и вот тут нужно искать пути оптимизации использования аппаратных ресурсов.
И здесь на помощь приходит VMware VMsafe и EPSec API:
Суть технологии такова - зачем использовать отдельный антивирус в каждой виртуальной машине, если можно сделать сервисную виртуальную машину, содержащую в себе средства сканирования активности виртуальных машин на уровне гипервизора, и тратить ресурсы только на нее. Естественно этот виртуальный модуль (Virtual Appliance) имеет все необходимое для поддержки перемещаемых средствами vMotion/DRS машин.
У компании Trend Micro уже есть продукт DeepSecurity 7.5, который поддерживает эту интересную технологию (Symantec и McAfee тоже скоро подтянутся). VMsafe-net API отвечает за единый фаервол, а EPsec API - за антивирусную деятельность.
Недавно Tolly group сделала его бенчмаркинг, показатели которого были впечатляющими: использование данной технологии позволяет сократить потребление ресурсов от 1.7 до 8.5 раза!
Кстати реализует упомянутые технологии продукт vShield Endpoint, входящий в состав VMware View Premier, о котором мы уже писали:
Как вы знаете, в мире виртуализации есть так называемые виртуальные модули (Virtual Appliances), которые позволяют распространять программное обеспечение в виртуальных машинах, готовых к развертыванию в инфраструктуре клиента. То есть, Virtual Appliance просто импортируется через клиент для управления платформой виртуализации (например, vSphere Client или XenClient), а само приложение работает в недрах этой виртуальной машины, предоставляя свои сервисы по сети, а управление через веб-фронтэнд.
Есть такая контора DMTF, которая занимается развитием стандартов в области управления ИТ-системами. Она, например, имеет свои спецификации по открытому стандарту распространениия виртуальных модулей OVF, который в будущем должны стать единым стандартом развертывания ПО в виртуальных машинах. В данной инициативе принимали участие компании Dell, HP, IBM, Microsoft, VMware и XenSource (еще до покупки компанией Citrix).
По своей сути стандарт OVF подразумевает кросс-платформенность, но на деле этого нет, так как он весьма скудно описывает сам образ виртуального диска (VMDK, VHD и пр.), уделяя большее внимание метаданным. Но так как каждая платформа виртуализации работает только со своим форматом виртуальных дисков, то есть некоторые проблемы с распространение данного "открытого" формата.
Виртуальный модуль в формате OVF представляет собой набор файлов, куда входят виртуальные диски (например, VMDK) и файл с расширением *.ovf, реализующий открытое описание файлов конфигурации виртуального модуля. Есть также подвид OVF - файл *.ova, который является TAR-архивом файлов OVF-пакета. То есть, ova-файлы идут по одному для каждого виртуального модуля, поэтому их проще распространять. С точки зрения размера и быстродействия OVA/OVF примерно одинаковы:
Когда вы делаете экспорт виртуальной машины из vSphere Client для создания виртуального модуля (Export OVF Template), вам как раз предлагают выбрать нужный формат OVF/OVA:
Так что вот - основная идея такова, что независимые разработчики ПО должны прежде всего ориентироваться на формат OVF / OVA при распространения своего ПО в виртуальных машинах. Но вот что непонятно - почему в VMware vCenter Converter Standalone 4.3 убрали поддержку OVF: "Support for OVF format is discontinued"?
Данное ПО поставляется в виде виртуальной машины для развертывания на XenServer, которая позволяет отслеживать производительность сетевого взаимодействия и работу виртуальных машин с хранилищами (storage I/O и network I/O). Через веб-интерфейс можно получить информацию о следующих аспектах производительности:
Disk I/O performance utility - предоставляет следующую информацию: sequential read/writes и random read/writes с различными размерами блоков.
Network I/O performance utility - это модифицированная версия утилиты netperf. Позволяет мониторить пропускную способность сети и задержки.
Скачать Citrix XenServer Virtual Machine Performance Utility можно по этой ссылке.
Мы уже писали о средстве защиты соединений пользователей в виртуальной инфраструктуре VMware vSphere под названием HyTrust, поставляемого в виде виртуального модуля (Virtual Appliance). В связи с тем, что в конце марта вышла вторая версия данного продукта, хотелось бы остановиться на нем поподробнее (недаром он стал одним из победителей в конкурсах VMworld 2009).
Итак, HyTrust позволяет нам с четырех сторон улучшить управление и повысить безопасность виртуальной инфраструктуры VMware vSphere:
Unified Access Control - контроль всех возможных методов доступа к виртуальной инфраструктуре.
Virtual Infrastructure Policy - задание политик безопасности при работе с виртуальной инфраструктурой с максимальной гранулярностью в соответсвии с потребностями крупных организаций
Hypervisor Hardening - анализ хостов VMware ESX на соответствие безопасной конфигурации
Audit-quality Logging - качественная система централизованного сбора и анализа логов
Расширенный список функций HyTrust выглядит так:
Unified Authentication - HyTrust перехватывает все соединения пользователей с виртуальной инфраструктурой VMware vSphere / ESX (включая SSH, различные API, vSphere Client в конфигурациях vSphere-Client-to-ESX или vSphere-Client-to-vCenter) и позволяет разграничивать доступ к различным объектам на базе ролей с высокой гранулярностью разрешений.
Directory Server Bridging - HyTrust интегрируется с Microsoft ActiveDirectory (или с любым другим провайдером LDAP v3), чтобы организация могла использовать уже существующие репозитории пользователей, ролей и групп в унифицированной среде доступа HyTrust.
Two-factor Authentication: Поддерживаются различные устройства двухфакторной аутентификации, включая RSA SecurID, что позволяет ввести дополнительный уровень защиты при аутентификации пользователей в среде VMware vSphere 4
Root Password Vault: Позволяет передать привилегии пользователя root другому аккаунту на ограниченное время, чтобы не светить везде учетные данные root, а дать возможность доверенному администратору некоторое время поработать с хостом ESX
Object Policy Labels: Политики доступа организуются с помощью тэгов, что позволяет проще ориентироваться и разграничивать доступ по бизнес-сущностям или иным признакам.
Centralized Log Repository - модуль HyTrust централизованно хранит все необходимые логи, где отображена информация об активности пользователей в среде VMware vSphere.
Industry-standard Log Format - логи хранятся в форматах syslog или secure syslog
Host Configuration Templates - HyTrust может обследовать ваши хосты ESX на предмет соблюдения необходимых требований безопасности (бенчмарки C.I.S., PCI DSS, VMware Best Practices, либо кастомные) и, после проверки, применить требуемые настройки для повышения безопасности конфигурации.
Gold Standard Benchmark: очень просто - можно сделать "золотой" с точки зрения безопасности хост VMware ESX и сравнивать с ним все остальные серверы в виртуальной инфраструктуре.
Federated Deployment: несколько виртуальных модулей HyTrust можно объединять в единую систему, между компонентами которой будет осуществляться репликация политик безопасности
Virtual Appliance Form-factor: HyTrust - это готовая виртуальная машина, а значит решение просто развернуть в рамках вашей инфраструктуры, проще бэкапить, настраивать и т.п.
Virtual Infrastructure Search: простой и эффективный поиск объектов, политик и логов внутри HyTrust Virtual Appliance.
Remote API: интерфейс для автоматизации HyTrust Appliance
Wide platform support for VMware: решение HyTrust поддерживает VMware vSphere и ESXi (ESX 3.5/4.0; ESXi 3.5/4.0), а также vCenter Server 2.5 и 4.0.
Router-Mode - HyTrust моржет работать как Default Gateway для серверов ESX и vCenter, что позволит маршрутизировать трафик между сетью управления (management network) и производственной сетью.
Основные возможности HyTrust продемонстрированы на видео ниже:
Между тем, виртуальный модуль HyTrust Community Edition доступен абсолютно бесплатно для инфраструктуры, состоящей не более чем из 3 хостов VMware ESX.
На Techtarget появилась хорошая статья Eric'а Siebert'а о безопасности виртуальных машин на сервере виртуализации VMware ESX. Статья достаточно длинная, поэтому постараюсь привести краткое содержание с пояснениями.
Чтобы украсть виртуальную машину с VMware ESX вместе со всеми ее данными и приложениями нужно сделать 3 вещи:
1. Сделать Snapshot виртуальной машины, что переведет ее основной виртуальный диск vmdk в режим только чтения.
2. Загрузить диск vmdk с общего или локального хранилища на машину злоумышленника с помощью FastSCP или WinSCP (можно использовать встроенный в vSphere Client Datastore Browser).
3. Импортировать виртуальную машину на VMware Workstation (для запуска и доступа к данным и приложениям), либо смонтировать диск ВМ в операционную систему Windows или Linux с помощью утилиты vmware-mount из комплекта VMware's Virtual Disk Development Kit (VDDK).
Комментарии:
1. Поскольку основной vmx-файл виртуальной машины будет ссылаться не только на основной vmdk, но и на файл снапшота (отличия от исходного состояния ВМ), нужно будет этот vmx подправить. Кроме того, после того, как файлы vmdk и vmx будут скопированы злоумышленником, он удаляет снапшот - для администратора будто бы ничего и не было.
2. Чтобы запустить импортированную виртуальную машину потребуется пароль администратора гостевой ОС. Как известно, есть утилиты для подбора пароля администратора под Windows Server.
3. Чтобы смонтировать виртуальный диск vmdk и получить доступ ко всем данным - никакого пароля не нужно (если не было шифрования средствами гостевой ОС). Представьте, что вы украли обычный физический диск и воткнули его в компьютер.
4. Файлы vmdk не шифруются в VMware vSphere, но судя по тому, что возможность шифрования в VMware Workstation 7 появилась, в скором времени ее можно ожидать и для VMware vSphere / ESX.
Как не допустить кражи виртуальной машины со своего сервера VMware ESX:
1. Разграничивайте доступ к VMware vCenter, а также к томам VMFS, где хранятся виртуальные машины (в том числе на уровне SAN).
Некоторым пользователям VMware vSphere 4 не хватает стандартной функциональности Distributed vSwitch (dvSwitch), который позволяет создать центральный коммутатор для всей виртуальной инфаструктуры, представляющий собой объединение виртуальных коммутаторов на хостах VMware ESX.
Специально для них, компания Cisco, близкий партнер VMware, предоставляет пользователям возможность применять специализированный виртуальный коммутатор Cisco Nexus 1000V в составе издания VMware vSphere Enterprise Plus (за отдельные деньги), который очень удобен сетевым администраторам для больших инсталляций VMware vSphere. Полный список функций распределенного коммутатора Cisco Nexus 1000V, который бывает как физическим устройством, так и виртуальным модулем (Virtual Appliance) приведен вот в этом документе.
Сегодня компания Citrix объявила о доступности для скачивания продукта Citrix NetScaler VPX Express, позволяющего оптимизировать веб-трафик в корпоративной инфраструктуре, защитить его с помощью SLL и сетевого экрана, а также осуществлять его балансировку. Презентация продукта Citrix NetScaler VPX Express была проведена еще в рамках конференции Citrix Synergy, прошедшей в Лас-Вегасе.
Ранее NetScaler был доступен только в виде аппаратного модуля (Hardware Appliance) с установленным ПО Citrix и мог быть использован для оптимизации трафика через Интенет в корпоративных сетях (например, между филиалами или в компаниях с большим объемом мультимедиа-трафика). Теперь издание NetScaler VPX Express поставляется в виде готовой виртуальной машины, которую можно разместить на сервере виртуализации и точно так же использовать для целей оптимизации канала и обеспечения безопасности.
Такой вариант поставки Citrix NetScaler позволит снизить затраты на приобретение решения (не надо платить за железку от Citrix) и позволит значительно более гибко использовать решение (поскольку NetScaler - виртуальная машина, можно просто перемещать его между серверами, обеспечивать отказоустойчивость и т.п.).
Процесс настройки Citrix NetScaler VPX Express для Microsoft Sharepoint можно посмотреть на этом видео...
Коллеги делятся информацией, что какое-то время назад компания HyTrust выпустила Virtual Appliance с одноименным названием под версией 1.5.
Продукт HyTrust Virtual Appliance предназначен для обеспечения безопасности виртуальной инфраструктуры VMware vSphere / ESX, где этот виртуальный модуль становится звеном через которое проходят все каналы доступа к виртуальной инфраструктуре (vSphere Client, SSH, Web Access и т.п.). Основные возможности продукта HyTrust Virtual Appliance:
Проксирование всех интерфейсов доступа к инфраструктуре VMware vSphere / ESX (SSH, Client, сторонние API) с обеспечением безопасного доступа. Поддержка токенов и прочей двухфакторной ереси.
Поддержка ролевой модели VMware vCenter и управление безопасностью на основе политик для объектов.
Поиск брешей в инфраструктуре на основе шаблонов PCI DSS, C.I.S. Benchmark, VMware Best Practices.
Компания DataCore Software объявила о выпуске готового виртуального модуля SANmelody Virtual SAN Appliance, который позволяет организовать общее хранилище для виртуальных машин Microsoft Hyper-V или Citrix XenServer по интерфейсу iSCSI.
SANmelody Virtual SAN Appliance использует технологию StorageLink, которая присутствует в продукте Citrix Essentials, предназначенном для управления серверами Hyper-V или XenServer. StorageLink – это технология для использования возможностей дисковых массивов напрямую из интерфейса XenCenter.
Возможности продукта SANmelody Virtual SAN Appliance...
Таги: Citrix, Virtual Appliance, Storage, Hyper-V, XenServer, Microsoft
Сегодня стало известно, что компания VMware в понедельник выпустит вторую версию программного обеспечения для создания виртуальных модулей (Virtual Appliance) VMware Studio 2.0. Virtual Appliance - это готовая виртуальная машина с установленным в ней ПО, выполняющим определенную задачу... Таги: VMware, Studio, Virtual Appliance, ESX, vCenter
RSS
