Некоторое время назад мы писали про серьезный баг в механизме Changed Block Tracking (CBT), который используют практически все средства для резервного копирования виртуальных машин на уровне хоста ESXi, например, Veeam Backup and Replication.

Суть бага заключалась в том, что при увеличении виртуальных дисков машин с включенной технологией Changed Block Tracking (CBT), если их результирующий размер перешагивает 128 ГБ (а также 256, 512, 1024 и т.д.) - их резервные копии оказываются невалидными и не подлежащими восстановлению.

Проблема была обнаружена в начале ноября прошлого года, но только сейчас компания VMware пофиксила этот баг. Описание проблемы и решений можно найти в KB 2090639.

Патчи можно скачать по следующим ссылкам:

• ESXi 5.0 Patch 10 - VMware ESXi 5.0, Patch Release ESXi500-201412001 (2088715). Для загрузки используйте Patch Portal.
• ESXi 5.1 Update 3 - VMware ESXi 5.1 Update 3 Release Notes. Для загрузки используйте раздел VMware Downloads.
• ESXi 5.5 Patch 4 - VMware ESXi 5.5, Patch Release ESXi550-201501001 (2099265). Для загрузки используйте Patch Portal.

Zip-файлы патчей можно импортировать через VMware Update Manager:

/p>

Напомним, что для решения проблемы без патчей, надо "перещелкнуть" Changed Block Tracking на хосте ESXi (как это сделать - тут и в KB). Старые бэкапы, понятное дело, останутся невалидными. Следующий бэкап после повторного включения CBT всегда будет полным.

Интересно, что для VMware vSphere 4.x никаких патчей на эту тему выпущено не было (Currently, there is no resolution for ESXi 4.x.).

Отметим также, что компания Veeam уже давно выпустила решение этой проблемы. Пользователям Veeam Backup and Replication 8 вообще ничего делать не нужно - там эта проблема уже решена.

Как вы знаете, после запуска виртуальной машины на платформе VMware vSphere, в папке с машиной создается файл *.vswp, который предназначен для свопирования памяти ВМ в критической ситуации. Если у машины проявляется нехватка памяти на хосте VMware ESXi, и она не получает ее через механизм Memory Ballooning, то страницы памяти начинают сбрасываться в этот vswp-файл. Это самая плохая ситуация, так как структурная организация этого файла и то, как понимает своп операционная система, две большие разницы, а значит скорость работы существенно замедляется не только из-за того, что работа идет с диском вместо RAM, но еще и уходит время на поиск нужных страниц.

Соответственно, если у машины 4 ГБ оперативной памяти, то размер vswp-файла также 4 ГБ:

Если мы меняем Memory Reservation для виртуальной машины, то ее файл подкачки уменьшается на величину этого резерва - так как физическая память закрепляется за машиной и не возникнет условий, когда эту часть потребуется свопировать.

Но если сделать Memory Reservation для работающей ВМ (в данном случае 2 ГБ), то размер файла подкачки останется прежним:

Для того, чтобы vswp-файл уменьшился на величину Memory Reservation, надо перезагрузить ВМ - тогда он станет размером 2 ГБ:

Напомним, что у выключенной машины vswp-файла нет.

Но что если у включенной машины убрать (или изменить) Memory Reservation? Все просто - он автоматически увеличится до размера незарезервированной памяти ВМ. Убираем резерв в 2 ГБ и файл вырастает до 4 ГБ:

Ну и напомним формулу:

Swap (.vswp) file size = VM Configured Memory – VM reserved memory

Многие из вас, наверняка, знакомы с инициативой CoreOS (форк Chrome OS) - операционной системой на базе Linux, которая представляет собой пустую "коробку" для развертывания в ней предустановленных контейнеризованных приложений (на базе механизма Docker) и больше ничего лишнего. То есть там присутствуют только необходимые для запуска этих приложений средства.

В инициативе CoreOS принимают участие такие компании как Google, Facebook и Twitter. VMware также работает с командой CoreOS, чтобы эта система работала и поддерживалась в качестве гостевой ОС в VMware vSphere, а также обеспечивалась работоспособность пакета open-vm-tools (это аналог VMware Tools, но с открытым кодом и с меньшими возможностями).

На днях компания VMware объявила о доступности сборок CoreOS 494 и 522 для платформы VMware vSphere (как технологическое превью). Соответственно, в VMware ждут от пользователей фидбэк по результатам тестирования.

Ссылки на загрузку:

• CoreOS 494 Stable
• CoreOS 522 Stable

Для установки можно использовать стандартный ISO-образ или уже готовый VMDK-диск. В дальнейшем CoreOS будет поставляться как готовый виртуальный модуль (Virtual Appliance) в формате OVA. Например, в бета-версии сборки 577 OVA уже есть.

Инструкции по развертыванию CoreOS на VMware vSphere приведены в KB 2104303. Процесс пока еще не очень тривиален, но команда проекта работает над его упрощением. Сама же VMware работает над интеграцией проекта CoreOS в свое публичное облако VMware vCloud Air.

Чтобы начать работу с CoreOS нужно прочитать вот эти инструкции: CoreOS Quick Start. Также рекомендуем ознакомиться с VMware CoreOS community forum.

Компания StarWind, поставщик ПО номер 1 для создания отказоустойчивых кластеров хранилищ в инфраструктурах VMware vSphere и Microsoft Hyper-V (о возможностях продукта - тут), приглашает на бесплатный вебинар "Microsoft SQL Server deployment price reduced by 3 times with StarWind Virtual SAN". На мероприятии пойдет речь о том, каким образом с помощью продукта Virtual SAN можно сократить затраты на внедрение SQL Server аж в три раза!

Дата и время вебинара: 3 февраля в 19-00 по московскому времени.

Группы доступности SQL AlwaysOn стали отличным решением для тех, кто годами искал средства кластеризации баз данных SQL Server. Теперь хранилища на базе локальных дисков серверов позволяют построить кластер высокой доступности SQL Server с использованием стандартной лицензии и узлов AlwaysOn Failover Cluster.

У такой конфигурации появляются следующие преимущества:

• Не нужно лицензии SQL Server Enterprise
• Упрощенная настройка
• Нет необходимости в дорогостоящем физическом SAN или NAS-хранилище

Теперь можно с помощью обычных серверов и ПО StarWind Virtual SAN построить инфраструктуру кластера SQL Server AlwaysOn с функциями высокой доступности, не приобретая лишнего оборудования и ПО, сэкономив в три раза без потери производительности. Как именно это сделать? Приходите на вебинар StarWind и узнайте!

На многим из вас известном сайте VMware Labs появилось интересное мобильное приложение для смартфонов на базе Android - vMaxGuide. Оно позволяет посмотреть информацию о максимальных конфигурациях различных компонентов виртуальной инфраструктуры VMware vSphere.

На данный момент vMaxGuide предоставляет информацию о максимумах для следующих платформ:

• VMware vSphere 5.5
• VMware vSphere 5.1
• VMware vSphere 5.0

Также в сравнениях участвуют различные версии виртуального аппаратного обеспечения (Virtual Hardware). Там где максимумы могут быть достигнуты только при определенных условиях, соответствующие пункты помечены символом "*".

Инсталляция и использование vMaxGuide:

Кстати, эта штучка может быть хорошей шпаргалкой на экзамене по VMware VCP!)

Осенью мы писали о том, что компания VMware планирует отключить технологию Transparent Page Sharing (TPS) в новых релизах платформы виртуализации VMware vSphere. Напомним, что TPS - это механизм поиска и удаления дубликатов страниц памяти в целях экономии физического пространства RAM (вместо самой дублирующейся страницы хранится только ссылка на нее).

Технологию TPS было решено прекратить использовать по двум причинам:

• Использование в современных ОС больших страниц памяти (large memory pages) размером в 2 МБ делает намного менее вероятным появление дубликатов.
• Использование одной копии страницы памяти несколькими ВМ создает потенциальные проблемы безопасности.

На данный момент статус отключенности TPS по умолчанию на хостах VMware ESXi таков:

• В ESXi 5.5 U2d, запланированном на первый квартал 2015 года, TPS будет отключен.
• В ESXi 5.1 U3, выпущенном 4 декабря 2014 года, TPS уже отключен.
• В ESXi 5.0 U3d, запланированном на первый квартал 2015 года, TPS будет отключен.

Однако не стоит сбрасывать TPS со счетов - возможно, если вы используете старые ОС (Windows 2003) и инфраструктуру VDI на базе старых клиентских ОС, TPS сможет сэкономить вам какое-то количество памяти (если безопасность TPS вас не особенно заботит). Ну и напомним, что TPS отключена только для межмашинного взаимодействия и продолжает работать для внутримашинного.

Для этого в VMware сделали скрипт Host Memory Assessment Tool.ps1, который показывает количество памяти на хостах, которую можно сэкономить с помощью TPS.

Вот что он делает:

• Соединяется с vCenter и определяет хосты ESXi
• Позволяет включить SSH на хостах
• Генерирует отчет об обследовании на экономию по TPS
• Можно экспортировать результаты в CSV
• Можно снова включить SSH, если нужно

Пока скрипт позволяет указать только одну пару логин-пароль на хостах ESXi, но надеемся это будет исправлено в следующих версиях.

Здесь вот какие значения в колонках:

• Total Host Memory – объем физической памяти хоста (доступной vmkernel).
• Host Mem Saved via TPS – объем памяти, которая сэкономлена TPS.
• Host Mem Saved via TPS Zero Pages – объем памяти, которая экономится на нулевых страницах. Фактически такая экономия не актуальна для большинства случаев, так как сэкономленные нули означают, что недостатка ресурсов не наблюдается.
• Potential Host Mem Savings Lost – а вот эта экономия уже на реально используемых страницах. Объем, указанный тут, показывает сколько можно потерять, отключив TPS на хосте.
• Host Free Mem – объем свободной оперативной памяти (по данным vmkernel). Если свободной памяти меньше, чем значение в предыдущей колонке, то при отключении TPS будет своппинг.

Вот такая штука, можно проводить эксперименты (особенно полезно это будет для крупной инфраструктуры). Скрипт безопасен для памяти хостов, так как использует режим доступа к памяти только для чтения.

После запуска скрипта вам может потребоваться отключить или включить Transparent Page Sharing на хосте ESXi. В этом случае вам пригодится KB 2097593.

На днях компания Citrix анонсировала покупку компании Sanbolic, выпускающей инструменты для агрегации различного типа хранилищ в единой консоли управления. Продукт Sanbolic позволяет объединить модные нынче server attached storage (на базе локальных дисков серверов), облачные хранилища, такие как Amazon AWS, а также традиционные дисковые массивы SAN. Предполагается, что такое решение позволит крупным предприятиям скорее адаптировать хранилища на локальных дисках и облачные ресурсы.

Основная задача Sanbolic - объединить хранилища (например, локальные диски серверов) в единый пул, обеспечить отказоустойчивость за счет распределения данных по узлам и избыточности и презентовать тома уже конечным узлам-потребителям. В этом плане Sanbolic напоминает VMware Virtual SAN или, например, Nutanix.

В качестве файловой системы используется Melio FS, а сами тома презентуются как шары SMB/CIFS или NAS. Melio FS поддерживает объединение хранилищ до 2000 физических узлов и до 18 миллионов терабайт пространства. Более подробно о возможностях этой ФС написано тут.

Софт Sanbolic поддерживает системы Windows, Linux, Xen, KVM, Hyper-V и OpenStack и не поддерживает VMware vSphere (что сыграло свою роль в покупке именно компанией Citrix). Таким образом, похоже что Citrix планирует составить конкуренцию таким продуктам, как VMware Virtual SAN и StarWind Virtual SAN. Также среди подобных решений можно отметить Maxta MxSP, SimpliVity и Scale Computing.

Более подробно о решениях Sanbolic можно почитать по этой ссылке.

Как знают многие администраторы VMware vSphere, есть такое удобное средство vSphere Management Assistant (vMA), которое представляет собой виртуальный модуль (готовую виртуальную машину), средствами которой очень удобно управлять скриптами, исполняемыми на нескольких хостах VMware ESXi через интерфейс ESXCLI или Perl.

При выполнении различных сценариев на Linux-машине vMA иногда требуется создать задачу планировщика (крон-таску), чтобы запустить скрипт в назначенное время. Ниже мы опишем, как это нужно делать.

1. Чтобы запускать скрипты без аутентификации, нужно добавить хосты ESXi в vi-fastpass. Вы можете добавить только хосты ESXi, либо хост vCenter Server (или всех их). Используйте команду vifp addserver в интерактивном режиме (конфигурация сохраняется при перезагрузках):

vi-admin@vma:~> vifp addserver esx1.virten.local --username root --password 'vmware'
vi-admin@vma:~> vifp addserver esx2.virten.local --username root --password 'vmware'
vi-admin@vma:~> vifp addserver esx3.virten.local --username root --password 'vmware'
vi-admin@vma:~> vifp addserver vcsa.virten.local --username root --password 'vmware'

Используйте команду vifp listservers для того, чтобы посмотреть список сконфигурированных хостов для быстрого доступа:

vi-admin@vma:~> vifp listservers
esx1.virten.local ESXi
esx2.virten.local ESXi
esx3.virten.local ESXi
vcsa.virten.local vCenter

2. Используйте механизм vi-fastpass внутри скрипта. Это делается вот так (сценарий размещайте, где написано #do something):

#!/usr/bin/perl -w

use VMware::VIRuntime;
use VMware::VmaTargetLib;

my $service_content;
my @targets = VmaTargetLib::enumerate_targets();
foreach my $target(@targets) {
$target->login();
$service_content = Vim::get_service_content();
#do something
$target->logout();
}

Также примеры скриптов можно найти в папке /opt/vmware/vma/samples/perl:

vi-admin@vma:~> ls -l /opt/vmware/vma/samples/perl
total 24
-r--r--r-- 1 root root 2660 Jul 15 2013 README
-r-xr-xr-x 1 root root 9023 Jul 15 2013 bulkAddServers.pl
-r-xr-xr-x 1 root root 1282 Jul 15 2013 listTargets.pl
-r-xr-xr-x 1 root root 2452 Jul 15 2013 mcli.pl

Для примера также посмотрите скрипты отсюда (можете на них и поэкспериментировать, например, с esxcfg-perf.pl).

3. Создаем таску в кроне (cron job).

Синтаксис команды прост:

* * * * * command
| | | | |
| | | | ----- Day of week (0 - 7) (Sunday=0 or 7)
| | | ------- Month (1 - 12)
| | --------- Day of month (1 - 31)
| ----------- Hour (0 - 23)
------------- Minute (0 - 59)

Открываем крон в режиме редактирования:

vi-admin@vma:~> crontab -e

Нажмите <i>, чтобы перейти в режим вставки в crontab, после чего добавьте нужный путь к библиотеке и команду:

LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/opt/vmware/vma/lib64:/opt/vmware/vma/lib
*/5 * * * * /home/vi-admin/scripts/esxi-perf.pl

Затем выходим из режима редактирования, нажав <ESC> : w q <ENTER>

Если при выполнении команды вы получаете вот такую ошибку:

vi-admin@vma:~> crontab -e
-bash: /usr/bin/crontab: Permission denied

То вам нужно предварительно выполнить sudo (юзер vi-admin в vMA 5.5 не имеет пермиссий на crontab):

vi-admin@vma:~> ll /usr/bin/crontab
-rwsr-x--- 1 root trusted 40432 Apr 2 2013 /usr/bin/crontab
vi-admin@vma:~> sudo chmod +rx /usr/bin/crontab
vi-admin@vma:~> ll /usr/bin/crontab
-rwsr-xr-x 1 root trusted 40432 Apr 2 2013 /usr/bin/crontab

4. Если крон-таска упадет, то вывод ошибок будет направляться сюда:

/var/mail/vi-admin

Вывод ошибки может быть таким:

Can’t load ‘/usr/lib/perl5/site_perl/5.10.0/libvmatargetlib_perl.so’ for module vmatargetlib_perl: libtypes.so: cannot open shared object file: No such file or directory at /usr/lib/perl5/5.10.0/x86_64-linux-thread-multi/DynaLoader.pm line 203.
at /usr/lib/perl5/site_perl/5.10.0/VMware/VmaTargetLib.pm line 10
Compilation failed in require at /usr/lib/perl5/site_perl/5.10.0/VMware/VIFPLib.pm line 9.
BEGIN failed–compilation aborted at /usr/lib/perl5/site_perl/5.10.0/VMware/VIFPLib.pm line 9.
Compilation failed in require at /home/vi-admin/graphite/esxi-perf-graphite.pl line 5.
BEGIN failed–compilation aborted at /home/vi-admin/graphite/esxi-perf-graphite.pl line 5.

Это значит вы некорректно добавили путь к библиотеке (/opt/vmware/vma/lib64:/opt/vmware/vma/lib).

Если же вы получаете вот такую ошибку:

“Server version unavailable at ‘https://[host]:443/sdk/vimService.wsdl’ at /usr/lib/perl5/5.10.0/VMware/VICommon.pm line 545.”

Это из-за непрошедшей SSL-аутентификации. Если у вас нет валидных SSL-сертификатов, отключите авторизацию через SSL в вашем скрипте:

# Disable SSL Verification
export PERL_LWP_SSL_VERIFY_HOSTNAME=0

Компания VMware на днях выпустила очень интересный документ "VMware Horizon 6 RDSH Performance and Best Practices", в котором можно почитать о производительности механизма удаленного доступа RDSH в инфраструктуре виртуальных ПК VMware Horizon View 6.

В качестве тестового окружения использовалась инфраструктура VMware vSphere, в которой были запущены виртуальные машины с доступом через Microsoft Remote Desktop Services Host (RDSH) на базе гостевой ОС Windows 2012 R2 Server. Каждой машине было назначено от 2 до 16 виртуальных процессоров (vCPU) и от 16 до 96 ГБ оперативной памяти.

Эти машины взаимодействовали с клиентскими машинами (тоже виртуальными) по протоколу PCoIP. Каждая клиентская машина имела доступ к консоли виртуального ПК и определенному набору приложений. Конфигурация клиентской машины - 32-битная Windows 7 и 1 ГБ памяти:

Схема тестирования выглядела следующим образом:

В качестве средства генерации нагрузки использовался VMware View Planner, который измерял показатели для следующей модели награузок:

• Group-A: Interactive operations
• Group-B: I/O Operations
• Group-C: Background load operations

Нас больше всего интересуют операции группы B. Там замерялось время выполнения следующих конкретных сценариев:

• Adobe Acrobat Reader 10 open PDF file
• Microsoft Internet Explorer 11 open a file served by Apache, open a file in a Web album
• Microsoft Office 2010:
  • Excel open and save file
  • PowerPoint open a file
  • Word open and save a file
• Microsoft Outlook 2010 open program and save an attachment
• Mozilla Firefox 3.6 open file

Вот какие получились результаты по времени выполнения данных операций в зависимости от числа виртуальных ПК на ядро процессора хост-сервера:

Желтая линия - пороговое значение в 6 секунд, при котором время выполнения одного из действий описанных выше, приемлемо для пользователя. Таким образом, на хост описанной выше конфигурации влезет до 9 виртуальных ПК с данной моделью нагрузки.

Взглянем на загрузку процессора при увеличении числа пользователей (виртуальных ПК) на ядро процессора хост-сервера:

Процессор стабильно держит до 9-10 пользователей на одно ядро физического сервера.

Число сессий опробованных приложений из группы операций B на ядро:

В документе присутствует еще очень много интересных результатов, например, использование полосы пропускания различными протоколами доступа к виртуальному ПК (по-сути, плюс-минус все одинаково):

Скачать документ "VMware Horizon 6 RDSH Performance and Best Practices" можно по этой ссылке.

В блоге joshodgers.com появилось пять интересных статей о том, как правильно виртуализовать почтовый сервер Microsoft Exchange на платформе VMware vSphere.

Итак, что там интересного:

1. Part 1 – CPU Sizing.

Тут прелагается использовать утилиту Exchange 2013 Server Role Requirements Calculator v6.6 для определения требований к почтовому серверу:

2. Part 2 – vCPU Configurations.

В этой статье обсуждается необходимое число vCPU для виртуальной машины с Exchange.

Ничего необычного, в принципе, но стоит почитать.

3. Part 3 – Memory.

Тут обсуждается необходмый объем памяти. Не рекомендуется использовать Memory Overcommitment (то есть, часть ресурсов надо всегда держать свободными), а вот Memory Reservations предлагается устанавливать в 100% - таковы рекомендации для бизнес-критичного сервиса.

К выделенной памяти виртуальным машинам рекомендуется прибавлять как минимум 25% требуемой емкости памяти хоста ESXi. То есть, если у вас машина с 96 ГБ RAM, то хост должен иметь как минимум 128 ГБ физической памяти. Также рекомендуется сайзить машину с Exchange в пределах одного NUMA-узла.

4. Part 4 – DRS.

Тут основная рекомендация - держать машины с ролями MBX / MSR на одном хосте в целях быстродействия (средствами хост-групп), а также настроить их восстановление в случае сбоя также на один хост. Также уровень автоматизаци миграций ВМ в кластере рекомендуют выставить как "Fully Automated" (а Migration Threshold как 3).

5. Part 5 – High Availability (HA).

В этой части цикла описываются рекомендуемые настройки механизма VMware HA.

В этой статье, пожалуй, больше всего дается практических советов и рекомендаций по настройке VMware HA в кластере высокой доступности для виртуальных машин с Exchange на борту.

За последние пару месяцев у компании StarWind, производящей продукт номер 1 для создания отказоустойчивых хранилищ под виртуализацию VMware vSphere и Microsoft Hyper-V, появилось несколько интересных документов. А именно:

StarWind Virtual SAN for Microsoft SOFS

В этом документе рассказывается о том, как построить масштабируемое хранилище на базе технологии Microsoft Scale-Out File Server (SOFS) и продуктов StarWind. Эта комбинация идеальна с точки зрения цена/эффективность для небольших компаний и филиалов (ROBO-сценарии, remote-or-branch-offices).

Virtual SAN: the "New" Storage Meme for Virtual Storage Environments

В этом открытом документе StarWind рассказывается о новом тренде программно-определяемых хранилищ и о том, как построить надежное программное хранилище в соответствии с лучшими практиками Software Defined Storage.

Developing A Complete RTO/RPO Strategy for Your Virtualized Environment

В этом документе рассказывается о стратегии планирования и реализации требований к контрольной точке и времени восстановления сервисов после сбоя.

Все открытые документы компании StarWind находятся тут, а здесь можно загрузить руководства и техническую документацию.

Многие администраторы VMware vSphere знают про файлы vSphere Installation Bundle (VIB), которые позволяют распространять программные компоненты для серверов ESXi. Например, с помощью VIB-файлов устанавливаются кастомные драйвера (и куча своих VIB есть для каждого кастомизированного образа, например, HP).

На днях была выпущена утилита VIBSearch, которая может оказаться полезной многим администраторам в вопросах поиска и сравнения версий VIB-пакетов на разных хостах ESXi.

Утилита представляет собой скрипт на PowerShell c GUI, в котором можно ввести параметры доступа vCenter и поискать на серверах ESXi конкретный VIB-пакет (по вхождению строчки в его название).

С чем тестировался скрипт:

• PowerShell 4.0
• PowerCLI 5.8 Release 1
• Для командлета Out-GridView нужен компонент PowerShell ISE. Для его установки нужно использовать следующие команды PowerShell:

Import-Module ServerManager
Add-WindowsFeature PowerShell-ISE

Как запустить VIBSearch:

• Скачиваем VIBSearch.txt по этой ссылке
• Переименовываем файл *.txt в *.ps1
• Открываем PowerShell и выполняем:

Set-ExecutionPolicy unrestricted
./vibsearch.ps1

После запуска скрипта появится вот такое окошко:

Вводим имя vCenter, после чего вводим логин и пароль администратора:

Видим, что успешно соединились:

Если соединимся неуспешно, то будет вот так:

Теперь можно искать пакеты VIB по ключевому слову и смотреть, одна ли версия на разных хостах. Вот, например, пакеты HP-AMS:

А вот сетевая карта Intel (net-igb):

Или вот драйверы NVIDIA:

В общем, кому-то VIBSearch может оказаться полезным. Да и просто интересно, что там на хостах понаставлено.

На прошлой неделе мы писали об интересном бесплатном вебинаре компании Код Безопасности "Основные особенности обеспечения безопасности платформ виртуализации VMware vSphere", который пройдет 24 декабря. А вот на следующий день, 25 декабря, состоится не менее интересный бесплатный вебинар "Основные особенности обеспечения безопасности платформ виртуализации Microsoft Hyper-V".

Этот вебинар уже будет посвящен версии продукта номер 1 для обеспечения защиты виртуальной среды, но уже не VMware, а Microsoft Hyper-V.

Дата и время проведения вебинара: 25 декабря 2014 в 11:00

Проводит: Иван Колегов, системный аналитик компании "Код Безопасности".

Вебинар будет интересен руководителям ИБ-служб, а также специалистам, обеспечивающим безопасность дата-центров и защиту виртуальных инфраструктур.

В ходе вебинара вы узнаете:

• об архитектуре vGate и его компонентах;
• о правилах лицензирования продукта;
• о том, как быстро установить vGate и правильно его настроить;
• о том, как с его помощью обеспечить безопасность средств управления платформ виртуализации и виртуальных машин.

Продолжительность вебинара – 60 минут.

По окончании вебинара вы сможете задать докладчику вопросы в режиме чата и оставить заявки на получение демоверсии продукта и дополнительных материалов.

РЕГИСТРАЦИЯ на вебинар

Многие пользователи, которые начинают пользоваться средствами виртуализации от VMware, рано или поздно задаются вопросом - как создать копию виртуальной машины (клонировать её) в бесплатной версии VMware ESXi. Если у вас есть коммерческое издание VMware vSphere и сервер управления vCenter, то клонировать ВМ можно просто из контекстного меню машины:

Однако все несколько сложнее, если у вас бесплатная версия VMware ESXi Free (он же vSphere Hypervisor). Тут можно пойти вот какими путями:

1. Использование VMware Converter.

Это средство позволяет вам создать виртуальную машину на целевом хосте (а именно на нашем бесплатном ESXi), установив сам Converter внутрь машины, и создать ее клон как физической системы. При этом в процессе клонирования ("миграции") сохраняется обе системы, а различные настройки, такие как размеры виртуального диска, имя системы и прочее, можно кастомизировать.

2. Использовать софт для резервного копирования и восстановления.

К сожалению, для бесплатного ESXi использовать отличный продукт Veeam Backup and Replication не получится, но есть некоторые продукты, которыми это можно сделать. Например, Trilead VM Explorer и Unitrends.

Сначала создаем резервную копию машины, а потом восстанавливаем ее параллельно с уже существующей ВМ.

3. Можно просто скопировать виртуальную машину и ее диск.

Первый вариант данного способа прост - копируете папку с ВМ (для доступа к файловой системе ESXi можно использовать WinSCP или FastSCP). Далее добавьте ВМ в окружение ESXi файл *.vmx через контекстное меню и пункт "Add to inventory":

Второй вариант - это использование утилиты vmkfstools. Она позволяет клонировать диски виртуальных машин, задавая различные параметры целевого диска. Например, вот эта команда создает клон виртуального диска, но целевой диск будет в thin-формате (то есть растущим по мере наполнения данными):

vmkfstools -i /vmfs/volumes/storage/server1/server1.vmdk /vmfs/volumes/storage/server1_clone/server1_clone.vmdk -d thin

С помощью этой утилиты можно много чего делать, более подробно о ней написано в KB 1028042. Далее создаем новую ВМ и подцепляем к ней полученный виртуальный диск. Не забудьте поменять имя машины и сетевую идентификацию!

Есть еще способ сделать клон ВМ с помощью VMware vSphere Management Assistant (vMA) и vSphere CLI (vCLI) как написано в KB 1027872, но он требует развертывания vMA и не стоит заморочек ради клонирования одной ВМ. Но для регулярного клонирования машин - обязательно изучите эту KB.

Полтора месяца назад мы просили наших читателей проголосовать за продукт StarWind Virtual SAN, который позволяет создавать отказоустойчивые кластеры хранилищ для виртуальных машин на платформах VMware vSphere и Microsoft Hyper-V.

Наш призыв был услышан, и решение StarWind Virtual SAN заняло второе место в номинации Storage Virtualisation Product of the Year (продукт года в сфере виртуализации хранилищ). Поздравляем наших коллег с этим достижением! И благодарим вас за голосование за лучший продукт для виртуализации хранилищ.

Продукт StarWind Virtual SAN уже многие годы на рынке и работает в производственной среде тысяч компаний по всему миру.

Напомним основные возможности StarWind Virtual:

• Высокая доступность с синхронным зеркалированием: 3-узловой кластер высокой доступности
• Автоматическое восстановление после отказа
• Восстановление с быстрой синхронизацией
• Непрерывная защита данных и мгновенные снимки
• Асинхронная репликация по WAN (ускоренная): конфигурация N+1
• Горизонтально-масштабируемое NAS-хранилище
• Глобальная дедупликация
• Тонкое резервирование
• и многое другое (подробнее о новых возможностях тут)

Скачать пробную версию StarWind Virtual SAN можно по этой ссылке (там есть версия как для VMware, так и для Hyper-V).

Как вы знаете, у компании VMware был такой продукт как vCenter Server Heartbeat, который защищал управляющий сервер vCenter от сбоя различных его компонентов и на различных уровнях. Некоторое время этот продукт был снят с производства, и теперь защиту vCenter от сбоев рекомендуется обеспечивать стандартными средствами платформы VMware vSphere.

Надо сказать, что обеспечение надежности сервера vCenter, работающего в виртуальной машине (а сейчас уже мало кто ставит его в физической), начинается с обеспечения доступности и дублирования компонентов, которые находятся "под ним", а именно: хост-сервер ESXi, источники питания, хранилища, сетевые подключения и т.п.

Ну а, собственно, для правильной конфигурации самой платформы vSphere и сервера vCenter, компания VMware выпустила полезный документ "VMware vCenter Server 5.5 Availability Guide".

Итак, начнем с того, что VMware предлагает разделить сервисы vCenter на две большие части:

• Compute Node - это сам vCenter и все сервисы к нему относящиеся (SSO, Web Client, Inventory service)
• Data Node - это узел, где хранятся данные vCenter, попросту говоря, это СУБД и сама база данных.

Понятно, что оба этих компонента могут быть как на одном сервере (для небольшой инфраструктуры), так и в разных машинах, когда требуется производительная база данных (например, в Enterprise-окружениях).

Если у вас большая виртуальная инфраструктура, где есть множество управляющих компонентов, то вы можете выделить отдельный кластер из трех и более хостов чисто под эти нужды.

Но чаще всего у вас есть просто одна или максимум две виртуальные машины - одна под vCenter, вторая - под его базу данных.

Доступность Compute Node

Это раздел включает в себя доступность следующих комопнентов:

• vCenter Single Sign-On services
• vCenter Inventory Service
• vCenter Server
• vCenter Server management Web service
• vSphere Web Client

Здесь рекомендуется настроить защиту средствами технологии VMware HA и придерживаться следующих рекомендаций:

• Создавайте (по-возможности) отдельный кластер для управляющих сервисов - в случае отказа любого из компонентов сервисы будут перезапущены с помощью HA автоматически.
• Включите не только VMware HA, но и технологию virtual machine monitoring, которая отключена по умолчанию. Это позволит перезапустить сервер с vCenter при зависании гостевой ОС.

• Включите и настройте admission control в кластере HA/DRS, где работает vCenter. Это позволит гарантированно перезапустить vCenter на одном из хостов в случае сбоя.
• Установите restart priority в настройках HA для машины с vCenter Server в значение "High". Он будет первым запускаться.
• Если ваш vCenter находится в Windows-машине, то можно настроить автоматический рестарт машины при невозможности после многократных попыток запустить службу vCenter Service.

Выглядеть это может примерно вот так (только помните, что в случае такй настройки, виртуальная машина может впасть в цикл бесконечных перезагрузок).

• Если у вас компоненты vCenter на разных машинах, не забудьте установить правило affinity rule, чтобы машины оказались на одном хосте при миграции и восстановлении, в целях сохранения максимальной производительности управляющего сервиса.
• Также для гарантии можно выделить управляющим компонентам гарантированную физическую память (Memory Reservation) в настройках виртуальной машины.

Доступность Data Node

Тут VMware приводит следующие рекомендации:

• Также, как и в случае с Compute Node, рекомендуется использовать для управляющих сервисов и базы данных отдельный кластер.
• Если вы используете решение для кластеризации vCenter, необходимо убедиться, что настройка ForceAffinePoweron в параметрах vSphere DRS установлена в значение 1, чтобы включать сервер БД, несмотря на правила DRS.
• Так же, как и в случае с Compute Node, используйте технику virtual machine monitoring для перезапуска зависшей гостевой ОС.
• То же самое и про admission control - используйте его для гарантированного восстановления ВМ с сервером БД.
• Аналогично Compute Node, установите restart priority в настройках HA для машины с базой данных в значение "High". Он будет первым запускаться.
• Для защиты vCenter Server SQL Server database можно использовать Microsoft Failover Clustering, который официально поддерживается со стороны VMware. Табличка совместимости СУБД и версий vCenter приведена ниже.

О том, как восстанавливать серверы vCenter, и многом другом можно почитать в документе "VMware vCenter Server 5.5 Availability Guide".

Компания Код Безопасности, выпускающая продукт vGate R2, который позволяет защитить виртуальную инфраструктуру предприятия от несанкционированного доступа, а также правильно настроить ее на базе политик, скоро проведен интересный и бесплатный вебинар "Основные особенности обеспечения безопасности платформ виртуализации VMware vSphere".

Данный вебинар будет интересен любому, кто когда-либо задумывался о защите виртуальной инфраструктуры VMware vSphere.

Вебинар пройдет: 24 декабря в 11:00 по московскому времени. Проводит: Иван Колегов, системный аналитик компании "Код Безопасности".

Мероприятие будет интересно руководителям ИБ-служб, а также специалистам, обеспечивающим безопасность дата-центров и защиту виртуальных инфраструктур.

В ходе вебинара вы узнаете:

• об архитектуре vGate и его компонентах;
• о правилах лицензирования продукта;
• о том, как быстро установить vGate и правильно его настроить;
• о том, как с его помощью обеспечить безопасность средств управления платформ виртуализации и виртуальных машин.

Продолжительность вебинара – 60 минут.

По окончании вебинара вы сможете задать докладчику вопросы в режиме чата и оставить заявки на получение демоверсии продукта и дополнительных материалов.

РЕГИСТРАЦИЯ на бесплатный вебинар

Для тех из вас, кто по каким-либо причинам еще не обновился на vSphere 5.5, полезная новость - вышло обновление VMware vSphere 5.1 Update 3 (ESXi и vCenter), которое уже доступно для загрузки. Новых возможностей не появилось, зато была добавлена поддержка новых гостевых ОС и исправлены некоторые значимые баги.

Итак, что нового в ESXi и vCenter 5.1 U3:

• Поддержка новых БД vCenter Server - теперь можно использовать Oracle 12c и Microsoft SQL Server 2014
• Поддержка новых браузеров для Web Client 5.1 Update 3. Теперь поддерживаются:
  • Internet Explorer 8 / 9 / 10/ 11
  • Firefox 31 / 32 / 33
  • Google Chrome 36 / 37
• Поддержка новых гостевых ОС. Полный список поддерживаемых ОС можно посмотреть тут.
• Множественные исправления ошибок. Полный список тут. Самое главное - пофикшен баг с некорректным бэкапом после увеличения дисков.

Ссылки на загрузку :

• VMware vCenter Server 5.1.0 Update 3
• VMware ESXi 5.1 Update 3

Кроме того, был также обновлен и кастомизированный образ для серверов HP. Его можно скачать по этой ссылке - ESXi 5.1 Update 3 HP Customized.

Новые возможности кастомизированного образа:

• Поддержка серверов Gen9 HP ProLiant
• Утилита HP CONREP Utility, которая позволяет сохранить аппаратную конфигурацию сервера и распространить ее на другие системы
• Поддержка Smart Array HBA mode
• Поддержка новых контроллеров HP Smart Array
• Поддержка новых HP Smart HBA
• Поддержка памяти DDR4
• Поддержка технологии SR-IOV (вот тут список поддерживаемых адаптеров и драйверов)

Для VMware vSphere 5.5 тоже на днях вышел небольшой багофикс.

Компания StarWind Software, известная своими продуктами для создания отказоустойчивых программных хранилищ под VMware vSphere и Microsoft Hyper-V, объявляет о начале промо-акции для новых клиентов - "покупайте сейчас - платите позже".

Согласно условиям предложения, вы получаете возможность на срок до 90 дней отсрочить платеж по подписанному счету за лицензии на любые издания StarWind Virtual SAN.

Кроме того, на данные продукты действует еще одно беспрецедентное предложение - 30-дневный манибэк в случае, если что-то в продукте вас не устроит (без каких-либо вопросов).

Для того, чтобы воспользоваться данным предложением, нужно заполнить форму вот по этой ссылке, или направьте письмо на этот адрес - sales@starwindsoftware.com.

На прошедшей конференции VMworld Europe 2014 компания VMware объявила о скором выпуске решения VMware Horizon FLEX, представляющего собой платформу виртуализации для настольных ПК, позволяющую запускать виртуальные ПК локально (как на Mac, так и в Windows), без требования связи с датацентром компании.

Как вы знаете в прошлом у VMware были такие продукты, как VMware ACE и VMware View Local Mode, которые ушли в прошлое, а теперь на замену им приходит технология FLEX.

VMware Horizon FLEX - это не какой-то отдельный продукт, это комбинированная технология на базе трех решений:

• Horizon FLEX Policy Server - это центральный сервер управления виртуальными ПК, он отвечает за назначение политик и управление ими.
• Horizon FLEX Clients - это рабочие места пользователей с установленными на них Fusion Pro или Player Pro (то есть, уже знакомые вам продукты). Перед началом использования решения пользователь скачивает виртуальную машину целиком с сервера, после чего может работать с ней локально.
• Mirage for Horizon FLEX - продукт для управления компонентами виртуального десктопа (система, приложения, данные).

На сервере FLEX Policy Server администратор датацентра назначает виртуальной машине политики, такие как срок использования этого ПК, доступность USB-устройств, средства обмена с хостовой ОС и другое. В этом смысле продукт похож на решение VMware ACE (если тут кто его еще помнит).

С этого сервера можно управлять виртуальными ПК пользователей, например, машину можно просто залочить в любой момент:

Интересный момент заключается в том, что несмотря на то, что решение называется Horizon FLEX, установка Horizon View или VMware vSphere вовсе не обязательна. Ну и поскольку все исполняется локально вам не нужно дополнительных хранилищ для хранения этих виртуальных ПК. При этом машину можно размещать как на диске ноутбука, так и на отдельной флешке.

Один из вариантов применения этого продукта - концепция BYOD, например, когда у человека собственный удобный Мак, на котором он хочет работать, а корпоративные стандарты предписывают иметь винду. Тогда он может использовать Windows-машину как рабочую с помощью решения FLEX.

Вот какие политики присутствуют в Horizon FLEX:

• Устаревание всей ВМ (Time limit).
• Время использования в офлайн-режиме (без соединения с сервером).
• Частота обновления политик.
• Доступ к USB-устройствам.
• Состояние механизмов копирования данных (операции drag-and-drop, copy-and-paste).
• Ограниченный доступ к настройкам виртуальной машины (чтобы пользователь не лазил куда-попало).

На данный момент для Horizon FLEX поддерживаются следующие хостовые ОС:

• Windows XP SP3, Windows Vista, Windows 7, Windows 8 (помните, что Player Pro поддерживает только 64-битные ОС).
• Mac OS X 10.8 или более поздняя, Mac OS X 10.9 или более поздняя, Mac OS X 10.10 или более поздняя.

Гостевые ОС те же, за исключением того, что можно использовать их 32-битные версии.

Типовая схема рабочего процесса администратора Horizon FLEX:

Типовая схема рабочего процесса пользователя VMware Horizon Flex:

Скачать VMware Horizon Flex можно по этой ссылке, а почитать интересные документы о продукте можно тут и тут.

Как знают многие администраторы VMware vSphere, в инфраструктуре хранилищ иногда возникает проблема выравнивания виртуальных дисков машин (последний раз мы писали об этом тут). Некорректное выравнивание блоков может возникать на двух уровнях - гостевой ОС по отношению к VMFS и VMFS по отношению к блокам дискового массива:

В целом-то, эта проблема не очень актуальна в последнее время, учитывая что в последних версиях VMware vSphere и ОС Windows с этим вполне разобрались. Однако для тех, у кого инфраструктура очень древняя (особенно с ВМ на базе Windows 2003 и 2008), пережила несколько апгрейдов и миграций - выравнивание блоков проверить было бы нелишним.

Именно для этого и была выпущена бесплатная утилита VM Check Alignment. Утилита старенькая, но вполне себе работает для Windows 2003/2008 и Windows Vista/7:

В параметре Starting Offset мы видим, что виртуальный диск выровнен корректно, и никаких изменений не требуется. Для некорректно выровненных дисков, кстати, производительность хранилищ может падать на величину до 10%.

О том, как нужно выравнивать блоки виртуальных дисков написано тут и тут.

Скачать VM Check Alignment можно по этой ссылке.

Компания StarWind, поставщик ПО номер 1 для создания отказоустойчивых кластеров хранилищ в инфраструктурах VMware vSphere и Microsoft Hyper-V (о возможностях продукта - тут), в начале декбря проведет три интересных вебинара:

Building The Highly Available Hyper-V Cluster on Free Microsoft Hyper-V Server - Practice

На этом вебинаре вы узнаете о том, как построить недорогой и эффективный кластер Failover Cluster на базе хранилищ StarWind, а также как можно управлять этим кластером с помощью средств компании 5nine.

Бонус: участники вебинара получают шанс выиграть NFR-лицензию StarWind на 6 месяцев использования.

Вебинар пройдет 3 декабря в 19-00 по московскому времени. РЕГИСТРАЦИЯ.

How to build Microsoft Scale-Out File Server without SAS JBODs

На этом вебинаре Макс Коломейцев, менеджер по продукту Virtual SAN, расскажет о том, как можно построить масштабируемый файл-сервер без применения массивов SAS JBOD, используя возможности протокола SMB 3.0.

Вебинар пройдет 9 декабря в 20-00 по московскому времени. РЕГИСТРАЦИЯ.

Fighting the "I/O Blender" Effect in Virtual Environments

В рамках данного вебинара будет рассказано о том, каким образом можно побороть эффект I/O Blender в виртуальных окружениях (он заключается в том, что запросы ввода-вывода от виртуальных машин "смешиваются" на хост сервере перед направлением к хранилищу). Должно быть очень интересно.

Бонус: участники вебинара получают шанс выиграть NFR-лицензию StarWind на 6 месяцев использования.

Вебинар пройдет 11 декабря в 22-00 по московскому времени. РЕГИСТРАЦИЯ.

Компания VMware выпустила еще один интересный документ, описывающий референсную архитектуру программно-определяемого датацентра (SDDC) - "Creating a VMware Software-Defined Data Center".

В данном документе на 29 страницах приводится пример создания корпоративной инфраструктуры на базе следующих продуктов:

• vCloud Suite Enterprise (подробнее тут)
• VMware vSphere
• VMware NSX (подробнее тут)
• VMware IT Business Management
• VMware vCenter Log Insight (подробнее тут)

Документ состоит из нескольких основных секций:

• Описание программных компонентов для построения SDDC-инфраструктуры
• Обзор референсной архитектуры
• Информация об оборудовании и аппаратных компонентах
• Детальная информация о компонентах Software-Defined Data Center
• Высокоуровневая конфигурация инфраструктуры SDDC

В рассматриваемой архитектуре есть три основных модуля:

• Management Cluster - основной кластер управления и мониторинга, в котором работают такие средства как vCenter, Log Insight и прочие. Состоит минимум из трех хост-серверов ESXi.
• Edge Cluster - отдельный кластер для управления сетевым взаимодействием. Он упрощает конфигурацию физической сети передачи данных путем создания абстракции физического сетевого стека в ИТ-инфраструктуре. Также содержит минимально 3 хоста.
• Payload Cluster - "рабочая лошадка" виртуальной инфраструктуры, кластер, где крутятся рабочие нагрузки. Может масштабироваться "подами" (pods) по мере роста потребностей предприятия.

В целом документ весьма интересный, так как в комплексе затрагивает управляющие компоненты виртуальной инфраструктуры и показывает работу средств управления большой виртуальной средой, а также то, каким образом эти средства решают возникающие в такой инфраструктуре проблемы.

Некоторое время назад мы писали заметку о том, "Почему снапшоты виртуальных машин в VMware vSphere - это плохо", да и вообще часто затрагиваем эту тему.

Ниже мы приведем еще один аргумент в пользу того, чтобы не создавать снапшоты виртуальных машин на постоянной основе (во временном их использовании нет ничего плохого).

Итак, в одной из статей мы писали про расширенную настройку VMFS Heap Size (размер кучи), которая косвенно определяет максимально доступный объем хранилищ на хосте.

Также мы писали о том, что параметр VMFS3.MaxHeapSizeMB еще в VMware vSphere 5.1 был увеличен до 640 МБ.

Однако есть и куча для механизма "Copy-on-Write" (COW), которая определяется расширенной настройкой COW.COWMaxHeapSizeMB - она ограничивает число одновременно запущенных на хосте виртуальных машин. Механизм COW работает на хосте, когда у машины есть снапшоты (дельта-диски).

По умолчанию это значение равно 192 МБ, но может быть увеличено до 256 МБ:

Также этот параметр можно узнать из командной строки:

~ # esxcfg-advcfg -g /COW/COWMaxHeapSizeMB
Value of COWMaxHeapSizeMB is 192

И установить его в максимальное значение:

~ # esxcfg-advcfg -s 256 /COW/COWMaxHeapSizeMB
Value of COWMaxHeapSizeMB is 256MB

Давайте посмотрим, как расходуется пространство этой кучи на хосте, в зависимости от параметров виртуальных машин на нем. Вот тут есть такая интересная формула:

X = (75 / 100 * COW_HEAP_SIZE) / ((B / (2 * 1048576) * 4 * S) * Y)

где:

X - это максимальное число запущенных виртуальных машин на хосте,
COW_HEAP_SIZE - размер кучи в байтах,
B - размер виртуального диска в байтах,
2 * 1048576 - это GDE Coverage (хз, что такое),
4 - это число байт на Root Entry,
S - число снапшотов каждого из виртуальных дисков,
Y - число дисков у машин.

Возьмем для примера машину с 5 дисками размером в 80 ГБ по 6 снапшотов у каждого при максимальном размере кучи в 256 МБ. Получим, что таких машин может быть запущено на хосте:

= (75 / 100 * 268435456) / ((85899345920 / (2 * 1048576) * 4 * 6) * 5)

Это примерно около 40 машин (всего лишь) - при максимально доступном размере кучи на VMware ESXi. Понятно дело, что мало где можно найти машины с 5 дисками, у каждого из которых по 6 снапшотов, но я видел подобные конфигурации пару раз.

Нетрудно понять, как в этой формуле влияют снапшоты на максимальное число запущенных виртуальных машин. Поэтому повторим еще раз: постоянные снапшоты - зло.

Многие из вас знают о продукте vGate R2 от компании Код Безопасности, который позволяет защитить виртуальную инфраструктуру предприятия от несанкционированного доступа, а также безопасно настроить ее на базе политик. Напомним, что vGate R2 есть как для VMware vSphere, так и для инфраструктуры Microsoft Hyper-V.

Тем из вас, кому приходится обрабатывать в своей компании персональные данные (ПДн), наверняка знаком приказ ФСТЭК номер 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных". На него ориентируются менеджеры физических и виртуальных инфраструктур при организации защиты датацентра, где присутствует обработка ПДн.

Надо сказать, что компания Код Безопасности обеспечивает исполнение этого приказа во всех аспектах, но нас больше интересует виртуальная среда. Итак, скачиваем вот этот документ с сайта Кода Безопасности.

Открываем его на первой вкладке и видим необходимые нам категории в столбце "vGate 2.5":

Очень удобно, что все требования разбиты по категориям, а также указано сразу какой уровень защищенности ПДн обеспечивает то или иное средство. Вот какие конкретно требования ФСТЭК по защите персональных данных позволяет выполнить vGate R2:

• Идентификация и аутентификация пользователей, являющихся работниками оператора
• Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных
• Управление идентификаторами, в том числе cоздание, присвоение, уничтожение идентификаторов
• Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации
• Защита обратной связи при вводе аутентификационной информации
• Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей
• Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа
• Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами
• Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы
• Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)
• Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации
• Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения и обработки
• Обеспечение доверенной загрузки средств вычислительной техники
• Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения
• Определение событий безопасности, подлежащих регистрации, и сроков их хранения
• Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения
• Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти
• Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них
• Защита информации о событиях безопасности
• Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации
• Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе
• Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации
• Контроль целостности персональных данных, содержащихся в базах данных информационной системы
• Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций
• Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы
• Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации
• Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин
• Регистрация событий безопасности в виртуальной инфраструктуре
• Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры
• Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией
• Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных
• Контроль целостности виртуальной инфраструктуры и ее конфигураций
• Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей
• Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации)
• Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов
• Изоляция процессов (выполнение программ) в выделенной области памяти

Да да, все это умеет делать vGate R2. Для того, чтобы узнать о том, как именно он это делает, читайте наши статьи тут и тут.

Кстати, этот эксель-док очень интересен с точки зрения комплексной защиты персональных данных, обрабатываемых в ИТ-инфраструктуре. Посмотрите различные продукты, пощелкайте по вкладкам - там много интересного.

Демо-версию vGate для Hyper-V можно бесплатно скачать по этой ссылке, а для VMware vSphere - по этой.

Те из вас, кто пользуется продуктом VMware vSphere Data Protection (VDP) для репликации данных виртуальных машин знают, что нужно лицензировать только исходные хост-серверы для репликации, а целевые - не нужно. В версии VDP 5.5 для лицензирования целевых хостов использовалась специальная лицензия типа “zero-CPU”, которую надо было добавлять вручную (подробнее - тут):

В версии vSphere Data Protection 5.8 появился новый вариант развертывания - Replication Target, который нужен как раз для того, чтобы на резервной площадке принимать бэкапы, не вводя лицензионный ключ от vSphere Data Protection Advanced. Об этом и рассказывает документ "vSphere Data Protection Replication Target".

Таким образом, при установке VDP можно выбрать один из трех вариантов:

• vSphere Data Protection (VDP) - дефолтный вариант установки, который включает в себя возможности бэкапа и репликации виртуальных машин и файлов только на хранилища EMC Avamar. На другие виртуальные модули в этом варианте реплицировать нельзя. Это издание доступно вместе с VMware vSphere и не требует отдельного ключа установки.
• vSphere Data Protection Advanced (VDP Advanced) - это вариант установки продукта с лицензией, который не требует наличия Avamar. Это уже полноценный продукт для бэкапа и репликации больших объемов данных, поддержка консистентных бэкапов и т.п.
• vSphere Data Protection Replication Target (VDP-RT) - этот вариант нужен, когда виртуальный модуль развертывается только для обслуживания реплик, которые отбрасываются с основного сайта. В этом случае вводить лицензионный ключ не нужно. На этом модуле можно проводить только восстановление данных, а возможности резервного копирования отключены.

Как многие из вас знают, у компании VMware есть бесплатный продукт VMware vSphere Hypervisor, который в народе называется VMware ESXi Free. Многие начинающие администраторы, услышав, что ESXi бесплатен, устанавливают его, но забывают накатить лицензию, которую надо скачивать с портала My VMware. Без этого бесплатный VMware ESXi будет работать в режиме пробной версии 60 дней...