Начиная с версии VMware vSphere 4.0, компания VMware сделала замечательную вещь - все выпускаемые ей в комплекте с платформой виртуализации пакеты VMware Tools обратно совместимы со всеми прошлыми версиями хостов VMware ESXi:
Соответственно, на VMware ESX 4.0 можно использовать VMware Tools от vSphere 5.1, но как сделать это, не обновляя платформу виртуализации? Оказывается есть простой метод, опубликованный на v-front.de и основанный на информации из KB 2004018.
Там будет один или два файла с расширением .vib. Если их два, то тот, что с меньшим номером билда - это тулзы, содержащие только обновления безопасности, а тот, что с большим - включает и эти обновления, и багофиксы. Берем тот, что с большим номером (609), кликаем на нем 2 раза и проваливаемся дальше в архив, где виден репозиторий VMware Tools:
Эти три папки вы уже когда-то видели на Datastore в ESXi (во время установки тулзов). Создаем папку с именем vmware-tools на локальном хранилище ESX / ESXi и заливаем туда три извлеченные из vib'а папки, чтобы получилось вот так:
Теперь нужно настроить хост ESXi для использования данного репозитория VMware Tools. Для этого идем в Advanced Settings хоста ESXi и настраиваем параметр UserVars.ProductLockerLocation, где прописана версия тулзов в формате:
/locker/packages/<ESXi-Version> (ESXi-Version = 5.1.0, 5.0.0, 4.1.0 or 4.0.0)
В нашем случае она выглядит так:
/locker/packages/5.1.0
Меняем ее на путь к репозиторию: /vmfs/volumes/<имя Datastore>/vmware-tools.
После этого нужно перезагрузить хост, и изменения вступят в силу. Если перезагружать ESXi не хочется, то можно в корне файловой системы пересоздать символьную ссылку /productLocker:
Можно также вызвать команды, которые вызываются хостом для пересоздания символьных ссылок:
/sbin/configLocker - для ESX / ESXi 4.x
jumpstart --plugin=libconfigure-locker.so - для ESXi 5.x
Теперь остается только выбрать пункт Install/Upgrade VMware Tools в консоли vSphere Client при подключении к консоли ВМ для обновления компонентов пакета.
С приходом Нового года в продукте VMware vCenter, входящем в состав vSphere 5.1, была обнаружена ошибка, следствием которой является отображение за прошедший год статистик производительности (Performance history) только за последние 30 дней (декабрь).
Данная ошибка является следствием недоработок в хранимых процедурах БД vCenter Server, что приводит к удалению (purge) объектов базы данных, касающихся производительности. Исправления ошибки и никакого workaround'а пока нет.
С одной стороны, эти данные не являются критичными и, зачастую, не используются администраторами, однако различные продукты, которые используют исторические данные для анализа и планирования мощностей инфраструктуры виртуализации (Capacity Planning), не смогут уже выполнять свои функции адекватно.
Для получения информации об исправлении ошибки можно подписаться на KB 2042164.
Известный многим Duncan Epping в своем блоге рассказал об изменениях, которые произошли в механизме обнаружения события изоляции хост-сервера ESXi в VMware vSphere 5.1. Приведем их вкратце.
Как мы уже писали вот тут, кластер VMware HA следующим образом обрабатывает событие изоляции (отсутствие коммуникации с другими серверами кластера):
T+0 сек – обнаружение изоляции хоста (slave)
T+10 сек – хост slave переходит в режим выбора (“election state”)
T+25 сек – хост slave объявляет себя мастером (master)
T+25 сек – хост slave пингует адреса isolation addresses (по умолчанию один)
T+30 сек – хост slave объявляет себя изолированным и инициирует действие, указанное в isolation response
В VMware vSphere 5.1 появилось небольшое изменение, выражающееся в том, что хост ждет еще 30 секунд после объявления себя изолированным до инициации действия isolation response. Это время можно отрегулировать в следующей расширенной настройке кластера:
das.config.fdm.isolationPolicyDelaySec.
Таким образом, теперь последовательность выглядит так:
T+0 сек – обнаружение изоляции хоста (slave)
T+10 сек – хост slave переходит в режим выбора (“election state”)
T+25 сек – хост slave объявляет себя мастером (master)
T+25 сек – хост slave пингует адреса isolation addresses (по умолчанию один)
T+30 сек – хост slave объявляет себя изолированным и
T+60 сек - хост инициирует действие, указанное в isolation response
Наглядно:
Данные изменения были сделаны, чтобы обрабатывать сценарии, где не действие isolation response при наступлении изоляции хоста нужно обрабатывать через длительное время или не обрабатывать совсем.
Зачастую администраторам VMware vSphere требуется снять скриншот консоли виртуальной машины, который появляется вследствие различных ошибок или при установке ОС в ВМ. Делают они это, как правило, нажимая принтскрин в ОС, где установлен vSphere Client. Однако этот способ не очень красивый и не особо универсальный - ниже мы покажем, как правильно делать скриншот консоли ВМ.
Для этой операции мы снова задействуем MOB (Managed Object Browser), о котором мы уже писали тут и тут. Сначала нам надо получить MoRef ID виртуальной машины на определенном хосте VMware ESXi. Вкратце: MoRef ID присваивается виртуальной машине (и другим объектам) сервером vCenter для различных операций с ней, в том числе через MOB (он также используется в vCloud Director и других продуктах). MoRef ID уникален в пределах одного сервера vCenter.
Для получения MoRef ID воспользуйтесь статьей KB 1017126 - в ней все понятно расписано по шагам. Можно также воспользоваться скриптом vSphere MoRef ID Finder, который написал Вильям Лам.
Далее в адресной строке браузера наберите:
https://<IP хоста ESXi>/screen?id=vm-171
где vm-171 - это MoRef ID виртуальной машины. После авторизации пользователя (у которого должна быть привилегия VirtualMachine.Interact.ConsoleInteract) скриншот консоли ВМ будет выведен прямо в браузер.
При получении скриншота ВМ можно использовать еще несколько GET-параметров:
w = ширина получаемой картинки h = высота получаемой картинки x0 = координата X левого угла для снятия скриншота региона y0 = координата Y левого угла для снятия скриншота региона x1 = координата X правого угла для снятия скриншота региона y1 = координата Y правого угла для снятия скриншота региона
Примеры отработки MOB для получения скриншотов ВМ с различными параметрами:
Соответственно, нужно начинать отучать пользователей ходить через vSphere Client и приучать использовать веб. Проблема в том, что штатного способа сделать это нет. Если у пользователя есть доступ - то и клиент он всегда сможет скачать и использовать.
Поэтому William Lam придумал простой способ борьбы с этим. Надо открыть файл version.txt на сервере vCenter, который находится вот тут:
Дальше в значение версии клиента (exactVersion) нужно вписать несуществующую версию, например, 9.0.0. После этого, при логине через vSphere Client, пользователям будет предложено скачать версию клиента, которой не существует, что приведет к зацикливанию процесса:
Однако это приведет к желаемому результату - через vSphere Client пользователи не смогут залогиниться.
На сервере VMware ESXi это тоже можно применить, однако там нужно поправить файл clients.xml, размещенный по адресу:
/usr/lib/vmware/hostd/docroot/client
Так что пора уже переводить своих пользователей на браузер.
Таги: VMware, vSphere, Web Client, Обучение, ESXi, vCenter
Отличный пост про симулятор сервера vCenter написал William Lam. Изложим здесь его вкратце. Когда-то два человека, Zhelong Pan и Kinshuk Govil, написали утилиту vcsim, которая позволяет эмулировать сервер VMware vCenter в котором запущены тысячи виртуальных машин, при этом такие объекты потребляют минимум ресурсов и работают на минимальной конфигурации VMware vCSA (vCenter Server Appliance). Утилита входит в состав vCSA, но отсутствует в обычной инсталляции vCenter.
Помимо собственно построения виртуального Inventory сервера vCenter из виртуальных машин и хост-серверов, утилита vcsim поддерживает простейшие операции с фейковыми объектами, например, Power On ненастоящих машин, а также различные метрики производительности. Кроме того, с помощью этой утилиты можно и добавлять настоящие серверы VMware ESXi и виртуальные машины, создавая гибридную конфигурацию, так как vcsim - это, все же, настоящий vCenter Server.
Теперь приведем ситуации, когда такая конфигурация может оказаться полезной:
При изучении vSphere API для исследования функций навигации по иерархии.
Возможность создать "виртуальное" окружение для тестирования различных скриптов.
Разработка утилит, отслеживающих производительность
Разработка плагинов к vSphere Web Client
Для начала работы с vcsim нужно внести изменения в файл /etc/vmware-vpx/vpxd.cfg, поместив туда следующее между тэгами </vpxd> и </config>:
Кстати, шаблон конфигурации vcsim представлен в файле:
/etc/vmware-vpx/vcsim/model/vcsim.cfg.template
После этого нужно перезапустить сервис vCenter:
service vmware-vpxd restart
Такой перзапуск сервиса можно делать только один раз (даже если он был не успешен), дальше будут использоваться другие команды, приведенные ниже.
После рестарта сервиса мы можем увидеть окружение с сотнями хост-серверов и десятью тысячами виртуальных машин, как в веб-клиенте:
\
так и в "толстом" клиенте:
Теперь мы можем менять параметры окружения в файле:
/etc/vmware-vpx/vcsim/model/initInventory.cfg
В нем можно настраивать следующие объекты:
Datacenter
Hosts per Datacenter
VM per Host
Powered On VM per Host
Cluster per Datacenter
Host Per Cluster
Resource Pool per Cluster
VM per Resource Pool
Powered On VM
vCPU for a VM
vMEM for a VM
После того, как вы сохранили внесенные в конфигурацию изменения, нужно выполнить команду vpxd -b, чтобы пересоздать базу симулируемого vCenter. Поэтому выполняем следующую последовательность для рестарта сервиса:
service vmware-vpxd stop vpxd -b
service vmware-vpxd start
Кроме того, vcsim использует следующие конфигурационные файлы:
vcsim/model/metricMetadata.cfg (симулируемые Performance Metrics - по умолчанию их нет)
vcsim/model/vcModules.cfg (симулируемые модули vCenter, например, DRS)
vcsim/model/OperationDelay.cfg (задержки выполнения операций)
Так что теперь можно испытывать эту штуку и экспериментировать в свободное время. Ну и, само собой, все это никак не поддерживается со стороны VMware.
Таги: VMware, vCenter, vcsim, Blogs, ESXi, VMachines, Обучение
Продолжаем вас знакомить с продуктом номер 1 - vGate R2, предназначенным для защиты виртуальных сред VMware vSphere. Напомним, что он позволяет производить автоматическую настройку конфигурации безопасности хост-серверов VMware ESX / ESXi средствами политик, защищать инфраструктуру от несанционированного доступа, а также имеет все необходимые сертификаты ФСТЭК. В этой статье мы приведем все актуальные на сегодняшний день возможности vGate R2...
Некоторые партнеры VMware знают, что у компании есть оффлайновые демки продуктов, которые прекрасно подходят для того, чтобы знакомиться с теми продуктами, которые не хочется полноценно развертывать в своей ИТ-инфраструктуре. Эти демки, которые можно кликать, проводят по шагам настройки основных параметров продуктов и показывают их "внутренности". Штуки эти очень полезные для понимания функциональности решений, поэтому мы решили выложить некоторые из них тут, чтобы донести их в массы.
Первое - это то, с чем должен быть знаком каждый администратор VMware vSphere - решение vCloud Director 5.1, которое является базой для создания частных и гибридных облаков на основе продуктов VMware.
Второе - это распределенный коммутатор Cisco Nexus Distributed Switch. Многие компании применяют распределенный коммутатор от VMware (vDS) и мало знакомы с решением от Cisco, которое предоставляет намного больше возможностей.
Третье - это компонент VMware vCenter Orchestrator, который представляет собой средство автоматизации операций в виртуальной инфраструктуре. Если у вас больше 3-5 хост-серверов VMware ESXi, вам обязательно нужно потыкать демку:
В данной части рассмотрим рекомендации к настройке виртуальных десктопов, как собственно виртуальных машин и их параметров, так и их гостевой операционной системы. Рекомендуется виртуальному десктопу назначать только одну сетевую карту (сетевой адаптер). Во-первых, в большинстве случаев пользователю просто не нужно две сетевые карты, а, во-вторых, сетевые карты естественно будут подключены к разным сетям и могут "шунтировать" межсетевой экран и маршрутизировать пакеты между этими сетями бесконтрольно... Таги: VMware, View, Security, Blogs, Enterprise, VDI
Для начала обратите внимание, что обновление вышло не для ESXi 5.1 (последней версии гипервизора), а для ESXi 5.0 - его предыдущей версии. Так что это обновление актуально только для тех, кто еще не успел переехать со старой версии платформы.
Помимо VMware ESXi 5.0 Update 2, вышел и VMware vCenter 5.0 Update 2. Новые возможности обновлений:
Официальная поддержка работы vCenter 5.0 на Windows Server 2012.
Официальная поддержка новых гостевых ОС: Oracle Solaris 11, Solaris 11.1, а также Mac OS X Server Lion 10.7.5.
Поддержка сервером vCenter механизма Guest Operating System Customization для следующих гостевых ОС: Windows 8, Windows Server 2012, Ubuntu 12.04, RHEL 6.2, RHEL 6.3.
В vSphere Web Client эти типы трафика можно просто назначить интерфейсу vmk (VMkernel):
Но можно ли управлять этими настройками с помощью интерфейса ESXCLI? Оказывается, что, начиная с версии vSphere 5.1, это делается очень просто. Интерфейс vmk можно "тэгировать" различными типами трафика, что означает, что он будет их пропускать. В командной строки ESXCLI администратору доступно множество команд tag в следующем пространстве имен:
esxcli network ip interface
Как и с многими другими объектами, с тэгами можно совершать операции get, add и remove:
vi-admin@vMA51:~> esxcli –server vcenter51 –vihost pod23-esx-01a.pml.local –username root network ip interface tag
Usage: esxcli network ip interface tag {cmd} [cmd options]
Available Commands:
add Adds a tag on a given VMkernel network interface.
get Gets the tags set on the given VMkernel network interface.
remove Removes a tag on a given VMkernel network interface.
Как вы знаете, в VMware vSphere можно получить информацию о текущих лицензиях для хостов ESXi и vCenter как через "толстый" vSphere Client, так и через "тонкий" vSphere Web Client:
Иногда эту информацию хочется получить через API, например, чтобы иметь всегда актуальный отчет о лицензировании или в целях инвентаризации ключей. Для этого в иерархии объектов vSphere есть объект LicenseManager, который имеет методы для добавления, удаления и просмотра лицензий на хостах VMware vCenter / ESXi.
Для просмотра всех доступных лицензий в системе используется свойство licenses, которое содержит весьма подробную информацию о лицензиях, включая, собственно, сами лицензионные ключи и лицензированные фичи. Есть также свойства expirationDate, expirationMinutes и expirationHours, позволяющие узнать, когда лицензии закончатся.
Известный многим William Lam написал скрипт getLicenseInfo.pl, который использует LicenseManager для получения нужной информации о лицензировании (туда включена также информация не только о vSphere, но и о других продуктах семейства vCenter):
Скрипт может быть использован как для отдельных хостов ESXi, так и для централизованного сбора ключей через vCenter. Для отображения лицензионных ключей открытым текстом нужно вызывать скрипт с параметром –hide_keyfalse.
Кроме того, не так давно были воплощены в жизнь такие полезные службы vSphere для работы с SSD-накопителями, как SSD Monitoring (реализуется демоном smartd) и Swap to SSD (использование локальных дисков для файлов подкачки виртуальных машин). Однако функции кэширования на SSD реализованы пока совсем в базовом варианте, поэтому сегодня вам будет интересно узнать о новой технологии Virtual Flash (vFlash) для SSD-накопителей в VMware vSphere, которая была анонсирована совсем недавно.
Эта технология, находящаяся в стадии Tech Preview, направлена на дальнейшую интеграцию SSD-накопителей и других flash-устройств в инфраструктуру хранения VMware vSphere. Прежде всего, vFlash - это средство, позволяющее объединить SSD-ресурсы хост-серверов VMware ESXi в единый пул, используемый для задач кэширования, чтобы повысить быстродействие виртуальных машин. vFlash - это фреймворк, позволяющий сторонним вендорам SSD-накопителей и кэш-устройств использовать собственные алгоритмы для создания модулей обработки кэшей виртуальных машин (плагины vFlash Cache Modules). Будет реализован и собственный базовый алгоритм VMware для работы с кэшем.
Основная мысль VMware - предоставить партнерам некий API для их flash-устройств, за счет которого виртуальные машины будут "умно" использовать алгоритмы кэширования. Для этого можно будет использовать 2 подхода к кэшированию: VM-aware caching и VM-transparent caching:
VM-aware Caching (vFlash Memory)
В этом режиме обработки кэширования флэш-ресурс доступен напрямую для виртуальной машины, которая может использовать его на уровне блоков. В этом случае на уровне виртуального аппаратного обеспечения у виртуальной машины есть ресурс vFlash Memory определенного объема, который она может использовать как обычный диск в гостевой ОС. То есть, приложение или операционная система должны сами думать, как этот высокопроизводительный ресурс использовать. Можно вообще использовать его не как кэш, а как обычный диск, хотя идея, конечно же, не в этом.
VM-transparent Caching (vFlash Cache)
В этом случае виртуальная машина и ее гостевая ОС не знают, что на пути команд ввода-вывода находится прослойка в виде flash-устройств, оптимизирующих производительность за счет кэширования. В этом случае задача специализированного ПО (в том числе от партнеров) - предоставить оптимальный алгоритм кэширования. В этом случае будет доступна настройка следующих параметров кэша:
Гарантированный объем (Reservation size)
Выбор программного модуля-обработчика (vFlash Cache Module)
Размер блока (настраивается в зависимости от гостевой ОС)
Что делать с кэшем при перемещении виртуальной машины посредством vMotion (перенести вместе с ней или удалить)
При vMotion сервер vCenter будет проверять наличие необходимых ресурсов кэширования для виртуальной машины на целевом хосте ESXi. Для совместимости с технологией VMware HA, виртуальная машина должна будет иметь доступные vFlash-ресурсы на хранилищах хостов в случае сбоя (соответственно, потребуется эти ресурсы гарантировать).
В целом vFlash в VMware vSphere обещает быть очень перспективной технологией, что особенно актуально на волне роста потребления SSD-накопителей, постепенно дешевеющих и входящих в повсеместное употребление.
Компания HP обновила Firmware для своих серверов HP ProLiant, доступное для гипервизора VMware ESXi 5.0 и более поздних версий. Обновление доступно по этой ссылке.
Процесс обновления Firmware проходит из сервисной консоли серверов VMware ESXi, при этом предварительными требованиями является наличие следующих компонентов:
Мы уже писали о некоторых функциях утилиты esxcli в VMware vSphere, которая работает с различными пространствами имен, такими как network, storage, hardware и прочими. Сегодня мы хотим остановиться на новых функциях по управлению устройствами ввода-вывода I/O Device Management (IODM), пространство имен для которых появилось в VMware vSphere 5.1. Цель этих новых инструментов - дать администратору инструменты для понимания уровня, на котором происходят проблемы с хранилищем в сети SAN (см. тут).
Это новое пространство имен выглядит вот так:
esxcli storage san
Например, мы хотим сделать Reset для FC-адаптера:
esxcli storage san fc reset -A vmhba3
А потом посмотреть его лог, который включает в себя информацию о таких событиях, как разрыв соединения:
esxcli storage san fc events get
Можно собрать статистику по iscsi-адаптеру командой:
esxcli storage san iscsi stats get
Кроме того, в VMware vSphere 5.1 появились функции мониторинга твердотельных накопителей - SSD Monitoring, реализуемые метриками, которые собирает каждые полчаса демон S.M.A.R.T. (Self-Monitoring, Analysis and Reporting Technology). Находятся стандартные плагины в /usr/lib/VMware/smart_plugins (кстати, вендоры дисковых устройств могут добавлять туда свои плагины вместо имеющихся generic-плагинов). Надо также отметить, что эти метрики не передаются в vCenter и доступны только через esxcli.
Посмотреть статистики SSD-дисков можно командой:
esxcli storage core device smart get -d naa.xxxxxx
Жирным выделены метрики, которые могут оказаться полезными. Параметр Reallocated Sector Count не должен сильно увеличиваться со временем для исправных дисков. Когда дисковая подсистема получает ошибку read/write/verification для сектора, она перемещает его данные в специально зарезервированную область (spare area), а данный счетчик увеличивается.
Media Wearout Indicator - это уровень "жизни" вашего SSD-диска (для новых дисков он должен отображаться как 100). По мере прохождения циклов перезаписи диск "изнашивается" и данный счетчик уменьшается, соответственно, когда он перейдет в значение 0 - его жизнь формально закончится, исходя из рассчитанного для него ресурса. Кстати, этот счетчик может временно уменьшаться при интенсивных нагрузках диска, а потом восстанавливаться со временем, если средняя нагрузка на диск снизилась.
Новые возможности VMware vCenter Operations Manager 5.6:
Полная поддержка vCenter Server 5.1 и ESXi 5.1
Интеграция со средством vCenter Infrastructure Navigator, позволяющая предоставлять информацию о жизнедеятельности инфраструктуры в интерфейс Operations Manager
Интеграция с продуктом vCenter Configuration Manager, позволяющая получать в интерфейсе Operations Manager группы виртуальных машин, созданные в vCCM
Интеграция с VMware vSphere Web Client
Поддержка кастомных групп, создаваемых пользователем
Улучшения движка анализа аппаратных мощностей
Улучшения механизмов обработки численных параметров и средств обнаружения проблем
Контекстные подсказки для операций с виртуальными машинами, хостами, хранилищами и кластерами
На днях компания Код Безопасности объявила о том, что сертификат ФСТЭК России на ПАК «Соболь» версии 3.0 был продлен до 07 декабря 2015 года. Сертификат подтверждает, что ПАК «Соболь версии 3.0 соответствует 2-му уровню контроля на отсутствие НДВ (в соответствии с требованиями РД Гостехкомиссии России) и может использоваться в автоматизированных системах до класса 1Б и в ИСПДн до класса К1 включительно.
ПАК «Соболь» версии 3.0 предназначен для реализации следующих защитных механизмов:
идентификация и аутентификация пользователей на входе в систему (непосредственно при запуске сервера);
ведение журнала безопасности;
сигнализация попыток нарушения защиты;
запрет загрузки с внешних носителей;
контроль конфигурации (PCI-устройств, ACPI, SMBIOS и оперативной памяти).
Более подробно о комплексе ПАК "Соболь" можно узнать по этой ссылке.
Для мониторинга инфраструктуры виртуализации VMware vSphere зачастую используется протокол SNMP (например, через серверы Open NMS , CACTI , PRTG и т.п.). До версии VMware vSphere 5.1 поддерживались только версии 1 и 2 протокола SNMP. С выпуском версии 5.1 была добавлена поддержка третьей версии этого протокола (SNMPv3), который имеет множество улучшений, в основном касающихся безопасности.
Также в процессе настройки SNMP на хостах ESXi можно выбрать способ приема агентом сообщений: от IPMI-сенсоров (как в прошлых версиях ESXi) или CIM-индикаторов. Кроме того, можно фильтровать отсылаемые на сервер мониторинга SNMP-сообщения.
Для настройки протокола SNMP версий 1 и 2 нужно сделать 4 простых шага:
1. Установить community string (по сути, это пароль) командой:
esxcli system snmp set –communities public
2. Установить сервер мониторинга (SNMP target), который включает адрес и порт, а также community string:
esxcli system snmp set –targets server.domain@161/public
3. Включить сервис SNMP на хосте ESXi:
esxcli system snmp set –enable true
4. Протестировать конфигурацию:
esxcli system snmp test
Для того, чтобы протестировать SNMP со стороны таргета можно использовать команду (для версии 2):
snmpwalk -v2c -c public esxserver.domain
Для настройки протокола SNMP версии 3 нужно сделать 8 шагов (не все обязательны):
1. Выставляем Engine ID для SNMP-агента (ID - это шестнадцатиричное значение от 5 до 32-х разрядов длиной):
esxcli system snmp set –engineid 766d77617265
2. Выставляем протокол аутентификации (SHA1, MD5 или none):
esxcli system snmp set –authentication SHA1
3. Устанавливаем протокол шифрования:
esxcli system snmp set –privacy AES128
4. Если мы включили протоколы шифрования в шагах выше, то нужно сгенерировать хэши для паролей аутентификации и шифрования (опция -r означает, что пароли вводятся прямо в команде):
esxcli system snmp hash -r -A pass1 -X pass2
5. Настраиваем пользователя SNMP, указывая хэши, полученные в предыдущей команде (user - ваш пользователь):
esxcli system snmp set –users user/f9f7311379046ebcb5d134439ee5b7754da8a90f/d300f16eec59fb3b7ada7844ff764cbf4641fe5f/priv
6. Устанавливаем SNMP-таргет:
esxcli system snmp set –v3targets server.domain@161/user/priv/trap
7. Включаем SNMP:
esxcli system snmp set –enable true
8. Тестируем настройки:
esxcli system snmp test
Точно так же, как и для версий 1 и 2, со стороны сервера можно проверить работоспособность настроек SNMP, указав введенные ранее пароли:
snmpwalk -v3 -u user -l AuthPriv -a SHA -A pass1 -x AES -X pass2 esxserver.domain
Все вышеперечисленное можно сделать и через vSphere CLI (нужно ставить на отдельную машину) в интерактивном режиме с помощью скрипта vicfg-snmp.pl:
Если вам не хочется заморачиваться с установкой vSphere CLI, то можно использовать скрипт configureSNMPv3.sh, с помощью которого настройка происходит легко и просто:
Продолжаем вас знакомить с продуктом номер 1 - vGate R2, предназначенным для защиты виртуальных сред VMware vSphere. Напомним, что он позволяет производить автоматическую настройку конфигурации безопасности хост-серверов VMware ESX / ESXi средствами политик, защищать инфраструктуру от несанционированного доступа, а также имеет все необходимые сертификаты ФСТЭК (включая сертификаты на vSphere 5.0). Недавно мы писали о том, что продукт vGate R2 удобно применять совместно с решением Secret Net для защиты гостевых ОС виртуальных машин.
Кроме того, если на рабочем месте администратора VMware vSphere установлена система Secret Net 5.1 или выше, то для аутентификации пользователя возможно использование персонального идентификатора (e-token).
Перед его использованием на рабочем месте необходимо выполнить предварительные настройки:
1. Выполните инициализацию персонального идентификатора в Secret Net согласно документации на него.
2. Подключите персональный идентификатор к ПК.
3. Запустите агент аутентификации (см. стр. 8).
4. Введите имя и пароль пользователя, отметьте поле "Входить в систему автоматически" и нажмите кнопку "Подключиться".
После этого пароль будет сохранен в персональный идентификатор (e-token) и для администрирования VMware vSphere при последующих запусках vSphere Client больше вводить никаких дополнительных паролей не придется (при условии подключенного токена).
Таги: Security Code, vGate, Security, VMware, vSphere, Secret Net
Недавно компания VMware разослала своим клиентам и партнерам письмо, в котором сообщалось об окончании поддержки линейки VMware vSphere 4.x, построенной, в том числе, на базе "толстого" гипервизора VMware ESX. Теперь эта новость доступна на официальном сайте VMware.
Дата окончания продаж vSphere 4.x: 15 августа 2013 г.
В связи с этим пользователям до 15 августа следующего года рекомендуется создать или сохранить резервную копию соответствующих дистрибутивов и сформировать необходимые лицензионные ключи на портале My VMware для поддержки или расширения сред на базе гипервизора vSphere ESX версии 4.x или vMA версий 1 и 4. Эти операции необходимо выполнить до 15 августа 2013 г. Компания VMware не будет предоставлять никакие двоичные файлы (дистрибутивы, утилиты и т.п.) и лицензионные ключи для гипервизора vSphere ESX 4.x и для vMA версий 1 и 4 после 15 августа 2013 г.
Касательно поддержки (SnS) и жизни после 15 августа:
Жизненный цикл поддержки гипервизора vSphere ESX 4.X и vMA.
Датой окончания поддержки остается 21 мая 2014 г. Подробнее о жизненном цикле поддержки VMware.
Возможность использования заказчиками гипервизора vSphere ESX 4.x или vMA версий 1 и 4 после 15 августа 2013 г.
Заказчики сохраняют возможность использования лицензированных копий продукта после даты окончания продаж и даты окончания поддержки. Тем не менее они не смогут загружать дистрибутивы и формировать новые лицензионные ключи после даты окончания продаж и получать техническую поддержку и подписку после даты окончания поддержки.
Продажа и поддержка vSphere ESXi 4.X — БЕЗ изменений.
Продажа vMA 4.1, 5 и 5.1 и поддержка всех версий — БЕЗ изменений.
Некоторые из вас, вероятно, видели документ, называющийся "VMFS File Locking and Its Impact in VMware View 5.1", доступный у нас вот тут. Он вкратце рассказывает о нововведении в VMware View 5.1 - теперь для пулов связанных клонов (Linked Clones) можно использовать кластеры до 32-х хостов, а не 8 как раньше. Но работает это только для тех окружений, где реплика базового образа размещена на NFS-хранилище, для VMFS же хранилищ ограничение осталось тем же самым - кластер из максимум 8 хостов. Давайте разбираться, почему это так.
Во-первых, посмотрим как выглядит классическая структура связанных клонов в инсталляции VMware View:
В пуле связанных клонов, который мы можем построить с помощью VMware View Composer, находится создаваемый и настраиваемый базовый образ (может быть со снапшотом), из которого создается реплика этой ВМ (Replica), на базе которой из дельта-дисков строятся уже конечные десктопы пользователей. При этом данные реплики используются одновременно всеми связанными клонами, которые располагаются на хост-серверах ESXi кластера.
Теперь напомним, что мы уже рассматривали типы блокировок (локов) в кластерной файловой системе VMFS. Однако там рассмотрены не все блокировки, которые могут быть применены к файлам виртуальных дисков. Мы рассматривали только эксклюзивную блокировку (Exclusive Lock), когда только один хост может изменять VMDK-файл, а все остальные хосты не могут даже читать его:
Такие блокировки используются в традиционном окружении инфраструктуры виртуализации для серверной нагрузки в виртуальных машинах. Очевидно, что такие блокировки не подходят для доступа к данным файла виртуального диска реплики VMware View.
Поэтому есть и другие типы блокировок. Во-первых, Read-Only Lock (в этом режиме все хосты могут читать один VMDK, но не могут менять его):
Во-вторых, Multi-Writer Lock:
В режиме такой блокировки сразу несколько хостов могут получить доступ к VMDK-файлу на общем хранилище VMFS в режиме Read/Write. При использовании инфраструктуры связанных клонов на хранилище применяются локи типа Read-Only Lock и Multi-Writer Lock, что требует одновременного доступа нескольких хостов ESXi к одному файлу. Естественно, где-то в локе должны храниться данные о том, какие хосты используют его.
А теперь посмотрим на внутренности лока. Они как раз и содержат все UID (User ID) хостов, которые работают с VMDK-файлом, в структуре "lock holders". Надо отметить, что для работы автоматической процедуры обновления лока необходимо, чтобы его размер был равен одному сектору или 512 байтам. А в этот объем помещается только 8 этих самых UID'ов, а девятый уже не влезает:
Напомню, что мы говорим про диск реплики, который необходим сразу всем хостам кластера с виртуальными ПК этого пула. Поэтому, как и раньше, в VMware View 5.1 нельзя использовать для реплики, размещенной на томе VMFS, кластер из более чем восьми хост-серверов VMware ESXi.
Однако можно поместить реплику на том NFS. По умолчанию протокол NFS не поддерживает file locking, однако поддерживает механизм Network Lock Manager
(NLM), который использует схему блокировок "advisory locking":
В этой схеме клиенты файла NFS могут координировать между собой совместный доступ к файлу (в нашем случае - VMDK). При этом никакого лимита на 8 хостов в этом механизме нет. Однако раньше в VMware View не позволялось использовать более 8 хостов в кластере для пула связанных клонов.
Теперь это сделать можно и, во многих случаях, даже нужно, выбрав NFS-хранилище для пула Linked Clone:
Некоторое время назад компания VMware открыла регистрацию пользователей для приема заявок на доступ к порталу лабораторных работ VMware Hands-On Labs (HOL), которая доступна по этой ссылке (нужно указывать корпоративный email). Эти лабораторные работы (которые в большом количестве проводились на конференциях VMware VMworld) позволяют приобрести практический опыт по управлению элементами инфраструктуры VMware vSphere и другими решениями (VMware View, vCloud Director), а также получить новые технические знания на достаточно глубоком уровне - и все это онлайн, бесплатно и без необходимости покупать серверы для обучения и настраивать там соответствующие компоненты.
Недавно компания VMware объявила о том, что публичная бета-версия Hands-On Labs уже запущена, а приглашения уже начали поступать некоторым пользователям. Если вы зарегистрировались ранее, то логины и пароли должны прийти в течение последующих нескольких дней. Для новых пользователей регистрация по-прежнему доступна.
Проводимые лабораторные работы будут полезны также и для тех пользователей, кто уже применяет VMware vSphere, так как там рассматриваются различные Enterprise-компоненты платформы, такие как распределенный коммутатор vSphere Distrinuted Switch (vDS), которые могут быть не развернуты или не использоваться в производственной среде предприятия. Кроме того, лабы HOL могут оказаться полезными при подготовке к экзаменам по линии сертификации VMware Certified Professional.
Для примера название лабораторной работы: HOL-INF-02 – Explore vSphere 5.1 Distributed Switch (vDS) New Features. Полное описание лабораторных работ доступно по этой ссылке.
Таги: VMware, vSphere, Обучение, ESXi, vCenter, View, vCloud, Director
Для осуществления делегирования административных задач пулы виртуальных десктопов отдельных клиентов, которым предоставляется услуга (возможно филиалов, других предприятий и т.п.) следует располагать в своей выделенной папке (folder) иерархии VMware View Manager. Пулы виртуальных десктопов различных типов также рекомендуется располагать в отдельных папках (folder) иерархии VMware View Manager... Таги: VMware, View, Security, Blogs, Enterprise, vSphere, VDI
Если вам требуется удобный поиск и навигация по большим созданным профилям хостов, созданным с помощью функций VMware vSphere Host Profiles, то можно сделать их экспорт в формат VPF (VMware Profile Format):
Затем в получившемся файле поменять расширение с *.vpf на *.xml и открыть его в своем любимом просмотрщике XML:
Мы уже не раз затрагивали тему vswp-файлов виртуальных машин (файлы подкачки), которые используются для организации swap-пространства гипервизором VMware ESXi. Эти файлы выполняют роль последнего эшелона среди техник оптимизации памяти в условиях недостатка ресурсов на хосте. Напомним, что в гипервизоре VMware ESXi есть такие техники как Transparent Page Sharing, Memory Ballooning, a также Memory Compression, которые позволяют разбираться с ситуациями нехватки памяти, необходимой виртуальным машинам.
Напомним также, что первым эшелоном оптимизации памяти является техника Memory Ballooning. Она работает за счет использования драйвера vmmemctl.sys (для Windows), поставляемого вместе с VMware Tools. Он позволяет "надуть" шар внутри гостевой ОС (balloon), который захватывает физическую память, выделенную этой ОС (если ее много), и отдает ее другим гостевым операционным системам, которые в ней нуждаются. Этот balloon не позволяет гостевой ОС производить работу приложений с данной областью памяти, поэтому если им потребуется дополнительная память - она будет уходить в гостевой своп. Это более правильный подход, чем свопировать гостевую ОС в файл подкачки vswp на томе VMFS, поскольку операционная система сама лучше разбирается, что и когда ей класть и доставать из свопа (соответственно, быстродействие выше).
Однако, когда памяти у всех виртуальных машин совсем мало или отдельной ВМ ее требуется больше, чем сконфигурировано, а также происходит постоянное обращение к памяти (особенно, если в гостевых ОС нет VMware Tools), гипервизор начинает использовать vswp-файл подкачки, который по умолчанию находится в папке с виртуальной машиной. Мы уже писали о том, что в целях повышения быстродействия можно положить vswp-файлы виртуальных машин на локальные SSD-хранилища серверов ESXi, а также о том, как удалять мусорные файлы vswp.
Ниже мы приведем 8 фактов о swap-файлах виртуальных машин, которые основаны на вот этой заметке Фрэнка Деннемана:
1. Хранение vswp-файлов на локальных дисках сервера ESXi (в том числе Swap to Host Cache) увеличивает время vMotion. Это очевидно, так как приходится копировать vswp-файл в директорию ВМ (или другую настроенную директорию), чтобы его видел целевой хост.
2. С точки зрения безопасности: vswp-файл не чистится перед созданием. То есть там лежат не нули, а предыдущие данные блоков. Напоминаем, что размер файла подкачки равен размеру сконфигурированной памяти ВМ (если не настроен Reservation). Если же у машины есть Reservation, то размер vswp-файла определяется по формуле:
То есть, если в настройках памяти машины ей выделено 4 ГБ, а Reservation настроен в 1 ГБ, то vswp-файл будет составлять 3 ГБ.
3. Как происходит копирование vswp-файла при vMotion? Сначала создается новый vswp-файл на целевом хосте, а потом копируются только swapped out страницы с исходного в целевой vswp-файл.
4. Что происходит при разнице в конфигурации размещения vswp-файлов в кластере и для отдельных хостов? Напомним, что в настройках кластера VMware vSphere есть 2 опции хранения vswp-файлов: в папке с ВМ (по умолчанию) и в директории, которая указана в настройках хоста:
Если на одном хосте настроена отдельная директория для vswp, а на другом нет (то есть используется папка ВМ), то при vMotion такой виртуальной машины vswp-файл будет скопирован (в папку с ВМ), несмотря на то, что целевой хост видит эту директорию на исходном.
5. Обработка файлов подкачки при нехватке места. Если в указанной директории не хватает места для свопа ВМ, то VMkernel пытается создать vswp-файл в папке с ВМ. Если и это не удается, то виртуальная машина не включается с сообщением об ошибке.
6. vswp-файл лучше не помещать на реплицируемое хранилище. Это связано с тем, что используемые страницы памяти, находящиеся в двух синхронизируемых файлах, будут постоянно реплицироваться, что может вызывать снижение производительности репликации, особенно если она синхронная и особенно при vMotion в недефолтной конфигурации (когда происходит активное копирование страниц и их репликация):
7. Если вы используете снапшоты на уровне хранилищ (Datastore или LUN), то лучше хранить vswp-файлы отдельно от этих хранилищ - так как в эти снапшоты попадает много ненужного, содержащегося в своп-файлах.
8. Нужно ли класть vswp-файлы на хранилища, которые развернуты на базе thin provisioned datastore (на уровне LUN)? Ответ на этот вопрос зависит от того, как вы мониторите свободное место на тонких лунах и устройствах своего дискового массива. При создании vswp-файла VMkernel определяет его размер и возможность его создания на уровне хоста ESXi, а не на уровне устройства дискового массива. Поэтому если vswp-файл активно начнет использоваться, а вы этого не заметите при неправильной конфигурации и отсутствии мониторинга тонких томов - то могут возникнуть проблемы с их переполнением, что приведет к сбоям в работе ВМ.
Как мы уже писали, компания Veeam Software недавно обновила свой флагманский продукт для резервного копирования и репликации виртуальных машин до версии Veeam Backup and Replication 6.5. О новых возможностях решения, кстати, можно узнать из весьма наглядного видео ниже:
Как многие помнят, у компании Veeam есть традиция бесплатно раздавать лицензии на свои продукты специалистам по решениям VMware и Microsoft. Версия 6.5 не стала исключением. Если вы хотите получить лицензию на Veeam Backup and Replication 6.5 на 2 CPU сервера ESXi для вашей тестовой лаборатории, то проследуйте по ссылкам ниже:
Если вы VMware vExpert, VMware Certified Professional (VCP) или VMware Certified Instructor (VCI) - вам сюда.
Если же вы Microsoft MVP, MCP или MCTS - то вам сюда.
Таги: Veeam, Backup, Бесплатно, VCP, vExpert, VMware, Microsoft
Как знают все администраторы VMware vSphere, версией 5.1 этой платформы виртуализации и виртуальными машинами можно управлять как через традиционный "толстый" клиент vSphere Client, так и через обновленный полнофункциональный "тонкий" vSphere Web Client.
При этом, как мы уже писали вот тут, версия толстого клиента VMware vSphere Client 5.1 - последняя и больше обновляться не будет, а дальше все администрирование инфраструктуры виртуализации будет полностью построено на базе веб-сервисов.
Однако, не все знают, что большинство новых возможностей vSphere 5.1 доступны только через Web Client, поэтому не стоит удивляться, не обнаружив их в стандартном клиенте. Основные возможности у обоих клиентов одинаковы, а ниже приведены различия в этих двух средствах управления виртуальной инфраструктурой VMware vSphere 5.1:
Функции, доступные только в vSphere 5.1 Web Client
Функции, доступные только в vSphere 5.1 (Desktop) Client
vCenter Single Sign-On - единый вход в сервисы виртуальной инфраструктуры (замена и расширение Linked Mode), включая аутентификацию и администрирование
VMware Desktop Plug-ins (Update Manager, SRM и т.п.) - возможность подключения плагинов различных продуктов VMware.
Навигация через списки Inventory Lists
Возможность подключения плагинов сторонних производителей
Добавление тэгов к объектам (Inventory Tagging) и их поддержка в поиске
Возможность постановки выполняемых задач на паузу (тут)
Возможность изменить вид гостевой ОС для существующей машины
Предлагаемые варианты при поиске объектов
Функции vCenter Server Maps (карты хостов, хранилищ, vMotion)
Сохранение вариантов поиска (Save Searches)
Возможность задания и изменения custom attributes для объектов
Улучшенная производительность при выводе списка объектов
Возможность соединения с хостом ESXi напрямую
Функции репликации виртуальных машин vSphere Replication (но не для VMware SRM)
Возможность раздувания тонкого диска (Inflate thin disk) до полного размера через Datastore Browser
Функции продукта Virtual Infrastructure Navigator (подробнее тут)
Функции Enhanced vMotion для горячей миграции виртуальных машин без общего хранилища (подробнее тут)
Интеграция с продуктом vCenter Orchestrator (vCO) в части рабочих процессов (расширенные меню)
Новые функции Virtual Distributed Switch (vDS)
Health Check
Export/Restore Configuration
Diagram filtering
Плагин для просмотра логов (Log Browser Plugin)
Резервное копирование средствами vSphere Data Protection (VDP)
Как мы видим, возможность прямого соединения с хостом и управления им есть на данный момент только у толстого клиента vSphere, поэтому без него трудно обойтись в случае недоступности сервисов vCenter.
Что касается функционала списков объектов (Inventory Lists), поиска по этим спискам, а также тэгирования объектов в vSphere Web Client, то на эту тему есть следующее видео:
Продолжаем вас знакомить с решением номер 1 для сертифицированной защиты виртуальной инфраструктуры VMware vSphere средствами политик - vGate R2 от компании Код Безопасности. Сегодня мы поговорим о том, как работает механизм резервирования основного компонента защиты инфраструктуры vGate R2 - сервера авторизации. В стандартном режиме работы основной сервер авторизации проксирует через себя все соединения клиентов vSphere к серверам виртуальной инфраструктуры, а реплики конфигурации передает на резервный сервер...
По умолчанию timeout сессии, в которой работает Web Client, составляет 30 минут. Не всем это удобно.
Некоторым пользователям в целях безопасности хочется сократить этот таймаут, а некоторым, в целях удобства - убрать совсем. Для этого существует специальная настройка на сервере, где установлен vSphere Web Client. Надо найти файл webclient.properties, который размещен в следующих местах, в зависимости от ОС:
Operating System
File path
Windows 2003
%ALLUSERPROFILE%Application Data\VMware\vSphere Web Client
Windows 2008
%ALLUSERPROFILE%\VMware\vSphere Web Client
vCenter Server Appliance
/var/lib/vmware/vsphere-client
Нужно будет отредактировать следующее значение:
session.timeout = value
где value - это время жизни сессии vSphere Web Client в минутах. Чтобы сессия не отваливалась совсем, следует указать значение равное 0. После этого нужно перезапустить vSphere Web Client service.
RSS
\
