Недавно мы писали о выходе новой версии пакета продуктов VMware Cloud Foundation 4.4, предназначенного для создания виртуального датацентра организации. Напомним, что он включает в себя компоненты VMware vRealize Suite, VMware vSphere Integrated Containers, VMware Integrated OpenStack, VMware Horizon, NSX и другие, работающие в онпремизной, облачной или гибридной инфраструктуре предприятия под управлением SDDC Manager.
Напомним, что одной из новых возможностей VCF 4.4 стало то, что теперь сервис SSH отключен на всех хостах ESXi по умолчанию - это новая конфигурация, которая применяется в соответствии с рекомендациями по безопасности.
Если по какой-то причине на одном или нескольких хостах в рамках доменов рабочей нагрузки (workload domains) вам нужно использовать SSH, то вот как можно это сделать.
Чтобы включить SSH на всех доменах и хостах ESXi вашей инфраструктуры, нужно выполнить следующую консольную команду SDDC Manager как root:
/opt/vmware/sddc-support/sos --enable-ssh-esxi --domain-name ALL
Если нужно включить SSH на одном из доменов, то делается это так:
Компания VMware недавно сделала доступным для загрузки обновление пакета продуктов VMware Cloud Foundation (VCF) версии 4.4, предназначенного для создания онпремизного виртуального датацентра. Напомним, что он включает в себя компоненты VMware vRealize Suite, VMware vSphere Integrated Containers, VMware Integrated OpenStack, VMware Horizon, NSX и другие, работающие в онпремизной, облачной или гибридной инфраструктуре предприятия под управлением SDDC Manager.
Давайте посмотрим, что нового в VCF 4.4:
Гибкие апгрейды vRealize Suite - теперь апгрейд продуктов, входящих в состав vRealize Suite, полностью управляется со стороны vRealize Suite Lifecycle Manager. Как только новая версия какого-то продукта становится доступна - ее можно обновить с помощью Lifecycle Manager, при этом происходит проверка совместимости версий продуктов в составе vRealize Suite. Поэтому теперь в составе Bill of Materials (BOM) не приводятся отдельные версии решений vRealize Automation, vRealize Operations, vRealize Log Insight и Workspace ONE Access, которые будут обновляться через Lifecycle Manager.
Улучшения в пречеках апгрейда - теперь проверяется емкость файловой системы, разрешения для файлов и пароли. Это обеспечивает более плавный процесс апгрейда.
Сервис SSH отключен на хостах ESXi по умолчанию - это новая конфигурация, которая применяется в соответствии с рекомендациями по безопасности.
Возможность логировать пользовательскую активность - теперь все эти логи сохраняют вызовы VMware Cloud Foundation API вместе с контекстом пользователя. Также логируются логины и логауты в консоль SDDC Manager.
Поддержка 2-узловых кластеров vSphere при использовании NFS, VMFS on FC или vVols в качестве основного хранилища кластера (эта возможность не применяется при использовании vSAN, а также при использовании бейзлайнов Lifecycle Manager для обновлений).
Обновления безопасности:
Заплатки уязвимости Apache Log4j Remote Code Execution (исправления для уязвимостей CVE-2021-44228 и CVE-2021-45046, подробнее описано в VMSA-2021-0028).
Исправления безопасности для Apache HTTP Server (а именно CVE-2021-40438, подробнее описано в VMSA-2021-0020).
Улучшения эффективности SDDC Manager в плане использования процессора и памяти. Также теперь инвентарь в консоли работает лучше и объекты (хосты ESXi, workload domains и другие) открываются быстрее.
Multi-Instance Management Dashboard недоступна больше в интерфейсе SDDC Manager.
BOM updates - в состав пакета были добавлены обновленные версии соответствующих продуктов (см. ниже).
Собственно, вот какие продукты VMware и их версии теперь входят в состав VMware Cloud Foundation 4.4:
Также пользователи прошлой ветки VMware Cloud Foundation 3.х получили обновление 3.11, вот что там нового:
Заплатки уязвимости Apache Log4j Remote Code Execution (исправления для уязвимостей CVE-2021-44228 и CVE-2021-45046, подробнее описано в VMSA-2021-0028).
Исправления безопасности для Apache HTTP Server (а именно CVE-2021-40438, подробнее описано в VMSA-2021-0020).
Улучшения в пречеках апгрейда - теперь проверяется емкость файловой системы, разрешения для файлов и пароли.
Утилита апгрейда skip-level upgrade CLI tool, позволяющая обновиться на VCF 3.11 напрямую, теперь получила несколько улучшений в плане предпроверок, проверок безопасности и юзабилити.
Новые максимумы - теперь VCF 3.11 поддерживает до 1000 хостов ESXi на один SDDC Manager.
Обновления Bill of Materials - теперь в состав пакета входят продукты ESXi 6.7 EP23, vCenter Server 6.7 U3q, NSX-v 6.4.12 и NSX-T 3.0.3.1, vRealize Suite Lifecycle Manager 2.1 Patch3 и VMware Horizon 7.10.3.
Подробнее о VMware Cloud Foundation можно узнать вот тут.
Не так давно компания VMware обновила параметры Configuration Maximums, которые содержат максимальные параметры конфигураций инфраструктуры виртуализации и доставки настольных ПК VMware Horizon 7 (напомним, что актуальная на сейчас версия 2111 стала доступна в декабре прошлого года).
Давайте посмотрим на актуальные пределы конфигураций Horizon 7, которые VMware приводит в KB 2150348 с учетом имеющихся на сегодня рекомендаций:
Лимиты архитектуры Cloud Pod Architecture
Максимальное число активных сессий в архитектуре федерации сайтов (Cloud Pod Architecture pod federation)
Версии 7.0 и 7.1: 75 000
Версия 7.2: 120 000
Версии 7.3 и 7.4: 140 000
Версии 7.5, 7.6, и 7.7: 200 000
Версии 7.8 до 7.13.x: 250 000
Максимальное число подов (Pods) в архитектуре федерации сайтов
Версии 7.0 до 7.7: 25 PODs
Версия 7.8: 50 PODs
Максимальное число сайтов (Sites) в архитектуре федерации сайтов
Версии 7.0 до 7.2: 5
Версия 7.3: 7
Версии 7.4 до 7.7: 10
Версии 7.8 до 7.13.x: 15
Активных соединений на 1 Pod
Сессий в виртуальных десктопах:
Версии 7.0 до 7.6 : 10 000 максимально
Версии 7.7 до 7.13.x: 12 000 максимально
Сессии RDS-хостов:
20 000 максимально (10 000 сессий рекомендуется)
Управляемых агентов на 1 Pod
Версии 7.0 до 7.6 : 10 000 максимально
Версии 7.7 до 7.13.x: 12 000 максимально
Максимальное число экземпляров Connection Server на 1 Pod
7
Активных сессий на экземпляр Connection Server с прямым или туннелированным соединением по протоколам RDP, PCoIP и Blast
4 000 (2 000 рекомендуется)
Лимиты RDSH-сессий
Максимальное число сессий на RDSH
150 (60 рекомендуется)
Превышение числа 60 рекомендуется только для очень легких нагрузок.
Рекомендуемое число vCPU на RDSH
8-64 (зависит от нагрузки приложений и число vCPU должно быть меньше или равно размеру NUMA-кластера)
Рекомендуемый объем vRAM в ГБ на RDSH
16-128 (зависит от нагрузки приложений)
Максимальное число хостов RDSH на ферму
500 (появилось в версии 7.7)
200 (старые версии)
Лимиты ESXi и хранилищ виртуальных машин
Виртуальных машин на ядро CPU
8-10 рекомендуется
Виртуальных машин на vCenter
12 000 для Full Clones и Instant clones
4 000 для Linked Clones
Виртуальных машин на пул
4 000 (2 000 рекомендуется)
1 000 при использовании vTPM с технологией Instant Clone
Виртуальных машин на хранилище (datastore)
500 (нужно убедиться, что физическое хранилище выдаст нужное число IOPS для виртуальных машин)
Виртуальных машин на кластер при использовании vSAN
6 400
Число хостов на кластер vSphere
Для VMFS / NAS: 32
Для VSAN: 64
Число виртуальных машин на хост
200 ВМ
Параметры серверов Connection Servers
Memory
10 ГБ
vCPU
4 vCPU
Sessions per Server
4 000 сессий (2 000 рекомендуется)
Схема обеспечения высокой доступности
N + 1
Максимальное число серверов Connection Servers на один View Pod
7
Максимальное число соединений на один Unified Access Gateway (UAG)
Мы уже давно не писали об обновлении утилиты RVTools, предназначенной для помощи администраторам при выполнении рутинных операций с виртуальной инфраструктурой VMware vSphere в различных аспектах. В начале февраля вышло обновление этого средства - RVTools 4.3.1.
Давайте посмотрим, что там нового:
RVTools теперь использует VMware vSphere Management SDK 7.0U3.
Новая вкладка vSource, на которой отображается информация о сервере, где исполняется веб-сервис SDK, который используется для сбора данных (это сервер vCenter или хост ESXi).
Новая колонка Host UUID на вкладке vHost.
Новые чекбоксы в разделе Health, которые включают/отключают сообщения о безопасности и производительности.
Раньше колонка UUID заполнялась значениями SMBIOS UUID, которые не уникальны. Теперь там отображается уникальный 128-битный UUID.
Улучшение производительности при обработке данных.
На вкладке vHealth появились советы по улучшению производительности ввода-вывода и памяти.
Исправления ошибок.
Также приведем основные улучшения RVTools с момента выпуска четвертой версии:
Новая вкладка vUSB, отображающая хосты с присоединенными USB-устройствами.
Новая вкладка vFileInfo с информацией обо всех файлах на датасторах vSphere (полная информация включается чекбоксом Get fileinfo detail information").
Log4net обновлен до версии 2.0.12 (защита от уязвимости CVE-2018-1285).
Отображение информации о том, является ли объект плейсхолдером резервной инфраструктуры VMware SRM.
Новая колонка Virtual machine tags на вкладках vInfo, vCPU, vMemory, vDisk, vPartition, vCD, vFloppy, vNetwork, vSnapshot, vTools.
Новая колонка вкладки vInfo: min Required EVC Mode Key.
Новая колонка вкладки vMemory: Memory Reservation Locked To Max.
Новые колонки вкладки vRP: Resource Pool path, Resource Pool tags, число ВМ в пуле ресурсов и object ID.
Новые колонки вкладки vCluster: Cluster tags, custom attributes и object ID.
Новые колонки вкладки vHost: число ВМ в пуле ресурсов, vSAN Fault Domain Name, Host tags, in Maintenance Mode и in Quarantine Mode.
Новые колонки вкладки dvSwitch: Distributed VirtualSwitch tags, custom attributes и object ID.
Новые колонки вкладки dvPort: Distributed VirtualSwitch Port Group tags и object ID.
Новые колонки вкладки vDatastore: число ВМ в пуле ресурсов, Datastore tags, custom attributes и object ID.
Новые колонки вкладки vNetwork: ipv4 и ipv6, NIC label, "Internal Sort Column".
Новые колонки вкладки vDisk: Disk key, disk path, "Internal Sort Column".
Новые колонки вкладки vPartition: "Internal Sort Column", Disk key.
Новый чекбокс в настройках "Exclude tags" и параметр CLI -ExcludeTags.
Объем отображается не в MB, а в MiB.
Предупреждение о том, что данные собраны не со всех ВМ.
Компания VMware в конце января объявила о том, что ее сервис Skyline доступен через партнерскую сеть облачных сервис-провайдеров (Cloud Providers, они же участники программы VCPP), которые предоставляют свои услуги, используя платформу Cloud Partner Navigator (CPN). Напомним, что это решение предназначено для проактивного получения рекомендаций по технической поддержке продуктов линейки VMware vSphere, включая vSAN. В частности, с помощью VMware Skyline пользователи и инженеры технической поддержки VMware (Technical Support Engineers, TSEs) могут делать заключения о правильности работы виртуальной инфраструктуры и вырабатывать основные рекомендации по ее улучшению.
С помощью Skyline Advisor пользователи могут получать проактивную аналитику для своей виртуальной инфраструктуры в целях идентификации текущих и будущих проблем. Он поддерживает не только продукты vSphere, vSAN, NSX, vROps и Horizon, но и среды Cloud Foundation и Dell EMC VxRail.
Все партенры, имеющие доступ к VMware Partner Connect с действующим соглашением VMware Cloud Provider Program agreement, могут получить доступ к поддержке уровня Production. А начиная с 27 января, у них уже есть доступ к сервисам VMware Skyline.
Для сервис-провайдеров тут будет 2 больших плюса:
Получение инструмента, который позволяет обозначать проблемы пользователей еще до их появления и проактивно действовать в этом направлении.
Быстро и удобно взаимодействовать с поддержкой VMware через единый портал для ускорения решения проблем пользователей.
На данный момент сервисы Skyline доступны для следующих продуктов:
VMware vSphere
VMware NSX
VMware vSAN
VMware vRealize Operations
VMware vRealize Automation
VMware Cloud Foundation.
Также сервис распознает Skyline инфраструктуру VxRail и инсталляции типа VMware Validated Design.
Если вы являетесь сервис-провайдером VCPP и уже имеете доступ к Cloud Partner Navigator, то сервис доступен в разделе "Services Available for Provisioning".
Таги: VMware, Skyline, VCPP, Cloud, Update, Troubleshooting, Support
Это статьей мы начинаем цикл публикаций и продукте NAKIVO Backup & Replication в контексте отдельных его функций. Напомним, что он предназначен для резервного копирования и репликации виртуальных машин в инфраструктуре VMware vSphere и Microsoft Hyper-V. Вводную статью об основных возможностях этого решения вы можете прочитать вот тут, а сегодня мы подробно расскажем о
его механизмах по резервному копированию данных сервисов Microsoft Office 365.
В Enteprise-инфраструктуре перед администраторами контейнеров и серверов виртуализации встают следующие задачи:
Удовлетворение все растущего спроса разработчиков на размещение контейнеров приложений в кластерах.
Уход от механизма тикетов на выполнение задач DevOps путем предоставления разработчикам средств самообслуживания и API-механизмов для решения собственных задач.
Предотвращение ситуации, когда все будет завязано на одного вендора (например, только на его API).
Соответствие регуляторным требованиям, которые часто требуют размещения приложений и данных только в онпремизной инфраструктуре.
Поддержка железа для кластеров Kubernetes, а также виртуального датацентра на базе VMware vSphere.
Все эти важные аспекты рассматриваются в данной книге. Полезна она будет как администраторам в целях исполнения своих прямых обязанностей, так и разработчикам, которые хотят расширить кругозор и составить представление о современных подходах к интеграции технологий контейнеризации приложений и серверной виртуализации.
Скачать книгу "Production Kubernetes - Building Successful Application Platforms" можно бесплатно по этой ссылке.
В прошлом году на VMworld 2021 компания VMware представила обновление продукта Workspace ONE Intelligence, который предназначен для для анализа поведения пользователей и устройств и выдачи рекомендации администраторам ИТ-инфраструктуры по применению тех или иных действий. На вход этого движка подаются данные об использовании устройств, приложений и данных пользователей, затем они агрегируются, анализируются, а потом для администраторов генерируются некоторые рекомендации и правила, которые можно применить для повышения эффективности инфраструктуры виртуальных ПК и приложений.
Тогда мы рассказали о новых возможностях этого продукта, а сегодня вкратце расскажем о том, какие основные его функции позволяют повысить безопасность пользовательской среды в рамках концепции Zero Trust Security, то есть когда никакие из систем предприятия по умолчанию не считаются 100% защищенными.
1. Мониторинг и отслеживание аномалий
Workspace ONE Intelligence позволяет пользователям отслеживать изменения метрик в их окружениях, касающихся аномалий в производительности и безопасности, а также проактивно корректировать их с помощью созданных сценариев автоматизации. На картинке ниже представлена временная картинка с трендами рисков, где администратор может погрузиться в отдельную систему для их детального понимания:
2. Доверенная экосистема (Trust Network)
В дополнение к данным окружения платформы Workspace ONE (включая Workspace ONE UEM и Workspace ONE Access), данные могут быть дополнены средствами внешних систем, входящих в доверенную экосистему Trust Network.
Например, вы можете подключить систему VMware Carbon Black, которая также может встроиться в окружение Workspace ONE. Например, вот два виджета, которые отображают Threat Count и Threat Type от Carbon Black в консоли Workspace ONE Intelligence:
3. Автоматизации для работы с данными об угрозах
Вы можете настроить различные автоматизации для действий в ситуации наступления определенных угроз. К примеру, если решение Carbon Black обнаружило какое вредоносное ПО в системе, например, ransomware, то система может быть помещена на карантин, а в Slack будет отправлено сообщение, оповещающее о проблеме. Затем будет создан тикет в ServiceNow, а Workspace ONE UEM протэгирует опасный объект и поместит его на карантин:
4. Аналитика рисков устройств и пользователей
Для дальнейших исследований аномалий в рамках экосистемы инфраструктуры виртуализации система может сделать скоринг рисков для устройств и пользователей на базе датасета, имеющегося в Workspace ONE. Вот так это выглядит:
Более подробно об этих всех возможностях можно почитать в документации.
Некоторые из вас, вероятно, знают такой сайт virten.net, где в свое время публиковалось много интересных технических статей об инфраструктуре VMware. Автор этого ресурса делает много интересных вещей, например, средство PowerShell OVF Helper.
OVF Helper - это репозиторий шаблонов для развертывания ВМ из виртуальных модулей (Virtual Appliances) в формате OVF, которые основаны на рабочем процессе развертывания в мастере создания машин vSphere Client. Через OVF Helper вы таким же образом соединяетесь с vCenter Server, заполняете нужные переменные и выполняете сценарий развертывания. Это точно так же просто, как и при использовании vSphere Client, но плюс в том, что вы можете использовать этот сценарий повторно, не проходя вручную шаги мастера клиента vSphere.
Также настроенные параметры в скрипте будут вам отличным напоминанием о том, какую конфигурацию вы использовали для виртуальных модулей.
На данный момент доступны сценарии для следующих продуктов и их версий:
Также на странице PowerShell OVF Helper размещены ссылки на OVA-модули, которые рекомендуется использовать совместно с соответствующей версией сценария.
Кстати, обратите внимание на раздел Tools на сайте автора - там много чего интересного:
Еще на конференции VMworld 2020 компания VMware представила новый продукт Freestyle Orchestrator, который дополняет и расширяет возможности UEM (Unified Endpoint Management), являющегося частью платформы по работе с пользовательскими окружениями Workspace ONE. VMware Freestyle Orchestrator - это полностью новый способ развертывания и конфигурирования рабочих станций на базе...
Мы много писали о решении VMware Cloud Disaster Recovery, которое позволяет обеспечивать катастрофоустойчивость виртуальных инфраструктур за счет резервирования онпремизных ресурсов в облаке. Службы VMware Cloud Disaster Recovery позволяют производить восстановление после сбоев по запросу (On-Demand Disaster Recovery) напрямую в облаке VMware Cloud on AWS.
VMware Cloud Disaster Recovery обеспечивает оркестрацию процесса создания реплик на хранилищах S3 Cloud, а также реализацию процесса восстановления инфраструктуры на стороне VMware Cloud on AWS с сохранением показателя RPO равного 30 минутам.
У многих пользователей такой схемы возникает вопрос - а за что они отвечают в этом процессе, за что отвечает VMware, а за что - Amazon?
Ответ можно найти вот тут, мы расскажем об этом вкратце. Итак, VMware Cloud Disaster Recovery состоит из трех компонентов:
Файловая система Scale-out Cloud File System (SCFS)
Оркестратор (Orchestrator)
Коннекторы DRaaS Connectors
VMware запустила свое DRaaS решение в октябре 2020 года и с тех пор предоставляет круглосуточную поддержку этих компонентов, включая накатывание патчей и обновлений на них.
С точки зрения безопасности и операций, ответственность распределяется по трем основным уровням - пользователь, VMware и Amazon AWS:
Пользователь отвечает за:
"Security in the Cloud":
Безопасность в облаке при развертывании и поддержке окружений VMware Cloud Disaster Recovery
Безопасность собственной виртуальной инфраструктуры и установку компонентов решения, необходимых для функционирования инфраструктуры катастрофоустойчивости. Также это включает в себя поддержку достаточной скорости соединения между площадками. Пользователь должен заботиться о протоколах шифрования, своевременном обновлении ПО, аудите систем, изменении паролей и всем прочем, что от него зависит.
VMware отвечает за:
"Security of the Cloud" - то есть за безопасность самого облака, что означает защиту систем и программного обеспечения, составляющего основу облака для служб VMware Cloud Disaster Recovery. Очевидно, что это включает в себя не только DRaaS-cервисы, но и платформенные составляющие, такие как VMware vSphere и vSAN.
Amazon отвечает за:
"Security of the Infrastructure" - физические серверы, доступ к ним в датацентрах, функционирование аппаратного обеспечения, исправность физических линий связи и соединений в рамках ЦОД.
Если говорить о разделении зон ответственности в плане конкретных операций и функциональности, то таблица в разрезе указанных трех сущностей выглядит так:
Сущность
Ответственность / Активности
Customer
Развертывание на резервном сайте в облаке объектов Software Defined Data Centers (SDDC):
Определение числа и типа хостов (i3, i3en)
Конфигурация кластера
Поддержка связанного AWS-аккаунта
Определение диапазона адресов управляющей сети
Настройка сети и безопасности SDDC:
Настройка сетевых сегментов
Конфигурация публичных IP-адресов
Настройка NAT
Настройка сетевых экранов
Защищаемый сайт:
Развертывание коннекторов
Настройка фаерволов
Настройка сетевых сегментов
Аутентификация пользователей
Регистрация серверов vCenter
SCFS:
Настройка групповых политик защиты
Конфигурация vCenter защищаемого сайта
Orchestrator:
Разработка плана восстановления (DR Plan)
Управление пользователями, ролями и аутентификацией в целом
VMware
Жизненный цикл SCFS:
Обновления ПО
Консистентность данных снапшотов
Жизненный цикл Orchestrator:
Обновления ПО
Проверка и контроль Inventory (политики и планы восстановления)
Жизненный цикл Connector:
Обновления ПО
Жизненный цикл резервного SDDC:
Апгрейд и обновление ESXi
Апгрейд и обновление vCenter Server
Апгрейд и обновление vSAN
Апгрейд и обновление NSX
AWS – Amazon Web Services
Физическая инфраструктура:
AWS Regions
AWS Availability Zones
Физическая безопасность датацентров AWS
Compute / Network / Storage:
Обслуживание стоек хостов Bare Metal (например, i3.metal и i3en.metal)
Поддержка железа стоек, компонентов питания и инфраструктуры сети
В конце лета прошлого года мы писали об интереснейшем документе "VMware vSphere Snapshots: Performance and Best Practices", который содержит весьма полезную многим администраторам информацию о производительности снапшотов, а также лучшие практики по обращению с ними. Мы, кстати, часто пишем про это (1, 2, 3), и хорошо, что теперь об этом есть и подробный документ с картинками.
В конце года VMware решила обновить этот whitepaper, добавив туда немного информации о производительности снапшотов в инфраструктуре контейнеризованных приложений Kubernetes на платформе vSphere.
Тестовая конфигурация там выглядела вот так:
Соответственно, процедура тестирования выглядела так:
Снимаем базовый уровень производительности для ВМ worker-ноды без снапшотов под нагрузкой
Создаем снапшот ВМ worker-ноды
Запускаем бенчмарк и получаем данные о производительности
Увеличиваем по одному число снапшотов и повторяем цикл тестирования
Тестировались приложения Weathervane и Redis. Результаты показали, что даже при большом количестве снапшотов производительность не падает:
Продолжаем вам рассказывать о решении NAKIVO Backup & Replication, предназначенном для резервного копирования и репликации виртуальных машин в инфраструктуре VMware vSphere и Microsoft Hyper-V. В прошлой статье мы рассказывали о выходе новой версии продукта, где появились функции мониторинга виртуальных сред, а сегодня поговорим о лучших практиках его использования.
Мы часто пишем о продукте VMware vReazlie Log Insight, который бывает в двух вариантах - облачном (Log Insight Cloud) и онпремизном. Он предназначен для аналитики лог-файлов и мониторинга инфраструктуры в облаке. Решение очень удобно для администраторов, сотрудников технической поддержки и системных инженеров, которые ищут причины проблем различного характера в виртуальной инфраструктуре и решают их...
Недавно мы писали про критическую уязвимость log4j, которая появилась в компоненте веб-сервера Apache Software Foundation log4j Java logging, а значит и во многих продуктах VMware. Атакующий, который имеет доступ к отсылке логов, может исполнять код, полученный с LDAP-серверов, когда настройка message lookup substitution включена. Это уязвимость типа "zero-day", а значит исправление ее для различных программных продуктов еще находится в процессе.
Если у вас есть средство VMware vRealize Network Insight, предназначенное для мониторинга и защиты сетевой инфраструктуры виртуальной среды на уровне приложений в онпремизном и облачном датацентре, то вы можете легко обнаружить злоумышленников, которые пытаются использовать уязвимость log4j.
Итак, вам понадобится собранный участниками краудсорсинговой кампании список IP-адресов, а также вот этот Python-скрипт от автора Martijn Smit. В VMware vRNI должен быть включен анализ потоков (flows), кроме того у вас должен быть развернут vRealize Network Insight Python SDK.
Для запуска процесса анализа сетевых подключений и потоков выполняем следующие команды:
Отработают эти команды примерно следующим образом (кликните для анимации):
Также этот скрипт можно запустить и в облачной версии vRealize Network Insight Cloud с токеном Cloud Services Portal API. Для этого надо посмотреть параметры скрипта:
# python3 vrni-log4j-flow-check.py --help
Понятное дело, что если вы найдете соединения с атакующих IP (однако, не все они могут быть вредными, так как в списке много адресов российских провайдеров), то лучше отклонить эти соединения.
Вот еще немного информации по теме, которая может оказаться вам полезна:
Администраторам виртуальной инфраструктуры часто приходится менять параметры виртуальной машины, такие как CPU и память, чтобы проводить разного рода тюнинг и оптимизации. Для таких действий требуется перезагрузка виртуальной машины, что вызывает сложности в планировании.
Раньше подход был таким - к нужной дате/времени, согласованному с владельцами систем, происходила перезагрузка машин, которые за некоторое время уже поднимались в желаемой конфигурации (Desired State). Но это рождает довольно сложный административный процесс такого согласования.
Утилита VMDSC использует другой подход - виртуальные машины окажутся в Desired State при следующей перезагрузке гостевой ОС. Это позволяет не договариваться о простое ВМ в определенные периоды, а просто встраивать процесс реконфигурации процессора и памяти в жизненный цикл систем, когда им и так требуется перезагрузка (например, при накатывании обновлений).
Что нового появилось в VMDSC версии 1.0.1:
Исправлена проблема, когда сервис VMDSC мог использовать неправильный сервисный аккаунт vCenter при восстановлении соединения.
Сценарий первоначальной загрузки виртуального модуля теперь проверяет URL опционального сертификата vCenter CA в форматах DER или PEM.
Теперь в составе есть vRealize Log Insight VMDSC Content Pack (1.0), который реализует дэшборд для исторических событий VMDSC.
Появилась поддержка модуля PowerVMDSC, которая дает пользователям возможность взаимодействовать напрямую с VMDSC из PowerShell.
Скачать утилиту Virtual Machine Desired State Configuration версии 1.0.1 можно по этой ссылке.
Как знают многие администраторы VMware vSphere, у компании есть очень полезный документ "Security Configuration Guide", который представляет собой основное руководство по обеспечению безопасности виртуальной среды. Последняя версия этого документа содержит 87 настроек (мы писали об этом тут), так или иначе влияющих на безопасность как самой платформы виртуализации, так и виртуальных машин и их гостевых операционных систем.
Документ передает концепцию "Secure by design", что означает, что среда VMware vSphere изначально настроена оптимальным образом с точки зрения безопасности, поэтому вносить изменения вам нужно только в случае наличия каких-либо специальных требований именно в вашей инфраструктуре.
Надо понимать, что конфигурация виртуальной среды в целях обеспечения повышенной (относительно дефолтной) безопасности - это всегда компромисс между защищенностью и удобством использования (как и для любой другой ИТ-системы). Из коробки сама платформа, сервер vCenter и виртуальные машины настроены таким образом, чтобы обеспечить максимальное удобство использования при должном уровне безопасности.
Помните, что изменение настроек безопасности - очень опасная штука, которая требует обязательного документирования и оповещения администраторов об этом. Ведь из-за этого они могут получить проблемы с работой отдельных компонентов, но так и не понять их источника, что будет похуже чисто гипотетической маловероятной атаки, связанной с измененной настройкой.
Сегодня мы посмотрим на 15 действительно полезных рекомендаций и настроек, применение которых не сильно снизит удобство использования, но при этом даст чуть более высокий уровень безопасности, что может оказаться вам в каком-то случае полезным.
Структура списка конфигураций и рекомендаций
Давайте сначала взглянем на колонки Excel-таблицы, которая, по-сути, и является списком настроек и рекомендаций, которые вы можете применить в своей виртуальной инфраструктуре:
Guideline ID - идентификационное имя рекомендации.
Description - лаконичная формулировка сути этой рекомендации.
Discussion - описание влияния настройки на конфигурацию среды и операции, а также обсуждение моментов, которые касаются удобства использования инструментов управления в связи с изменением настройки.
Configuration Parameter - это название расширенной настройки соответствующего компонента, которую вы можете изменить. Понятно дело, что эта колонка заполнена не всегда, так как есть рекомендации, которые регулируются не конкретными настройками, а, например, топологией или подходом к организации среды.
Desired value - рекомендуемое значение, часто оно является значением по умолчанию, если это не site specific.
Default value - то значение, которое установлено по умолчанию.
Is Desired Value the Default? - просто для понимания (и для референса в будущем), установлено ли желаемое значение по умолчанию.
Action Needed - это тип действия, который необходимо предпринять - изменить настройку, проверить конфигурацию или топологию, добавить или удалить что-то и т.п.
Setting Location in vSphere Client - очень полезная колонка, позволяющая вам найти нужную настройку в клиенте vSphere.
Negative Functional Impact in Change From Default? - это как раз информация о влиянии на функционал в случае изменения настройки.
PowerCLI Command Assessment - команда PowerCLI, с помощью которой можно узнать текущее значение настройки.
PowerCLI Command Remediation Example - команда PowerCLI по применению настройки.
Hardening - указывает на то, что это действительно настройка, которой нужно уделить внимание при конфигурации.
Site Specific Setting - говорит о том, что задать конфигурацию должен сам пользователь, в зависимости от его окружения.
Audit Setting - указывает, что вам необходимо время от времени проверять эту настройку, чтобы убедиться, что значение по умолчанию не было изменено необоснованно.
Само руководство разбито на 4 категории, которые понятны всем администраторам:
Хосты ESXi
Сервер vCenter
Виртуальные машины
Гостевые ОС виртуальных машин
Также в документе есть и вкладка "Deprecated" - там находятся те настройки, которые больше не актуальны. Что важно - там помечено, почему это случилось (в колонке Discussion).
Итак, давайте посмотрим на 15 самых интересных и, главное, полезных настроек, которые вы можете изменить, а также рекомендаций, которые вы можете выполнять, чтобы повысить безопасность виртуальной среды в своей инфраструктуре.
Хосты ESXi
Configure remote logging - это действительно правильная рекомендация. Хосты ESXi должны отправлять свои логи на удаленный сервер Syslog. Самый удобный вариант - это использовать в качестве Syslog-сервера решение VMware vRealize Log Insight. Ведь если злоумышленник проникнет на сервер ESXi, то после своей активности он эти логи удалит, и расследовать будет нечего. С централизованного внешнего сервера удалить эти данные сложнее. На работу виртуальной среды эта конфигурация не влияет.
Ensure ESXi management interfaces are isolated on their own network segment - это очевидная, но не всегда выполняемая администраторами конфигурация. Конечно же, вся управляющая инфраструктура виртуальной среды должна находиться в выделенном сегменте сети в своих VLAN, куда имеют доступ только администраторы. То же самое касается и сети vMotion, и сети vSAN.
esxi-7.shell-interactive-timeout и esxi-7.shell-timeout (Set a timeout to automatically terminate idle ESXi Shell and SSH sessions) - по умолчанию сессии командной оболочки и SSH-сессии висят постоянно, что, конечно же, представляет потенциальную угрозу. Лучше ограничить таймаут 600 секундами, чтобы никто эти сессии не смог подхватить.
Only run binaries delivered via VIB - эта настройка позволяет устанавливать бинарные компоненты только через VIB-пакеты, которые соответствуют установленному Acceptance Level. Если вы не пользуетесь посторонними библиотеками кустарного производства, то лучше эту настройку включить. Когда вам понадобится установить такой бинарник - просто включите эту настройку снова. Но это изменение лучше задокументировать.
Enable bidirectional/mutual CHAP authentication for iSCSI traffic - настраивать CHAP-аутентификацию нужно обязательно, чтобы предотвратить атаки, связанные с перехватом трафика к хранилищам. Настраивать это недолго, но зато будет больше уверенности в сохранности данных.
Сервер vCenter
Ensure vCenter Server management interfaces are isolated on their own network segment or as part of an isolated ESXi management network - это та же самая рекомендация по изоляции управляющей сети от сети виртуальных машин, что и для серверов ESXi. Убедитесь, что они надежно разделены с помощью VLAN и других техник.
Ensure that port mirroring is being used legitimately - эта настройка отключена по умолчанию, но зеркалирование трафика на портах vSphere Distributed Switch надо периодически проверять (vSphere Client -> Networking -> Distributed Switch -> Configure -> Settings -> Port Mirroring). Такой способ атаки - один из самых простых в реализации, если у злоумышленника есть доступ к настройкам VDS (обычно в них никто не заглядывает после первичной настройки). То же самое касается и отправки трафика NetFlow, управление которым производится в разделе vSphere Client -> Networking -> Distributed Switch -> Configure -> Settings -> NetFlow.
Limit access to vCenter Server by restricting DCLI / SSH - это разумная рекомендация, чтобы злоумышленник не смог залогиниться в консоль виртуального модуля напрямую или по SSH. Уменьшив поверхность атаки, вы сделаете среду более защищенной. Только не забудьте задокументировать это изменение.
Configure File-Based Backup and Recovery - не ленитесь настраивать и обслуживать бэкап конфигурации вашего управляющего сервера. Однажды это может вам пригодиться как в контексте безопасности, так и в контексте быстрого восстановления системы управления в виртуальной инфраструктуре в случае сбоя.
Configure remote logging - здесь те же рекомендации, что и для ESXi. Не ленитесь настраивать сервер удаленного сбора логов.
Виртуальные машины
Limit the number of console connections - очень часто к консоли виртуальной машины не нужно больше одного подключения ее администратора. В этом случае дефолтное количество 40 одновременных подключений лучше уменьшить до 1. Делается это в разделе VM -> Edit Settings -> VM Options -> VMware Remote Console Options.
Encrypt VMs during vMotion - это полезная настройка. По умолчанию, трафик vMotion шифруется, только если есть такая возможность (Opportunistic). Если у вас хватает вычислительных ресурсов и быстрая сеть, то можно установить это значение в "Required". Это обеспечит защиту от перехвата трафика vMotion, в котором есть данные гостевой ОС виртуальной машины.
Lock the VM guest session when the remote console is disconnected - лучше включить эту настройку и лочить сессию при отключении удаленной консоли, чтобы брошенная администратором сессия в гостевой ОС виртуальной машины не была подхвачена злоумышленником. На удобство работы это не сильно влияет. Изменить эту настройку можно в VM -> Edit Settings -> VM Options -> VMware Remote Console Options.
Гостевая ОС
Ensure that VMware Tools are updated - это просто еще одно напоминание, что нужно постоянно следить за тем, что пакет VMware Tools обновлен до последней версии (и желательно поддерживать единый уровень версий для всех машин). В нем содержится много компонентов (кстати, не устанавливайте ненужные), поэтому уязвимость в одном из них может скомпрометировать множество виртуальных машин. То же самое относится и к версии Virtual Hardware - следите за этим.
Disable Appinfo information gathering - об интерфейсе Appinfo мы писали вот тут (он же Application Discovery). Он позволяет, например, собирать информацию о запущенных приложениях внутри гостевой системы и их параметрах. Механизм Appinfo используется различными решениями, такими как vRealize Operations Manager, для мониторинга на уровне гостевой ОС. Если же вы не используете эти решения в своей виртуальной среде, то данный механизм лучше просто отключить через VMware Tools. Учитывая какое количество багов, касающихся безопасности, в последнее время находится в различных компонентах инфраструктурного ПО, лучше отключить функции Appinfo, которые включены по умолчанию для всех гостевых ОС после установки VMware Tools.
Конечно же, в документе vSphere 7 Security Configuration Guide есть много и других настроек и конфигураций, изменение которых помогут вам повысить уровень безопасности. Иногда это связано с требованиями регулирующих органов или спецификой внутренних политик организации. Поэтому обратите особенное внимание на те конфигурации, которые помечены как Site Specific, а также те, где рекомендуемые значения отличаются от дефолтных. И обязательно документируйте сделанные изменения, а также проводите регулярный аудит наиболее важных настроек.
На днях компания VMware объявила о скором обновлении своего средства NSX-T до версии 3.2. Напомним, что NSX-T - это решение для сетевой виртуализации и агрегации виртуальных сетей датацентров, работающих на базе гибридной среды гипервизоров, физических серверов и контейнеров приложений Kubernetes. О версии VMware NSX-T 3.0 мы писали в прошлом году вот тут.
Давайте посмотрим, что появилось нового в VMware NSX-T 3.2.
Функции мультиоблачной безопасности
Здесь появились следующие улучшения:
1. Возможности Tapless Network Traffic Analysis (NTA)
Функции Network traffic analysis (NTA) и средства для создания песочниц интегрированы в единый NSX Distributed Firewall (DFW). Сам сервис NTA встроен в гипервизор. Вместе с функциями IDS/IPS решения NSX администраторы могут виртуализовать весь стек безопасности и устранить слепые зоны для применения политик безопасности, чтобы контролировать сетевые потоки, безотносительно того, какие физические уровни под ними лежат.
2. Сетевой экран шлюза (Gateway Firewall)
Улучшенный gateway firewall
служит как программный шлюз с возможностью контроля на уровнях L2-L7, включая URL-фильтрацию и расширенные функции предотвращения угроз с возможностями анализа вредоносного ПО и сэндбоксинга.
Это расширяет функции централизованного управления безопасностью на физические нагрузки, периметр датацентра и оконечные устройства, что дает возможность реализовать концепцию east-west и north-south по защите данных под центральным управлением движка NSX Intelligence.
3. Интегрированный механизм NDR и NSX Intelligence
Теперь решение NSX Network Detection and Response (NDR) интегрировано в платформу NSX Intelligence, что позволяет решению NDR понимать сигналы от IDS/IPS, NTA и сэндбокса, чтобы идентифицировать настоящие вторжения. Также NSX Intelligence получил улучшения производительности, а также улучшения движка рекомендаций для правил фаервола.
4. Распределенная Switch-agnostic безопасность
NSX Distributed Firewall теперь поддерживает рабочие нагрузки, развернутые на распределенных группах портов (Distributed Port Groups) распределенных коммутаторов (VDS). Это позволяет реализовать фаервол NSX без внесения изменений в vSphere Distributed Switch и без конвертации портов в N-VDS, а также без развертывания сетевых оверлеев.
Улучшения сетевого взаимодействия и механизма политик
Здесь мы увидим 3 основных улучшения:
1. Работа с сетью и обеспечение безопасности для связки NSX-T и Antrea
Начиная с NSX-T 3.2, сетевые администраторы могут определить политики для Antrea в плане сетевых настроек и безопасности для контейнеров прямо из интерфейса NSX-T Manager. Политики применяются к кластерам Kubernetes на базе Antrea 1.3.1-1.2.2 с использованием interworking controller. Объекты K8s, такие как поды, пространства имен и сервисы, объединяются в инвентаре NSX-T и тэгируются, а значит их можно выбрать при настройке политик Distributed Firewall. Также NSX-T может управлять компонентом Antrea Traceflow и собирать лог-бандлы с кластеров, используя Antrea.
2. Улучшенный координатор миграции
NSX Migration Coordinator был улучшен, теперь он поддерживает определенные пользователем топологии NSX, больший масштаб развертываний и другие возможности, которые ранее не поддерживались, например, VMware Integrated OpenStack (VIO), фиксированные топологии OSPF, функции guest introspection для партнеров, которые поддерживают Migration Coordinator, а также конфигурации identity-based firewall (IDFW/RDSH).
3. Функции NSX Federation
Эти возможности впервые были представлены в NSX-T 3.0. Они позволяют через NSX Global Manager централизованно управлять распределенной виртуальной сетью в нескольких локациях, поддерживая их в синхронизированном виде с точки зрения конфигурации, политик безопасности и операционного управления.
Теперь NSX Federation поддерживает репликацию тэгов виртуальных машин между local managers, что позволяет виртуальным машинам при восстановлении после сбоя сохранить нужные политики безопасности. Также в NSX-T 3.2 есть мониторинг состояния каналов коммуникации между global и local manager.
Улучшения настройки сети и операций
В этой категории VMware сделала 4 основных улучшения:
1. Улучшенное развертывание NSX
Теперь администраторы могут развернуть NSX-T manager и различные сценарии networking and security напрямую из клиентов vSphere. Также есть guided workflows, которые упрощают развертывание NSX Manager и настройку политик.
2. Упрощенное развертывание для NSX Advanced Load Balancer
Установка NSX Advanced Load Balancer (ALB) теперь стала проще за счет тесной интеграции с NSX Manager. Вы можете использовать графический интерфейс NSX Manager для установки и настройки контроллеров NSX Advanced Load Balancer, после чего запустить ALB UI для настройки расширенных параметров. Также появились возможности по миграции своего решения по балансировке с NSX for vSphere на VMware NSX Advanced Load Balancer с использованием Migration Coordinator.
3. Поддержка vRealize Network Insight Support для NSX-T Federation and Firewall
Тесная интеграция между vRealize Network Insight 6.4 и NSX-T Federation позволяет улучшить сетевую видимость между разными датацентрами на базе NSX-T на разных уровнях: глобальном, региональном и уровне локального сайта. Новые возможности позволяют оптимизировать производительность и просмотр сетевых потоков VM-to-VM как в рамках одного сайта, так и между сайтами в рамках федерированной топологии. vRealize Network Insight 6.4 теперь поддерживает NSX-T Distributed Firewall (DFW) на распределенных порт-группах (Distributed Port Groups, DVPG), что дает дополнительные возможности анализа незащищенных потоков трафика, возможности безопасности, такие как Name Space (NS) groups, а также правила распределенного фаервола на существующих группах vSphere VLAN DVPG.
4. Улучшения сетевого мониторинга и механизма решения проблем
Новые функции Edge и L3 time-series monitoring позволяют получить представления во времени для метрик Edge и L3, такие как использование CPU, памяти, диска, пакетов в секунду, байтов в секунду, packet drop rate и многое другое в NSX Manager. Это позволяет сетевым администраторам получать больше данных для анализа в историческом контексте. Функции Live Traffic Analysis в NSX Manager дают возможность производить оперативную диагностику и решение проблем в плане состояния кластера, компонентов управления, федерации, состояния транспортных узлов, distributed firewall, Edge, VPN, NAT, Load Balancing и платформы NSX Application Platform.
Компания VMware на днях выпустила новую версию флагманской платформы для виртуализации и доставки виртуальных ПК и приложений Horizon 8 2111. Напомним, что формат версий для продуктов Horizon Server, Horizon Client, Horizon Agent и Horizon Console указывается в формате YYMM. Например, эта версия от ноября 2021 года - 2111. О прошлой версии 2106 мы писали вот тут.
Давайте посмотрим, что именно нового появилось в Horizon 8 2111:
1. Более предсказуемая поддержка Horizon
Теперь клиентам VMware дается 30-дневный бесплатный период по истечении оплаченного периода Horizon, чтобы пользоваться услугами техподдержки, пока руководство занимается вопросом продления лицензий. Также появился релиз Extended Service Branch (ESB) Maintenance Release, который расширяет поддержку Horizon 8 2111 до 36 месяцев. Ну и прямой апгрейд с версий ESB 7.10.3 и 7.13.1 теперь полностью поддерживается. За более подробной информацией можно обратиться к KB 86744.
2. Улучшение эффективности и безопасности мгновенных клонов (Instant Clones)
Технология мгновенных клонов позволяет развертывать персонализированные десктопы на базе эталонного образа. Теперь администраторы могут указать, где именно будут развернуты эти клоны, включая подмножество на уровне пула. Образы можно проверить еще до того, как раскатывать их на уровень всего пула, что позволяет соблюсти гранулярность развертывания в целях тестирования.
Второе улучшение - это более глубокая интеграция между сервисами Horizon и Carbon Black, что дает дополнительные возможности безопасности для VDI-окружений. Carbon Black в фоновом режиме сканирует на вирусы и вредоносное ПО эталонный образ связанных клонов, еще до того, как из него начинают развертываться десктопы.
После того, как сканирование закончено, у образа появляется статус "ready to clone". Вот как это работает:
3. Оптимизация Windows для виртуального окружения
Многие из вас знают про очень полезную утилиту Windows OS Optimization Tool for VMware Horizon, которая предназначена для подготовки гостевых ОС к развертыванию и проведению тюнинга реестра в целях оптимизации производительности, а также отключения ненужных сервисов и запланированных задач.
Теперь эта утилита официально стала частью решения VMware Horizon. Она выполняет функции оптимизации эталонного образа, устраняя ненужные примочки из Windows, чтобы десктопы были более легковесными и работали быстрее. Также теперь появилась поддержка Windows 11 и Windows Server 2022.
4. Улучшенный траблшутинг с функцией Events Filtering
Каждое действие, совершенное в инфраструктуре Horizon, попадает в базу данных. В новом релизе появилась возможность более гранулярной фильтрации событий в консоли Horizon Console - теперь можно выбирать кастомный диапазон дат, а также применять дополнительные критерии фильтрации, такие как серьезность, модуль события, источник и многое другое. Администраторам теперь не нужно делать запросы к базе данных - встроенный функционал позволяет легко получить доступ к данным событий.
5. Улучшенная безопасность пользователей и решение проблем с помощью VMware Horizon Recording
Многим администраторам Horizon известна утилита Horizon Session Recording, которая теперь называется VMware Horizon Recording и стала частью Horizon. Данная утилита предназначена для записи пользовательских сессий и активности в виртуальных десктопах и приложениях. С помощью Session Recording администратор Horizon имеет возможность перенаправить запись экрана сессий пользователей, сделанных в определенное время, на центральный сервер, где потом он может воспроизвести их в HTML5-консоли. Саму сессию в виде видеофайла можно скачать как MP4 для воспроизведения в локальном плеере.
Вот как это работает:
6. Поддержка нескольких экранов для Samsung Desktop Experience (DeX)
Технология DeX позволяет мобильным устройствам Samsung соединяться с внешним монитором, чтобы отображать картинку в большом формате. Теперь Horizon оптимизирован для DeX на Android-устройствах, что дает возможности конечным пользователям применять решения по виртуализации настольных ПК для больших экранов, имея только телефон или планшет в качестве устройства доступа.
7. Решение Microsoft Teams теперь доступно для Google Chrome OS и HTML Access
Технология Microsoft Teams Optimization теперь была добавлена в клиент Horizon Chrome и HTML Access. Это позволяет полноценно использовать Teams на хромбуках для видеозвонков, получая отличное качество картинки и аудио. Можно использовать браузеры Chrome или Microsoft Chromium Edge. Полный список поддерживаемых фич Teams можно найти в Release Notes.
8. Улучшенная производительность и уменьшенное использование канала кодеком Blast
В Horizon 8 2111 на 17% была улучшена плотность сессий на хост RDSH, которая достигла 88. Также на 10% была улучшена плотность сессий Windows Virtual Desktops (WVD) - их может быть до 37. Кроме того, были сделаны некоторые оптимизации использования CPU, а кодек Blast теперь потребляет на 9.5% меньше пропускной способности канала.
9. Независимость версий клиента и агента
Обычно версии клиента и агента должны были соответствовать друг другу, чтобы работать корректно. Теперь же между ними нет тесной связи, так как они могут отличаться на плюс-минус одну версию. Это дает больше пространства для тестирования инфраструктуры при ее апгрейде.
10. Защита виртуальных ПК и приложений от кейлоггеров на клиенте для Mac
Теперь на Mac-клиенте работает антикейлоггер, который не позволяет вредоносному ПО записывать нажатие клавиш, что может привести к угону паролей с клиентов.
11. Улучшенная работа для приложений по запросу
Приложения, доставляемые с помощью технологии App Volumes, позволяют пользователям быстро получать доступ к новым установленным приложениям за счет подключения виртуальных томов в реальном времени. В этом релизе App Volumes доставляет только те приложения, которые нужны конечному пользователю.
Поэтому администратор может назначить только необходимые ему приложения, которые устанавливаются по запросу от пользователя, из списка доступных приложений. Это приводит к ускорению времени загрузки, а также не дает пользователю доступ к тем приложениям, которые ему не нужны.
Вот как это работает:
12. Хранение пользовательских профилей в облаке Microsoft OneDrive for Business
Теперь VMware Dynamic Environment Manager (DEM) интегрирован со службами Microsoft OneDrive for Business, что позволяет хранить профили пользователей на их собственных хранилищах OneDrive. Это позволяет легко и гибко использовать профиль, доступный напрямую из публичного облака, и не использовать SMB-ресурсы компании.
На днях компания VMware обновила свое облачное решение VMware vRealize Log Insight Cloud. Напомним, что это решение предназначено для аналитики лог-файлов и мониторинга инфраструктуры в облаке. О прошлой версии этого продукта мы писали вот тут.
Давайте посмотрим, что появилось нового в декабрьском обновлении vRLI Cloud:
1. Расширение локаций, где доступен продукт
Теперь Log Insight Cloud можно получить в регионе Asia Pacific (Tokyo, Japan).
Таким образом, полный список доступных регионов выглядит так:
US West (Oregon)
Europe (London, Frankfurt)
Canada (Central)
Asia Pacific (Sydney, Singapore)
South America (Sao Paulo)
Asia Pacific (Tokyo, Japan)
2. Загрузка локальных логов в облако
Часто администраторы загружают лог-файлы своей онпремизной инфраструктуры в облако во время пробного периода, для этого и предусмотрели данную возможность. Можно загружать файлы в формате .log и .txt и 10 файлов одновременно (до 10 МБ каждый).
3. Интеграция с AWS Lamba и HashiCorp Vault
Новая возможность интеграции с функциями платформы AWS Lambda теперь позволяет перенаправить логи CloudWatch, CloudTrail и многих других сервисов в Log Insight Cloud. Если вам нужна дополнительная безопасность по хранению учетных данных, то можно использовать функции интеграции с защищенным хранилищем учетных данных HashiCorp Vault.
4. Новые функции аудита событий через VMware Cloud Services Content Pack 2.0
Дополнительные аудируемые события контент-пака были добавлены для того, чтобы соблюсти регуляторные требования платформы VMware Cloud Service Portal (CSP). Теперь в VMware Cloud Services Content Pack 2.0 есть следующие новые события:
Access Request Raised by Org Members
Access Request Raised by Non Org Members
Entitlement Request for Org Member Cancelled
Entitlement Request for Non Org Member Cancelled
Entitlement Request Actions
Entitlement Request Approval Actions
Violation Policies Updated
Entity Violations Count Update OAuth App
Entity Violations Count Update API Token
Advance Features Toggled
5. Поддержка SSL для Cloud Proxy
Cloud Proxy получает логи и информацию о событиях из разных источников мониторинга и отправляет эти данные в vRealize Log Insight Cloud, которые уже дальше запрашиваются и анализируются. Теперь эти логи могут пересылаться по защищенному каналу SSL.
6. Алерты об изменении статуса форвардинга логов
Теперь по почте можно получать оповещения о следующих событиях:
Log Forwarding Disabled Temporarily – перенаправление логов отключено на несколько следующих минут, ввиду обнаружения слишком большого количества ошибок на источнике.
Log Forwarding Disabled – перенаправление логов отключено постоянно из-за невозможности установить соединение.
Попробовать vRealize Log Insight Cloud в виртуальной тестовой лаборатории и запросить пробную версию в облаке VMware Cloud on AWS можно по этой ссылке.
На сайте проекта VMware Labs обновилась полезная для администраторов VMware vSphere утилита VMware DRS Sump Insight до версии 2.1. Напомним, что это портал самообслуживания, куда пользователи могут загружать файлы дампов DRS. После этого будет выведена информация об операциях по перемещению виртуальных машин, которые рекомендует выполнить механизм балансировки нагрузки DRS. О прошлых версиях этой утилиты мы писали тут и тут.
В новой верси не так много нововведений:
Добавлена поддержка дампов VMware vSphere 7.0 Update 2 и Update 3
Минорные улучшение интерфейса и бэкенда
Исправления ошибок
Напомним также о специальном плагине на базе HTML5 к vSphere Client для данного сервиса. Он добавляет функции утилиты DRS Dump Insight в интерфейс vSphere Client, работающего с сервером vCenter Server Appliance (vCSA).
Скачать VMware DRS Sump Insight 2.1 можно по этой ссылке.
Не так давно мы рассказывали о продукте NAKIVO Backup & Replication, который является одним из лидеров в сфере решений для резервного копирования и защиты данных виртуальной инфраструктуры, его основных возможностях и областях применения. Сегодня мы рассмотрим новые возможности версии 10.5, которая вышла недавно и доступна для загрузки.
Аналитическая компания Gartner выпустила отчет "2021 Magic Quadrant for Hyperconverged Infrastructure Software", отражающий ситуацию на рынке гиперконвергентной инфраструктуры. Это такая инфраструктура, где все ее вычислительные ресурсы, системы хранения и сети виртуализованы и собраны в единую интегрированную сущность и управляются из одной точки.
Компания VMware заняла в этом квадранте место лидера (надо отметить, что учитывались не только онпремизные, но и облачные HCI-инициативы), расположившись рядом со своим главным конкурентом в этой сфере - компанией Nutanix:
Может показаться, что многие вендоры гиперконвергентных решений просто сошли с дистанции за пару лет. Давайте взглянем на тот же квадрант за 2018 год, где были решения от HPE, Dell EMC и Cisco:
Но дело совсем не в этом, просто поменялась методика определения игроков - теперь в квадрант добавляют только тех вендоров, которые предоставляют интегрированное решение для гиперконвергентной инфраструктуры на базе серверов, а значит оттуда убрали Cisco, Dell EMC, HPE, Huawei и Red Hat. Более подробно об этом вы можете почитать здесь.
VMware занимает место в квадрате лидеров заслуженно, несмотря на то, что не занимается производством аппаратного обеспечения. Очевидно, что в гиперконвергентной среде сложно построить инфраструктуру на базе одного вендора, поэтому в любом случае нужны решения для виртуализации и агрегации ресурсов.
Приятно также видеть среди ведущих HCI-производителей компанию StarWind Software, флагманским продуктом которой в HCI-сфере является программно-аппаратное решение StarWind HyperConverged Appliance (HCA), о котором мы писали вот тут.
Скачать отчет 2021 Magic Quadrant for Hyperconverged Infrastructure Software можно по этой ссылке.
Сегодня мы поговорим об улучшениях в плане производительности платформы VMware vSphere 7 Update 3, о которых рассказано в обновившемся недавно документе "What’s New in Performance for VMware vSphere 7?". О похожем документе о производительности платформы vSphere 7 Update 2 мы писали в начале осени тут.
Давайте посмотрим, что нового в vSphere 7 U3 в плане производительности:
1. Масштабируемость виртуальных машин
Теперь максимальные параметры ВМ, доступных в vSphere выглядят так:
2. Оптимизации рабочих нагрузок, чувствительных к задержкам
Гипервизор VMware ESXi был еще больше оптимизирован, чтобы быстрее исполнять приложения, чувствительные ко времени отклика и задержкам (ultra-low-latency applications), уменьшены jitter и interference для приложений реального времени. Для этого было сделано множество оптимизаций в плане обработки прерываний. Чтобы воспользоваться этой функцией (low-latency mode) ее надо включить в BIOS машины.
3. Технология vSphere Memory Monitoring and Remediation (vMMR)
Размер памяти DRAM влияет на 50-60% стоимости самого сервера. При этом 1TB DRAM - это уже 75% этой стоимости. Поэтому VMware давно борется с этим, и одна из возможных оптимизаций здесь - использование Intel Optane Persistent Memory Mode, когда железо использует DRAM как кэш и представляет PMem как основную память системы. PMem более дешевая технология, но имеет побольше задержки (latency).
С помощью vSphere Memory Monitoring and Remediation (vMMR) можно следить за работой памяти в режиме Intel PMem Memory Mode и получать алерты когда ESXi исчерпывает память DRAM, что может привести к падению производительности сервера.
4. NVMe over TCP/IP
В релизе vSphere 7.0 была анонсирована поддержка технология NVMe over Fabrics, где первоначально поддерживались только протоколы FC и RDMA. Теперь же поскольку SSD-хранилища продолжают набирать популярность, а транспорт Non-Volatile Memory Express (NVMe) стал стандартом для многих типов систем, в vSphere 7 Update 3 появилась поддержка и NVMe over TCP, которая позволяет использовать стандартную инфраструктуру TCP/IP, оптимизированную под Flash и SSD, для трафика хранилищ. Это поможет в некоторых случаях существенно сэкономить на оборудовании при поддержании высокого уровня производительности.
Некоторые Enterprise-администраторы знают, что у VMware есть такой сервис Skyline, предназначенный для проактивного получения рекомендаций по технической поддержке продуктов линейки VMware vSphere, включая vSAN. В частности, с помощью VMware Skyline пользователи и инженеры технической поддержки VMware (Technical Support Engineers, TSEs) могут просматривать некоторые заключения о работе виртуальной инфраструктуры и основные рекомендации по ее улучшению.
Skyline Advisor Pro построен на базе ранее существовавшего продукта Skyline Advisor, который доступен пользователям подписок Production и Premier, vRealize Cloud Universal, а также Success 360. С помощью этого решения пользователи могут получать проактивную аналитику для своей виртуальной инфраструктуры в целях идентификации текущих и будущих проблем. Оно поддерживает не только продукты vSphere, vSAN, NSX, vROps и Horizon, но и среды Cloud Foundation и Dell EMC VxRail.
Давайте взглянем на новые возможности этого продукта.
1. Теперь Skyline Advisor Pro работает быстрее.
В Skyline Advisor Pro реализован движок ускоренного анализа инфраструктуры, понимания необходимости обновлений и отслеживания изменений. Теперь вместо 48 часов в прошлой версии, сбор проблемных моментов и изменений inventory занимает 4 часа, что позволяет быстрее реагировать на инциденты и удобнее планировать активности администраторов по решению проблем (картинка - кликабельный gif):
2. Улучшения движка аналитики
Теперь Skyline Advisor Pro дает больше инсайтов об окружении, например, появился новый раздел End of Life Insights. В нем показывается, когда ваши развернутые решения больше не будут поддерживаться (окончание фаз General Support и Technical Guidance) в плане выпуска патчей, апдейтов и багофиксов. Эта возможность часто запрашивалась пользователями, чтобы дать возможность планирования своевременных апгрейдов виртуальных сред.
Кликните на картинку, чтобы открыть gif:
3. Функция Historical Insights
С помощью исторических данных Historical Insights администраторы могут ассоциировать некоторые ключевые события в своем окружении (например, изменения конфигурации) с рекомендациями, которые были сгенерированы в этот отрезок времени. Это позволяет в ретроспективе оценить полезный эффект от применения рекомендаций.
Посмотрите, как это работает (картинка кликабельна):
4. Функция Proactive Insights Report for Success 360
Она доступна только пользователям подписки Success 360 и предоставляется отдельной командой ИТ-специалистов VMware. Отчеты Proactive Insights генерируются при ее участии и могут быть использованы для регулярных проверок состояния виртуальной среды (там указаны конкретные действия по улучшению, которые были предприняты, а также еще имеющиеся рекомендации).
Также в этих отчетах доступно поле Resolution Type, которое определяет примерный объем усилий, которые нужно приложить для исправления проблемы. Например, применение некоторых рекомендаций не требует перезагрузки и их можно сгруппировать в единый пакет, применив который можно уже переходить к более "тяжелым" рекомендациям.
Ну и полезной также является возможность оставлять комментарии и пожелания о том, что планируется или хотелось бы сделать, чтобы совместно корректировать траекторию по оптимизации инфраструктуры (картинка кликабельна):
5. Новый Insights API
Теперь Skyline Advisor Pro предоставляет Insights API, который предоставляет данные Findings и Recommendations через программный интерфейс для любых сторонних решений в вашей инфраструктуре. Например, данные Findings можно отправить в Slack или создать тикет в ITSM-системе на базе информации, предоставленной Skyline Advisor Pro. Вот как это работает (кликните на картинку):
Также о работе Insights API есть отдельное видео:
Более подробно о продукте и сервисах VMware Skyline Advisor Pro можно узнать на этой странице.
Компания VMware обещала большие новости о своем пакете решений vRealize True Visibility и вот недавно их объявила: теперь 19 менеджмент паков для вычислительных ресурсов и хранилищ доступны для всех пользователей продукта vRealize Operations. Также произошли некоторые изменения в самом пакете vRealize True Visibility Suite, а также были выпущены новые модули vRealize True Visibility Technology Modules, лицензируемые на базе метрик.
1. Management Packs для вычислительных ресурсов и хранилищ.
Теперь пользователи vRealize Operations получают доступ к 19 пакетам vRealize True Visibility Suite, которые позволяют получить доступ к глубоким метрикам, число которых превышает 1000.
Также пользователи получают новые детализированные дэшборды и статистики в реальном времени, которые помогают решать проблемы на всех уровнях оборудования.
Вот пример дэшборда, который отображает состояние дисковых массивов от разных вендоров в едином представлении Operations:
В данном случае удобно, что массивы представлены на одном экране с соответствующими Scoreboards, которые легко сравнивать между собой.
Также на ресурсе VMware Code доступны примеры дэшбордов, которые можно использовать в своем производственном окружении.
2. Изменения в пакете vRealize True Visibility Suite.
Издания vRealize True Visibility Suite Advanced и Enterprise были немного переработаны, чтобы соответствовать ожиданиям пользователей. Теперь Management packs перемещены из категории "Connectors", а менеджмент пак ServiceNow перемещен в vRealize True Visibility Suite Advanced. Вот наглядное представление изменений:
3. Новые модули vRealize True Visibility Technology Modules
Для тех пользователей, которые хотят расширить возможности своей инфраструктуры мониторинга за счет модулей vRealize True Visibility Technology Modules, теперь есть возможности добавить их из разных категорий: Connectors, Network, Virtualization/Containers, Database и Applications. Каждый из модулей лицензируется на базе метрики, определенной для данной категории (по числу объектов, устройств, виртуальных машин и т.п.).
Вот так выглядит полная экосистема доступных модулей:
Скачать 60-дневную пробную версию vRealize True Visibility Suite можно по этой ссылке.
В начале осени, в рамках прошедшей конференции VMworld 2021 Online, компания VMware представила свое виденье развития концепции виртуализации и агрегации хранилищ корпоративных инфраструктур - Federated Storage Platform (FSP).
Проблема современного подхода к организации хранилищ состоит в том, что аппаратные комплексы в датацентре представлены разными моделями, производителями, а также поколениями в рамках одной продуктовой линейки. Ввиду этого администраторам приходится разрабатывать набор административных регламентов по обслуживанию жизненного цикла таких хранилищ - ввод в эксплуатацию, развертывание новых сервисов, обеспечение высокой доступности и план по изменению емкостей - вывод устаревших систем и расширение существующих емкостей. Ко всему этому добавляются Day-2 Operations и обеспечение безопасности хранения данных виртуальных и физических сред.
Как итог - корпоративная инфраструктура предприятия не может обеспечить те же преимущества, что и унифицированная облачная среда, которая избавляет администраторов от заботы об оборудовании и, в частности, хранилищах.
Проблему отчасти решает подход к организации гиперконвергентной инфраструктуры (Hyperconverged Infrastructure, HCI), например, концепция HCI Mesh. Но этого было недостаточно, и VMware запустила радикальную инициативу - Federated Storage Platform (FSP) - решение, которое приведет к унификации операций онпремизных и облачных сред в плане хранилищ за счет их виртуализации и агрегации.
С помощью VMware FSP можно будет управлять любым числом хранилищ разных вендоров, с которыми работает любое количество управляющих серверов vCenter:
Здесь будет 2 ключевых сущности:
Common volumes - это новый слой представления ресурсов хранения от гетерогенных кластеров vSAN, томов vSphere Virtual Volumes дисковых массивов, а также NFS-массивов. Все это будет объединено на уровне пулов.
Data center control plane - новый слой управления инфраструктурой хранения на базе эластичных пулов с возможностью полного доступа к имеющимся емкостям. Все это позволит видеть ресурсы хранения как в облаке, безотносительно имеющихся моделей массивов и топологий.
FSP будет полностью интегрирован в уже имеющимся механизмом политик хранения SPBM (vSphere Storage Policy Based Management), предоставляя гибкие пулы хранения для уровня приложений на базе их потребностей. Платформа VMware vSphere будет выступать как один из потребителей ресурсов в рамках этой концепции.
Для обеспечения различных уровней сервиса будут работать расширенные политики FSP, такие как квоты на емкости и ограничения по производительности, чтобы обеспечить ярусность хранения и работы с данными.
В рамках FSP процесс добавления или списания хранилищ будет бесшовным, то есть не вовлекать физическую коммутацию, которая будет выводиться за рамки процесса управления единым пулом хранилищ. Например, FSP может автоматически обнаружить новое уже подключенное хранилище, после чего добавить его в общий federated пул и начать балансировку нагрузок посредством VMware vSphere Storage vMotion.
Сейчас администраторам приходится вручную выполнять операции SVMotion для ввода новых хранилищ в эксплуатацию и их вывода, а FSP будет делать все это автоматически в "lazy"-режиме, чтобы обеспечивать уровень производительности виртуальной среды.
FSP будет интегрирована с драйвером vSphere CSI в Kubernetes, а также технологией CNS (Cloud Native Storage). Разработчики смогут потреблять дисковые емкости в рамках классов через FSP, а администраторы получать полную видимость использования таких хранилищ на уровне всего датацентра.
Сейчас решения VMware vSphere with VMware Tanzu и TKG-S VMware Tanzu Kubernetes Grid могут развертывать рабочие нагрузки в рамках пространств имен кластера, а FSP даст возможность развернуть приложения на любом хранилище в любом кластере на базе любых доступных политик.
Сейчас с помощью x-vMotion виртуальную машину можно перемещать между кластерами и разными инфраструктурами vSphere. FSP расширит эти возможности, позволяя виртуальным машинам и контейнеризованным приложениям свободно "путешествовать" между кластерами, инфраструктурами и пространствами хранения - при этом под полным контролем управляющего слоя.
В начале октября компания VMware представила платформу Tanzu Community Edition. Это такой бесплатный open source дистрибутив VMware Tanzu, который поддерживается со стороны открытого сообщества, а устанавливается за считанные минуты на локальную рабочую станцию или в облаке.
Появление Tanzu Community Edition - это часть стратегии VMware по популяризации своего решения для работы с кластерами Kubernetes среди инженеров, которые могут осваивать эту платформу бесплатно, а потом уже переходить на коммерческие решения, если у компаний появляется в этом необходимость.
Многие инженеры знают, что различные компоненты инфраструктуры Kubernetes не так-то легко развернуть и начать использовать (например, взгляните на инфографику Cloud Native Computing Landscape), поэтому VMware в решении Tanzu Community Edition сделала упор на простоту развертывания и эксплуатации компонентов, сохраняя при этом Enterprise-возможности решения.
Эта экосистема содержит набор проверенных решений, которых вам будет достаточно для организации доставки сервисов Kubernetes в контейнеризованных приложениях, а также мониторинга этой инфраструктуры.
Самый важный момент тут в том, что эту среду, которую сейчас вы используете для экспериментов и первых развертываний, потом можно будет перевести на коммерческие издания VMware Tanzu без каких-либо потерь.
Tanzu Community Edition - это полностью бесплатное open source решение, которое не ограничено ни с точки зрения использования ресурсов, ни с точки зрения функциональности. В нем нет ограничений по времени использования и недоступных функций, которые открываются при покупке полной версии решения - продукт можно использовать сразу и в производственной среде.
Если вам не хочется проводить процедуры по развертыванию компонентов, то VMware предлагает попробовать Tanzu Community Edition в песочнице. Также для администраторов доступны обучающие материалы с ресурсов KubeAcademy и Tanzu Developer Center. Ну и, конечно же, не надо забывать об образовательном потенциале самого сообщества вокруг бесплатного продукта.
За несколько минут можно развернуть Tanzu Community Edition на платформе VMware vSphere, в публичном облаке (например, Amazon AWS), либо вообще на локальной рабочей станции.
Очевидно, что основное назначение Tanzu Community Edition в бесплатном варианте - это эксперименты, обучение администраторов, подготовка к сертификациям по Kubernetes и прочее, но для создания первых компонентов инфраструктуры контейнеров приложений этого будет вполне достаточно.
Скачать VMware Tanzu Community Edition можно по этой ссылке. Ну а о том, как начать развертывать и использовать данную платформу, написано вот в этой статье блога VMware.
Update: вот еще отличное видео о том, как начать работу с VMware Tanzu Community Edition:
Этой осенью мы писали о новых возможностях флагманской платформы виртуализации компании VMware - vSphere 7 Update 3 и Update 3a. При этом мы забыли рассказать о новой версии платформы для создания отказоустойчивых хранилищ VMware vSAN 7 Update 3. Сегодня мы закроем этот пробел.
Итак, вот какие новые возможности были добавлены в VMware vSAN 7 Update 3:
1. Cluster Shutdown
Эта функция позволяет вам погасить все хосты кластера для проведения обслуживания, даже в том случае, если они исполняют серверы vCenter. Для начала процедуры выключения хостов нужно выбрать пункт "shutdown cluster" из контекстного меню кластера и запустить двухшаговый мастер.
На первом этапе пройдут предпроверки, которые убеждаются в том, что в данный момент нет активных задач ресинхронизации, отсутствуют хосты в режиме обслуживания, служебные ВМ выключены и другое:
2. Поддержка vLCM для виртуального модуля Witness Appliance
Теперь жизненной цикл виртуальной машины Witness Appliance в кластере можно обслуживать с помощью vSphere Lifecycle Manager (делать апгрейд и прочее).
3. Функции Skyline Health Correlation
С помощью возможности Skyline Health Correlation пользователи, которые видят множество срабатывающих в кластере алармов, понимают, что им нужно сделать. В vSAN 7 U3 можно понять корреляцию между событиями и сделать вывод о наиболее вероятной проблеме. Далее уже можно приступать к поиску корневой причины.
4. Возможность IO Trip Analyzer
IO Trip Analyzer - это средства, которые позволяют посмотреть информацию о задержках (latency) на каждом из уровней в форме диаграммы. Вот небольшой обзор этого инструмента от Дункана Эппинга:
5. Вложенные домены отказа Nested Fault Domains для 2-узловых кластеров
Домены Nested Fault Domains для 2-узловых кластеров предназначены для пользователей, которые хотят получить устойчивую к отказам конфигурацию на базе всего двух хостов ESXi. Для этого нужно иметь как минимум 3 дисковых группы на хост на каждом из узлов, после чего создается массив RAID-1 между этими двумя хостами, а также RAID-1 внутри каждого из хостов (можно также использовать RAID-5, если у вас достаточное количество дисковых групп). Если упадет один из хостов ESXi, а потом и еще один из дисков на выжившем хосте - то виртуальные машины все равно продолжат работать.
6. Функции Enhanced Stretched Cluster Durability
Мы уже писали о возможностях Enhanced Data Durability для кластеров vSAN, позволяющих еще больше защитить кластер хранилищ от аварий и сбоев, которые могут происходить не в один момент, а друг за другом на протяжении некоторого времени.
Теперь функции Enhanced Stretched Cluster Durability позволяют обработать ситуацию, когда отказывает одна из площадок растянутого кластера, а после этого и компонент Witness сторонней площадки. В этом случае ВМ растянутого кластера ранее оказывались недоступны, потому что последовательно происходил отказ двух из трех компонентов RAID растянутого кластера. В случае одновременного отказа сайта и компонента Witness происходила блокировка второго сайта и для обеспечения консистентности данных и защиты от ситуации Split Brain. Теперь же происходит обработка и ситуации последовательного отказа сайта и Witness.
В этом случае обеспечивается строгая консистентность данных виртуальных машин, так как упавший сайт может лежать достаточно долго.
Если все дисковые объекты виртуальных машин сохранились на работающей площадке, то даже в случае недоступности Witness все виртуальные машины продолжат свою нормальную работу. Более подробно об этой возможности Дункан рассказал вот тут.
7. Механизм Access Based Enumeration для SMB-шар через службы vSAN File Services
До vSAN Update 3, если пользователь имел доступ к SMB-шаре, то он мог просматривать список всех ее каталогов. Теперь же с помощью Access Based Enumeration для служб vSAN File Services пользователь видит только назначенные ему папки.
Посмотреть полный список новых возможностей VMware vSAN 7 Update 3 можно в Release Notes, а загрузить продукт можно по этой ссылке.
Также в комментариях поделились полезным видео от русской команды VMware, где рассказывается не только о новых возможностях vSAN 7 Update 3, но и о нововведениях vSphere и Tanzu в новом апдейте:
На сайте проекта VMware Labs появилось еще одно полезное средство для администраторов виртуальной инфраструктуры - vSphere Diagnostic Tool. Оно представляет собой python-скрипт, который запускает диагностические команды на виртуальном модуле Photon OS (на его базе построен, например, vCenter Server Appliance), а также в перспективе это будет работать и в среде VMware ESXi.
Основное назначение данной утилиты - дать администраторам быстрое средство траблшутинга, которое они могут использовать для первичной идентификации наиболее распространенных проблем. Если все проверки пройдут успешно, то дальше уже можно более глубоко изучать логи и проводить дополнительные тесты.
Интересно, что данный продукт уже был протестирован во внутренней команде поддержки VMware, которая опробовала его на реальных пользователях.
Для vCenter Server Appliance 6.5 или более поздней версии можно выполнить следующие тесты:
Базовая информация о vCenter
Проверка Lookup Service
Проверка AD
Проверка сертификатов vCenter
Проверка основных файлов (Core File)
Проверка диска
Проверка vCenter DNS
Проверка vCenter NTP
Проверка портов vCenter
Проверка аккаунта Root
Проверка служб vCenter
Проверка механизма VCHA
В качестве результатов будет выдан один из статусов Pass/Warning/Fail, а также для статусов Warning и Fail выводятся ссылки на статьи KB, которые могут пригодиться для решения проблем в данной категории.
Команда заявляет, что в бэклоге проекта еще более 100 планируемых фич, поэтому следите за обновлениями скриптов. Скорее всего, данное средство включат в будущем в состав инфраструктурных продуктов линейки VMware vSphere для проверки виртуальных модулей на базе Photon OS (а это уже почти все продукты, построенные на базе хостовой ОС Linux, вроде vCSA).
Скачать vSphere Diagnostic Tool можно по этой ссылке.
Таги: VMware, vSphere, vCSA, Labs, Troubleshooting, ESXi, Support
RSS
