В прошлой статье мы рассказали об основах применения решения Symantec Data Center Security для защиты центров обработки данных. В этой статье пойдет речь о втором продукте из набора Data Center Security: Server Advanced. Ряд производителей безагентских антивирсуных решений для VMware, понимая ограничения возможностей API vShield Endpoint, - выпускают легкие агенты, которые позволяют лучше защищать виртуальные машины...

На фоне нестабильности валютных курсов многие зарубежные поставщики сегодня, по факту, существенно повысили цены для российских потребителей – как на оборудование, так и на аренду ресурсов облака.

Компания ИТ-ГРАД, в отличие от западных и многих российских IaaS-провайдеров, предлагает аренду виртуальной инфраструктуры по фиксированным ценам в рублях, а для тех, кто до конца января 2015 года успеет заключить договор на аренду Виртуального дата-центра мы предоставим цены и условия 2014 года.

Виртуальный дата-центр ИТ-ГРАД это:

• Идеальная среда для размещения корпоративной ИТ инфраструктуры, включающей сервисы повышенной доступности, в том числе с высоконагруженными базами данных с гарантированной производительностью до нескольких сотен тысяч IOPs благодаря распределенному SSD-кешированию – как на уровне системы хранения данных, так и непосредственно на хостах.
• Максимальное использование функциональности последних версий гипервизора VMware в части высокой доступности, изоляции и обеспечения безопасности клиентов облака.
• Успешная практика размещения в облаке приложений SAP HANA и Hybris.
• Сертификация по стандарту PCI DSS всех процессов: от размещения оборудования в дата-центре до администрирования операционных систем.
• Самые мощные виртуальные сервера (до 32 vCPU и 512GB RAM) со 100% гарантией резервирования ресурсов.
• Использование дублированных каналов в интернет от независимых интернет провайдеров.
• Размещение в самом титулованном и надежном дата-центре континентальной Европы, единственном в России, который обладает всеми тремя сертификата категории Tier III от Uptime Institute:
  • Tier III Certification of Design Documentaion (2010)
  • Tier III Certification of Constructed Facility (2011)
  • Tier III Certification of Operational Sustainability - Gold (2014)
• Подключение к облаку по выделенному каналу с размещением в ЦОД собственного оборудования.
• Готовые решения по организации территориально удаленных площадок для аварийного восстановления.

ИТ-ГРАД — первый Российский корпоративный облачный провайдер. С 2008 года мы накопили самую большую в отрасли экспертизу по проектам миграции в облако сотен своих клиентов.

Специалисты ИТ-ГРАД с удовольствием ответят на ваши вопросы и бесплатно предоставят виртуальную инфраструктуру на срок до 30 дней для проведения полноценного тестирования. Если это для вас актуально, пожалуйста, свяжитесь с с представителями компании по адресу: marketing@it-grad.ru.

ЗАКАЗАТЬ тестирование IaaS бесплатно.

По мессаджам, доносившимся от компаний VMware и Citrix в 2014 году, пользователи виртуальных инфраструктур могли понять, что прошедший год был годом виртуализации настольных ПК (Virtual Desktop Infrastructure, VDI). Именно в этом направлении были сделаны основные инновации в области технологий виртуализации.

Brian Madden в своем блоге обобщил основные события, которые произошли в сфере VDI:

• Сушественно была улучшена производительность протоколов доставки виртуальных ПК (как в VMware Horizon View, так и в Citrix XenDesktop). Мы писали об этом, например, тут, тут и тут.
• Совместно с компанией NVIDIA (аналоги есть и у AMD) была, наконец-то, выведена на рынок технология vGPU. У Citrix эта технология уже работает, а вот в VMware она была пока только анонсирована (вот тут видео про ее работу, а вот тут можно записаться на Early Access). С использованием технологии hardware GPU sharing (поддерживается в XenServer) становится доступным применение виртуальных графических адаптеров (vGPU) в виртуальных машинах, напрямую использующих ресурсы специального аппаратного обеспечения от NVIDIA (с родными драйверами) и осуществляющих интенсивную обработку 3D-графики.
• Многое было сделано в области систем хранения для виртуальных ПК. Во многом мы обязаны этим компании StarWind и ее продукту Virtual SAN (подробнее тут), а также продукту VMware Virtual SAN (это в области программных хранилищ). Конечно же, подтянулись и вендоры аппаратного обеспечения.
• Технология DaaS (desktop-as-a-service - десктоп как услуга) от различных вендоров (Amazon, VMware, Microsoft) наконец-то стала доступной: теперь за 50 долларов в месяц можно взять в аренду виртуальный ПК (правда пока на базе переделанной Windows Server). Об этом читайте у нас тут и тут. Cisco тоже не осталась в стороне.
• У Citrix XenApp появился достойный конкурент в лице технологии RDS Hosted apps, которая есть в VMware Horizon View 6.
• Microsoft ввела модель лицензирования ОС на пользователя. Об этом мы писали вот тут.
• Большинство предприятий переехало с Windows 7 на Windows 8.
• Вышел VMware FLEX (альтернатива Local Mode - то есть использованию виртуального ПК без интернета), а также развивается Citrix XenClient (клиентский гипервизор).

В целом, это немало для одного года. Но вот что еще мы ожидаем в сфере End User Computing в новом 2015 году:

• Microsoft просто обязана ввести SPLA для клиентских ОС Windows, чтобы обычную Windows 8.x или Windows 10 можно было получать из любого публичного облака без каких-либо костылей. Пора, коллеги, пора.
• Будет ли Windows 10 классной штукой для VDI? Что нового там будет для VDI? Рассказывайте, мы все ждем.
• Windows Server 2015, RDSH и Remoting - что нового будет в плане протоколов доставки виртуальных ПК?

Ну и главный вопрос 2015 года: когда, наконец, я смогу купить себе виртуальный десктоп таким образом, чтобы использовать его и все его сервисы (почта, дропбокс, скайп и т.п.) без геморроя? Решат ли этот вопрос в 2015 году? Я сильно сомневаюсь, думаю это вопрос 2016-2017 годов (если он к тому времени будет еще актуален в таком виде).

После праздников (да, там они давно закончились уже) компания Microsoft обновила свой Azure Portal, где пользователи работают со своими IaaS, PaaS и SaaS инфраструктурами публичного облака.

Теперь Azure Portal выглядит вот так (кликабельно):

Как мы видим, портал теперь напоминает плитки Windows 8 (или Windows Phone - кому как ближе). Тут представлена обзорная информация по статусу сервисов по регионам, понятное представление оставшихся кредитов (денег в вашей валюте), средства обучения, поддержки и быстрого старта, новости, ссылка на marketplace (который постоянно пополняется) и множество других полезных вещей.

Дэшборд полностью кастомизабелен, и вы можете на него добавлять необходимые плитки. Верстка портала Azure адаптивная и реагирует на ширину браузера в зависимости от разрешения экрана и устройства.

Если же вы нажмете "Browse All", то попадете в более привычное представление просмотра сервисов Azure.

В части IaaS также появились значительные улучшения - теперь можно создать сервис SQL Server AlwaysOn Availability Group или ферму Sharepoint в рамках единого мастера (то есть последовательность развертывания сервисов для одной задачи управляется как единое действие):

В рамках комплексных операций можно задать не только необходимое число машин и их параметры, но и опции сетевого взаимодействия. Это называется "группа ресурсов" (Resource Group). По-сути, это что-то похожее на vApp в инфраструктуре VMware vCloud.

В общем, все стало намного интереснее как в содержательном плане, так и в визуальном. Однако некоторые возможности по-прежнему отсутствуют, например, Azure Active Directory, но на то это и Preview.

Кстати, перед тем, как начать использовать Microsoft Azure, рекомендуем почитать материалы по этой ссылке и вот тут.

Мы начинаем рассказ о группе продуктов компании Symantec, входящей в семейство Data Center Security, как следует из названия -предназначенных для защиты центров обработки данных.

В этой статье пойдет речь о продукте Data Center Security: Server 6.0 который является безагентским антивирусом для сред VMware и использующий для управления платформу VMware NSX.

С точки зрения архитектуры все довольно традиционно: используется виртуальный аплайнс,содержащий в себе антивирусный движок, на каждом из хостов гипервизора и, используя VMware vShield Endpoint аплайнс получает доступ к файловой системе защищаемых виртуальных машин для их проверки, не используя агентов.

Естественно, продукту присущи все ограничения vShield Endpoint, такие как: поддерживаемые типы операционных систем (на данный момент только семейства Microsoft Windows), необходимость установки VMware Tools, невозможность защиты помяти в безагентском режиме и т.д. Так же новая версия vShield Endpoint, позволяет использовать использовать репутационные технологии при проверке файлов, что значительно снижает нагрузку на системы хранения.

Первое ключевое отличие от большинства безагентских решений в том, что развертывание виртуальных аплайнсов и назначение политик безопасности на группы производится через консоль VMware NSX. В консоли управления самого продукта политика только создается и, затем, публикуется на VMware NSX.

После регистрации продукта во вкладе Services вы получаете дополнительный сервис безопасности, который вы можете установить для определенных групп кластеров и датацентров, устаналивая виртуальные аплайнсы только для тех групп ипервизоров, которые вы указали.

VMware NSX предоставляет механизм создания групп безопасности, в которые могут быть включены виртуальные машины по определенным критериям. При этом группы могут быть статическими, где виртуальные машины в них добавляются вручную, так и динамические, когда в группы включаются виртуальные машины, соответствующие определенным криетериям, например тип операционных системи т.д. Самое интересное - это возможность изменять членство виртуальных машин в группах динамически, на основании тегов.

Один из примеров использования тэгов – перемещение виртуальных машин, на которых было обнаружено вредоносное ПО, в специальную карантинную группу. На группу карантина может быть назначена, например, отдельная политика межсетевого экрана (встроенного от VMware или стороннего), предотвращая распространение вредоносного ПО по сети до момента ее удаления. После удаления вредоносного ПО виртуальная машина будет возвращена в стандартную группу и продолжит функционирование.

Разумеется, теги на виртуальных машинах могут быть изменены, помимо вышеописанного решения, и с помощью продуктов сторонних компаний, например IPS систем от PaloAlto Networks, систем управления уязвимостями от Rapid7 и т.д. Таким образом можно не только назначать различные политики на группы виртуальных машин, но и интегрировать между собой различные решения от разных производителей.

В скором времени ожидается выход новой версии продукта DCS: Server 6.5, в котором будет добавлен функционал сетевого IPS.

Получить тестовую версию продукта вы можете по ссылке http://www.symantec.com/data-center-security/trialware/

Как знают многие администраторы VMware vSphere, есть такое удобное средство vSphere Management Assistant (vMA), которое представляет собой виртуальный модуль (готовую виртуальную машину), средствами которой очень удобно управлять скриптами, исполняемыми на нескольких хостах VMware ESXi через интерфейс ESXCLI или Perl.

При выполнении различных сценариев на Linux-машине vMA иногда требуется создать задачу планировщика (крон-таску), чтобы запустить скрипт в назначенное время. Ниже мы опишем, как это нужно делать.

1. Чтобы запускать скрипты без аутентификации, нужно добавить хосты ESXi в vi-fastpass. Вы можете добавить только хосты ESXi, либо хост vCenter Server (или всех их). Используйте команду vifp addserver в интерактивном режиме (конфигурация сохраняется при перезагрузках):

vi-admin@vma:~> vifp addserver esx1.virten.local --username root --password 'vmware'
vi-admin@vma:~> vifp addserver esx2.virten.local --username root --password 'vmware'
vi-admin@vma:~> vifp addserver esx3.virten.local --username root --password 'vmware'
vi-admin@vma:~> vifp addserver vcsa.virten.local --username root --password 'vmware'

Используйте команду vifp listservers для того, чтобы посмотреть список сконфигурированных хостов для быстрого доступа:

vi-admin@vma:~> vifp listservers
esx1.virten.local ESXi
esx2.virten.local ESXi
esx3.virten.local ESXi
vcsa.virten.local vCenter

2. Используйте механизм vi-fastpass внутри скрипта. Это делается вот так (сценарий размещайте, где написано #do something):

#!/usr/bin/perl -w

use VMware::VIRuntime;
use VMware::VmaTargetLib;

my $service_content;
my @targets = VmaTargetLib::enumerate_targets();
foreach my $target(@targets) {
$target->login();
$service_content = Vim::get_service_content();
#do something
$target->logout();
}

Также примеры скриптов можно найти в папке /opt/vmware/vma/samples/perl:

vi-admin@vma:~> ls -l /opt/vmware/vma/samples/perl
total 24
-r--r--r-- 1 root root 2660 Jul 15 2013 README
-r-xr-xr-x 1 root root 9023 Jul 15 2013 bulkAddServers.pl
-r-xr-xr-x 1 root root 1282 Jul 15 2013 listTargets.pl
-r-xr-xr-x 1 root root 2452 Jul 15 2013 mcli.pl

Для примера также посмотрите скрипты отсюда (можете на них и поэкспериментировать, например, с esxcfg-perf.pl).

3. Создаем таску в кроне (cron job).

Синтаксис команды прост:

* * * * * command
| | | | |
| | | | ----- Day of week (0 - 7) (Sunday=0 or 7)
| | | ------- Month (1 - 12)
| | --------- Day of month (1 - 31)
| ----------- Hour (0 - 23)
------------- Minute (0 - 59)

Открываем крон в режиме редактирования:

vi-admin@vma:~> crontab -e

Нажмите <i>, чтобы перейти в режим вставки в crontab, после чего добавьте нужный путь к библиотеке и команду:

LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/opt/vmware/vma/lib64:/opt/vmware/vma/lib
*/5 * * * * /home/vi-admin/scripts/esxi-perf.pl

Затем выходим из режима редактирования, нажав <ESC> : w q <ENTER>

Если при выполнении команды вы получаете вот такую ошибку:

vi-admin@vma:~> crontab -e
-bash: /usr/bin/crontab: Permission denied

То вам нужно предварительно выполнить sudo (юзер vi-admin в vMA 5.5 не имеет пермиссий на crontab):

vi-admin@vma:~> ll /usr/bin/crontab
-rwsr-x--- 1 root trusted 40432 Apr 2 2013 /usr/bin/crontab
vi-admin@vma:~> sudo chmod +rx /usr/bin/crontab
vi-admin@vma:~> ll /usr/bin/crontab
-rwsr-xr-x 1 root trusted 40432 Apr 2 2013 /usr/bin/crontab

4. Если крон-таска упадет, то вывод ошибок будет направляться сюда:

/var/mail/vi-admin

Вывод ошибки может быть таким:

Can’t load ‘/usr/lib/perl5/site_perl/5.10.0/libvmatargetlib_perl.so’ for module vmatargetlib_perl: libtypes.so: cannot open shared object file: No such file or directory at /usr/lib/perl5/5.10.0/x86_64-linux-thread-multi/DynaLoader.pm line 203.
at /usr/lib/perl5/site_perl/5.10.0/VMware/VmaTargetLib.pm line 10
Compilation failed in require at /usr/lib/perl5/site_perl/5.10.0/VMware/VIFPLib.pm line 9.
BEGIN failed–compilation aborted at /usr/lib/perl5/site_perl/5.10.0/VMware/VIFPLib.pm line 9.
Compilation failed in require at /home/vi-admin/graphite/esxi-perf-graphite.pl line 5.
BEGIN failed–compilation aborted at /home/vi-admin/graphite/esxi-perf-graphite.pl line 5.

Это значит вы некорректно добавили путь к библиотеке (/opt/vmware/vma/lib64:/opt/vmware/vma/lib).

Если же вы получаете вот такую ошибку:

“Server version unavailable at ‘https://[host]:443/sdk/vimService.wsdl’ at /usr/lib/perl5/5.10.0/VMware/VICommon.pm line 545.”

Это из-за непрошедшей SSL-аутентификации. Если у вас нет валидных SSL-сертификатов, отключите авторизацию через SSL в вашем скрипте:

# Disable SSL Verification
export PERL_LWP_SSL_VERIFY_HOSTNAME=0

В прошлых статьях мы рассказывали о продукте vGate R2 for Hyper-V, который позволяет проводить защищенную аутентификацию администраторов, разграничивать доступ к различным объектам инфраструктуры и проводить аудит событий безопасности. О возможностях этого продукта мы писали тут, о настройке - тут и тут, а сегодня мы поговорим о том, как выглядит повседневная эксплуатация решения со стороны администратора ИБ, который является также и администратором решения vGate.

Компания VMware на днях выпустила очень интересный документ "VMware Horizon 6 RDSH Performance and Best Practices", в котором можно почитать о производительности механизма удаленного доступа RDSH в инфраструктуре виртуальных ПК VMware Horizon View 6.

В качестве тестового окружения использовалась инфраструктура VMware vSphere, в которой были запущены виртуальные машины с доступом через Microsoft Remote Desktop Services Host (RDSH) на базе гостевой ОС Windows 2012 R2 Server. Каждой машине было назначено от 2 до 16 виртуальных процессоров (vCPU) и от 16 до 96 ГБ оперативной памяти.

Эти машины взаимодействовали с клиентскими машинами (тоже виртуальными) по протоколу PCoIP. Каждая клиентская машина имела доступ к консоли виртуального ПК и определенному набору приложений. Конфигурация клиентской машины - 32-битная Windows 7 и 1 ГБ памяти:

Схема тестирования выглядела следующим образом:

В качестве средства генерации нагрузки использовался VMware View Planner, который измерял показатели для следующей модели награузок:

• Group-A: Interactive operations
• Group-B: I/O Operations
• Group-C: Background load operations

Нас больше всего интересуют операции группы B. Там замерялось время выполнения следующих конкретных сценариев:

• Adobe Acrobat Reader 10 open PDF file
• Microsoft Internet Explorer 11 open a file served by Apache, open a file in a Web album
• Microsoft Office 2010:
  • Excel open and save file
  • PowerPoint open a file
  • Word open and save a file
• Microsoft Outlook 2010 open program and save an attachment
• Mozilla Firefox 3.6 open file

Вот какие получились результаты по времени выполнения данных операций в зависимости от числа виртуальных ПК на ядро процессора хост-сервера:

Желтая линия - пороговое значение в 6 секунд, при котором время выполнения одного из действий описанных выше, приемлемо для пользователя. Таким образом, на хост описанной выше конфигурации влезет до 9 виртуальных ПК с данной моделью нагрузки.

Взглянем на загрузку процессора при увеличении числа пользователей (виртуальных ПК) на ядро процессора хост-сервера:

Процессор стабильно держит до 9-10 пользователей на одно ядро физического сервера.

Число сессий опробованных приложений из группы операций B на ядро:

В документе присутствует еще очень много интересных результатов, например, использование полосы пропускания различными протоколами доступа к виртуальному ПК (по-сути, плюс-минус все одинаково):

Скачать документ "VMware Horizon 6 RDSH Performance and Best Practices" можно по этой ссылке.

В начале осени мы писали про утилиту VMware View Auditing Portal, которая была доступна на сайте проекта VMware Labs как средство, которое позволяет получать информацию о виртуальных ПК и их соединениях в инфраструктуре VMware Horizon View.

Теперь оно переименовано в Horizon Toolbox, а в начале декабря вышла обновленная версия этого пакета утилит. Теперь в нем доступны следующие возможности:

Средства аудита (Auditing)

• Показывает родительские виртуальные машины в пулах связанных клонов (linked clone desktop pools) и зависимые снапшоты виртуальных машин в виде дерева. Снапшоты, которые не используются пулами связанных клонов помечаются серым цветом, чтобы администратор View мог их удалить, если они не нужны.
• Показывает статистику клиентов View по операционным системам и версиям в различных типах представлений.
• Показывает тренд сессий и соединения к виртуальным ПК в различных пулах (за последние 2 дня, неделю и месяц), а также показывает соединения с приложениями VMware Horizon View 6 через сервисы RDS (Remote Desktop Service).
• Показывает суммарное время использования по пользователям за последние 2 дня, неделю и месяц. Кроме того, показываются все детали соединения (имя пользователя, имя пула/фермы, имя машины, время соединения, время отсутствия соединения) за последние 2 дня, неделю и месяц.

Средства поддержки пользователей (Remote Assistance)

Эти средства позволяют администраторам просматривать удаленные сессии пользователей в их виртуальных ПК и перехватывать управление, если требуется (так называемый session shadowing). Утилита устанавливается из отдельного файла Horizon_Remote_Assistance_Installer.exe.

О том, как это работает, рассказывается в видео ниже:

На десктоп пользователя устанавливается агент, после чего на рабочем столе появляется ярлык "Horizon Remote Assistance", при нажатии на который посылается запрос администратору VMware Horizon. Далее администратор принимает запрос, и устанавливается подключение. Администратор также может сам инициировать подключение, но согласие пользователя все равно будет необходимо.

Политики доступа к устройствам (Device Access Policy)

Эта функция позволяет определить "белый спиок" (whitelist) устройств, с которых разрешено подключаться к виртуальным ПК VMware View. Данная функция также реализуется отдельной утилитой (DeviceFilter.exe).

Если пользователь через View client пытается получить доступ к виртуальному ПК, он появляется в Access Log. Если это устройство есть в Whitelist, то соединение устанавливается, если нет - то сбрасывается. Администратор может добавить устройство в разрешенные прямо из таблицы Access Log.

Документацию на утилиты можно скачать по этой ссылке. Сам Horizon Toolbox для скачивания доступен тут.

В блоге joshodgers.com появилось пять интересных статей о том, как правильно виртуализовать почтовый сервер Microsoft Exchange на платформе VMware vSphere.

Итак, что там интересного:

1. Part 1 – CPU Sizing.

Тут прелагается использовать утилиту Exchange 2013 Server Role Requirements Calculator v6.6 для определения требований к почтовому серверу:

2. Part 2 – vCPU Configurations.

В этой статье обсуждается необходимое число vCPU для виртуальной машины с Exchange.

Ничего необычного, в принципе, но стоит почитать.

3. Part 3 – Memory.

Тут обсуждается необходмый объем памяти. Не рекомендуется использовать Memory Overcommitment (то есть, часть ресурсов надо всегда держать свободными), а вот Memory Reservations предлагается устанавливать в 100% - таковы рекомендации для бизнес-критичного сервиса.

К выделенной памяти виртуальным машинам рекомендуется прибавлять как минимум 25% требуемой емкости памяти хоста ESXi. То есть, если у вас машина с 96 ГБ RAM, то хост должен иметь как минимум 128 ГБ физической памяти. Также рекомендуется сайзить машину с Exchange в пределах одного NUMA-узла.

4. Part 4 – DRS.

Тут основная рекомендация - держать машины с ролями MBX / MSR на одном хосте в целях быстродействия (средствами хост-групп), а также настроить их восстановление в случае сбоя также на один хост. Также уровень автоматизаци миграций ВМ в кластере рекомендуют выставить как "Fully Automated" (а Migration Threshold как 3).

5. Part 5 – High Availability (HA).

В этой части цикла описываются рекомендуемые настройки механизма VMware HA.

В этой статье, пожалуй, больше всего дается практических советов и рекомендаций по настройке VMware HA в кластере высокой доступности для виртуальных машин с Exchange на борту.

Многие администраторы VMware vSphere знают про файлы vSphere Installation Bundle (VIB), которые позволяют распространять программные компоненты для серверов ESXi. Например, с помощью VIB-файлов устанавливаются кастомные драйвера (и куча своих VIB есть для каждого кастомизированного образа, например, HP).

На днях была выпущена утилита VIBSearch, которая может оказаться полезной многим администраторам в вопросах поиска и сравнения версий VIB-пакетов на разных хостах ESXi.

Утилита представляет собой скрипт на PowerShell c GUI, в котором можно ввести параметры доступа vCenter и поискать на серверах ESXi конкретный VIB-пакет (по вхождению строчки в его название).

С чем тестировался скрипт:

• PowerShell 4.0
• PowerCLI 5.8 Release 1
• Для командлета Out-GridView нужен компонент PowerShell ISE. Для его установки нужно использовать следующие команды PowerShell:

Import-Module ServerManager
Add-WindowsFeature PowerShell-ISE

Как запустить VIBSearch:

• Скачиваем VIBSearch.txt по этой ссылке
• Переименовываем файл *.txt в *.ps1
• Открываем PowerShell и выполняем:

Set-ExecutionPolicy unrestricted
./vibsearch.ps1

После запуска скрипта появится вот такое окошко:

Вводим имя vCenter, после чего вводим логин и пароль администратора:

Видим, что успешно соединились:

Если соединимся неуспешно, то будет вот так:

Теперь можно искать пакеты VIB по ключевому слову и смотреть, одна ли версия на разных хостах. Вот, например, пакеты HP-AMS:

А вот сетевая карта Intel (net-igb):

Или вот драйверы NVIDIA:

В общем, кому-то VIBSearch может оказаться полезным. Да и просто интересно, что там на хостах понаставлено.

На прошлой неделе мы писали об интересном бесплатном вебинаре компании Код Безопасности "Основные особенности обеспечения безопасности платформ виртуализации VMware vSphere", который пройдет 24 декабря. А вот на следующий день, 25 декабря, состоится не менее интересный бесплатный вебинар "Основные особенности обеспечения безопасности платформ виртуализации Microsoft Hyper-V".

Этот вебинар уже будет посвящен версии продукта номер 1 для обеспечения защиты виртуальной среды, но уже не VMware, а Microsoft Hyper-V.

Дата и время проведения вебинара: 25 декабря 2014 в 11:00

Проводит: Иван Колегов, системный аналитик компании "Код Безопасности".

Вебинар будет интересен руководителям ИБ-служб, а также специалистам, обеспечивающим безопасность дата-центров и защиту виртуальных инфраструктур.

В ходе вебинара вы узнаете:

• об архитектуре vGate и его компонентах;
• о правилах лицензирования продукта;
• о том, как быстро установить vGate и правильно его настроить;
• о том, как с его помощью обеспечить безопасность средств управления платформ виртуализации и виртуальных машин.

Продолжительность вебинара – 60 минут.

По окончании вебинара вы сможете задать докладчику вопросы в режиме чата и оставить заявки на получение демоверсии продукта и дополнительных материалов.

РЕГИСТРАЦИЯ на вебинар

Летом этого года мы писали о продукте 5nine Manager 5.0 for Hyper-V, предназначенном для управления инфраструктурой виртуализации от Microsoft. В начале декабря вышла обновленная версия этого решения - 5nine Manager 6.0 for Hyper-V.

5nine Manager for Hyper-V позволяет управлять виртуальной инфраструктурой с рабочей станции администратора, как в составе Windows Server 2008 R2 SP1, Windows Server 2012, Windows Server 2012 R2, так и в составе бесплатных Hyper-V Server соответствующих поколений, причем как в кластерных, так и в одиночных вариантах. И все это из одной консоли, установленной удаленно или локально.

Новые возможности шестой версии 5nine Manager for Hyper-V:

• Динамическая оптимизация — определяет текущее состояние каждого хоста в вашей инфраструктуре Hyper-V. Эта функция позволяет автоматически перемещать виртуальные машины с одного хоста на другой в зависимости от использования ресурсов и независимо от того, сколько хостов задействовано в процессе.
• Улучшенные возможности по просмотру подключения FreeRDP, в случае если 5nine Manager установлен на сервере без GUI.

Напомним также новые функции 5nine Manager for Hyper-V версии 5.2:

• Усовершенствованное управление репликацией в случае сбоя:
  • Настройки репликации для основной виртуальной машины.
  • Настройки тестового перехода на другой ресурс.
  • Обратная репликация.
  • Запланированный переход на другой ресурс.
• Управление полосой пропускания, с возможностью установить пределы полосы пропускания с учетом минимального и максимального количества мегабит в секунду.

И новые функции 5nine Manager for Hyper-V версии 5.1:

• E-mail уведомления об операциях с виртуальными машинами.
• Репликация. Плановый переход на другой ресурс.
• Поддержка pass-through дисков - возможность подключать физический диск к ВМ.

Скачать 5nine Manager for Hyper-V версии 6.0 можно по этой ссылке.

Вслед за обновлением продуктов семейства vRealize, компания VMware выпустила обновленную версию своего решения для управления образами ПК предприятия - VMware Mirage 5.2. О возможностях версии VMware Mirage 5.1, которая вышла три месяца назад, мы писали тут.

Напомним, что решение VMware Mirage позволяет создать образ рабочей станции пользователя, разделив его на слои (система, приложения, а также данные и настройки пользователя), а потом централизованно управлять такими образами и деплоить их на конечные физические и виртуальные ПК (подробно мы писали об этом тут).

Продукт VMware Mirage теперь является частью решения VMware Horizon FLEX - средства управления локальными виртуальными ПК, их операционной системой, данными и приложениями.

Итак, новые возможности VMware Mirage 5.2:

• Mirage может быть использован с виртуальными машинами FLEX (локальные ВМ). Более подробно об этом можно почитать вот тут. Теперь можно управлять образами ОС, данными пользователей и приложениями централизованно из консоли Mirage.
• Поддержка POS-устройств (point of sale или по-другому point of service). В Mirage 5.2 поддерживается миграция Windows Embedded POS на POSReady2009.
• Администраторы могут указывать дисковые устройства, включая несистемные, для использования компонента branch reflector cache. Новый аларм CVD оповещает администратора, когда этот кэш становится недоступен.
• Полная поддержка VSS в Windows 7, Windows 8 и Windows 8.1, что делает операции загрузки компонентов пользовательского окружения более эффективными.
• Администраторы могут использовать командлеты Mirage PowerCLI в Microsoft PowerShell.
• Улучшена функциональность веб-отчетов:
  • Экспорт отчетов в форма XLS.
  • Возможность указания времени генерации отчета и диапазона времени для выборки данных.
  • Переименование шаблонов отчетов.
  • Удаление шаблона отчета не приводит к удалению отчетов, созданных на его базе.
  • В представлении шаблонов отчета показывается интервал запланированного запуска и иконка типа отчета.
• Администраторы могут вручную сменить IP-адрес для сервера Mirage Gateway через консоль Mirage Management.

Скачать VMware Mirage 5.2 можно по этой ссылке.

Некоторое время назад мы писали про то, что компания VMware свела несколько продуктов под брендом vRealize, каждый из которых получил свое новое название.

На VMworld Europe 2014 был анонсирован пакет продуктов VMware vRealize Operation Management Suite 6.0 (vROPS), в состав которого теперь входит выпущенный на днях VMware vRealize Operations Manager 6.0.

Итак, что нового появилось в Operations Manager 6.0 от VMware:

• Scale-Out Deployment Architecture
  Возможность распределенного развертывания решения за счет гибкой архитектуры и встроенных функций масштабирования.
• Unified User Interface
  В этом релизе применяется стандартный подход в интерфейсе при управлении как окружениями vSphere, так и не-vSphere. Можно создавать полностью настраиваемые дэшборды, агрегируя только ту необходимую информацию, которая была выбрана администратором.
• Licensing Management in 6.0
  vRealize Operations Manager 6.0 имеет отдельный GUI, который предоставляет функционал управления лицензионными ключами от компонентов vRealize Operations.
• Smart Alerts
  Данный тип оповещений позволяет сгенерировать алерт, используя в качестве исходных данных несколько "симптомов". На базе этого выдается не только алерт, но и перечень действий по нормализации ситуации.
• Enhanced Reporting
  Улучшенный репортинг позволяет получить отчет в форме одного из нескольких предсозданных отчетов, а также сгенерировать полностью настраиваемый репорт.
• Capacity Planning and Project Management Capabilities
  Новые функции планирования мощностей и управления проектами позволяют сфокусироваться не только на виртуальной среде, но и применять этот продукт как решение для физической ИТ-инфраструктуры.
• Custom Policies
  Создаваемые администратором политики могут применяться к специфическим типам нагрузки - приложениям или кластерам, для которых требуется расширенный мониторинг и отдельные стандарты конфигурации.
• Automated Remediation of Problems
  Механизм, позволяющий автоматически выполнить определенное действие (группу действий) в ответ на срабатывание алерта.
• User Access Control Management
  Ролевая модель доступа была существенно улучшена, кроме того увеличилась гранулярность пермиссий в ролях.
• Unified Storage Visibility
  Улучшен механизм получения информации о системах хранения данных. Теперь показывается полная инфраструктура хранилищ для приложений (включая HBA, фабрики и дисковые массивы) с возможностью отследить проблемы на любом из уровней.

Скачать VMware vRealize Operations Manager 6.0 можно по этой ссылке, документация доступна тут.

Также рекомендуем почитать весьма интересную серию статей о продукте и функции Smart Alerts:

• vRealize Operations Tech Tips #1 – Smart Alerts – Part 1 of 4
• vRealize Operations Tech Tips #3 – Smart Alerts – Part 2 of 4
• vRealize Operations Tech Tips #3 – Smart Alerts – Part 3 of 4
• vRealize Operations Tech Tips #4 – Smart Alerts – Part 4 of 4
• vRealize Operations Tech Tips #5 – The New and Improved UI

Кстати, решение VMware vRealize Automation (бывший vCloud Automation) было также обновлено до версии 6.2.

Более подробно о новых возможностях этого продукта можно почитать вот тут.

Скачать vRealize Automation 6.2 можно скачать по этой ссылке.

Всем известно, что адресное пространство IPv4 имеет весьма ограниченный объем и с учетом развития всемирной паутины на сегодняшний момент подходит к концу. Адресное пространство IPv6 имеет значительно больший объем. Переход на IPv6 неизбежен для всех, это лишь вопрос времени. А для нас, как для сервис-провайдера облачных услуг, важно быть готовыми к такому переходу, как внутри собственной сети, так и для наших клиентов. Далее о переходе на IPv6 и схеме сети ИТ-ГРАД.

Адресное пространство IPv4 имеет весьма ограниченный объем, и уже сейчас, чтобы получить новый блок IPv4 у своего регистратора, приходится приложить немало усилий. Так, например, RIPE может выдать новый блок IPv4 в дополнение к ранее полученным только после получения блока IPv6 адресов.

Для справки, RIPE NCC (фр. Réseaux IP Européens + англ. Network Coordination Centre) — один из пяти региональных интернет-регистраторов (англ. Regional Internet Registries, RIRs), выполняющих распределение интернет-ресурсов, а также связанную с этим регистрацию и координацию деятельности, направленную на глобальную поддержку функционирования Интернета.

Адресное пространство IPv6 имеет значительно больший объем. И сложно представить, что когда-то мы столкнемся с дефицитом адресов. Переход на IPv6 неизбежен для всех, это лишь вопрос времени. Для нас, как для сервис-провайдера облачных услуг, важно быть готовыми к такому переходу, как внутри собственной сети, так и для наших клиентов. Потому в апреле 2014 года европейским региональным интернет-регистратором RIPE NCC был выделен блок IPv6 адресов 2a04:c900::/29 для компании ИТ-ГРАД, что положило начало внедрению и развитию IPv6 в нашей компании... [Читать статью далее]

Компания VMware выпустила финальные версии обновленных настольных платформ виртуализации VMware Workstation 11 и VMware Player 7 Pro. Напомним, что ранее мы писали об анонсе этих продуктов тут.

Важно - продукты теперь полностью 64-битные, то есть вам потребуется 64-битный процессор и 64-битная ОС (однако гостевые ОС могут быть любые - и 32- и 64-битные).

Итак, новые возможности VMware Workstation 11:

• New OS Support - Теперь появилась поддержка не только Windows 8 / 8.1, но и Windows 8.1 Update 1 в качестве хостовой и гостевой ОС (также поддерживается и Windows Server 2012 R2). Кроме того, поддерживаются также последние версии десктопных платформ Ubuntu 14.10, Fedora 20, RHEL 7, CentOS 7, Debian 7.6, OpenSUSE 13.2 и других Linux-дистрибутивов.

• Ready for Windows 10 Technical Preview - возможность запуска превью-версии операционной системы Windows 10 без дополнительного шаманства и модификаций.

• Поддержка последних процессоров микроархитектуры Haswell. Новые процессоры архитектуры Intel 64-bit x86 теперь поддерживаются намного лучше и дают до 45% прироста производительности (мультимедиа, расшифровка/зашифровка) по сравнению с их использованием в продукте Workstation 10.

• Новые максимальные значение параметров хоста и виртуальных машин - до 16 vCPU для машины, виртуальные диски по 8 ТБ, 64 ГБ памяти хоста, 64 ГБ оперативной памяти на машину (а также 2 ГБ видеопамяти, что очень важно для требовательных к графике приложений).

• VMware Hardware Version 11 - очередное обновление поколения виртуального программного обеспечения. Теперь возможностей у устройств виртуальной машины станет значительно больше. Например, можно создавать виртуальные машины с числом виртуальных процессоров (vCPU) до 16, кроме того улучшилась поддержка устройств USB 3.0, и появилась возможность выделять графическую память на уровне отдельной гостевой ОС.
• Connection to VMware vCloud Air - теперь можно присоединиться к сервису VMware vCloud Air, чтобы использовать виртуальные машины из публичного облака компании. Разработчики могут просто шарить свою машину с удаленными коллегами, и они сами, прощелкивая процесс по шагам, смогут таким образом воспроизводить проблемные ситуации.

• CPU enablement - кроме поддержки 16 vCPU, появилась полная поддержка новых поколений процессоров микроархитектур Intel Haswell и AMD Jaguar. Также поддерживаются на уровне совместимости процессоры Intel Broadwell и AMD Steamroller.
• Virtual xHCI controller - виртуальный контроллер xHCI появился еще в версии virtual hardware 8, но в этой версии он соответствует спецификации Intel xHCI 1.0. Также тут ожидается лучшая производительность устройств USB 3.0.
• Dedicated graphics memory for guest operating system - теперь полностью доступно управление выделением графической памяти под гостевые ОС. Это дает пользователю больший контроль и гибкость в конфигурации виртуальной машины. Настройка эта регулируется в Virtual Machine Settings -> Hardware -> Display. Не рекомендуют выделять гостевой ОС слишком много (будут глюки) и слишком мало видеопамяти (будут тормоза).
  Windows 8 Unity mode improvements - был существенно улучшен процесс работы с механизмом Unity, особенно для ВМ под управлением Windows 8 / 8.1. Кроме того улучшилась работа с экраном "Пуск" - когда происходит переключение между гостевой и хостовой ОС.
• Boot virtual machine with EFI - эта версия Workstation позволяет создавать и запускать виртуальную машину на базе EFI как альтернативе BIOS. Для этого нужно выставить следующую настройку - Virtual Machine Settings -> Options -> Advanced, далее отметить "Boot with EFI instead of BIOS".
• Experimental performance tuning for VM suspend and resume - в этом релизе платформы можно улучшить производительность операций по приостановке и возобновлению работы виртуальной машины (suspend/resume). Для этого машина должна иметь версию виртуального аппаратного обеспечения (Hardware Version) 11. Для этого необходимо в vmx-файл конфигурации ВМ добавить следующие строчки:
  mainMem.save.vmem="FALSE"
  checkpoint.compressDumper="TRUE"
  Этот твиг действует как для шифрованной, так и обычной виртуальной машины. Он ускоряет suspend до 20% и resume до 60%.

Новые возможности VMware Player 7 Pro:

• Enhanced Operating System Compatibility – VMware Player 7 Pro запускается и работает на всех продакшен-релизах Windows, включая Windows 8.1. Кроме того, поддерживаются устаревшие ОС, такие как Windows XP and Windows 7.
• Greater Hardware Compatibility – VMware Player 7 Pro оптимизирован для экранов новых ноутбуков, а также планшетов, работающих с высоким разрешением.
• Updated VMware Compatibility – VMware Player 7 Pro будет запускать защищенные ВМ, созданные с помощью VMware Workstation 11 или VMware Fusion 7 Pro. Решение имеет средства обратной совместимости для устаревших ОС, которые помогают защищать виртуальные машины средствами шифрования, паролем на текущую сессию, запретом доступа к USB и изоляцией меду хостом и гостевой ОС.

VMware Workstation 11 и VMware Player 7 доступны для приобретения по ценам $249.99 и $149.99, соответственно (это американские цены). Для тех, кто купил продукты Workstation 11 и Player 6 Pro в октябре и ноябре - апргрейд будет бесплатным, остальным пользователям придется заплатить $149,99 и $79,99, соответственно.

Скачать VMware Workstation 11 можно по этой ссылке, а VMware Player 7 по этой.

Тем из вас, у кого скопилось несколько сотен лишних долларов в это непростое время, компания VMware предлагает приобрести подписку на новый обучающий сервис - VMware Learning Zone. Данный сервис позволяет получить доступ к платным обучающим видеороликам на базе годовой подписки в режиме 24/7:

Платная подписка VMware Learning Zone позволяет:

• Смотреть обучающие видеоролики и туториалы по последним продуктам и технологиям VMware.
• Искать в библиотеке платных видеороликов нужные материалы.
• Получать информацию о решении проблем, развертывании решений и их настройке в рамках курсов уровня "deep dive".
• Получать доступ к курсам с мобильных устройств, а также принимать участие в обсуждениях сообществ, помогающих решать проблемы, возникающие в процессе эксплуатации решений VMware.

В рамках подписки на данный момент доступны курсы по следующим темам:

• Deep Dive: VMware Directory Services (vmdir) Database
• Disaster Recovery
• ESXi: Network Troubleshooting at the ESXi Command Line
• VMware Cloud Automation Center 6.0
• Configuring vCenter Single Sign-On
• vCenter Site Recovery Manager
• vCenter
• vCloud Air: Connecting your Data Center To vCloud Air - Tips and Techniques
• vCloud Suite: Up to Speed - vCloud Director Rest API for Beginners
• Virtual Machine Disk (VMDK) Snapshots
• Virtual SAN Troubleshooting
• VMRC and Media Upload Troubleshooting
• VMware Horizon 6
• Virtual SAN 5.5
• vSphere Managed Object Browser

Ну и главное - цена. Если считать по курсу на 31 декабря этого года, то получается что-то около 80 тысяч рублей за годовую подписку:

Купить годовой доступ к VMware Learning Zone можно по этой ссылке.

Продолжаем вас знакомить с решением vGate R2 от компании Код Безопасности, предназначенным для защиты виртуальной инфраструктуры Hyper-V от несанкционированного доступа, а также для ее безопасной настройки средствами политик. В этой статье мы расскажем о том, как правильно настроить локальную сеть в соответствии с рефернсной архитектурой vGate, а также установить продукт с использованием различных конфигураций...

Некоторое время назад мы писали заметку о том, "Почему снапшоты виртуальных машин в VMware vSphere - это плохо", да и вообще часто затрагиваем эту тему.

Ниже мы приведем еще один аргумент в пользу того, чтобы не создавать снапшоты виртуальных машин на постоянной основе (во временном их использовании нет ничего плохого).

Итак, в одной из статей мы писали про расширенную настройку VMFS Heap Size (размер кучи), которая косвенно определяет максимально доступный объем хранилищ на хосте.

Также мы писали о том, что параметр VMFS3.MaxHeapSizeMB еще в VMware vSphere 5.1 был увеличен до 640 МБ.

Однако есть и куча для механизма "Copy-on-Write" (COW), которая определяется расширенной настройкой COW.COWMaxHeapSizeMB - она ограничивает число одновременно запущенных на хосте виртуальных машин. Механизм COW работает на хосте, когда у машины есть снапшоты (дельта-диски).

По умолчанию это значение равно 192 МБ, но может быть увеличено до 256 МБ:

Также этот параметр можно узнать из командной строки:

~ # esxcfg-advcfg -g /COW/COWMaxHeapSizeMB
Value of COWMaxHeapSizeMB is 192

И установить его в максимальное значение:

~ # esxcfg-advcfg -s 256 /COW/COWMaxHeapSizeMB
Value of COWMaxHeapSizeMB is 256MB

Давайте посмотрим, как расходуется пространство этой кучи на хосте, в зависимости от параметров виртуальных машин на нем. Вот тут есть такая интересная формула:

X = (75 / 100 * COW_HEAP_SIZE) / ((B / (2 * 1048576) * 4 * S) * Y)

где:

X - это максимальное число запущенных виртуальных машин на хосте,
COW_HEAP_SIZE - размер кучи в байтах,
B - размер виртуального диска в байтах,
2 * 1048576 - это GDE Coverage (хз, что такое),
4 - это число байт на Root Entry,
S - число снапшотов каждого из виртуальных дисков,
Y - число дисков у машин.

Возьмем для примера машину с 5 дисками размером в 80 ГБ по 6 снапшотов у каждого при максимальном размере кучи в 256 МБ. Получим, что таких машин может быть запущено на хосте:

= (75 / 100 * 268435456) / ((85899345920 / (2 * 1048576) * 4 * 6) * 5)

Это примерно около 40 машин (всего лишь) - при максимально доступном размере кучи на VMware ESXi. Понятно дело, что мало где можно найти машины с 5 дисками, у каждого из которых по 6 снапшотов, но я видел подобные конфигурации пару раз.

Нетрудно понять, как в этой формуле влияют снапшоты на максимальное число запущенных виртуальных машин. Поэтому повторим еще раз: постоянные снапшоты - зло.

Как установить IP-параметры HP iLO через консоль сервера VMware ESXi.

При развертывании инфраструктуры VMware vSphere на базе серверов HP всегда требуется задать параметры IP-идентификации для интерфейса удаленной консоли iLO. Обычно это делается в настройках сервера, но удобнее сделать это из консоли ESXi, если вы используете кастомизированную сборку ESXi под HP (а ее надо использовать, так как некоторые девайсы могут просто не работать, поскольку в стандартной сборке под них нет драйверов).

Для начала откроем на хосте ESXi доступ по SSH в разделе Security Profile, стартовав соответствующий сервис:

Заходим на хост по SSH и переходим в папку с утилитами HP:

cd /opt/hp/tools

Копируем настройки HP iLO в файл XML:

./hponcfg -w ilo.xml

Далее этот файл нам нужно отредактировать, для этого можно использовать WinSCP или Veeam FastSCP.

Копируем iLO.xml к себе локально:

Открываем его в текстовом редакторе и правим секции, помеченные красным:

<!-- HPONCFG VERSION = "4.0-13.0" -->
<!-- Generated 11/11/2014 23:37:47 -->
<RIBCL VERSION="2.1">
<LOGIN USER_LOGIN="Administrator" PASSWORD="password">
<DIR_INFO MODE="write">
<MOD_DIR_CONFIG>
<DIR_AUTHENTICATION_ENABLED VALUE = "N"/>
<DIR_LOCAL_USER_ACCT VALUE = "Y"/>
<DIR_SERVER_ADDRESS VALUE = ""/>
<DIR_SERVER_PORT VALUE = "636"/>
<DIR_OBJECT_DN VALUE = ""/>
<DIR_OBJECT_PASSWORD VALUE = ""/>
<DIR_USER_CONTEXT_1 VALUE = ""/>
<DIR_USER_CONTEXT_2 VALUE = ""/>
<DIR_USER_CONTEXT_3 VALUE = ""/>
</MOD_DIR_CONFIG>
</DIR_INFO>
<RIB_INFO MODE="write">
<MOD_NETWORK_SETTINGS>
<SPEED_AUTOSELECT VALUE = "Y"/>
<NIC_SPEED VALUE = "100"/>
<FULL_DUPLEX VALUE = "N"/>
<IP_ADDRESS VALUE = "192.168.16.33"/>
<SUBNET_MASK VALUE = "255.255.255.0"/>
<GATEWAY_IP_ADDRESS VALUE = "192.168.16.254"/>
<DNS_NAME VALUE = "ESX01-iLO"/>
<PRIM_DNS_SERVER value = "192.168.16.1"/>
<DHCP_ENABLE VALUE = "N"/>
<DOMAIN_NAME VALUE = "educ.local"/>
<DHCP_GATEWAY VALUE = "Y"/>
<DHCP_DNS_SERVER VALUE = "Y"/>
<DHCP_STATIC_ROUTE VALUE = "Y"/>
<DHCP_WINS_SERVER VALUE = "Y"/>
<REG_WINS_SERVER VALUE = "Y"/>
<PRIM_WINS_SERVER value = "0.0.0.0"/>
<STATIC_ROUTE_1 DEST = "0.0.0.0" GATEWAY = "0.0.0.0"/>
<STATIC_ROUTE_2 DEST = "0.0.0.0" GATEWAY = "0.0.0.0"/>
<STATIC_ROUTE_3 DEST = "0.0.0.0" GATEWAY = "0.0.0.0"/>
</MOD_NETWORK_SETTINGS>
</RIB_INFO>
<USER_INFO MODE="write">
</USER_INFO>
</LOGIN>
</RIBCL>

Копируем измененный файл обратно на хост ESXi (предыдущий сохраните - просто переименуйте) и выполняем команду заливки конфигурации:

./hponcfg -f ILO.xml

Дождитесь успешного выполнения команды - и можно коннектиться к iLO через веб-браузер по новому адресу. Этот способ удобен тем, что можно не перезагружать сервер.

Бывают такие ситуации, когда у вас в руках только мобильный телефон, с которого возникает необходимость перезагрузить виртуальную машину на хосте VMware ESXi. Например, у вас в инфраструктуре что-то случилось, но вы имеете доступ к ней через VPN со своего айфона.

Если у вас есть доступ по SSH, то проблему решить весьма просто, как это описано вот тут (а также в KB 1014165). Скачиваем бесплатное приложение Server Auditor по этой ссылке (если у вас андроид - то по этой).

Далее заходим на свой хост ESXi по SSH и выполняем команду:

esxcli vm process list

Будет выведен список всех процессов виртуальных машин, где нам нужно найти World ID нужной машины. Записываем или запоминаем его.

Далее убиваем виртуальную машину командой (вместо параметра force можно использовать hard и soft для выключения ВМ):

esxcli vm process kill -t force -w WorldID

Выглядит это примерно вот так:

Далее снова выполняем команду esxcli vm process list, чтобы убедиться, что виртуальная машина теперь выключена.

Теперь запоминаем VMID нашей виртуальной машины, который можно получить с помощью команды:

vim-cmd vmsvc/getallvms

Если помните часть имени ВМ, можно искать с помощью grep:

vim-cmd vmsvc/getallvms |grep <текст в имени ВМ>

Найдя VMID, проверяем дополнительно, что она выключена:

vim-cmd vmsvc/power.getstate <vmid>

Теперь включаем виртуальную машину:

vim-cmd vmsvc/power.on <vmid>

Вот и все, потом обязательно нужно проверить, что машина включилась, естественно - сначала в списке процессов, а потом пингом.

Недавно компания StarWind, выпускающая продукт номер 1 для построения отказоустойчивых программных хранилищ Virtual SAN, выпустила интересный документ "Step-by-Step Guide to building a Windows Server 2012 R2 Failover Cluster using StarWind Virtual SAN V8".

В документе подробно рассказывается о том, как построить кластер отказоустойчивости из хостов Windows Server 2012 R2 на платформе StarWind Virtual SAN. Описанная процедура состоит из следующих этапов:

1. Анализ требований к окружению и их выполнение.
2. Установка ПО StarWind Virtual SAN.
3. Создание и настройка LUN на виртуальном хранилище Virtual SAN. В процессе создания таргета и виртуального диска подробно описываются все настройки и режимы работы устройств.
4. Настройка фичи Failover Cluster feature и запуск валидации кластера.
5. Создание Windows Server 2012 R2 Failover Cluster.

Также на эту тему можно почитать следующие документы:

• What’s New in Failover Clustering in Windows Server 2012 R2
• Failover Clustering Hardware Requirements and Storage Options
• Validate Hardware for a Failover Cluster
• Deploy a Hyper-V Cluster
• Use Cluster Shared Volumes in a Failover Cluster
• Network Recommendations for a Hyper-V Cluster in Windows Server 2012
• Cluster-Aware Updating Overview
• Технические документы StarWind Software

Компания Veeam Software на днях сделала доступным для загрузки и покупки обновленную версию своего пакета продуктов для резервного копирования, мониторинга и управления виртуальной средой Veeam Availability Suite v8. Это решение сочетает в себе два известных многим из вас продукта:

• Veeam Backup and Replication v8 - решение номер 1 на рынке для резервного копирования виртуальных машин.
• Veeam ONE v8 - комплекс продуктов для мониторинга виртуальной среды, а также отчетности, аналитики и решения проблем.

Напомним, что об анонсе Veeam Availability Suite v8 мы уже писали вот тут. Кроме того, здесь, здесь и здесь мы также немного рассказывали о новых возможностях Veeam Backup and Replication 8.

Начнем с новых возможностей Veeam Backup and Replication v8:

1. Veeam Explorer for Storage Snapshots – данная технология теперь доступна для массивов NetApp

Новый продукт Veeam Explorer for Storage Snapshots (с поддержкой дисковых массивов HP и NetApp) позволяет делать резервные копии из снапшотов хранилищ (Snapshot, SnapMirror и SnapVault) и быстро восстанавливать ВМ из этих копий. Работает это до 20 раз быстрее, чем традиционным способом.

2. Новые средства для восстановления объектов сервисов виртуальных машин

Теперь есть решения для восстановления объектов следующих приложений в гостевой ОС:

• Veeam Explorer for Exchange.
• Veeam Explorer for SharePoint.
• Veeam Explorer for SQL (впервые появился в v8) - появился также веб-портал самостоятельного восстановления объектов, кроме того, теперь есть поддержка SQL AlwaysOn Availability Groups.
• Veeam Explorer for AD (подробнее - тут).

Теперь можно восстанавливать любые объекты, атрибуты и контейнеры из Active Directory.

3. Поддержка EMC Data Domain Boost

Теперь появилась возможность интеграции с этим механизмом EMC, что сократит окна резервного копирования за счет ускорения создания синтетических полных бэкапов до 10 раз. Происходит это за счет дедупликации данных на стороне источника, а также других техник оптимизации.

Поддержка Fibre Channel позволяет выполнять резервное копирование на Data Domain без использования сети LAN.

4. Новая технология End-to-End Encryption

Теперь передаваемые данные при резервном копировании шифруются (AES 256), и даже если вы потеряете пароль, то все равно сможете восстановить виртуальные машин их резервных копий.

Возможны три типа шифрования:

• At source (на стороне источника - делает backup proxy)
• In flight (сетевой трафик репликации, quick migration и т.п.)
• At rest (шифрование на пленку, либо за счет использования шифрования “at source”)

5. Многочисленные улучшения репликации

Сюда входит очень много улучшений, таких как уменьшение требований к каналу, механизм репликации из бэкапа (для очень удаленных и труднодоступных площадок) и возможность переключения на резервную площадку в один клик. Также появились Failover Plans (как в VMware SRM), упрощающие восстановление инфраструктуры.

6. Новое решение Veeam Cloud Connect - средство резервного копирования виртуальных машин в облако любого сервис-провайдера.

Об этом мы уже детально писали вот тут. Veeam Cloud Connect позволяет создать инфраструктуру резервных копий не только на своей площадке, но и на удаленном сайте сервис-провайдера, бизнес которого ориентирован на такую модель поддержки ваших бэкапов (а значит он будет более компетентен в их хранении).

7. Новая функция Backup I/O Control 

Этот механизм мы также подробно рассматривали тут. Backup I/O Control позволяет ограничивать производительность процедуры резервного копирования на отдельном хранилище.

Backup I/O Control ограничивает процесс резервного копирования таким образом, чтобы соблюсти требования по производительности хранилищ для нормальной работы виртуальных машин и приложений. Это очень удобно для продуктивных систем, работающих в режиме 24x7.

8. Новый портал самообслуживания для владельцев приложений.

Это очень удобная штука для самостоятельного восстановления отдельных файлов и папок из резервных копий владельцами систем. Если такой пользователь логинится со своего ПК в этот портал, то система определяет, в каких машинах он является администратором, и предоставляет ему там возможность навигации по файловой системе и восстановления файлов и папок в продуктивную систему. Невероятно удобно, и не надо напрягать администратора по пустякам.

9. Более 150 улучшений - больших и маленьких.

Полный их список приведен вот тут. Veeam как всегда поражает масштабом нововведений в очередной мажорной версии своего продукта. Ребята действительно технологические лидеры. Например, любой другой вендор выделил бы фичу "обнаружение хост-серверов в параллельном режиме, что существенно ускоряет построение инвентаря виртуальной инфраструктуры" в отдельную строчку, но среди кучи новых более крутых новых возможностей Veeam Backup and Replication ей просто не нашлось места, и она затесалась среди этих "150+". Так что обязательно обо всем почитайте, если интересно узнать, например, что такое "Snapshot Hunter".

Теперь о новых возможностях Veeam ONE v8:

What-if анализ сразу для нескольких проектов

Теперь можно планировать развертывание сразу нескольких проектов в режиме "что если?" при расширении инфраструктуры и планировании возможных вариантов ее развития.

Автоматизированное моделирование ситуаций "что будет, если" помогает снизить риски при изменениях и обновлениях, предлагая оптимальный вариант резервирования ресурсов. Эта возможность позволит избавиться от необходимости проведения вычислений при планировании и поддержке развертываний.

Многопользовательский мониторинг и создание отчетов

Менеджеры ИТ могут делегировать системным администраторам функции мониторинга и создания отчетов для виртуальных машин, на которые
распространяются их полномочия. Администраторы будут выполнять мониторинг и настраивать создание отчетов для этих машин, а менеджеры могут создавать отчеты по резервному копированию для всего подразделения, используя данные по “своему” сегменту виртуальной инфраструктуры. Это позволит ежемесячно экономить несколько часов времени для всего подразделения.

Многопользовательский мониторинг и создание отчетов для сервис-провайдеров

Поставщики услуг хостинга виртуальных машин, которые предлагают сервис Infrastructure-as-a-Service (IaaS), могут использовать возможности многопользовательского мониторинга и создания отчетов, чтобы предложить заказчикам услугу самостоятельного мониторинга и создания отчетов. Это повысит уровень предлагаемых услуг, а также избавит поставщика от необходимости вручную создавать отчеты для каждого заказчика.

Возможность мониторинга Veeam Cloud Connect

Теперь можно наблюдать за ресурсами среды Veeam Cloud Connect, а именно:

• Срабатывание алармов, которые оповещают сервис-провайдеров о возможных неполадках
• Отчет по пользователям и использованию ими дисковых квот

Полностью настраиваемые возможности создания отчетов и документирования

Расширенные возможности создания отчетов версии 8 позволяют включать данные из любого поля и любого отчета в единый многофункциональный документ, что обеспечивает еще больший контроль и прозрачность

Остальные возможности Veeam ONE v8 подробно рассмотрены вот тут.

Скачать пробную версию Veeam Availability Suite v8 можно по этой ссылке.

Также вам будут полезны следующие ссылки:

• Обзор продукта
• What’s New in v8
• Hybrid cloud approach with Veeam Availability Suite
• Veeam Availability Suite add encryption functions
• More storage related news about Veeam Availability Suite v8
• Granular restore of SQL items with Veeam Backup & Replication

С развитием ИТ инфраструктуры организации нередко приходят к идее перевода физических рабочих станций в виртуальную среду VDI (Virtual Desktop Infrastructure), т.к. это позволяет более эффективно и гибко использовать имеющиеся ресурсы, а так же быстро реагировать на возникающие потребности. При этом приходится решать ряд вопросов, на которые ранее обращалось мало внимания. Большинство из них связано с нагрузками, возникающими при одновременном выполнении действий на большом количестве виртуальных машин. Но есть и вопросы, связанные со способом создания и управления жизненным циклом машин...

Как стало известно из VMware KB 2090639, в гипервизоре VMware vSphere 4.x и всех более поздних версий (включая vSphere 5.5) есть серьезный баг - оказывается, при увеличении виртуальных дисков машин с включенной технологией Changed Block Tracking (CBT), если их результирующий размер перешагивает 128 ГБ (а также 256, 512, 1024 и т.д.) - их резервные копии оказываются невалидными и не подлежащими восстановлению.

Напомним, что Changed Block Tracking - это техника, которая работает на уровне стека работы с хранилищами в модуле VMkernel и позволяет сторонним продуктам для резервного копирования вернуть список изменившихся блоков с момента последнего бэкапа. Технику CBT используют практически все решения для резервного копирования виртуальных машин, в частности Veeam Backup and Replication.

Сама же ошибка в VMware vSphere связана с тем, что функция QueryChangedDiskAreas, возвращающая информацию об изменившихся дисковых секторах, может выдавать некорректное или вообще пустое значение. Таким образом, если вы восстановите инкрементальный бэкап такой машины, то он работать не будет.

Еще раз отметим, что риску подвержены только те виртуальные машины, размер виртуальных дисков был увеличен до величины строго большей 128 ГБ (а также 256, 512 и т.п. - то есть "перешагнул" границу). Иными словами, если вы со 100 ГБ увеличили диск до 120 ГБ - ошибки не будет, а вот если со 120 ГБ до 130 ГБ - ошибка уже появится.

На данный момент исправления для этой проблемы, потенциально затрагивающей практически всех пользователей VMware vSphere (так как баг есть и в 4.x, и в 5.x), не существует. В качестве костыля можно отключить CBT на всех виртуальных машинах и включить его снова - тогда баг должен уйти.

Сделать это можно через скрипт PowerCLI.

Получаем список всех виртуальных машин с включенной CBT:

$vms=get-vm | ?{$_.ExtensionData.Config.ChangeTrackingEnabled -eq $true}

Создаем спецификацию для наложения нужной настройки (CBT - отключена):

$spec = New-Object VMware.Vim.VirtualMachineConfigSpec
$spec.ChangeTrackingEnabled = $false

Применяем спецификацию к каждой виртуальной машине, затем создаем и удаляем снапшот:

foreach($vm in $vms){
$vm.ExtensionData.ReconfigVM($spec)
$snap=$vm | New-Snapshot -Name 'Disable CBT'
$snap | Remove-Snapshot -confirm:$false}

Проверяем, остались ли машины со включенной CBT:

get-vm | ?{$_.ExtensionData.Config.ChangeTrackingEnabled -eq $true}

Для того, чтобы включить CBT обратно, в спецификации указываем $spec.ChangeTrackingEnabled = $true и повторяем процедуру.

Как всегда, первой подсуетилась компания Veeam и главный по продукту - Антон Гостев.