Мы уже писали об основных приемах по решению проблем на хостах VMware ESX / ESXi с помощью утилиты esxtop, позволяющей отслеживать все аспекты производительности серверов и виртуальных машин. Через интерфейс RCLI можно удаленно получать эти же данные с помощью команды resxtop.

Сегодня мы приведем простое объяснение иерархии счетчиков esxtop, касающихся хранилищ серверов VMware vSphere. Для того, чтобы взглянуть на основные счетчики esxtop для хранилищ, нужно запустить утилиту и нажать кнопку <d> для перехода в режим отслеживания показателей конкретных виртуальных машин (кликабельно). Данные значения будут представлены в миллисекундах (ms):

Если мы посмотрим на колонки, которые выделены красным прямоугольником, то в виде иерархии их структуру можно представить следующим образом:

Распишем их назначение:

• GAVG (Guest Average Latency) - общая задержка при выполнении SCSI-команд от гостевой ОС до хранилища сквозь все уровни работы машины с блоками данных. Это, само собой, самое большое значение, равное KAVG+DAVG.
• KAVG (Kernel Average Latency) - это задержка, возникающая в стеке vSphere для работы с хранилищами (гипервизор, модули для работы SCSI). Это обычно небольшое значение, т.к. ESXi имеет множество оптимизаций в этих компонентах для скорейшего прохождения команд ввода-вывода сквозь них.
• QAVG (Queue Average latency) - время, проведенное SCSI-командой в очереди на уровне стека работы с хранилищами, до передачи этой команды HBA-адаптеру.
• DAVG (Device Average Latency) - задержка прохождения команд от HBA адаптера до физических блоков данных на дисковых устройствах.

В блоге VMware, где разобраны эти показатели, приведены параметры для типичной нагрузки по вводу-выводу (8k I/O size, 80% Random, 80% Read). Для такой нагрузки показатель Latency (GAVG) 20-30 миллисекунд и более может свидетельствовать о наличии проблем с производительностью подсистемы хранения на каком-то из подуровней.

Как мы уже отметили, показатель KAVG, в идеале, должен быть равен 0 или исчисляться сотыми долями миллисекунды. Если он стабильно находится в пределах 2-3 мс или больше - тут уже можно подозревать проблемы. В этом случае нужно проверить значение столбца QUED для ВМ - если оно достигло 1 (очередь использована), то, возможно, выставлена слишком маленькая величина очереди на HBA-адаптере, и необходимо ее увеличить.

Для просмотра очереди на HBA-адаптере нужно переключиться в представление HBA кнопкой <u>:

Ну и если у вас наблюдается большое значение DAVG, то дело, скорее всего, не в хосте ESX, а в SAN-фабрике или дисковом массиве, на уровне которых возникают большие задержки.

Мы уже давно писали о новых возможностях продукта номер 1 для защиты виртуальных инфраструктур - vGate R2 с поддержкой VMware vSphere 5, а также о получении им всех необходимых сертификатов ФСТЭК. Теперь же новые версии продуктов vGate R2 и vGate S R2 официально поступили в продажу и доступны для заказа у партнеров компании Код Безопасности.

Среди основных возможностей новой версии продукта:

• Полная поддержка VMware vSphere 5
• Новый интерфейс просмотра отчетов. Для построения отчетов больше не требуется наличие SQL-сервера, устанавливаемого ранее отдельно.
• Поддержка новых стандартов и лучших практик в политиках и шаблонах (VMware Security Hardening 4.1, PCI DSS 2.0, CIS VMware ESX Server Benchmark 4).
• Поддержка распределенного коммутатора (Distributed vSwitch) Cisco Nexus 1000v.
• Поддержка 64-битных систем в качестве платформы для vGate Server.
• Улучшение юзабилити, пользовательного интерфейса и масштабируемости.
• Поддержка альтернативного метода лицензирования на базе платы за виртуальную машину за месяц (по модели SaaS).

Из официального пресс-релиза компании Код Безопасности:

Компания «Код Безопасности» сообщает о передаче в продажу новых версий сертифицированного программного продуктаvGate R2/ vGate S R2, предназначенного для защиты от НСД систем управления виртуализированных инфраструктур, построенных на платформах VMware. Новые версии продуктов доступны для приобретения с начала мая 2012 года.

Новые сертифицированные версии vGate R2/ vGate S R2 содержат ряд значительных улучшений и функциональных модернизаций, которые позволяют наиболее полно решать задачи компаний по обеспечению безопасности информации, обрабатываемой и хранящейся в инфраструктурах, построенных на платформах VMware.

В частности, добавлена возможность поддержки инфраструктур виртуализации, распределенных по нескольким подсетям. Также в новых сертифицированных версиях для удобства работы администраторов улучшены возможности фильтрации списков защищаемых объектов: теперь фильтрация может производиться по объектам (ВМ, сервер и др.).

Улучшены возможности работы с отчетами аудита – теперь возможна фильтрация по описанию событий.

Значительно улучшен конфигуратор продукта, который в новых версиях запускается сразу после установки и позволяет сделать необходимые настройки продукта таким образом, чтобы можно было начать его использование непосредственно после установки.

Относительно поддержки аппаратных средств в новых версиях vGate R2/ vGate S R2 теперь предусмотрена поддержка работы с Distributed vSwitch Cisco Nexus 1000v. Улучшения коснулись и шаблонов автоматического приведения систем в соответствие с требованиями лучших практик и стандартов. Теперь с помощью vGate R2/ vGate S R2 можно автоматизировать привидение систем в соответствие с требованиями следующих лучших документов:

• vSphere 4.1 Security Hardening Guide,
• CIS Security Configuration Benchmark for VMWare ESX 4 v. 1.0,
• PCI DSS версия 2.0.

По-прежнему компаниям-пользователям остаются доступны шаблоны автоматического приведения систем в соответствие с ФЗ-152 и СТО БР ИББС.

Пробную версию продукта vGate R2 можно скачать бесплатно по этой ссылке.

Мы уже писали о  полезных нововведениях, касающихся сетевого взаимодействия, доступных в распределенном коммутаторе VMware vSphere Distributed Switch (vDS), которые облегчают жизнь сетевым администраторам. В частности, рассмотрели механизм Netflow и его поддержку в vSphere 5.

Напомним, что посредством vDS доступны следующие новые возможности, которые описаны в документе "What's New in VMware vSphere 5.0 Networking":

• Поддержка Netflow версии 5 - возможность просмотра трафика между виртуальными машинами (ВМ-ВМ на одном или разных хостах, а также ВМ-физический сервер) посредством сторонних продуктов, поддерживающих Netflow.
• Поддержка зеркалирования портов Switch Port Analyzer (аналог технологии SPAN в коммутаторах Cisco) - возможность дублировать трафик виртуальной машины (а также VMkernel и физических адаптеров) на целевую машину (Port Mirroring), которая может реализовывать функционал системы обнаружения или предотвращения вторжений (IDS/IPS).
• Поддержка открытого стандарта Link Layer Discovery Protocol (LLDP, в реализации 802.1AB) - это механизм обнаружения соседних сетевых устройств и сбора информации о них для решения различных проблем сетевыми администраторами. Ранее поддерживался только протокол CDP (Cisco Discovery Protocol), поддержка которого есть не во всех устройствах.
• Улучшения механизма Network I/O Control - пулы ресурсов для сетевого трафика и поддержка стандарта 802.1q. Опредлеямые пользователем пулы для различных типов трафика позволяют приоритезировать и ограничивать пропускную способность канала для них посредством механизма shares и limits.

Сегодня мы рассмотрим поддержку открытого стандарта Link Layer Discovery Protocol (LLDP) (то есть, вендоронезависимого), который позволяет обнаруживать соседние с серверами ESXi коммутаторы и собирать о них информацию для последующего анализа.

Ранее можно было использовать только протокол CDP (Cisco Discovery Protocol), что сужало применение данной возможности. Теперь в настройках vDS у нас есть выбор LLDP или CDP:

По умолчанию, при создании распределенного коммутатора vDS, включен протокол CDP, поэтому для включения LLDP его надо переопределить в настройках. В поле Operation есть три режима работы:

• Listen - ESXi обнаруживают и отображают информацию о непосредственно подключенном физическом коммутаторе, но информация о самом vDS не предоставляется администратору физического коммутатора.
• Advertise - ESXi, наоборот, рассказывают о vDS физическому коммутатору, но не собирают информацию о нем.
• Both - обе предыдущих опции: vDS и физический коммутатор получают информацию друг о друге.

Чтобы посмотреть статистику, собранную с помощью LLDP, нужно нажать на синюю иконку с информацией для выбранного dvSwitch:

Эта информация позволяет проследить физическую коммутацию кабелей с хоста ESXi на порты физического коммутатора, без необходимости идти в серверную и смотреть, как там все подключено.

Источник: http://rickardnobel.se/archives/644.

Уважаемые коллеги! Как знают многие из вас, 30 мая в Москве, в Центре Международной Торговли, пройдет конференция VMware Forum 2012 - главное российское мероприятие этого года в сфере виртуализации. Так как это мероприятие только для конечных пользователей, то партнеры VMware туда не приглашаются. Так получается, что 30 мая я буду в Москве и постараюсь туда прийти, но мне для этого нужно 10 регистраций от вас (10 разных компаний). Кто захочет пообщаться на конференции - пишите на areconster@gmail.com.

Поэтому регистрируемся на конференцию по ссылке: http://www.vmwareforum2012.com/Moscow/register

Далее в графе "Как вы узнали о мероприятии?" указываем "Другое" и в следующем поле пишем "VMC":

УЧАСТИЕ БЕСПЛАТНОЕ!

Дата и место проведения:

30 мая 2012 с 9:00 до 19:00 в Москве в Центре Международной Торговли, по адресу: Краснопресненская наб., 12, подъезд №4.

На VMware Forum 2012 вы узнаете, как компания VMware, мировой лидер в сфере виртуализации и облачных технологий, вместе со своими партнерами реализует облачные инфраструктуры, предназначенные для решения насущных проблем. К таким проблемам относятся избыточная сложность ИТ-среды, недостаточный уровень безопасности и длительное время разработки, развертывания и запуска приложений в масштабах всей организации. 

VMware Forum — это однодневное мероприятие, которое проводится для администраторов приложений, специалистов групп инфраструктуры и эксплуатации, а также администраторов рабочих станций. VMware Forum предоставит всем участникам возможность получить конкретные рекомендации по реализации стратегии перехода к облачным вычислениям. Примите участие в Форуме и узнайте, как облака повысят эффективность вашей инфраструктуры!

Иногда для целей тестирования какой-нибудь из технологий высокой доступности VMware (например, Fault Tolerance или HA) хочется сделать что-нибудь плохое с хост-сервером ESXi, чтобы посмотреть, как он эту ситуацию обработает. Самый простой вариант - это перезагрузить хост, ну а можно еще вывести его в искусственный PSOD (Purple Screen of Death) - по аналогии с синим экраном смерти в Windows. При этом будет создан также Kernel Dump, который вы можете поизучать.

Вызвать ситуацию Kernel Panic и PSOD на хосте ESXi можно простой командой, зайдя на него по SSH или в DCUI:

# vsish -e set /reliability/crashMe/Panic 1

Результат:

После перезагрузки хоста с ним все будет нормально.

В последнее время становится все больше и больше компаний, предоставляющих сервисы аренды виртуальных машин в облачной инфраструктуре на платформе VMware vSphere. Между тем, защищенности таких инфраструктур и их соответствию стандартам безопасности (особенно российским), как правило, уделяется мало внимания. Сегодня мы поговорим о том, что можно сделать с помощью продукта vGate R2 для защиты виртуальных сред в датацентрах провайдеров, предоставляющих виртуальные машины VMware в аренду.

Как известно, в VMware vSphere 5 появилось несколько полезных нововведений, касающихся сетевого взаимодействия, доступных в распределенном коммутаторе VMware vSphere Distributed Switch (vDS), которые облегчают жизнь сетевым администраторам. В частности, посредством dvSwitch доступны следующие новые возможности, которые описаны в документе "What's New in VMware vSphere 5.0 Networking":

• Поддержка Netflow версии 5 - возможность просмотра трафика между виртуальными машинами (ВМ-ВМ на одном или разных хостах, а также ВМ-физический сервер) посредством сторонних продуктов, поддерживающих Netflow.
• Поддержка зеркалирования портов Switch Port Analyzer (аналог технологии SPAN в коммутаторах Cisco) - возможность дублировать трафик виртуальной машины (а также VMkernel и физических адаптеров) на целевую машину (Port Mirroring), которая может реализовывать функционал системы обнаружения или предотвращения вторжений (IDS/IPS).
• Поддержка открытого стандарта Link Layer Discovery Protocol (LLDP, в реализации 802.1AB) - это механизм обнаружения соседних сетевых устройств и сбора информации о них для решения различных проблем сетевыми администраторами. Ранее поддерживался только протокол CDP (Cisco Discovery Protocol), поддержка которого есть не во всех устройствах.
• Улучшения механизма Network I/O Control - пулы ресурсов для сетевого трафика и поддержка стандарта 802.1q. Опредлеямые пользователем пулы для различных типов трафика позволяют приоритезировать и ограничивать пропускную способность канала для них посредством механизма shares и limits.

Все эти новые возможности мы разберем в следующих заметках, а сегодня сосредоточимся на механизме Netflow и его поддержке в vSphere 5. NetFlow — сетевой протокол, предназначенный для учёта сетевого трафика, разработанный компанией Cisco Systems. Является фактическим промышленным стандартом и поддерживается не только оборудованием Cisco, но и многими другими устройствами.

Для сбора информации о трафике по протоколу NetFlow требуются следующие компоненты:

• Сенсор. Собирает статистику по проходящему через него трафику. Обычно это L3-коммутатор или маршрутизатор, хотя можно использовать и отдельно стоящие сенсоры, получающие данные путем зеркалирования порта коммутатора. В нашем случае это распределенный коммутатор vDS.
• Коллектор. Собирает получаемые от сенсора данные и помещает их в хранилище.
• Анализатор. Анализирует собранные коллектором данные и формирует пригодные для чтения человеком отчёты (часто в виде графиков).

NetFlow дает возможность сетевому администратору мониторить сетевые взаимодействия виртуальных машин для дальнейших действий по обнаружению сетевых вторжений, отслеживания соответствия конфигураций сетевых служб и анализа в целом. Кроме того, данная возможность полезна тогда, когда требуется отслеживать поток трафика от приложений внутри виртуальной машины с целью контроля производительности сети и целевого использования трафика.

Синяя линия на картинке показывает настроенный виртуальный коммутатор, который посылает данные Netflow на стороннюю машину (коллектор), которая подключена к хост-серверу VMware ESXi через физический коммутатор. Коллектор уже передает данные анализатору. Netflow может быть включен на уровне отдельной группы портов (dvPortGroup), отдельного порта или аплинка (Uplink).

Для начала настройки Netflow нужно зайти в свойства коммутатора vDS (он должен быть версии 5.0.0 или выше):

Здесь мы указываем IP-адрес коллектора, куда будут отправляться данные, его порт, а также единый IP-адрес коммутатора vDS, чтобы хосты не представлялись отдельными коммутаторами для коллектора.

Включить мониторинг Netflow можно в свойствах группы портов на vDS в разделе Monitoring:

Далее в эту группу портов включаем одну из виртуальных машин:

Теперь можно использовать один из продуктов для сбора и анализа трафика Netflow, например, Manage Engine Netflow Analyzer. Пример статистики, которую собирает этот продукт по протоколам (в данном случае большинство трафика - http):

Netflow можно использовать для различных целей мониторинга, например, в инфраструктуре VMware View, где присутствуют сотни виртуальных машин, можно сгруппировать трафик по группам и смотреть, сколько трафика выжирается видеосервисами (Youtube, к примеру), так как это может сильно влиять на производительность сети в целом:

Применений Neflow на самом деле уйма, поэтому его поддержка в VMware vSphere 5 может оказаться вам очень полезной.

Мы уже не раз писали о типах устройств в продукте StarWind iSCSI Target, который предназначен для создания отказоустойчивых iSCSI-хранилищ для серверов VMware vSphere и Microsoft Hyper-V, однако с тех времен много что изменилось: StarWind стал поддерживать дедуплицированные хранилища и новые типы устройств, которые могут пригодиться при организации различных типов хранилищ и о которых мы расскажем ниже...

На проходящих сейчас по всему миру мероприятиях VMware Partner Exchange On Tour (PEX) сотрудники VMware все больше рассказывают о возможностях новой версии платформы виртуализации серверов VMware vSphere 5.1. Во-первых, стало известно, что vSphere 5.1 будет анонсирована на предстоящем VMworld, который пройдет в Сан-Франциско с 27 по 30 августа этого года.

Во-вторых, во всяких твиттерах появилось описание некоторых новых возможностей VMware vSphere 5.1, которые мы увидим осенью этого года, а именно:

• Поддержка технологии кластеров непрерывной доступности Fault Tolerance для виртуальных машин с несколькими виртуальными процессорами (vCPU).
• Загрузка хостов через адаптеры Fiber Channel over Ethernet (FCoE).
• Поддержка виртуализованных контроллеров домена Active Directory. Windows Server 8, который исполняется в виртуальной машине, на самом деле в курсе, что он работает в ВМ. Это означает, что создание и удаление снапшота такой машины не приведет к проблемам с AD, возникающих с номером последовательного обновления (Update Sequence Number, USN) контроллера. Ранее при восстановлении из снапшота из-за проблем с USN могла остановиться репликация данных каталога. Теперь Microsoft добавила технологию Generation ID, которая позволяет виртуальному контроллеру домена знать, последняя ли версия каталога им используется. За счет этого решаются проблемы с репликацией при откате к снапшоту, а также появляется возможность клонирования виртуальных машин с контроллерами домена. Соответственно, такую возможность и будет поддерживать vSphere 5.1.

Что касается технологии Fault Tolerance для ВМ с несколькими vCPU, то, как пишут наши коллеги на vMind.ru, эта технология будет требовать соединения 10 GigE для работы механизма "SMP Protocol", который придет на смену технологии vLockstep. При этом работать она сможет вообще без общего хранилища для виртуальных машин, которые могут быть разнесены по разным датасторам и хостам:

Безусловно, это не все новые возможности, которые следует ожидать в VMware vSphere 5.1, поэтому мы будем держать вас в курсе новых подробностей по мере их поступления.

Вы уже, наверняка, читали про новые возможности VMware View 5.1, а на днях обновился калькулятор VDI Flash Calculator до версии 2.8, предназначенный для расчета вычислительных мощностей и хранилищ, поддерживающий новые функции платформы виртуализации настольных ПК.

Среди новых возможностей калькулятора VDI:

• Поддержка VMware View 5.1
• Поддержка функции VMware View CBRC для системного диска (Content Based Read Cache) - предполагается уменьшение интенсивности ввода-вывода на чтение на 65%
• Поддержка связанных клонов на томах NFS для кластеров vSphere, состоящих из более чем 8-ми хостов
• Поддержка платформ с высокой плотностью размещения виртуальных ПК
• Поддержка разрешения экрана 2560×1600
• Небольшие изменения в интерфейсе

Ну и небольшое обзорное видео работы с калькулятором:

САН-ХОСЕ, Калифорния—GPU Technology Conference—15 мая, 2012—NVIDIA сегодня представила платформу NVIDIA® VGX™, которая позволяет IT отделам компаний организовывать для работников виртуальные рабочие столы с производительностью ПК или рабочей станции с дискретной графикой на любом подключенном устройстве.

Если вы являетесь разработчиком и администраторов скриптов PowerCLI / PowerShell для автоматизации операций в виртуальной инфраструктуре VMware vSphere, вам, наверняка, часто приходится хардкодить логин и пароль для соединения с сервером vCenter или вводить их в интерактивном режиме. Это не очень безопасно (мало ли кто увидит ваш скрипт на экране), да и вообще, не очень удобно.

Специально для этого в PowerCLI есть хранилище, называемое Credential Store, в которое можно помещать логин и пароль от сервера, с которым вы соединяетесь из скрипта.

Делается это следующим командлетом:

New-VICredentialStoreItem -Host 192.168.1.10 -User 'user' -Password 'password'

Таким образом для этого хоста вы помещаете креды "user" с паролем "password" в шифрованное хранилище Credential Store, которое находится в следующем файле:

%APPDATA%\VMware\credstore\vicredentials.xml

Теперь при соединении с vCenter из скрипта, просто пишете:

Connect-VIServer 192.168.1.10

В этом случае, при отсутствии указания логина и пароля, PowerCLI заглядывает в хранилище и смотрит, нет ли там кредов для этого хоста, и если они есть, то подставляет их. Все просто.

Чтобы посмотреть креды из хранилища, нужно просто вызвать следующий командлет:

Get-VICredentialStoreItem -User 'user' -Host 192.168.1.10 -File 'credentials.xml'

Ну а для удаления кредов пишем вот так (для удаления всех логинов и паролей от хоста):

Remove-VICredentialStoreItem -Host 192.168.1.10 -Confirm

Или так для удаления кредов указанного пользователя в подсети хостов:

Remove-VICredentialStoreItem -User 'admin' -Host '192.168.*' -File 'credentials.xml' -Confirm

Такой способ хранения логинов и паролей для скриптов действует для конкретного пользователя, так как они хранятся в Credential Store в зашифрованном виде и могут быть расшифрованы только под ним. То есть, если злоумышленник украдет виртуальную машину с этими скриптами, но не сможет залогиниться под этим пользователем, получить эти пароли он не сможет, при условии использования Windows file encryption (EFS) для файла хранилища.

Есть также и альтернативный метод хранения кредов для скриптов в произвольном файле.

Ни для кого не скрет, что государственные организации очень часто и очень много работают с персональными данными (ПДн). Не секрет также, что многие госы уже внедрили виртуальную инфраструктуру VMware vSphere, где есть виртуальные машины, которые эти данные хранят и обрабатывают, что требует соответствующих мер и технических средств защиты, сертифицированных ФСТЭК. К сожалению, сама платформа VMware vSphere имеет недостаток, который я называю "Lack of ФСТЭК", то есть отсутствие своевременно обновляемых сертификатов ФСТЭК на продукт (сейчас актуален сертификат на vSphere 4.1, и нет информации, когда будет сертифицирована пятерка).

Поэтому, когда есть персональные данные и инфраструктура vSphere, просто необходимо использовать единственный имеющийся сейчас на рынке сертифицированный ФСТЭК продукт vGate R2, который позволяет автоматически настроить среду VMware vSphere в соответствии с требованиями общепринятых и отраслевых (специально для России) стандартов, а также защитить инфраструктуру от НСД.

У vGate R2 есть два издания - для коммерческих организаций и специальное - для госструктур с гостайной.

Ниже приведена выдержка из описания кейса внедрения vGate R2 для ТФОМС Приморского края, где была необходима сертифицированная защита среды VMware vSphere:

Перед IT–специалистами и сотрудниками отдела информационной безопасности Фонда была поставлена задача обеспечить в 2011 году защиту информационных массивов персональных данных застрахованных граждан, эксплуатируемых в Фонде по классу информационной безопасности К1.
...
Для выполнения задач защиты системы обработки персональных данных были выбраны продукты vGate и Secret Net 6.5 разработки компании «Код Безопасности».

Реализация проекта по развертыванию ПО vGate осуществлялась на вновь создаваемом ресурсе в виде изолированной аппаратной платформы и развернутой на этой платформе виртуальной инфраструктуры на базе технологии VMware.

Связь с защищенным сегментом осуществляется через аппаратный терминальный клиент, обеспечивающий двухфакторный контроль доступа в защищенную среду центра обработки персональных данных.

Начальник отдела автоматизированной обработки информации ГУ ТФОМС ПК Воробьев П.Б.отметил, что в результате развертывания программного решения vGate для защиты виртуальной инфраструктуры центра обработки персональных данных были решены следующие задачи:

• обеспечена защита персональных данных, хранящихся и обрабатываемых в виртуальной среде (ЗСОПДн) от утечек через каналы, специфичные для виртуальной инфраструктуры (контроль виртуальных устройств, обеспечение целостности и доверенной загрузки виртуальных машин и контроль доступа к элементам виртуальной инфраструктуры);
• реализовано разделение объектов виртуальной инфраструктуры на логические группы и сферы администрирования с помощью функций мандатного и ролевого управления доступом;
• установлен контроль над изменениями настроек безопасности на основе утвержденных корпоративных политик безопасности;
• сконфигурирован и запущен в работу АРМ администратора системы безопасности;
• реализована регистрация попыток доступа в инфраструктуру, также возможность создания отчетов о состоянии виртуальной инфраструктуры и контроля целостности периметра;
• работа с персональными данными в ГУ ТФОМС ПК приведена в соответствие с требованиями законодательства РФ в области защиты информации.

Полностью текст кейса можно прочитать тут.

Компания Citrix Systems на проходящей в Сан-Франциско конференции Citrix Synergy 2012 сделала несколько важных заявлений, относящихся к продуктовой линейке виртуализации настольных ПК, и о других продуктах компании.

Итак, список основных новостей от Citrix:

• Продукт GoToAssist теперь доступен для Android-устройств и полностью бесплатно.
• Продукт GoToMeeting с поддержкой технологии HD Faces теперь доступен для iPad
• Поддержка тонкого клиента Wyse Xenith 2 (40% выше производительность сессий, безопасность, HD-графика, оптимизация при работе в WAN).
• Продукт VDI-in-a-Box теперь можно обновить лицензией до XenDesktop.
• Запущен проект Citrix AppDNA 6.1 (подробнее здесь).
• Компания VirtualComputer, выпускающая единственного конкурента клиентского гипервизора CItrix XenClient - продукт NxTop, приобретена компанией Citrix. Теперь нет конкурентов:)
• Продукт XenClient Enterprise Edition будет выпущен во втором квартале 2012 года и будет входить в издание XenDesktop Platinum.
• Анонсировано технологическое превью Project Aruba - расширения VDI-in-a-Box, которое позволяет упростить процедуры развертывания, администрирования и доставки виртуальных ПК средствами технологии vDisk и других. Виртуальные ПК, доставляемые таким образом, будут доступны как от сервис-провайдеров (Citrix Service Provider, CSP), так и на площадках заказчиков в частных облаках.
• Компания Podio приобретена компанией Citrix. Это платформа совместной проектной работы с поддержкой ПО для совещаний Citrix GoToMeeting (кстати, бесплатно на 5 пользователей) и сервиса хранения ShareFile от Citrix.
• Анонсирован ShareFile with StorageZones - возможность контроля хранения данных в зависимости от их типа в частном или публичном облаке. Сам сервис ShareFile может быть развернут как внутри инфраструктуры компании, так и в публичном облаке сервис-провайдера. Поддерживается он из клиента Citrix Receiver и по функциям напоминает Dropbox, а также Project Octopus от VMware.
• Также клиент Citrix Receiver с поддержкой возможности Follow-Me Data будет доступен в июле этого года.
• Анонсированы новые функции Cloud Gateway 2 - средства федерации SaaS-приложений и облаков Citrix в едином фронтенде (см. VMware Horizon). Новые возможности включают в себя средства доступа через Receiver к интрасети без браузера, унифицированный безопасный фронтенд для корпоративных Web, SaaS и Windows-приложений, а также средство iJacket, предоставляющее контейнеры для устройств с различными форм-факторами.
• Компонент CloudBridge (бэкенд Cloud Gateway для соединения со своим датацентром или облачным провайдером) будет доступен в июне этого года.
• Технология XenDesktop Flexcast теперь поддерживает функцию Remote PC.
• Представлены новые улучшения протокола HDX для CAD-приложений.
• Представлена платформа Citrix CloudPlatform, основанная на продукте Apache CloudStack, которая доступна уже сегодня.
• Представлен Project Avalon = CloudStack + XenApp/XenDesktop + оркестрация сервисов в "облачном стиле". О том, что это такое, можно прочитать вот тут.

Теперь несколько скриншотов. Citrix ShareFile, как и DropBox, монтирует папку из облака в Windows:

Концепция Follow-Me Data:

Архитектура Project Avalon:

В общем, компания Citrix все больше фокусируется на облаках и доставке сервисов пользователю, но все дальше уходит от серверной виртуализации, которая, по-сути, осталась уже в прошлом.

Как известно, многие консольные команды старой сервисной консоли VMware ESX (например, esxcfg-*) в ESXi 5.0 были заменены командами утилиты esxcli, с помощью которой можно контролировать весьма широкий спектр настроек, не все из которых дублируются графическим интерфейсом vSphere Client. В списке ниже приведены некоторые полезные команды esxcli в ESXi 5.0, которыми можно воспользоваться в локальной консоли (DCUI) или по SSH для получения полезной информации как о самом хост-сервере, так и об окружении в целом.

1. Список nfs-монтирований на хосте:
# esxcli storage nfs list

2. Список установленных vib-пакетов:
# esxcli software vib list

3. Информация о памяти на хосте ESXi, включая объем RAM:
# esxcli hardware memory get

4. Информация о количестве процессоров на хосте ESXi:
# esxcli hardware cpu list

5. Список iSCSI-адаптеров и их имена:
# esxli iscsi adapter list

6. Список сетевых адаптеров:
# esxcli network nic list

7. Информация об IP-интерфейсах хоста:
# esxcli network ip interface list

8. Информация о настройках DNS:
# esxcli network ip dns search list
# esxcli network ip dns server list

9. Состояние активных соединений (аналог netstat):
# esxcli network ip connection list

10. Вывод ARP-таблицы:
# network neighbors list

11. Состояние фаервола ESXi и активные разрешения для портов и сервисов:
# esxcli network firewall get
# esxcli network firewall ruleset list

12. Информация о томах VMFS, подключенных к хосту:
# esxcli storage vmfs extent list

13. Мапинг VMFS-томов к устройствам:
# esxcli storage filesystem list

14. Текущая версия ESXi:
# esxcli system version get

15. Вывод информации о путях и устройствах FC:
# esxcli storage core path list
# esxcli storage core device list

16. Список плагинов NMP, загруженных в систему:
# esxcli storage core plugin list

17. Рескан HBA-адаптеров:
# esxcli storage core adapter rescan

18. Получить список ВМ с их World ID и убить их по этому ID (помогает от зависших и не отвечающих в vSphere Client ВМ):
# esxcli vm process list (получаем ID)
# esxcli vm process kill --type=[soft,hard,force] --world-id=WorldID (убиваем разными способами)

19. Узнать и изменить приветственное сообщение ESXi:
# esxcli system welcomemsg get
# esxcli system welcomemsg set

20. Поискать что-нибудь в Advanced Settings хоста:
# esxcli system settings advanced list | grep <var>

21. Текущее аппаратное время хоста:
# esxcli hardware clock get

22. Порядок загрузки с устройств:
# esxcli hardware bootdevice list

23. Список PCI-устройств:
# esxcli hardware pci list

24. Рескан iSCSI-адаптеров (выполняем две команды последовательно):
# esxcli iscsi adapter discovery rediscover -A <adapter_name>
# esxcli storage core adapter rescan [-A <adapter_name> | -all]

25. Список виртуальных коммутаторов и портгрупп:
# esxcli network vswitch standard list

Из основного вроде все. Если что-то еще используете - пиши плз в каменты. Полный список того, что можно сделать с esxcli, приведен в документе "Command-Line Management in vSphere 5.0
for Service Console Users".

Для тех из вас, кто умеет и любит разрабатывать скрипты на PowerCLI / PowerShell для виртуальной инфраструктуры VMware vSphere, приятная новость - вышло два полезных справочика в формате Quick Reference. Первый - vSphere 5.0 Image Builder PowerCLI Quick-Reference v0.2, описывающий основные командлеты для подготовки образов хост-серверов к автоматизированному развертыванию (а также собственных сборок ESXi) средствами Image Builder:

Второй - vSphere 5.0 AutoDeploy PowerCLI Quick-Reference v0.2, описывающий основные командлеты для автоматизации процесса развертывания хост-серверов ESXi средствами Auto Deploy:

Продолжаем рассказывать технические подробности о сертифицированном ФСТЭК продукте vGate R2, который предназначен для обеспечения безопасности виртуальной инфраструктуры VMware vSphere (в том числе 5-й версии) средствами политик ИБ и механизма защиты от НСД.

Сегодня мы поговорим о компоненте защиты сервера vCenter, который входит в поставку vGate R2. Это сетевой экран, который позволит вам дополнить решение по защите виртуальной среды VMware vSphere. В его установке нет никаких сложностей - ставится он методом "Next->Next->Next":

Потребуется лишь указать параметры базы сервера авторизации, который должен быть развернут в виртуальной среде (как это делается - тут) и параметры внешней подсети, в которую смотрит сервер vCenter (это сеть, откуда соединяются через клиент vSphere администраторы виртуальной инфраструктуры):

После этого компонент vGate R2 для защиты vCenter будет установлен. У него нет графического интерфейса, поэтому для задания правил сетевого экрана нужно воспользоваться консольной утилитой. Компонент защиты, устанавливаемый на vCenter, осуществляет фильтрацию только входящего трафика. При этом разрешены только штатные входящие сетевые соединения:

• соединения из внешнего периметра сети администрирования через сервер
  авторизации
• доступ с сервера авторизации на TCP-порт 443 и по протоколу ICMP
• доступ на UDP-порт 902 c ESX-серверов

Если необходимо разрешить доступ к vCenter с какого-либо иного направления, то необходимо добавить правила доступа с помощью специальной утилиты командной строки drvmgr.exe.

Описание некоторых команд утилиты drvmgr.exe и их параметров приведено ниже:

• > drvmgr
  Вызов справки
• > drvmgr i 0x031
  Просмотр текущих правил фильтрации
• >drvmgr А protocol IP_from[:source_port[,mask]] [:destination_port] [Flags]
  Добавление правила фильтрации
• >drvmgr R protocol IP_from[:source_port[,mask]] [destination_port] [Flags]
  Удаление правила фильтрации

Описание аргументов параметров команд утилиты приведено в таблице:

Например, для добавления правила, разрешающего входящие соединения из сети 172.28.36.0 по любому протоколу на любой входящий порт vСenter, формат команды следующий:

>drvmgr A any 172.28.36.0:any,255.255.255.0 any 4

Для удаления вышеуказанного правила следует указать команду:

>drvmgr R any 172.28.36.0:any,255.255.255.0 any 4

Скачать пробную версию продукта vGate R2 можно по этой ссылке. Презентации по защите виртуальных инфраструктур доступны тут, а сертификаты ФСТЭК продукта - здесь.

Мы уже писали о продукте для комплексного мониторинга и управления виртуальной инфраструктурой VMware vCenter Operations Management Suite, в состав которого входит ПО для отслеживания взаимосвязей на уровне приложений VMware vCenter Infrastructure Navigator. На днях компания VMware выпустила обновление - VMware vCenter Infrastructure Navigator 1.1.

Напомним, что Infrastructure Navigator - это плагин к vCenter (интегрируется в веб-клиент VMware vSphere 5 Web Client), поставляемый в виде виртуального модуля (Virtual Appliance), который строит структуру взаимосвязей на уровне приложений в виртуальных машинах, что позволяет анализировать завимости уровня приложений и их связ с объектами VMware vSphere.

vCenter Infrastructure Navigator предоставляет следующие основные возможности:

• Построение карты сервисов в виртуальной среде для того, чтобы отследить взаимосвязь проблемы отдельного сервиса и виртуальной инфраструктуры. Приложения в виртуальных машинах и взаимосвязи между ними обнаруживаются и добавляются на карту автоматически.
• Отслеживание влияния изменений в приложениях на группы сервисов и виртуальную среду в целом для дальнейшего анализа влияния на бизнес-функции виртуальной инфраструктуры.
• Ассоциирование объектов виртуальной инфраструктуры с объектами приложений, что позволяет оперировать с объектами vSphere, относящимися к конкретному сервису (например, поиск ВМ, реализующих сервисы Exchange и управление ими).
• Поддержка взаимосвязей на уровне приложений для корректного восстановления инфраструктуры на DR-площадке (например, с помощью VMware SRM)

Если обобщить, то vCenter Infrastructure Navigator позволяет отобразить линейный список ваших виртуальных машин в vSphere Client на карту зависимостей сервисов друг от друга (с учетом портов взаимодействия), что позволит понять влияние тех или иных действий с виртуальной машиной или приложением в ней на другие составляющие ИТ-инфраструктуры компании:

То есть, слева у вас просто список машин (в данном случае, в контейнере vApp), а справа - уже карта связей на уровне компонентов приложений.

Новые возможности VMware vCenter Infrastructure Navigator 1.1:

• Поддержка продукта VMware vCloud Director (VCD) для облачных сред.
• Поддержка внешних взаимосвязей для приложений. Например, сервисов виртуальной машины с сервисами физического сервера, который не управляется vCenter.
• Обнаружение неизвестных сервисов - для них просто указывается тип "unknown", имя процесса и порт, на котором сервис слушает.
• Возможность задания пользовательского типа сервиса на базе атрибутов: имя процесса, порт.
• Поддержка обнаружения следующих сервисов: Site Recovery Manager (SRM) Server, VMware View Server, VMware vCloud Director Server и VMware vShield Manager Server.
• Нотификации о различных ошибках на отдельной панели.
• Возможность раскрытия объектов карты сервисов из одного представления для вывода необходимого уровня детальности дерева взаимосвязей.

Напоминаем, что VMware vCenter Infrastructure Navigator 1.1 является частью продукта VMware vCenter Operations Management Suite и доступен для загрузки по этой ссылке. Также обновился и сам VMware vCenter Operations Manager (основная часть Suite) до версии 5.01.

Мы уже писали о возможностях настольной платформы виртуализации VMware Workstation 8, а также функционале, который нас ожидает в Workstation 2012. Раньше, когда еще существовал VMware Server, многие небольшие компании использовали именно его, поскольку он был прост и бесплатен, а что важнее - не требовал специфического "железа". Даже когда вышел бесплатный VMware ESXi (сейчас он, напомним, называется vSphere Hypervisor), многие по-прежнему использовали VMware Server, где не требовалось никаких особенных навыков администрирования, в отличие от ESXi.

А потом VMware Server не стало, и пользователи в маленьких компаниях, которые не могут позволить купить себе нормальные серверы и хранилища, остались ни с чем. Приходилось покупать Whitebox'ы для ESXi или использовать VMware Workstation. Так вот специально для таких пользователей в восьмой версии Workstation появились "серверные" функции, реализующе "общие виртуальные машины", описание которых можно увидеть на видео ниже:

Также в VMware Workstation 8 есть возможность автостарта виртуальных машин при старте компьютера, который раньше приходилось реализовывать самостоятельно. С шарингом виртуальных машин все просто - вы назначаете привилегии на виртуальные машины пользователям, а в консоли Workstation они появляются в категории Shared VMs. Панель так и озаглавлена: VMware Workstation Server:

Правда при таком их использовании теряются следующие функции:

• Unity
• Shared Folders
• AutoProtect
• Drag and drop
• Copy and paste

Но, надо сказать, что серверам они не особенно-то и нужны. Такая модель использования VMware Workstation пригодиться рабочим группам и в крупных компаниях, которым не требуются возможности производственного датацентра компании, в первую очередь разработчикам и тестировщикам.

Компания Veeam Software, известная своим продуктом для резервного копирования Veeam Backup and Replication, выпустила финальную версию решения Veeam ONE v6, предназначенного для мониторинга (бывший продукт Veeam Monitor), а также контроля изменений и автоматизированной отчетности (бывший продукт Veeam Reporter) виртуальных инфраструктур VMware vSphere и Microsoft Hyper-V. О новом комплекте поставки решения Veeam ONE мы уже писали тут и тут.

Функции мониторинга:

Функции отчетности:

Теперь два продукта Veeam Reporter и Monitor работают на одном движке с общей базой данных, что делает Veeam ONE законченным решением для управления виртуальной инфраструктурой с точки зрения мониторинга, отчетности, контроля изменений и планирования мощностей. Все в одном.

Новые возможности Veeam ONE v6:

Мониторинг

• New monitoring views - новые представления дэшбордов summary, alarm и resource, позволяющие осуществлять быструю навигацию вглубь объектов.
• Read-only access to monitoring clients - для клиентов, которым нужны только функции наблюдения за виртуальной средой, можно ограничить права на изменения объектов.
• Logical groupings of performance counters - пользователь несколькими кликами может поместить на графики метрики различных категорий для отслеживания возможных зависимостей между ними.

Детализация

• Detailed views - для многих объектов можно "проваливаться" вниз с максимальным уровнем детализации.
• Child object status display - индикаторы статуса родительских объектов дают представление о том, что происходит с дочерними, и какие у них могут быть проблемы.
• Generating reports from widgets - с помощью виджетов в Veeam ONE можно быстро сгенерировать отчет, отражающий заданный период времени.

Тревоги (Alarms)

• New alarms - теперь еще большее количество алармов.
• Default action - при срабатывании аларма автоматически посылается нотификация по почте всем, кто находится в группе default notification group.
• Filtering - фильтры по тревогам могут быть основаны на базе error level, status, object type и времени.
• Exclusions - исключения для алармов, которые можно применить к различным объектам: виртуальным дискам, сенсорам оборудования на хостах и т.п.
• Email customization - редактирование поля subject и формата нотификаций.
• Configurable email notification groups - можно задавать, кто получает нотификации по группам событий.

Отчетность

• Overview reports - отчеты по Storage capacity, storage usage, а также обзорные отчеты infrastructure, hypervisor, clusters и VMs.
• Monitoring reports - отчеты по мониторингу: Alarms, uptime ВМ, производительность кластера, хостов и виртуальных машин, включая отчет по потребителям наибольшего количества ресурсов.
• (VMware only) Optimization reports - ВМ с перевыделенными или недовыделенными ресурсами, снапшотами, лишними файлами, а также простаивающие ВМ и шаблоны, выключенные ВМ.
• (VMware only) Change tracking reports - отслеживание изменений в настройках пользователем или объектом, а также изменения пермиссий.
• Monthly reports - автоматические ежемесячные отчеты.
• HTML report viewing - все отчеты можно смотреть из браузера.
• Search capabilities - для отчетов делаются тэги, что упрощает их поиск и фильтрацию.
• Multiple dashboards - в Veeam ONE v6 поддерживается полная кастомизация дэшбордов с отчетами, которых теперь может быть несколько
• Predefined dashboards - 12 предустановленных дэшбордов для просмотра ключевых параметров виртуальной среды: cluster, host,
  VM, atastore performance, alarms, infrastructure и trends.
• Integration - дэшборды можно встраивать в письма оповещений, веб-порталы и сторонние приложения.
• Access control - для доступа к дэшбордам могут быть заданы разрешения для пользователей.

Автоматическое обновление и бизнес-категоризация

• Automatic updates - по запросу Veeam ONE v6 проверяет и загружает обновления репорт-паков, дэшбордов и виджетов.
• Business views - представления мониторинга и отчетности могут быть настроены в соответствии с категоризацией, заданной пользователем. Т.е. эти представления можно сделать на основе бизнес или географических критериев.
• Standalone hosts - отдельно стоящие хост-серверы также включаются в категоризацию.
• Sample categorization - схема бизнес-категоризации, которая показывает пример, как это делать.

Сбор данных в виртуальной среде

• Automatically triggered data collection - после установки Veeam ONE сразу же начинается периодический сбор данных с хост-серверов.
• Controlled query load - данные о производительности и конфигурации собираются в различных задачах, что позволяет более гибко подходить к распределению нагрузки этими задачами на хост-серверы.
• Granular performance history - в Veeam ONE v6 сохраняется гранулярная история производительности за длительный промежуток времени, включающая в себя данные мониторинга и отчетности.

Поддержка VMware vSphere 5

• Datastore maximum queue depth - Veeam ONE v6 включает эту новую метрику vSphere 5.
• Storage clusters - мониторинг и оповещения по кластерам хранилищ vSphere 5.

Поддержка Microsoft Hyper-V

• Alarms - Veeam ONE имеет 90 алармов для хостов и других объектов Hyper-V.
• Full monitoring support for Failover Clusters - для кластеров Hyper-V поддерживаются все функции мониторинга, включая алармы, отчеты, чарты и статьи базы знаний для томов CSV.
• Direct collection of performance data - данные о производительности собираются напрямую с хост-серверов, включая хосты без SC VMM, что позволяет контролировать больше, чем сам SC VMM.

Решение Veeam ONE v6 для Microsoft Hyper-V и VMware vSphere можно скачать по одной ссылке тут.

Основная страница платной версии Veeam ONE v6 - http://www.veeam.com/virtualization-management-one-solution.html.

Основная страница бесплатной версии Veeam ONE v6 - http://www.veeam.com/virtual-server-management-one-free.html.

О бесплатной версии и отличия ее от платной у нас написано тут.

Компания Microsoft недавно анонсировала изменения в лицензировании ОС Windows 8, которые кажутся странными на фоне чаяний сообщества об упрощении лицензионной политики для VDI-решений. Во-первых, появляется лицензия Companion Device License (CDL), которая идет в дополнение к приобретаемой Software Assurance (SA)...

Мы уже не раз писали о продукте номер 1 - vGate R2, который является лидером на рынке защиты виртуальных инфраструктур за счет средств автоматической настройки виртуальной среды VMware vSphere и механизмов защиты от несанкционированного доступа. Сегодня мы поговорим о резервировании сервера авторизации vGate R2. Сервер авторизации - это основной компонент vGate R2, который осуществляет авторизацию и аутентификацию пользователей, без которого нельзя будет администрировать среду VMware vSphere, если он вдруг выйдет из строя. Он выполняет следующие функции...