Продолжаем рассказывать технические подробности о сертифицированном ФСТЭК продукте vGate R2, который предназначен для обеспечения безопасности виртуальной инфраструктуры VMware vSphere (в том числе 5-й версии) средствами политик ИБ и механизма защиты от НСД.

Сегодня мы поговорим о компоненте защиты сервера vCenter, который входит в поставку vGate R2. Это сетевой экран, который позволит вам дополнить решение по защите виртуальной среды VMware vSphere. В его установке нет никаких сложностей - ставится он методом "Next->Next->Next":

Потребуется лишь указать параметры базы сервера авторизации, который должен быть развернут в виртуальной среде (как это делается - тут) и параметры внешней подсети, в которую смотрит сервер vCenter (это сеть, откуда соединяются через клиент vSphere администраторы виртуальной инфраструктуры):

После этого компонент vGate R2 для защиты vCenter будет установлен. У него нет графического интерфейса, поэтому для задания правил сетевого экрана нужно воспользоваться консольной утилитой. Компонент защиты, устанавливаемый на vCenter, осуществляет фильтрацию только входящего трафика. При этом разрешены только штатные входящие сетевые соединения:

• соединения из внешнего периметра сети администрирования через сервер
  авторизации
• доступ с сервера авторизации на TCP-порт 443 и по протоколу ICMP
• доступ на UDP-порт 902 c ESX-серверов

Если необходимо разрешить доступ к vCenter с какого-либо иного направления, то необходимо добавить правила доступа с помощью специальной утилиты командной строки drvmgr.exe.

Описание некоторых команд утилиты drvmgr.exe и их параметров приведено ниже:

• > drvmgr
  Вызов справки
• > drvmgr i 0x031
  Просмотр текущих правил фильтрации
• >drvmgr А protocol IP_from[:source_port[,mask]] [:destination_port] [Flags]
  Добавление правила фильтрации
• >drvmgr R protocol IP_from[:source_port[,mask]] [destination_port] [Flags]
  Удаление правила фильтрации

Описание аргументов параметров команд утилиты приведено в таблице:

Например, для добавления правила, разрешающего входящие соединения из сети 172.28.36.0 по любому протоколу на любой входящий порт vСenter, формат команды следующий:

>drvmgr A any 172.28.36.0:any,255.255.255.0 any 4

Для удаления вышеуказанного правила следует указать команду:

>drvmgr R any 172.28.36.0:any,255.255.255.0 any 4

Скачать пробную версию продукта vGate R2 можно по этой ссылке. Презентации по защите виртуальных инфраструктур доступны тут, а сертификаты ФСТЭК продукта - здесь.

Мы уже писали о продукте для комплексного мониторинга и управления виртуальной инфраструктурой VMware vCenter Operations Management Suite, в состав которого входит ПО для отслеживания взаимосвязей на уровне приложений VMware vCenter Infrastructure Navigator. На днях компания VMware выпустила обновление - VMware vCenter Infrastructure Navigator 1.1.

Напомним, что Infrastructure Navigator - это плагин к vCenter (интегрируется в веб-клиент VMware vSphere 5 Web Client), поставляемый в виде виртуального модуля (Virtual Appliance), который строит структуру взаимосвязей на уровне приложений в виртуальных машинах, что позволяет анализировать завимости уровня приложений и их связ с объектами VMware vSphere.

vCenter Infrastructure Navigator предоставляет следующие основные возможности:

• Построение карты сервисов в виртуальной среде для того, чтобы отследить взаимосвязь проблемы отдельного сервиса и виртуальной инфраструктуры. Приложения в виртуальных машинах и взаимосвязи между ними обнаруживаются и добавляются на карту автоматически.
• Отслеживание влияния изменений в приложениях на группы сервисов и виртуальную среду в целом для дальнейшего анализа влияния на бизнес-функции виртуальной инфраструктуры.
• Ассоциирование объектов виртуальной инфраструктуры с объектами приложений, что позволяет оперировать с объектами vSphere, относящимися к конкретному сервису (например, поиск ВМ, реализующих сервисы Exchange и управление ими).
• Поддержка взаимосвязей на уровне приложений для корректного восстановления инфраструктуры на DR-площадке (например, с помощью VMware SRM)

Если обобщить, то vCenter Infrastructure Navigator позволяет отобразить линейный список ваших виртуальных машин в vSphere Client на карту зависимостей сервисов друг от друга (с учетом портов взаимодействия), что позволит понять влияние тех или иных действий с виртуальной машиной или приложением в ней на другие составляющие ИТ-инфраструктуры компании:

То есть, слева у вас просто список машин (в данном случае, в контейнере vApp), а справа - уже карта связей на уровне компонентов приложений.

Новые возможности VMware vCenter Infrastructure Navigator 1.1:

• Поддержка продукта VMware vCloud Director (VCD) для облачных сред.
• Поддержка внешних взаимосвязей для приложений. Например, сервисов виртуальной машины с сервисами физического сервера, который не управляется vCenter.
• Обнаружение неизвестных сервисов - для них просто указывается тип "unknown", имя процесса и порт, на котором сервис слушает.
• Возможность задания пользовательского типа сервиса на базе атрибутов: имя процесса, порт.
• Поддержка обнаружения следующих сервисов: Site Recovery Manager (SRM) Server, VMware View Server, VMware vCloud Director Server и VMware vShield Manager Server.
• Нотификации о различных ошибках на отдельной панели.
• Возможность раскрытия объектов карты сервисов из одного представления для вывода необходимого уровня детальности дерева взаимосвязей.

Напоминаем, что VMware vCenter Infrastructure Navigator 1.1 является частью продукта VMware vCenter Operations Management Suite и доступен для загрузки по этой ссылке. Также обновился и сам VMware vCenter Operations Manager (основная часть Suite) до версии 5.01.

Мы уже писали о возможностях настольной платформы виртуализации VMware Workstation 8, а также функционале, который нас ожидает в Workstation 2012. Раньше, когда еще существовал VMware Server, многие небольшие компании использовали именно его, поскольку он был прост и бесплатен, а что важнее - не требовал специфического "железа". Даже когда вышел бесплатный VMware ESXi (сейчас он, напомним, называется vSphere Hypervisor), многие по-прежнему использовали VMware Server, где не требовалось никаких особенных навыков администрирования, в отличие от ESXi.

А потом VMware Server не стало, и пользователи в маленьких компаниях, которые не могут позволить купить себе нормальные серверы и хранилища, остались ни с чем. Приходилось покупать Whitebox'ы для ESXi или использовать VMware Workstation. Так вот специально для таких пользователей в восьмой версии Workstation появились "серверные" функции, реализующе "общие виртуальные машины", описание которых можно увидеть на видео ниже:

Также в VMware Workstation 8 есть возможность автостарта виртуальных машин при старте компьютера, который раньше приходилось реализовывать самостоятельно. С шарингом виртуальных машин все просто - вы назначаете привилегии на виртуальные машины пользователям, а в консоли Workstation они появляются в категории Shared VMs. Панель так и озаглавлена: VMware Workstation Server:

Правда при таком их использовании теряются следующие функции:

• Unity
• Shared Folders
• AutoProtect
• Drag and drop
• Copy and paste

Но, надо сказать, что серверам они не особенно-то и нужны. Такая модель использования VMware Workstation пригодиться рабочим группам и в крупных компаниях, которым не требуются возможности производственного датацентра компании, в первую очередь разработчикам и тестировщикам.

Компания Veeam Software, известная своим продуктом для резервного копирования Veeam Backup and Replication, выпустила финальную версию решения Veeam ONE v6, предназначенного для мониторинга (бывший продукт Veeam Monitor), а также контроля изменений и автоматизированной отчетности (бывший продукт Veeam Reporter) виртуальных инфраструктур VMware vSphere и Microsoft Hyper-V. О новом комплекте поставки решения Veeam ONE мы уже писали тут и тут.

Функции мониторинга:

Функции отчетности:

Теперь два продукта Veeam Reporter и Monitor работают на одном движке с общей базой данных, что делает Veeam ONE законченным решением для управления виртуальной инфраструктурой с точки зрения мониторинга, отчетности, контроля изменений и планирования мощностей. Все в одном.

Новые возможности Veeam ONE v6:

Мониторинг

• New monitoring views - новые представления дэшбордов summary, alarm и resource, позволяющие осуществлять быструю навигацию вглубь объектов.
• Read-only access to monitoring clients - для клиентов, которым нужны только функции наблюдения за виртуальной средой, можно ограничить права на изменения объектов.
• Logical groupings of performance counters - пользователь несколькими кликами может поместить на графики метрики различных категорий для отслеживания возможных зависимостей между ними.

Детализация

• Detailed views - для многих объектов можно "проваливаться" вниз с максимальным уровнем детализации.
• Child object status display - индикаторы статуса родительских объектов дают представление о том, что происходит с дочерними, и какие у них могут быть проблемы.
• Generating reports from widgets - с помощью виджетов в Veeam ONE можно быстро сгенерировать отчет, отражающий заданный период времени.

Тревоги (Alarms)

• New alarms - теперь еще большее количество алармов.
• Default action - при срабатывании аларма автоматически посылается нотификация по почте всем, кто находится в группе default notification group.
• Filtering - фильтры по тревогам могут быть основаны на базе error level, status, object type и времени.
• Exclusions - исключения для алармов, которые можно применить к различным объектам: виртуальным дискам, сенсорам оборудования на хостах и т.п.
• Email customization - редактирование поля subject и формата нотификаций.
• Configurable email notification groups - можно задавать, кто получает нотификации по группам событий.

Отчетность

• Overview reports - отчеты по Storage capacity, storage usage, а также обзорные отчеты infrastructure, hypervisor, clusters и VMs.
• Monitoring reports - отчеты по мониторингу: Alarms, uptime ВМ, производительность кластера, хостов и виртуальных машин, включая отчет по потребителям наибольшего количества ресурсов.
• (VMware only) Optimization reports - ВМ с перевыделенными или недовыделенными ресурсами, снапшотами, лишними файлами, а также простаивающие ВМ и шаблоны, выключенные ВМ.
• (VMware only) Change tracking reports - отслеживание изменений в настройках пользователем или объектом, а также изменения пермиссий.
• Monthly reports - автоматические ежемесячные отчеты.
• HTML report viewing - все отчеты можно смотреть из браузера.
• Search capabilities - для отчетов делаются тэги, что упрощает их поиск и фильтрацию.
• Multiple dashboards - в Veeam ONE v6 поддерживается полная кастомизация дэшбордов с отчетами, которых теперь может быть несколько
• Predefined dashboards - 12 предустановленных дэшбордов для просмотра ключевых параметров виртуальной среды: cluster, host,
  VM, atastore performance, alarms, infrastructure и trends.
• Integration - дэшборды можно встраивать в письма оповещений, веб-порталы и сторонние приложения.
• Access control - для доступа к дэшбордам могут быть заданы разрешения для пользователей.

Автоматическое обновление и бизнес-категоризация

• Automatic updates - по запросу Veeam ONE v6 проверяет и загружает обновления репорт-паков, дэшбордов и виджетов.
• Business views - представления мониторинга и отчетности могут быть настроены в соответствии с категоризацией, заданной пользователем. Т.е. эти представления можно сделать на основе бизнес или географических критериев.
• Standalone hosts - отдельно стоящие хост-серверы также включаются в категоризацию.
• Sample categorization - схема бизнес-категоризации, которая показывает пример, как это делать.

Сбор данных в виртуальной среде

• Automatically triggered data collection - после установки Veeam ONE сразу же начинается периодический сбор данных с хост-серверов.
• Controlled query load - данные о производительности и конфигурации собираются в различных задачах, что позволяет более гибко подходить к распределению нагрузки этими задачами на хост-серверы.
• Granular performance history - в Veeam ONE v6 сохраняется гранулярная история производительности за длительный промежуток времени, включающая в себя данные мониторинга и отчетности.

Поддержка VMware vSphere 5

• Datastore maximum queue depth - Veeam ONE v6 включает эту новую метрику vSphere 5.
• Storage clusters - мониторинг и оповещения по кластерам хранилищ vSphere 5.

Поддержка Microsoft Hyper-V

• Alarms - Veeam ONE имеет 90 алармов для хостов и других объектов Hyper-V.
• Full monitoring support for Failover Clusters - для кластеров Hyper-V поддерживаются все функции мониторинга, включая алармы, отчеты, чарты и статьи базы знаний для томов CSV.
• Direct collection of performance data - данные о производительности собираются напрямую с хост-серверов, включая хосты без SC VMM, что позволяет контролировать больше, чем сам SC VMM.

Решение Veeam ONE v6 для Microsoft Hyper-V и VMware vSphere можно скачать по одной ссылке тут.

Основная страница платной версии Veeam ONE v6 - http://www.veeam.com/virtualization-management-one-solution.html.

Основная страница бесплатной версии Veeam ONE v6 - http://www.veeam.com/virtual-server-management-one-free.html.

О бесплатной версии и отличия ее от платной у нас написано тут.

Компания Microsoft недавно анонсировала изменения в лицензировании ОС Windows 8, которые кажутся странными на фоне чаяний сообщества об упрощении лицензионной политики для VDI-решений. Во-первых, появляется лицензия Companion Device License (CDL), которая идет в дополнение к приобретаемой Software Assurance (SA)...

Мы уже не раз писали о продукте номер 1 - vGate R2, который является лидером на рынке защиты виртуальных инфраструктур за счет средств автоматической настройки виртуальной среды VMware vSphere и механизмов защиты от несанкционированного доступа. Сегодня мы поговорим о резервировании сервера авторизации vGate R2. Сервер авторизации - это основной компонент vGate R2, который осуществляет авторизацию и аутентификацию пользователей, без которого нельзя будет администрировать среду VMware vSphere, если он вдруг выйдет из строя. Он выполняет следующие функции...

Мы уже писали о том, как сбросить пароль root на VMware ESX версии 4.0 и 4.1 в случае, если вы забыли его (тут для single user mode). Теперь появилась еще одна инструкция от Бернарда, которая аналогична предыдущей от Дэйва и работает для VMware ESXi 5.0. Перед тем, как сбросить пароль на VMware ESXi, надо понимать, что приведенная ниже инструкция может привести к неподдерживаемой со стороны VMware конфигурации, о чем прямо написано в KB 1317898.

Итак восстановление пароля на хосте ESXi 5.0:

1. Хэш пароля хранится в файле etc/shadow, который хранится в архиве local.tgz, который хранится в архиве state.tgz:

2. Загружаем сервер ESXi с какого-нибудь Live CD (например, GRML), используя CD/DVD или USB-флешку.

3. После загрузки находим и монтируем раздел VFAT инсталляции ESXi, содержащий файл state.tgz. Например, он может быть на разделе Hypervisor3:

mount /mnt/Hypervisor3

Ищем как написано тут.

4. Распаковываем state.tgz куда-нибудь:

cd /tmp
tar xzf /mnt/Hypervisor3/state.tgz

5. Затем распаковываем local.tgz:

tar xzf local.tgz

6. В результате распаковки получим директорию /etc, в которой есть файл shadow. Открываем его в vi для редактирования:

vi etc/shadow

Удаляем хэш пароля root (до двоеточия перед цифрами). Было:

Стало:

7. Сохраняем резервную копию state.tgz и перепаковываем архив:

mv /mnt/Hypervisor3/state.tgz /mnt/Hypervisor3/state.tgz.bak
rm local.tgz
tar czf local.tgz etc
tar czf state.tgz local.tgz
mv state.tgz /mnt/Hypervisor3/

8. Перезагружаем сервер и уже загружаемся в VMware ESXi 5.0. Видим такую картинку при соединении из vSphere Client:

Это значит, что все получилось. Теперь можем заходить в консоль под пользователем root с пустым паролем. Работает эта штука и для VMware ESXi 5.0 Upfate 1.

При эксплуатации виртуальной инфраструктуры VMware vSphere иногда случается ситуация, когда виртуальную машину нельзя включить из-за того, что ее какой-нибудь из ее файлов оказывается залоченным. Происходит это при разных обстоятельствах: неудачной миграции vMotion / Storage vMotion, сбоях в сети хранения и прочих.

Наиболее распространенная ошибка при этом выглядит так:

Could not power on VM: Lock was not free

Встречаются также такие вариации сообщений и ошибок при попытке включения виртуальной машины, которое зависает на 95%:

• Unable to open Swap File
• Unable to access a file since it is locked
• Unable to access a file <filename> since it is locked
• Unable to access Virtual machine configuration

Ну а при попытке соединения с консолью ВМ получается вот такое:

Error connecting to <path><virtual machine>.vmx because the VMX is not started

Все это симптомы одной проблемы - один из следующих файлов ВМ залочен хост-сервером VMware ESXi:

• <VMNAME>.vswp
• <DISKNAME>-flat.vmdk
• <DISKNAME>-<ITERATION>-delta.vmdk
• <VMNAME>.vmx
• <VMNAME>.vmxf
• vmware.log

При этом залочил файл не тот хост ESXi, на котором машина зарегистрирована. Поэтому решение проблемы в данном случае - переместить ВМ холодной миграций на тот хост, который залочил файл и включить ее там, после чего уже можно переносить ее куда требуется. Но как найти тот хост ESXi, который залочил файл? Об этом и рассказывается ниже.

Поиск залоченного файла ВМ

Хорошо если в сообщении при запуске виртуальной машины вам сообщили, какой именно из ее файлов оказался залоченным (как на картинке выше). Но так бывает не всегда. Нужно открыть лог vmware.log, который расположен в папке с виртуальной машиной, и найти там строчки вроде следующих:

Failed to initialize swap file : Lock was not free

Тут видно, что залочен .vswp-файл ВМ.

За логом на экране можно следить командой (запустите ее и включайте ВМ):

tail /vmfs/volumes/<UUID>/<VMDIR>/vmware.log

Проверка залоченности файла ВМ и идентификация владельца лока

После того, как залоченный файл найден, нужно определить его владельца. Сначала попробуем команду touch, которая проверяет, может ли бы обновлен time stamp файла, т.е. можно ли его залочить, или он уже залочен. Выполняем следующую команду:

# touch /vmfs/volumes/<UUID>/<VMDIR>/<filename>

Если файл уже залочен, мы получим вот такое сообщение для него:

cannot touch: Device or resource busy

Дальше выполняем такую команду:

# vmkfstools -D /vmfs/volumes/<UUID>/<VMDIR>/<filename>

В значении "owner" мы видим MAC-адрес залочившего файл хоста VMware ESXi (выделено красным). Ну а как узнать MAC-адрес хоста ESXi - это вы должны знать. Дальше просто делаем Cold Migration виртуальной машины на залочивший файл хост ESXi и включаем ее там.

Те, кто хочет дальше изучать вопрос, могут проследовать в KB 10051.

Источник: "Could not power on VM - lock was not free".

В начале апреля компания Microsoft объявила о выпуске решений Microsoft User Experience Virtualization (UE-V) и Microsoft Application Virtualization (App-V) 5.0 (сейчас в бете), входящих в состав пакета Microsoft Desktop Optimization Pack (MDOP). Безусловно, заслуживает внимания новый продукт User Experience Virtualization, который представляет собой средство виртуализации пользовательского окружения и позволяет сохранять настройки приложений и рабочей среды, вне зависимости от того, с какого устройства и по какой модели (физ. или виртуальный ПК) происходит доступ пользователя.

Надо отметить, что средство UE-V позволяет управлять только настройками приложений и ОС, но не файлами пользователей. Для данных предлагается использовать технологии Folder Redirection и Offline Files. При этом UE-V может управлять настройками приложений только в папке C:\Users\Username.

Ключевым понятием UE-V является шаблон настроек для приложения (template), который представляет собой XML-файл с информацией о том, где хранятся настройки приложения или ОС (реестр и файловая система). Местом хранения является обычная сетевая шара, доступная в сети для пользователя.

При этом UE-V идет сразу со следующими готовыми шаблонами приложений:

• Office 2010 (Word, Excel, Outlook, Access, Project, PowerPoint, Visio, SharePoint Workspace, InfoPath)
• Internet Explorer 9 and 10 (favorites, home page, tabs и toolbars)
• Windows applications (Calculator, Notepad, Wordpad)

С точки зрения настроек Windows в UE-V есть такие шаблоны:

• Themes (тема рабочего стола с картинкой, цветность, звуки, скринсейвер)
• Ease of access (настройки accessibility и ввода с клавиатуры)

Если пользователь вносит "неправильные" с точки зрения администратора настройки приложений, последний может откатить их назад принудительно. UE-V поддерживает ОС Windows 7, Windows 8 (client и server), а также Windows Server 2008 R2. Что интересно UE-V может работать совместно с App-V, синхронизируя настройки, например, между физически установленным Outlook и его виртуализованной копией на той же машине.

Также приведем некоторые новые возможности Microsoft Application Virtualization (App-V) 5.0 Beta:

• Возможность коммуникации между локальной копией приложения и его виртуализованной копией на одной машине
• Не треубется указания буквы диска для пакета, а также убрали ограничение на 4 ГБ для виртуального пакета
• Веб-консоль управления, реализующая основные возможности администратора
• Расширенная поддержка PowerShell

Скачать продукты можно по этим ссылкам: UE-V и App-V 5.0.

Компания VMware в базе знаний опубликовала интересный плакат "VMware vSphere 5 Memory Management and Monitoring diagram", раскрывающий детали работы платформы VMware vSphere 5 с оперативной памятью серверов. Плакат доступен как PDF из KB 2017642:

Основные техники оптимизации памяти хостов ESXi, объясняемые на плакате:

• Memory ballooning
• Transparent page sharing
• Memory Compression
• Host Swapping

Есть также интересная картинка с объяснением параметров вывода esxtop, касающихся памяти (кликабельно):

Пишут, что администраторы VMware vSphere скачивают его, распечатывают в формате A2 и смотрят на него время от времени, как на новые ворота. Таги: VMware, vSphere, Memory, ESX, esxtop, VMachines, Whitepaper, Diagram

Фоpум «Вокpуг ЦОД»

Мы уже немало писали о группе Login Consultants, которая занимается тестированием гипервизоров и ПО для виртуализации настольных ПК. В частности, ребята делают хорошие сравнения не только в виде технических документов, но и в виде наглядных демонстраций.

Известна также их утилита Virtual Session Indexer (VSI) для тестирования VDI-решений, о которой, собственно, и пойдет речь ниже. На днях коллеги из Login Consultants прислали мне скриншоты и пресс релиз с новой версией VSI 3.6 (см. про 3.5 тут), которая научилась делать Client Side Performance Testing, т.е. тестирование производительности со стороны клиентских устройств для VMware View, Citrix XenDesktop и других решений для виртуализации настольных ПК.

Модуль Client Side Performance Testing теперь может выполнять следующие тесты:

• Character response – сколько времени проходит между нажатием кнопки на клавиатуре и прорисовкой на экране с использованием соответствующего протокола передачи (PCoIP, HDX и др.)
• Large text response – то же самое, но для больших объемов текста
• Mouse click feedback – то же самое, но для щелчка мыши
• Image quality and loading times – необходимое время для прорисовки сложной картинки посредством тестируемого.

Картинка непростая - она, ко всему прочему, позволяет заценить еще и качество отображения:

Утилита Login VSI 3.6 позволяет проводить тесты VDI-нагрузок для следующих сценариев:

• Что будет, если увеличить число пользователей на сервер, как изменится поведение рабочего стола на клиенте?
• Если переключиться с Server Side на Client Side rendering, какое влияние будет на потребление канала и отклик для пользователя?
• Какой эффект оказывает WAN-акселератор (если он есть) на производительность сессии с виртуальным ПК?
• Какие настройки необходимо выставить для PCoIP при отключенном BTL.

Остальные сценарии несложно придумать самим. Скачать Login VSI 3.6 можно по этой ссылке.

Вчера мы писали об архитектуре VMware PSA, позволяющей встраивать в VMware ESXi ПО для управления путями, а сегодня расскажем еще об одном продукте, совсем недавно анонсированном компанией Symantec - Veritas Dynamic Multi-Pathing for VMware vSphere 6.0.

Ключевые особенности продукта от Symantec - возможность динамической балансировки запросов ввода-вывода с хоста по нескольким путям одновременно, поддержка работы с основными дисковыми массивами, представленными на рынке, и возможность учитывать характеристики хранилищ (RAID, SSD, Thin Provisioning).

Как можно узнать из нашей статьи про PSA, Veritas Dynamic Multi-Pathing (DMP) - это MPP-плагин для хостов ESXi:

Veritas DMP позволяет интеллектуально балансировать нагрузку с хостов ESXi в SAN, обеспечивать непрерывный мониторинг и статистику по путям в реальном времени, автоматически восстанавливать путь в случае сбоя и формировать отчетность через плагин к vCenter обо всех хранилищах в датацентре. Что самое интересное - это можно будет интегрировать с физическим ПО для доступа по нескольким путям (VxVM) в единой консоли.

Всего в Veritas DMP существует 7 политик для балансировки I/O-запросов, которые могут быть изменены "на лету" и позволят существенно оптимизировать канал доступа к хранилищу по сравнению со стандартным плагином PSP от VMware. Кстати, в терминологии Symantec, этот продукт называется - VxDMP.

Стоимость этой штуки - от 900 долларов за четырехъядерный процессор хоста (цена NAM). Полезные ссылки:

• Hardware Compatibility List
• Veritas™ Dynamic Multi-Pathing for VMware Administrator's Guide 6.0
• Veritas™ Dynamic Multi-Pathing for VMware Release Notes 6.0
• Veritas™ Dynamic Multi-Pathing for VMware Installation Guide 6.0

Скачать Symantec Veritas Dynamic Multi-Pathing можно по этой ссылке, но только обладая ключиком.

В составе дистрибутива платформы виртуализации VMware vSphere 5 идет новая служба позволяющая удаленно собирать логи с хост-серверов ESX/ESXi (как пятой так и более ранних версий) - VMware Syslog Collector. Это средство идет в стандартной поставке вместе с VMware vCenter 5 и подходит для тех, кому лень заморачиваться с платными и новороченными Syslog-серверами, которых сейчас на рынке немало. Зачем вообще нужен Syslog-сервер в вашей инфраструктуре? Очень просто - безопасность и централизованный сбор логов в целях аудита и решения проблем.

Как знают все администраторы VMware vSphere, виртуальный диск виртуальной машины представляется как минимум в виде двух файлов:

• <имя ВМ>.vmdk - заголовочный, он же индексный, он же файл-дескриптор виртуальго диска, который содержит информацию о геометрии диска, его тип и другие метаданные
• <имя ВМ>-flat.vmdk - непосредственно диск с данными ВМ

Практика показывает, что нередки ситуации, когда администраторы VMware vSphere теряют заголовочный файл VMDK по некоторым причинам, иногда необъяснимым, и остается только диск с данными ВМ (неудивительно, ведь в него идет запись, он залочен).

Ниже приведена краткая процедура по восстановлению дескрипторного VMDK-файла для существующего flat-VMDK, чтобы восстановить работоспособность виртуальной машины. Подробную инструкцию можно прочитать в KB 1002511.

Итак, для тех, кто любит смотреть видеоинструкции:

Для тех, кто не любит:

1. Определяем точный размер в байтах VMDK-диска с данными (чтобы геометрия нового созданного дескриптора ему соответствовала):

ls -l <имя диска>-flat.vmdk

2. Создаем новый виртуальный диск (цифры - это полученный размер в байтах, тип thin для экономии места, lsilogic - контроллер):

vmkfstools -c 4294967296 -a lsilogic -d thin temp.vmdk

3. Переименовываем дескрипторный VMDK-файл созданного диска в тот файл, который нам нужен для исходного диска. Удаляем только что созданный пустой диск данных, который уже не нужен (temp-flat.vmdk).

4. Открываем переименованный дескрипторный файл VMDK и меняем выделенные жирным строчки:

# Disk DescriptorFile
version=1
CID=fb183c20
parentCID=ffffffff
createType="vmfs"

# Extent description
RW 8388608 VMFS "vmdisk0-flat.vmdk"

# The Disk Data Base
#DDB

ddb.virtualHWVersion = "4"
ddb.geometry.cylinders = "522"
ddb.geometry.heads = "255"
ddb.geometry.sectors = "63"
ddb.adapterType = "lsilogic"
ddb.thinProvisioned = "1"

То есть, меняем просто имя flat VMDK-файла и убираем строчку о том, что диск thin provisioned, если он у вас изначально был flat.

Все - машину можно запускать.

На блоге наших коллег из vmind.ru появилась дорожная карта развития продуктовой линейки компании VMware в сфере виртуализации и облачной инфраструктуры: "VMware Cloud Infrastructure Product Roadmap". Не знаю, является данный документ конфиденциальным сейчас, но, поскольку он уже опубликован, приведем несколько интересных картинок для тех, кому лень ходить по ссылке.

Управление ресурсами:

Безопасность:

VMware vCloud Director:

Ну а в конце презентации - максимумы продуктов (7 слайдов):

У нас уже есть серия статей про снапшоты виртуальных машин, добавим к ней еще одну. Мы не освещали тот факт, что для бизнес-критичных приложений (Tier 1) поддержка снапшотов может не предоставляться со стороны производителя программного обеспечения. Это еще один факт из серии "почему снапшоты это плохо".

Давайте обратимся к статье блоггера Matt Liebowitz, который привел цитаты из официальных источников Microsoft про предоставление поддержки для приложений Exchange и SQL, работающих в виртуальных машинах.

Microsoft Exchange 2010 System Requirements:

Some hypervisors include features for taking snapshots of virtual machines. Virtual machine snapshots capture the state of a virtual machine while it's running. This feature enables you to take multiple snapshots of a virtual machine and then revert the virtual machine to any of the previous states by applying a snapshot to the virtual machine. However, virtual machine snapshots aren't application aware, and using them can have unintended and unexpected consequences for a server application that maintains state data, such as Exchange. As a result, making virtual machine snapshots of an Exchange guest virtual machine isn't supported.

Support policy for SQL Server running in a hardware virtualization environment (covers all versions):

Virtualization Snapshots for Hyper-V or for any virtualization vendor are not supported to use with SQL Server in a virtual machine. It is possible that you may not encounter any problems when using snapshots and SQL Server, but Microsoft will not provide technical support to SQL Server customers for a virtual machine that was restored from a snapshot.

Конечно же, интереснее всего не сами снапшоты виртуальных машин в VMware vSphere или Hyper-V, которые редко используются в производственных средах, а то, что для резервного копирования эти снапшоты используются любым продуктом для резервного копирования, который архивирует работающую виртуальную машину целиком (например, Veeam Backup and Replication). Иначе просто нельзя забрать файл виртуального диска, в который идет запись.

Таким образом, мы получаем, что для Microsoft Exchange и SQL поддержку пользователи могут не получить, особенно это касается случаев восстановления резервных копий, которые могут некорректно работать. Учитывая, что приложения эти, зачастую, являются одними из самых критичных для предприятия - вопрос поддержки оказывается весьма актуальным.

Также, важно отметить, что поддержка приложением резервного копирования функций VSS writer (в том же Veeam) не гарантирует вам поддержки со стороны Microsoft, что также логично, поскольку последняя не может отвечать за сторонних разработчиков.

Ну и Мэт отмечает, что для тех пользователей, у кого есть Microsoft Premier support agreement, техподдержка Microsoft попробует сделать усилия, чтобы решить проблему со снапшотами если она вдруг возникнет.

И последний, но немаловажный момент: в Veeam Backup and Replication, начиная с 5-й версии, есть функция SureBackup, позволяющая проверить резервные копии на работоспособность и готовность к восстановлению, без реального восстановления в продуктивную среду. Вот для таких случаев как тестирование Tier 1 приложений может и пригодиться эта штука.

Сегодня утром Димас проснулся в приподнятом настроении, несмотря на большую дозу выпитого вчера алкоголя. Голова болела не сильно, и на это можно было не обращать внимания. «Этиловый – не метиловый», - философски проговорил он и улыбнулся. Причиной искренней радости Димаса был белоснежный ящик, стоящий на полу, и плоская черная панель, возвышающаяся на неуклюжем потертом столике рядом с телевизором. «Компьютер!» - со знаком восклицания подумал Димас.

На самом деле сварщик четвертого разряда прессовой сварки Димас так долго и искренне хотел вовсе не компьютер, он хотел окно в мир – интернет. Ну, то есть, второе окно в мир. Первое-то было у всех и ежедневно радовало горожан достижениями страны. Открываются новые заводы, больницы, Россия становится промышленным лидером и гордо отвечает зарвавшимся американцам, которых, правда, он еще вживую никогда не видел.

В принципе, для Джарджана, где лениво и одиноко жил Димас, телевизора было более чем достаточно. Но дело в том, что Димаса больше всего на свете интересовали новости. Работая на полставки в полуразрушенном речном доке, он откровенно скучал. Девки надоели, семьи у Димаса не было, а вкусно покушать он любить так и не научился. Новости настолько интересовали Димаса, настолько затягивало их священное величество, что он ловил их на всех 10 доступных в городе каналах, не пропуская ни самих новостей, ни аналитических передач, ни даже утренних сумбурных комментариев про теряющих волосяной покров шимпанзе из Габона.

Однако кое-что, все-таки, Димасу не нравилось. Прежде всего, он хотел принимать участие в самих новостях. Он прекрасно понимал, что делать новости он не сможет, но вот раскапывать их самостоятельно и умно комментировать – это для него. К сожалению, комментировать телевизор, как известный персонаж развлекательной передачи, он был не согласен. Поэтому появился интернет.

Интернет Димасу дался нелегко. Мало того, что помимо монитора нужно было зачем-то купить белый ящик, на который он копил целый год, нажимая на пельмени и макароны, так еще и оказалось, что широко рекламируемого в телевизоре интернета в городе почти ни у кого и нет. Поэтому дядя Димаса, изредка наведывавшийся в Москву в загульные командировки, привез ему еще одну необходимую вещь - «жопарез-модем», похожий на брелок для ключей, который вставлялся в белый ящик с неудобной, задней его стороны. Вчера дядя принес эту штуку, воткнул ее в эту часть компьютера, немного пошаманил и торжественно заявил, что интернет у Димаса теперь есть. А значит, есть не только сами новости, но и возможность обсуждать их с такими же, как он, людьми из разных уголков его самой большой страны на свете...

Продолжаем вас знакомить с решением номер 1 для защиты виртуальных сред - vGate R2 от Кода Безопасности. Напомним, что этот продукт позволяет автоматически настроить безопасную конфигурацию инфраструктуры VMware vSphere с помощью политик, разделить полномочия администраторов и обеспечить защиту от несанкционированного доступа к объектам (хостам, виртуальным машинам, сетям и хранилищам).

Сегодня мы расскажем о возможностях сервера отчетов, который входит в состав сервера авторизации vGate R2. В первую очередь отметим, что он теперь не требует установки отдельной БД MS SQL и ее настройки - отчеты теперь можно получать сразу после установки.

Вот какие виды репортов можно генерировать в vGate R2, отражающих состояние безопасности инфраструктуры vSphere:

• Вход в систему в нерабочее время
• Доступ к файлам ВМ
• Изменение конфигурации политик безопасности
• Изменение правил мандатного доступа
• Изменение сетевых правил доступа
• Использование учетных записей VMware
• Мониторинг учетных записей vGate
• Наиболее активные пользователи
• Наиболее используемые виды доступа к защищаемым объектам
• Наиболее частые события ИБ
• Настройка правил сетевой безопасности
• Настройка доступа к защищаемым объектам
• Попытки несанкционированного изменения настроек безопасности
• Применение политик безопасности
• Проблемы с доверенной загрузкой ВМ
• Проблемы со входом в vSphere
• Проблемы со входом в систему
• Проблемы со сменой пароля
• Соответствие стандартам безопасности (кратко)
• Соответствие стандартам безопасности (подробно)

Как мы видим, в vGate R2 есть шаблоны отчетов на все случаи жизни. И некоторые из них показывают события, на которые было бы очень интересно взглянуть сотрудникам компании, отвечающими за безопасность в крупных и средних инфраструктурах (особенно последние два).

Виды отчетов сгруппированы в удобные категории (кликабельно):

Интересно взглянуть на статистику наиболее частых событий ИБ:

Ну и, само собой, отчет можно очень гибко кастомизировать, добавив логотип компании и прочие прелести.

Скачать пробную версию продукта vGate R2 можно по этой ссылке. Презентации по защите виртуальных инфраструктур доступны тут, а сертификаты ФСТЭК продукта - здесь.

На сайте VMware появился интересный документ "Introducing the VMware Accelerate Transformation Assessment Scale", который раскрывает подробности новой инициативы VMware по выработке подхода к количественной и качественной оценке облачных инфраструктур (имеются в виду частные облака). Все это будет оцениваться в виде метрик Key Performance Indicators (KPI).

У VMware есть так называемая "Accelerate team", которая будет этим делом заниматься. Сам фреймворк для оценки облаков в рамках предлагаемых услуг будет называться ATA Scale и будет сфокусирован на показателях частных облаков ITaaS без привязки к их финансовым характеристикам, т.е. без оценки вляния зрелости облака на бизнес компании.

Услуги будут разделяться на 3 корневые группы (всего 14 видов услуг):

• Diagnostic Offerings
• Transformative Efforts
• Strategic Engagements

Анализ показателей будет производиться на основе следующей модели:

• Execution – текущие значения метрик KPI (например, процент виртуализованных серверов)
• Maturity – насколько продвинута организация облака (например, автоматизированность различных процессов)
• Momentum – каков планируемый временной прогресс для трансформирования облака (например год)

Индикаторы KPI оцениваются в следующих категориях:

• Business Alignment
• Process and Systems Management
• Application Modernization
• Infrastructure

Потом из этого всего получается вот такая картинка:

Обратите внимание, что зелененьким обозначен процент достижений до "абсолютно идеального облака" по версии VMware (хотелось бы взглянуть на эту модель). В общем штука интересная и может найти свое применение в инфраструктурах крупных организаций, которые стремятся к облакам. Ведь основная идея ATA - стимулировать прогресс, ну и, как водится, сделать неплохой oversell своих продуктов.

P.S. FAQ по ATA.

Сейчас на VMware Communities обсуждается очередной баг в бесплатном гипервизоре VMware ESXi 5.0 Update 1 (он же vSphere Hypervisor). Приведенная ниже информация касается только пользователей бесплатного ESXi и не затрагивает владельцев любого из платных изданий vSphere.

Итак, когда вы обновляете VMware ESXi 5.0 на ESXi 5.0 Update 1, вы обнаруживаете неприятную особенность: функции Auto Start для виртуальных машин больше не работают (то есть машины при старте хост-сервера не запускаются). И это несмотря на то, что настройки автоматического запуска виртуальных машин работают:

Проблема начинается с билда 623860 и, повторимся, не касается платных изданий ESXi в составе vSphere. Слухи о том, что это, ходят разные: либо это новое ограничение бесплатного ESXi, либо обычный баг. Вроде бы все в итоге склоняются, что обычный баг. Сама VMware обещает поправить это в VMware vSphere 5.0 Update 2.

Если функции автоматического запуска виртуальных машин в бесплатном ESXi так важны, то вы можете откатиться до ESXi 5.0 просто нажав при загрузке Shift+R для входа в Recovery Mode, где можно откатить Update 1:

Более подробную информацию можно получить вот в этой статье на блогах VMware.