Компания Citrix в конце октября выпустила новую версию своего клиента для мобильных устройств и планшетов Citrix Receiver for iPad and iPhone 5.0 (мы как-то пропустили эту новость), позволяющего получить доступ к виртуальным ПК Citrix XenDesktop и виртуальным приложениям Citrix XenApp.

Напомним, что клиент доступен не только для iPhone и iPad, но и для устройств на платформах Mac, Windows, Android and BlackBerry.

Новые возможности Citrix Receiver for iPad и iPhone 5.0:

• Поддержка iOS 5
• Поддержка Universal iOS Applications
• Улучшения технологии HDX (отображение графического интерфейса и качества обслуживания пользователей)
• На 40% меньше требования к пропускной способности канала
• Увеличение времени запуска приложения на 50%
• Поддержка продукта XenApp Fundamentals 6 (самое дешевое издание)
• Поддержка механизма Session Sharing и средства управления Connection Center
• Упрощенный пользовательский интерфейс
• Поддержка высоких разрешений гостевых (до 1600 x 1200)
• Улучшенный и оптимизированный механизм управления сессиями
• Улучшенная поддержка внешней клавиатуры
• Улучшенная поддержка iOS gestures
• Улучшения auto-discovery
• Улучшенная поддержка продукта Citrix Access Gateway Support
• Улучшения стабильности и безопасности клиента

Список всех возможностей клиента Citrix Receiver for iPad и iPhone 5.0.1 доступен тут.

Хочу поддержать коллег (в частности, Костю Введенского из StarWind) и сообщить нашим друзьям с Украины, что 25 ноября в Киеве пройдет первая НА Украине встреча VMware User Group.

Что это такое? Это неофициальное мероприятие, посвящённое любым техническим темам, которые касаются компании VMware и её продуктов. Встречи такого формата проходят во многих городах и странах мира.

Для чего это нужно? Встреча может помочь всем желающим поделиться своим опытом с коллегами, узнать что-то новое и в неформальной обстановке пообщаться с высококлассными специалистами и представителями самой VMware, а также других профильных вендоров.

Для кого это всё? Большая часть обсуждений на мероприятиях такого рода зачастую носит технический характер (презентация решений, всевозможные howto и технические сравнения продуктов) – потому встреча в первую очередь нацелена на администраторов виртуальных инфраструктур, инженеров поддержки, системных администраторов и различных IT-специалистов, интересующихся тематикой виртуализации. Кроме того, обзорные доклады, релизы новейших продуктов и секретные подробности ещё не выпущенных продуктов могут заинтересовать руководителей IT-отделов, IT-аналитиков и просто энтузиастов от IT, жалающих быть на гребне новых тенденций.

И сколько? Нисколько. По традиции, участие в данном меропрятии бесплатное.

Дата: 25 ноября Место: конференц зал Арена Плаза. Количество мест строго ограничено. Зарегистрироваться можно по этой ссылке.

Автор: mr.fog

Red Hat покупает «cloud storage» Gluster. Зачем? 
Не так давно я писал про то, что Red Hat объявляет войну VMware на «облачном» фронте и вот, кажется, первые её проявления.

Среди подобных новостей о покупке Gluster очень много общих слов и очень мало анализа того, зачем Red Hat сделала эту покупку и как она может отразиться на рынке облачных вычислений. Пришлось думать самому. :-) Я собрал информацию из различных источников и надеюсь, что смогу немного прояснить ситуацию.

Некоторые из вас, конечно же, как-то раз задумывались - а не открыть ли мне свой бизнес по сдаче в аренду виртуальных машин VMware vSphere? У каждого клиента будут свои виртуальные машины, я буду собирать с них помесячно плату, они уже никуда не соскочат, а мне останется лишь собирать деньги, да знай себе поддерживать инфраструктуру и наращивать мощности.

Я как человек в этом немного покрутившийся, могу вам сказать, что здесь не все так просто, и сам бы я такой бизнес профильным не сделал бы ни за что на свете. Но для тех, кого все-таки не оставляет эта идея, ниже приведены некоторые моменты об организации облака на основе решений VMware, виртуальные машины из которого вы можете предоставлять как услугу.

Начнем с того, что обычные лицензии VMware, которые вы покупаете у одного из партнеров или получаете как Internal Use Licenses, не позволяют вам сдавать виртуальные машины в аренду (внешним пользователям, не в своей организации) - это прямо запрещено пользовательским соглашением (EULA). Поэтому для таких дельцов придумана программа VSPP - VMware Service Provider Program (за само партнерство в программе платить не надо).

Программа VSPP направлена для сервис-провайдеров, телеком-операторов, интернет-провайдеров, поставщиков услуг, системных интеграторов и ИТ-подразделений корпораций, которые "продают" ИТ-ресурсы дочерним или аффилированным компаниям.

Эта программа позволяет вам получить некоторый пакет продуктов в рамках вашего партнерства с VMware по программе VSPP и начать предоставлять пользователям виртуальные машины (но не только!) в аренду, используя множество программных продуктов: vSphere, vCloud Director, vShield, View и многое другое. Всего есть несколько уровней партнерства по VSPP, у каждого из которых есть свои преимущества и требования.

Здесь нужно выделить 2 ключевых момента - это очки (points) и Aggregator (агрегатор) VSPP. Начнем с агрегатора. На самом деле вы не можете подписать контракт с VMware и начать сдавать в аренду ее машины и отчислять ей платежи. Это потому, что VMware ведет бизнес в каждой стране по своему и там ей нужны партнеры, которые посредством своих мутных схем и офшоров будут гонять бабло между, например, Россией, Кипром, ОАЭ и Америкой с одной стороны, а с другой - между юрлицом в России и российскими партнерами VMware.

Собственно, агрегатор - это тот же дистрибьютор, только касаемо облачных сервисов VMware. Но у него есть и некая техническая функция. Когда вы вписываетесь в VSPP, у вас в инфраструктуре vSphere развертывается специальное ПО на сервере vCenter, котороя смотрит сколько расходуется у вас ресурсов для виртуальных машин и посылает эти данные агрегатору. Делается это ежемесячно.

Далее агрегатор посылает эти данные в VMware на аудит, а сам выставляет вам счет, чтобы собрать бабло, которое дальше через офшоры и серые схемы потечет в VMware. В России таких агрегаторов несколько, и вы их найдете без труда.

Далее ключевой момент это очки (points), которые вы покупаете (а точнее, арендуете) ежемесячно, чтобы иметь право предоставлять некоторое количество услуг на базе продуктов VMware (чаще - виртуальных машин) в аренду. Самое важное тут то, что в большинстве случаев единицей тарификации является сконфигурированная оперативная память виртуальных машин (vRAM) - очки за 1 ГБ. Но есть и другие варианты тарификации для некоторых продуктов:

Но вас, скорее всего, интересует только Infrastructure as a Service (IaaS) - то есть, собственно, сдача виртуальных машин в аренду (то, что выделено красным). На сами цифры не смотрите - они американские и для нас неактуальные.

Для нас интересны вот эти 2 набора (эти цифры, вроде, актуальные):

VSPP Standard Bundle - это, по-сути, VMware vSphere 5 + Chargeback (для внутреннего биллинга) + vCloud Director (система управления датацентром с точки зрения облака - выделение ВМ и ресурсов, задание уровней сервиса, управление пользователями и т.п.). Для нас он стоит 5 очков в месяц за 1 ГБ памяти виртуальных машин (ниже я расскажу какой гигабайт). Второй VSPP Enterprise Bundle включает в себя еще и продукт vShield Edge для комплексной защиты периметра датацентра (см. подробнее тут и тут).

Теперь о тарификации этого самого гигабайта. Вы уже поняли, что единица стоимости - это 1 point, сколько он стоит в России я вам не скажу, но скажу, что в Америке 1 point = 1$. А суть лицензирования гигабайта такова:

• Вы создаете виртуальные машины для аренды и выставляете им vRAM Reservation, но не менее 50% (требование VMware) от сконфигурированной памяти.
• Максимально учитывается на одну ВМ - не более 24 ГБ.
• Умножаете ваш бандл (например, для Standard - это 5 очков) на число vRAM ваших ВМ и на долю зарезервированных ресурсов (например, для 50% это, понятное дело, 0,5). Получаете общее количество очков в месяц, за которые вам надо платить агрегатору.
• Выключенные ВМ не тарифицируются.

Как видно, у сервис-провайдера VSPP тоже есть некоторые права - вы можете гарантировать меньше ресурсов и меньше платить, либо обеспечить 100%-й SLA, но платить больше.

Смотрим на пример расчета:

Ну и каждый месяц агрегатор смотрит, сколько у вас набежало использованных очков, способствует продвижению уровня партнерства VSPP и выбиванию скидок за объем потребляемых поинтов. Вот тут есть хороший FAQ по программе VSPP, а тут - презентация.

Вкратце - это все. Тема у нас пока эта очень муторная. Если инетересно дальше - могу дать контакт с кем можно поговорить на эту тему. Ну а хотите купить виртуальные машины VMware в аренду - пожалуйста.

Многие пользователи VMware vSphere знают, что для кластера HA раньше была настройка das.failuredetectiontime - значение в миллисекундах, которое отражает время, через которое VMware HA признает хост изолированным, если он не получает хартбитов (heartbeats) от других хостов и isolation address недоступен. После этого времени срабатывает действие isolation response, которое выставляется в параметрах кластера в целом, либо для конкретной виртуальной машины.

В VMware vSphere 5, в связи с тем, что алгоритм HA был полностью переписан, настройка das.failuredetectiontime для кластера больше не акутальна.

Теперь все работает следующим образом.

Наступление изоляции хост-сервера ESXi, не являющегося Master (т.е. Slave):

• Время T0 – обнаружение изоляции хоста (slave).
• T0+10 сек – Slave переходит в состояние "election state" (выбирает "сам себя").
• T0+25 сек – Slave сам себя назначает мастером.
• T0+25 сек – Slave пингует адрес, указанный в "isolation addresses" (по умолчанию, это Default Gateway).
• T0+30 сек – Slave объявляет себя изолированным и вызывает действие isolation response, указанное в настройках кластера.

Наступление изоляции хост-сервера ESXi, являющегося Master:

• T0 – обнаружение изоляции хоста (master).
• T0 – Master пингует адрес, указанный в "isolation addresses" (по умолчанию, это Default Gateway).
• T0+5 сек – Master объявляет себя изолированным и вызывает действие isolation response, указанное в настройках кластера.

Как мы видим, алгоритм для мастера несколько другой, чтобы при его изоляции остальные хосты ESXi смогли быстрее начать выборы и выбрать нового мастера. После падения мастера, новый выбранный мастер управляет операциями по восстановлению ВМ изолированного хоста. Если упал Slave - то, понятное дело, восстановлением его ВМ управляет старый мастер. Помним, да, что машины будут восстанавливаться, только если в Isolation Responce стоит Shutdown или Power Off, чтобы хост мог их погасить.

Ну и не забываем про заметку новые расширенные настройки и Isolation Responce.

Интересный момент обнаружился на блогах компании VMware. Оказывается, если вы используете в кластере VMware HA разные версии платформы VMware ESXi (например, 4.1 и 5.0), то при включенной технологии Storage DRS (выравнивание нагрузки на хранилища), вы можете повредить виртуальный диск вашей ВМ, что приведет к его полной утере.

Об этом написано в документе vSphere 5.0 Availability Guide:

In clusters where Storage vMotion is used extensively or where Storage DRS is enabled, VMware recommends that you do not deploy vSphere HA. vSphere HA might respond to a host failure by restarting a virtual machine on a host with an ESXi version different from the one on which the virtual machine was running before the failure. A problem can occur if, at the time of failure, the virtual machine was involved in a Storage vMotion action on an ESXi 5.0 host, and vSphere HA restarts the virtual machine on a host with a version prior to ESXi 5.0. While the virtual machine might power on, any subsequent attempts at snapshot operations could corrupt the vdisk state and leave the virtual machine unusable.

По русски это выглядит так:

Если вы широко используете Storage vMotion или у вас включен Storage DRS, то лучше не использовать кластер VMware HA. Так как при падении хост-сервера ESXi, HA может перезапустить его виртуальные машины на хостах ESXi с другой версией (а точнее, с версией ниже 5.0, например, 4.1). А в это время хост ESXi 5.0 начнет Storage vMotion, соответственно, во время накатывания последовательности различий vmdk (см. как работает Storage vMotion) машина возьмет и запустится - и это приведет к порче диска vmdk.

Надо отметить, что такая ситуация, когда у вас в кластере используется только ESXi 5.0 и выше - произойти не может. Для таких ситуаций HA и Storage vMotion полностью совместимы.

Как знают многие из вас, в инфраструктуре виртуализации VMware vSphere одна из самых частых конфигураций платформы - назначение администратора виртуальной инфраструктуры одному человеку, который потенциально может разрушить всю инфраструктуру предприятия:

Это на самом деле очень плохо, поскольку по данным исследования, проведенного аналитической службой компании «Код Безопасности» среди 100 российских организаций, наибольшую угрозу для компании представляют инсайдеры, имеющие доступ к конфиденциальной информации. Исследование показало, что наиболее актуальными ИБ-угрозами для большинства российских компаний остаются внутренние факторы. В частности, 25% опрошенных респондентов убеждены, что наибольшую опасность для компании представляет несанкционированный доступ собственных сотрудников к конфиденциальной информации компании.

Не менее интересными являются результаты опроса в части оценки принятых мер по выполнению требований Федерального закона «О персональных данных». 52% опрошенных на вопрос: «Приняты ли в Вашей организации меры по защите ПДн в связи с вступлением в силу №152-ФЗ», – ответили утвердительно. Компании, в которых проект проводится в данный момент, но пока не завершен, составляют 37% и 5% планируют проект по защите ПДн в соответствии с требованиями №152-ФЗ на следующий, 2012 год. Среди участников опроса оказалось 6% и тех, кто пока не приступал к выполнению требований №152-ФЗ.

И вот тут нужно сказать, что vGate R2 от компании "Код Безопасности" - это лучший продукт, чтобы убить перечисленных двух зайцев: разделить полномочия администратора VMware vSphere (или по крайней мере детально протоколировать его действия) с помощью продукта vGate R2 за счет введения роли администратора ИБ, а также настроить инфраструктуру защиты VMware vSphere в соответствии с нормами ФЗ 152 за счет средств автоматической конфигурации безопасности vGate R2.

Напомним, что это vGate R2 - это единственное на сегодняшний день сертифицированное средство защиты информации от несанкционированного доступа, предназначенное для обеспечения безопасности виртуальных инфраструктур на базе платформ VMware Infrastructure 3 и VMware vSphere 4, применение которого дает возможность легитимной обработки данных ограниченного доступа в виртуальной среде. Подробнее о сертификатах vGate R2 написано тут.

Запросить пробную версию vGate R2 можно по этой ссылке.

Как мы уже писали, компания VMware выпустила новую версию своего решения для виртуализации настольных ПК предприятия VMware View 5, имеющую множество улучшений, в том числе в плане производительности протокола PCoIP.

Сейчас стали доступны несколько интересных материалов по View 5. Презентация Родиона Тульского, сотрудника российского подразделения VMware, на русском языке:

Производительность и лучшие практики использования протокола PCoIP:

И еще немного о производительности VMware View 5:

Ну и напоминаем, что недавно вышли клиенты View для устройств Apple iPad и Android.

Кто говорил, что на VMworld Europe 2011 будет просто пьянка (в отличие от анонсов VMworld 2011), оказался не совсем прав. Компания VMware анонсировала еще 2 продукта для пользователей в сфере малого и среднего бизнеса VMware vCenter Protect Essentials Plus и VMware Go Pro. Те, кто следит за новостями, знают, что продукты эти появились благодаря покупке компании Shavlik Technolgies компанией VMware.

Продукт VMware Go Pro (о котором мы уже писали) был разработан совместно компаниями Shavlik и VMware и предназначен для упрощения миграции на виртуальную инфраструктуру VMware в небольших организациях и управления ей через веб-браузер. С помощью служб Go можно развертывать новые виртуальные машины на базе бесплатного продукта VMware ESXi (теперь это VMware Hypervisor) и даже делать некоторые процедуры по управлению виртуальной и физической инфраструктурой. Он поставляется в бесплатном издании (Go) и коммерческом (Go Pro). Надо отметить, что продукт поставляется как SaaS-решение и имеет сервисы не только для виртуализации.

Бесплатная версия VMware Go предоставляет следующую функциональность:

• IT Advisor - решение для обследования инфраструктуры на предмет виртуализации, которое предоставляет рекомендации по миграции систем.
• Мастер установки, настройки и управления бесплатными хост-серверами vSphere hypervisors (ESXi 5)
• Создание новых виртуальных машин Virtual Machines
• Список программных компонентов в виртуальной среде
• Список оборудования
• Сканирование систем на обновления, включая ПО не только от Microsoft
• Служба Help Desk для управления инцидентами на базе тикетов

Коммерческая версия Go Pro добавляет в решение следующую функциональность:

• Управление лицензиями на ПО
• Учет оборудования
• Развертывание обновлений и патчей
• Портал Help Desk для пользователей вашей организации и управление учетными записями
• Поддержка SaaS-решения

Возможность использования платной версии продукта VMware Go Pro появится уже до конца года по цене от $12 за управляемую систему в год (для американцев).

Второй продукт - это VMware vCenter Protect Essentials Plus, который раньше назывался Shavlik NetChk Protect. Он позволит управлять обновлениями операционных систем и приложений в физических и виртуальных средах (которое для виртуальных машин раньше было в vSphere как раз от Shavlik). Поставляться он будет в двух издания - Essentials и Essentials Plus (отличия тут).

VMware vCenter Protect Essentials имеет следующие возможности:

• Автоматическое сканирование и обновление выключенных виртуальных машин и шаблонов для ПО различных вендоров (например, Microsoft, Adobe, Java)
• Работа с группами виртуальных машин
• Поиск по domain, organizational unit, machine name, IP-адресу или диапазону IP
• Запуск задач по обновлению систем в определенное время и по условиям
• Поддержка патчинга для custom-приложений
• Накат частных патчей от Microsoft
• Custom Patch File Editor - для обновления внутренних продуктов компании
• Machine View - информация о системах и их статусе
• Поддержка скриптов, например, для сбора логов агентами и др.
• Работа с агентами и без них
• Поддержка резервного копирования и отката через механизм снапшотов

В решении VMware vCenter Protect Essentials Plus добавляются:

• Антивирус на базе Sunbelt VIPRE Enterprise Antivirus and Antispyware
• Управление электропитанием серверов через Wake-on LAN (WoL)
• Управление конфигурациями систем (Configuration Management)
• Расширенная поддержка сценариев, Microsoft PowerShell для автоматизации задач

Возможность использования продукта VMware vCenter Protect Essentials появится уже до конца года по цене от $57 за управляемый сервер в год и от $36 за рабочую станцию (для американцев).

Распространяться оба продукта будут, как я понимаю, через обычных реселлеров.

Компания Veeam, известный поставщик средств для резервного копирования и управления виртуальной инфраструктурой, анонсировала обновленные версии продуктов Veeam nworks Management Pack 5.7 и Veeam nworks Smart Plug-in 5.7.

Решение Veeam nworks MP 5.7 добавляет в область мониторинга инфраструктуру VMware, позволяя поддерживать единообразие политик и правил для System Center и отслеживать состояние всей инфраструктуры с помощью уже имеющейся консоли Operations Manager.

Новые возможности Veeam nworks Management Pack 5.7:

• Полная поддержка VMware vSphere 5.0
• Обработка более 500 событий и более 160 метрик в виртуальной инфраструктуре
• Новые виды отчетов, включая отчет по виртуальным машинам, которым выделено слишком много ресурсов
• Новые типы представлений (более 20) отчетных данных и обзорные экраны (dashboards)
• Поддержка больших инсталляций vSphere
• Мониторинг оборудования напрямую с хостов ESXi через интерфейс CIM
• Оптимизация производительности и обнаружения объектов

Решение Veeam nworks SPI 5.7 добавляет в область мониторинга инфраструктуру VMware в консоль HP Operations Manager.

Новые возможности Veeam nworks Smart Plug-in 5.7:

• Полная поддержка VMware vSphere 5.0
• Поддержка HP Operations Manager 9.0 for Windows
• ПоддержкаHP Performance Agent 11
• Поддержка последней версии Veaam Business View для организации мониторинга по бизнес-объектам
• Поддержка больших инсталляций vSphere
• Динамическая группировка кластеров, хостов, хранилищ и виртуальных машин
• Мониторинг оборудования напрямую с хостов ESXi через интерфейс CIM

Решения Veeam nworks Management Pack и Smart Plug-in 5.7 будут доступны для загрузки в течение 60 дней. Пока можно скачать бета-версии и отслеживать новости на этой странице.

Компания StarWind, выпускающая продукт номер 1 для создания отказоустойчивых iSCSI-хранилищ для виртуализации StarWind Enterprise HA, на прошлой неделе выпустила новый продукт для создания кластера хранилищ виртуальных машин StarWind Native SAN for Microsoft Hyper-V (подробнее тут и тут). Отличительной особенностью продукта является то, что он позволяет орагнизовать отказоустойчивую конфигурацию серверов и хранилищ на базе всего лишь 2-х серверов Hyper-V, что в 2 раза сокращает затраты на оборудование (серверы, коммутаторы) и обслуживание решения.

Компания VKernel (о которой мы много писали) выпустила очередную бесплатную, но весьма интересную утилиту - vScope Explorer. Объекты виртуальной инфраструктуры, включая хост-серверы, кластеры хранилища и виртуальные машины, с помощью утилиты можно визуализовать на dashboarde для виртуального датацентра, где видны основные источники проблем производительности, а также перегрузка ресурсов (вычислительных и хранилищ) и необходимые меры по добавлению новых мощностей:

Основные задачи, которые решает VKernel vScope Explorer:

• Идентификация проблем с производительностью для виртуальных машин и хост-серверов в пределах не только одного датацентра, но и нескольких площадок под управлением нескольких серверов vCenter. В качестве движка продукта используется технология Capacity Analytics Engine.
• Анализ текущего состояния вычислительных мощностей и информирование о том, как их необходимо увеличивать в случае их нехватки для виртуальных машин (Host Capacity Issues).
• Анализ эффективности работы виртуальных машин и вывод информации о тех из них, которым выделено слишком много или, наоборот, слишком мало ресурсов.
• Отчет об эффективности использования хранилищ: выводятся datastores, где место используется неэффективно (изолированные vmdk, выключенные машины, снапшоты, шаблоны и т.п.) - все это на одном экране для нескольких виртуальных датацентров.

Скачать бесплатный VKernel vScope Explorer можно по этой ссылке.

Пусть повисит тут эта инструкция - полезно и часто ищут. SSH на хосте VMware ESXi 5 можно включить двумя способами - через консоль сервера ESXi и через vSphere Client. Надо отметить, что в отличие от предыдущих версий ESX/ESXi, доступ по SSH к хосту ESXi 5.0 полностью поддерживается и является нормальным рабочим процессом.

1. Включение SSH на ESXi 5 через консоль.

Нажимаем <F2> в консоли:

Вводим пароль root и переходит в пункт "Troubleshooting Options":

Выбираем пункт "Enable SSH":

2. Включение SSH на ESXi 5 через vSphere Client.

Переходим на вкладку "Configuration", выбираем пункт "Security Profile" и нажимаем "Properties":

Выбираем сервис SSH и нажимаем "Options":

Устанавливаем режим запуска сервиса SSH на ESXi и включаем его кнопкой Start:

После включения SSH на ESXi 5.0 у вас появятся следующие предупреждения в vSphere Client для хоста:

SSH for the host has been enabled

Если вы включали ESXi Shell, то будет сообщение:

ESXi Shell for the Host has been enabled

Чтобы их убрать, нужно сделать так:

1. Выбираем нужный хост ESXi.
2. Переходим в категорию "Advanced Settings" в разделе "Software" на вкладке "Configuration".
3. Переходим в раздел UserVars > UserVars.SupressShellWarning.
4. Меняем значение с 0 на 1.
5. Нажимаем OK.

Но, вообще говоря, так делать не надо, так как SSH лучше выключать в целях безопасности на время, когда вы им не пользуетесь.

Ну и как войти по SSH на ESXi 5 пользователе root читаем тут - ничего не изменилось.

Автор: mr.fog

Неожиданно оказался в числе приглашённых на пресс-конференцию, посвящённую официальному открытию представительства Red Hat в России. Мероприятие состоялось 13 октября в отеле «Ренесанс-Москва» и, не считая мелких накладок, было организовано на достаточно высоком уровне. Честно говоря, думал, что пресс-конференция будет скучной и чопорной, но ошибся. Под хабркатом описание всего происходившего на пресс-конференции будет разбавлено моими комментариями (курсивом). Заранее прошу прощения за качество фотографий — снимал на фотокамеру телефона...

Мы уже много рассказывали о продукте vGate R2 от компании Код Безопасности (см. наш раздел), который позволяет защитить виртуальную инфраструктуру от несанкционированного доступа, разделить полномочия администраторов и настроить компоненты vSphere в соответствии с лучшими практиками и стандартами (в том числе, российскими). Сегодня мы рассмотрим средства контроля целостности vGate.

Мы уже писали о том, как работает кластер VMware HA в новой версии платформы VMware vSphere 5, где появились значительные изменения механизма обеспечения отказоустойчивости.

Одно из существенных изменений, Datastore Heartbeating - механизм, позволяющий мастер-серверу определять состояния хост-серверов VMware ESXi, изолированных от сети, но продолжающих работу с хранилищами. Напомним, что в качестве heartbeat-хранилищ выбираются два, и они могут быть определены пользователем. Выбираются они так: во-первых, они должны быть на разных массивах, а, во-вторых, они должны быть подключены ко всем хостам.

Если у вас доступно общее хранилище только одно, вы получите такое предупреждение в vSphere Client:

Избежать его можно, добавив в расширенные настройки кластера HA следующую строчку:

das.ignoreinsufficienthbdatastore = true

Количество heartbeat-хранилищ можно регулировать следующей настройкой (допустимые значения - от 2 до 5):

das.heartbeatdsperhost = value

Чтобы настройки заработали нужно переконфигурировать кластер VMware HA (выключить-включить).

Также в статье "New vSphere 5 HA, DRS and SDRS Advanced/Hidden Options" вы найдете еще много интересных новых и скрытых настроек VMware HA в vSphere 5.

Теперь еще один момент, на который хочется обратить внимание. Помните, что в настройках VMware HA есть варианты выбора действия для хост-сервера по отношении к своим виртуальным машинам в том случае, когда он обнаруживает, что изолирован от сети (параметр Isolation Responce):

Напомним, что Isolation Responce может принимать следующие значения:

• Leave powered on (по умолчанию в vSphere 5 - оптимально для большинства сценариев)
• Power off
• Shutdown

Выбирать правильную настройку нужно следующим образом:

• Если наиболее вероятно что хост ESXi отвалится от общей сети, но сохранит коммуникацию с системой хранения, то лучше выставить Power off или Shutdown, чтобы он мог погасить виртуальную машину, а остальные хосты перезапустили бы его машину с общего хранилища после очистки локов на томе VMFS или NFS (вот кстати, что происходит при отваливании хранища).
• Если вы думаете, что наиболее вероятно, что выйдет из строя сеть сигналов доступности (например, в ней нет избыточности), а сеть виртуальных машин будет функционировать правильно (там несколько адаптеров) - ставьте Leave powered on.

Разницу между Power off и Shutdown многие из вас знают - во втором случае машина выключается средствами гостевой системы, а в первом случае - это жесткое выключение средствами хост-сервера. Казалось бы, лучше всего ставить второй вариант (Shutdown). Но это не всегда так. Дело в том, что при действии shutdown у гостевой ОС может не получиться погасить систему (например, вылетит exception или еще что). В этом случае хост ESXi будет пытаться сделать shutdown в течение 5 минут до того, как он уже сделает действие power off.

Это приведет к тому, что время восстановления работоспособности сервиса вполне может увеличиться на 5 минут, что может быть критично для некоторых задач (с высокими требованиями к RTO). Зато в случае shutdown у вас произойдет корректное завершение работы сервера, а при power off могут не сохраниться данные, нарушиться консистентность и т.п. Выбирайте.

В сентябре компания VMware проводила серию вебинаров, в которых раскрывались вопросы лицензирования многих продуктов (vSphere, SRM, vCenter Operations, vCloud, vShield, vFabric и прочих), а также особенности их работы. Ниже представлены данные презентации, изучить которые будет интересно пользователям, особенно учитывая то, что многие продукты из новой линейки VMware (например, vCenter Operations или семейство vFabric) пользователям в России практически неизвестны.

Внимание! Все цены приведенные в презентациях ниже являются рекомендованными розничными ценами для Северной Америки. Для России эти цены существенно выше в связи с особенностями ценовой политики компании VMware.

1. Особенности лицензирования инфраструктурных решений VMware.

Презентация на русском языке по лицензированию инфраструктурных решений, включая VMware vSphere 5, SRM 5 и vCenter Operations.

2. Реальность управления виртуальной инфраструктурой VMware vCenter Operations.

Презентация Александра Пыльнева, консультанта по решениям VMware, на тему мониторинга инфраструктуры VMware vCenter Operations Standard.

• Особенности управления виртуальной инфраструктурой
• Как обойти эти проблемы стандартными средствами управления
• Недостатки традиционного подхода
• Недостатки средств управления традиционными средами
• Зачем нужен vCenter Operations?
• Обзор возможностей vCenter Operations
• Подробный технический обзор vCenter Operations

3. Создание публичного облака (VMware vCloud).

Презентация Родиона Тульского, ведущего консультанта по решениям VMware, по вопросам создания публичного облака на платформе vCloud и других продуктов VMware (Chargeback, Service Manager, vShield).

• Что такое внешнее облако и его особенности?
• Как построить внешнее облако на основе технологий VMware. Концепция.
• Как построить внешнее облако на основе технологий VMware. Подробный технический обзор продуктов.

4. Особенности лицензирования облачных решений vCloud, vFabric, vShield.

Презентация Родиона Тульского, ведущего консультанта по решениям VMware, об особенностях лицензирования продуктов vCloud, vFabric, vShield, Chargeback.

Продолжаем рассказывать о продукте vGate R2, который является средством номер 1 для обеспечения защиты виртуальных инфраструктур VMware vSphere на российском рынке. Напоминаю, что он позволяет разделить полномочия администраторов vSphere, автоматически настроить конфигурацию хост-серверов и виртуальных машин в соответствии с лучшими практиками, стандартами, а также требованиями российских регуляторов (ФЗ 152, ИСПДн) и защитить инфраструктуру от несанкционированного доступа. Скоро, кстати, будет выпущена версия под vSphere 5 со всеми необходимыми сертификатами ФСТЭК (список сертификатов продукта тут).

Итак, что новенького. Во-первых, презентация Михаила Козлова об угрозах в виртуальной среде и о том, как с ними справляется продукт vGate R2:

Во-вторых, стала появляться информация о том, что уже начинаются претензии к госструктурам относительно соответствия требованиям ФЗ 152 их виртуальной инфраструктуры, а сертификат есть только на vSphere 4.0 Update 1. В связи с этим эта категория пользователей продолжает оставаться на старых версиях платформы vSphere и не получает новых преимуществ, имеющихся в vSphere 5. Это печально. Тем более, что у компании Код Безопасности есть продукт vGate-S R2, предназначенный как раз для госструктур, который позволит пройти сертификацию на новых версиях vSphere.

А для vSphere 4.0 U1 и с сертификатом ФСТЭК вы хрен пройдете сертификацию, так как есть много требований того же ФЗ 152, которым платформа не удовлетворяет (например, по классу К1 ПДн).

Так что сейчас самое время поставить в известность вашу службу ИБ о том, что есть такой хороший продукт vGate и начать его тестировать.

Пост в рамках заказанной вами рубрики "Что почитать?". Компания VMware на прошедшей неделе выпустила несколько очень нужных, полезных, а главное интересных для чтения документов. Вот они:

1. VMware vSphere 5.0 Upgrade Best Practices.

Документ описывает лучшие практики по переходу на VMware vSphere 5 с предыдущих версий, включая хост-серверы VMware ESXi, сервер vCenter и его базу данных. См. также нашу серию статей о миграции на vSphere 5.

2. VMware ESXi 5.0 Operations Guide.

В документе описаны основные рабочие процессы по управлению сервером виртуализации VMware ESXi 5, включая интерфейс vCLI, PowerCLI, управление через SSH и многое другое. Документ будет полезен многим, особенно пользователям бесплатного ESXi и изданий Essentials.

3. VMware View 5 with PCoIP Network Optimization Guide.

Самый нужный документ для тех, кто планирует внедрение инфраструктуры виртуальных ПК VMware View 5 в условиях высокой нагрузки на канал. В документе рассматривается тонкая настройка протокола PCoIP с помощью групповых политик, все с картинками - просто и понятно. Например, выставление maximum frame rate в 15 и maximum initial image quality в диапазоне 70-80 уменьшает требование к каналу в 2-4 раза при сохранении приличного качества картинки при просмотре видео.

4. VMware View 5 Performance and Best Practices.

Этот документ уже сфокусирован на производительности решения VMware View 5 в целом. Приведены примеры тестирования решения для различных настроек протокола PCoIP и других компонентов.

Продолжение обзора новой документации не заставит себя долго ждать.

4 октября мы успешно провели мероприятие "Безопасность виртуальных инфраструктур" в рамках конференции "Инфобезопасность 2011". Обсуждение получилось весьма интересным и содержательным, а круглый стол собрал немало народу (хотя в этом году аудитория выставки в целом несколько уменьшилась).

Хочу поделиться с вами презентациями, представленными на мероприятии, среди которых наиболее интересен материал по продукту vGate R2, который предназначен для комплексной защиты виртуальных сред (подробнее тут, тут и тут).

Собственно, моя презентация:

Презентация по продукту vGate R2 от Александра Лысенко, ведущего эксперта по вопросам защиты информации, компания «Код Безопасности»:

Презентация Михаила Козлова, независимого эксперта по вопросам защиты информации в виртуальных инфраструктурах, консалтинговое агентство DevBusiness, о расчетах возврата инвестиций в покупку решения для обеспечения безопасности vGate R2 (за дополнительной информацией о расчетах обращайтесь ко мне - я дам контакт Михаила):

Чтобы попробовать продукт vGate R2, нужно запросить демо-версию по этой ссылке.

Мы уже писали о некоторых анонсах на VMworld 2011, одним из которых был проект по созданию облачного корпоративного хранения данных VMware Project Octopus. Это некий аналог сервиса Dropbox для хранения файлов, который позволит использовать его крупным предприятиям, поскольку в нем будут соблюдаться все необходимые политики безопасности (о дырках в Dropbox можно почитать тут, тут, тут), а также будут инструменты для организации рабочих процессов при работе с файлами. При этом, скорее всего, будет неплохой SLA по доступности.

Надо отметить, что Project Octopus можно будет использовать как из облака сервис-провайдера VMware, так и поставить у себя на серверах в виртуальных машинах, если данные в облако переносить боязно.

Помимо опубликованного нами видео, появился еще один небольшой рассказ о Project Octopus:

Интересно, что согласно исследованиям 80% хранимых файлов в компаниях не используются более двух лет, а значит их надо постепенно удалять на файловых хранилищах. У Octopus будет возможность нотификации пользователей о таких файлах, и если никто из владельцев не подтвердит их актуальность, они будут удалены. Также будут средства отката версий файлов, их сравнения, простое предоставление общего доступа коллегам и подписка на изменения файла.

Octopus предполагается интегрировать со следующими продуктами VMware: Zimbra Collaboration Server for Web-based applications (средства совместной работы), VMware View (использование общих данных в виртуальных ПК), VMware Horizon (управление данными приложений из корпоративного каталога) и AppBlast (доставка приложений через веб-браузер с поддержкой HTML 5 - то есть, открыл браузер - а там каталог приложений, выбираешь - и приложение открывается как будто установленное).

Кстати, вот пример работы Adobe Photoshop CSC в браузере средствами VMware Project AppBlast (на iPad, между прочим):

Естественно, для Octopus будут и клиенты для всех возможных типов устройств: ПК, планшетов, телефонов и смартфонов. И скоро для некоторых из записавшихся в бета-тестеры придут приглашения на этот интересный облачный сервис.

На самом деле, лично меня этот проект интересует больше всего, так как это действительно полезный и нужный сервис, который перетягивает инфраструктуру в облако с точки зрения данных (это проще), а не со стороны комплекса вычислительных ресурсов (IaaS).

С новыми инициативами и продуктами VMware, конечно, молодец. Но кое с чем не молодец вовсе. Например, с тем, что для России (помимо обнаглевшего повышения цен) с 1 октября отменяются преференции Emerging Markets, то есть становится ниже партнерская маржа и выше требования к партнерам. Типа все - рынок виртуализации развит, остальное - детали. При этом тут Hyper-V 3.0 набирает обороты, что все в совокупности приведет к тому, что SMB на VMware положит большой болт (VMware на SMB давно уже положила). Плохо, чо.