Компания Veeam, производитель продукта Veeam Backup and Replication, который является средством номер 1 для резервного копирования виртуальной инфраструктуры VMware vSphere, объявила о скором выходе новой версии решения - Veeam Backup and Replication 6.0.

Напомним, что мы уже писали о некоторой новой функциональности Veeam Backup and Replication 6, где главным из нововведений стала поддержка платформы виртуализации Microsoft Hyper-V.

Теперь появились официальные подробности о Veeam Backup and Replication 6, который, как ожидается, компания представит на предстоящем VMworld 2011. Что будет нового в продукте:

• Enterprise scalability: улучшенная архитектура продукта позволит производить развертывание в удаленных офисах и филиалах, а также для больших инсталляций. Также будет увеличена производительность для резервного копирования, репликации и восстановления по WAN-каналам.
• Advanced replication: в некоторых случаях скорость репликации вырастет до 10 раз, а также появится failback (обратное восстановление после возобновления работы отказавшего хоста с ВМ) с возможностью синхронизации дельты (различия данных с момента отказа основной машины).
• Multi-hypervisor support: полная поддержка Windows Server Hyper-V и Microsoft Hyper-V Server, а также возможность управления резервным копированием для гипервизоров разных производителей из одной консоли.
• Numerous enhancements, including 1-Click File Restore: расширение возможностей по восстановлению отдельных файлов гостевых ОС с возможностью делегирования полномочий по восстановлению с веб-интерфейсом, без необходимости иметь прямое соединение с ВМ, а также без агента в гостевой ОС.

Все это мы сможем увидеть уже скоро в рамках одной из демонстраций на VMworld 2011. Также хочу вас известить - скоро цены на Veeam Backup and Replication поднимаются (в сентябре или с сентября, пока еще точно не ясно), поэтому самое время покупать продукт дешевле именно сегодня и именно у нас.

Для тех, у кого небольшая компания есть очень привлекательное предложение в виде Essentials-китов с огромной скидкой, для тех же у кого есть Veeam Backup and Replication Standard есть уникальное по цене предложение по переходу на издание Enterprise со скидкой в 40%. Торопитесь.

Как вы знаете, компания VMware в ближайшее время намерена выпустить не только VMware vSphere 5, но и новую версию продукта для создания катастрофоустойчивой инфраструктуры VMware Site Recovery Manager 5.

Помимо того, что мы уже описывали о VMware SRM 5, появился расширенный список возможностей, который приведен ниже:

• Возможности Sphere Replication – техника, позволяющая делать host-based репликацию для виртуальных машин в небольших компаниях (поддерживаются не только общие тома, но и локальные хранилища серверов ESXi). Вот некоторые ограничения технологии:
  • Требует vSphere 5.
  • Управляется напрямую из vSphere client.
  • Смонтированные ISO-шки и Floppy-ки не реплицируются.
  • Машины в состоянии Powered off/Suspended не реплицируются.
  • Некритичные файлы тоже не реплицируются (swap files, dumps, logs и т.д.).
  • Виртуальная машина может иметь снапшот на защищаемом сайте, но он будет применен (смерджен) на резервном.
  • Физические тома RDM не поддерживаются (но виртуальные поддерживаются).
  • Не поддерживаются также следующие ВМ: с включенной Fault Tolerance, Linked Clones и VM Templates.
  • Не поддерживаются возможности Automated Failback.
  • Требуется VM Hardware версий 7 или 8 (то есть, с поддержкой Change Block Tracking).
  • Поддерживается до 500 виртуальных машин.
  • Происходит только в асинхронном режиме (само собой).
  • Минимальная частота репликации - 15 минут, максимальная - 24 часа.
  • Первичная копия ВМ может быть сделана на оффлайн-носитель (например, переносной диск) - что уменьшаяет требования к каналу репликации.
  • Поддерживает технику создания консистентных виртуальных машин на резервном сайте (на уровне файлов, но не на уровне приложений).
  • Включена в обе редакции SRM: Standard и Enterprise Editions.
  • vSphere Replication можно использовать только в продукте SRM 5.
• Улучшения масштабируемости:
  • До 1000 защищаемых ВМ (как и в SRM 4.1).
  • 500 защищаемых ВМ в одной protection group (как и в SRM 4.1)
  • Количество Protection Groups - 250 (ранее 150 в 4.1).
  • 30 одновременно исполняемых планов восстановления после сбоя (ранее - всего 3).
• Функции Planned Migration – это выключение виртуальных машин на основном сайте, их репликация на резервный и последующее включение их там. То есть это - плановый переезд датацентра или части инфраструктуры. В этом случае сохраняется полная консистентность.
• Функции Failback – теперь можно в случае аварии, восстановления на резервном сайте и последующего восстановления основного сайта, можно снова переехать на основной сайт. Делается это за счет перенаправления репликации и реверсного исполнения плана восстановления.
• Улучшения интерфейса и юзабилити:
  • Оба датацентра теперь видятся и управляются без vCenter linked mode.
  • Изменения IP-адресации для ВМ во время восстановления теперь могут быть введены в GUI, без геморроя
  • Заглушки для резервных ВМ за резервном сайте теперь имеют уникальную иконку, чтобы идентифицировать их как заглушки, а не производственные ВМ.
  • Отчеты теперь включают user ID, который инициировал операции Failover или DR test.
  • Отчеты включают в себя больше информации о шагах по работе с дисковыми массивами (включая device friendly names)
• IPv6 Support – полностью поддерживается.
• IP Customization performance – заметное улучшение по скорости преобразования IP-адресов.
• In guest callouts – теперь можно выполнить скрипт в ВМ, выполнить скрипт на сервере SRM или сделать брейкпоинт (точку останова) для вывода сообщения во время исполнения плана восстановления.
• Новый API для обоих частей - Protected и Recovery Sides – новые команды для интеграции со сторонними приложениями и системами (на базе SOAP).
• Улучшение связности – теперь есть 5 priority groups для каждого плана восстановления. Каждая группа должна полностью выполниться в рамках DR-плана, пока не будет осуществлен переход к следующей группе. В рамках каждой группы можно создавать зависимости (аналогично зависимостям в службах Windows). То есть, например, машина не начнет восстанавливаться, пока все зависимые для нее компоненты не будут восстановлены (но все это только в рамках одной группы приоритетов).
• Licensing – теперь есть 2 издания SRM: Standard and Enterprise. Оба издания абсолютно идентичны. Единственная разница - это то, что в издании SRM Standard есть ограничение на 75 виртуальных машин на одной площадке. Здесь отчетливо видно, что цена в $195 за виртуальную машину для издания Standard (а значит, и для среднего и малого бизнеса) - это попытка конкурировать с продуктом Veeam Backup and Replication 5, который еще со своей первой версии умеет делать репликацию виртуальных машин между площадками.

В целом, конечно список улучшений весьма обширен. А что касается конкуренции VMware SRM 5 с Veeam Backup and Replication 5 - в плане репликации, последний пока выигрывает, так как имеет меньше функциональных ограничений (о произодительности пока сказать нельзя - SRM 5 еще не вышел). Ожидается, что VMware SRM 5 будет доступен для загрузки после 22 августа.

Мы уже много писали об универсальном средстве vGate R2 для защиты виртуальных инфраструктур VMware vSphere от компании Код Безопасности. Этот продукт позволяет автоматически настроить серверы ESX / ESXi и виртуальные машины в соответствии требованиями и регламентами безопасности, а также защитить инфраструктуру от несанкционированного доступа. Сегодня мы расскажем о том, как правильно развернуть средство защиты vGate R2 в вашей тестовой или производственной среде.

Как многим известно, компания VMware вместе с анонсом платформы виртуализации VMware vSphere 5 объявила также о выпуске продукта VMware vCenter Server Virtual Appliance, который представляет собой готовую виртуальную машину, реализующую все необходимые сервисы аналогичные VMware vCenter для Windows.

Такой вариант развертывания системы управления виртуализацией несет в себе некоторые преимущества (прежде всего, экономия на лицензии, простота развертывания и обновления), однако несет в себе некоторое количество ограничений, которые могут заставить вас отказаться от его использования.

Прежде всего, vCenter Server Virtual Appliance доступен для загрузки с сайта VMware в формате OVF вместе с обычным vCenter:

Скачав эти файлы, можно приступить к установке vCenter Server Virtual Appliance, на процесс которой можно посмотреть в этом видео:

Вкратце: после импорта OVF коннектимся браузером по адресу:

https://<ip_of_appliance>:5480

И вводим логин root, а пароль vmware.

Перечислим некоторые возможности и особенности vCenter Server Virtual Appliance (vCSA):

• Построен на базе SUSE Linux Enterprise Server 11 x64.
• После развертывания OVF виртуальная машина создается с 2 vCPU и 8Gb памяти, адаптер SCSI - LSI Logic Parallel, сетевой адаптер - VMXNET 3, диски - 15Gb и 60Gb (VMDKs), VMware Tools установлены.
• Включает базу данных DB2, которая вполне хорошо работает до 5 хостов ESXi или до 50 виртуальных машин (то же самое, что и рекомендуется для связки Windows vCenter Server + MSSQL Express).
• Поддерживает внешнюю СУБД Oracle для больших инсталляций.
• Включает в себя аутентификацию в Active Directory (AD) и Network Information Services (NIS).
• Поддержка vSphere Web Client встроена в vCenter Server Virtual Appliance.
• Также поддерживается Windows vSphere Client.
• Включает в себя преднастроенный сервер Auto Deploy (не надо устанавливать самому).
• Может использовать NFS mounts для хранения компонентов vCenter Server Virtual Appliance и лог-файлов.
• vCSA может использоваться как syslog-сервер для сбора логов от серверов ESXi.
• Может использоваться как сборщик дампов ядра ESXi.
• Малое время развертывания - всего 15 минут.
• Не требуется лицензии на хостовую ОС.
• Простой способ обновления - если внешняя БД Oracle, просто заменяем Appliance, если используется внутренняя база - есть опция импорта данных от прошлой установки.
• Патчи можно устанавливать прямо через веб-интерфейс.

Кстати, вот список продуктов VMware, которые поддерживают vCenter Server Virtual Appliance:

• vCenter Operations.
• vCenter Orchestrator.
• vCenter CapacityIQ.
• SRM5.
• Auto Deploy.
• vCenter Update Manager.
• vMA.
• vSphere Client.
• vSphere Web Client.

То есть видим, что штука, вроде бы, неплохая.

Однако давайте взглянем на ограничения vCenter Server Virtual Appliance:

• Microsoft SQL в качестве внешней (и, само собой, внутренней) базы - не поддерживается, нужен ODBC driver for Linux.
• Не поддерживается vCenter Server Linked Mode, так как он требует поддержки ADAM.
• Не работает vCenter Server Heartbeat, который есть только для Windows.
• Не поддерживается IPv6.
• Нельзя сделать сквозной вход (Single sign-on), используя учетные данные текущей сессии.
• Не работает VMware View Composer (технология связанных клонов, Linked Clones).
• Нельзя использовать vSphere Storage Appliance – компоненты VSA Manager & VSA Cluster Server есть только для Windows.
• Плагин VIX Plugin for vCenter Orchestrator – тоже не будет работать, так как VMware Tools API работает только под Windows.

А теперь подумаем, почему этот vCenter Server Virtual Appliance на данный момент, кроме перечисленных ограничений, не очень хорошая идея:

• Неизвестно когда появится поддержка Microsoft SQL. Если встроенной базы не хватит, и у вас нет Oracle, непонятно, что делать дальше.
• Версия 1.0 - значит есть куча ошибок и недоработок, а также граблей, на которые вы наступите одним из первых.
• Проблемы совместимости - не работает View Composer, а также некоторые другие продукты VMware, которые вам, возможно, понадобятся.
• Некоторые надстройки и компоненты не поставляются вместе с vCSA, они дотупны только для vCenter под Windows.
• Трудно перенести существующий vCenter в новый vCSA для больших окружений.
• Если что-то случается с vCSA - вам придется ковыряться в Linux, а не в Windows.

В итоге, vCenter Server Virtual Appliance - это пока игрушка, чтобы попробовать и потестировать для непроизводственной среды, ну и, возможно, его станут применять небольшие организации, купившие vSphere Essentials и vSphere Essentials Plus для 3 хост-серверов VMware ESXi.

Напоминаю о том, что мы продолжаем дружить с компанией Код Безопасности, которая выпускает самый лучший продукт vGate R2 для защиты виртуальной инфраструктуры VMware vSphere (в том числе на базе ESXi), который имеет сертификат ФСТЭК и даже сертифицирован для работы с данными, представляющими гостайну.

Он выполняет две нужные и важные задачи - позволяет автоматически настроить все компоненты виртуальной инфраструктуры в соответствии в отраслевыми рекомендациями и стандартами, а также защищает инфраструктуру от несанкционированного доступа.

Некоторые из вас знают, что на сайте VirtualizationSecurityGroup.Ru проходил конкурс продуктов в сфере информационной безопасности именно для виртуальных сред. Событие неординарное, учитывая специфику отрасли.

В комиссии экспертов сидело 7 серьезных мужиков и одна наша с вами хорошая знакомая (Маша Сидорова). Все они, а также посетители VirtualizationSecurityGroup.Ru выбирали лучшие продукты. И выбрали.

vGate R2 разработки компании «Код Безопасности» стал победителем Конкурса продуктов сразу в двух категориях: номинации Access control (Контроль доступа) и номинации «Best of Show».

Best of Show - это по голосованию всех, а не только экспертного совета. И еще они сделали прикольный ролик:

Основные критерии оценки продуктов экспертным советом – соответствие заявленным функциональным возможностям, наличие инновационных возможностей, удобство настройки и использования продукта, отсутствие конфликтов при взаимодействии с другими средствами и подсистемами системы управления информационной безопасностью, наличие и виды технической поддержки в России на русском языке, скорость реакции на запросы от Заказчиков, наличие «Историй успеха» и стоимость продукта.

Попробовать бесплатную версию vGate R2 можно по этой ссылке, проверить соответствие вашей инфраструктуры требованиям безопасности бесплатно можно с помощью vGate Compliance Checker тут (вот описание).

P.S. Официальный пресс-релиз и новость на сайте VirtualizationSecurityGroup.Ru.

Мы уже описали основную линейку новых версий продуктов VMware, а именно:

• VMware vSphere 5
• VMware Site Recovery Manager 5
• VMware vShield 5
• VMware vSphere Storage Appliance (VSA)

Теперь пришел черед VMware vCloud Director 1.5, продукта который позволяет построить платформу облачных вычислений для частных облаков на базе VMware vSphere 5 (см. наши упоминания тут и тут).

Напомним вкратце что это такое и для чего нужен vCloud Director. VMware vCloud Director - это надстройка над инфраструктурой vSphere, которая позволяет создавать безопасные (vShield 5) гибридные облака с поддержкой нескольких арендаторов путем объединения ресурсов инфраструктуры в виртуальные ЦОД. Ресурсы этого датацентра предоставляются по требованию (см. vCloud Connector) в рамках определенного рабочего процесса.

vCloud Director объединяет ресурсы ЦОД (вычислительные ресурсы, хранилище и сеть) и соответствующие политики в виртуальные ЦОД. Полностью инкапсулированные многоуровневые виртуальные сервисы пользователей предоставляются в виде объектов vApp в формате OVF (наборы ВМ для одной задачи). Конечные пользователи и соответствующие политики объединяются в организации. Компоненты инфраструктуры, пользователи и услуги объединяются в логические пулы (управляются на основе политик), которые соответствуют определенным уровням обслуживания.

В vCloud Director есть каталог уже готовых стандартизированных приложений в ВМ, которые готовы к развертыванию со стороны пользователей (через портал самообслуживания). Эти vApp предоставляются как услуга на базе платы за использование (Pay as you go).

Чтобы лучше понять для чего нужен и как устроен VMware vCloud Director нужно посмотреть вот эту презентацию:

А теперь о новых возможностях VMware vCloud Director 1.5. Общая картина:

Появилась поддержка связанных клонов (Linked Clones) для выделяемых ВМ:

Появилась возможность кастомизации гостевых ОС и свойств шаблона OVF для автоматизации развертывания новых сервисов и их автоматической постконфигурации:

Появилась интеграция с различными Enterprise-системами за счет механизма vCloud Messaging в vCloud API:

Ну и вкратце остальные возможности:

• Интеграция с распределенным коммутатором Cisco Nexus 1000V
• Поддержка Microsoft SQL Server в качестве БД
• Интеграция с vShield Edge VPN
• Ну и, конечно, поддержка VMware vSphere 5

VMware vCloud Director 1.5 будет доступен в 3-м квартале 2011 года, вместе с VMware vSphere 5, по цене от $150 за виртуальную машину.

Хотим напомнить еще раз, что продукт компании "Код Безопасности" vGate R2 - это лучшее средство для обеспечения безопасности вашей виртуальной инфраструктуры (в том числе, на базе VMware ESXi с сертфикатом ФСТЭК), а также для автоматизированной ее настройки в соответствии с требованиями ИБ.

Теперь пара новостей. Первая:

vGate-S R2 – первое в России сертифицированное средство защиты государственной тайны в виртуальной среде

Компания «Код Безопасности» объявляет об успешном прохождении продуктом vGate-S R2 сертификационных испытаний и получении им сертификата ФСТЭК России, согласно которому продукт может применяться для защиты государственной тайны в автоматизированных системах до класса 1Б включительно. Таким образом, продукт vGate-S R2 стал первым и единственным в России сертифицированным средством защиты государственной тайны от несанкционированного доступа в виртуальной среде.

Подробнее на сайте "Кода Безопасности".

Что это значит? Это значит, что если ваша организация работает с гостайной, и вы используете VMware vSphere - то у вас просто нет альтернатив, кроме как купить vGate-S R2.

Вторая новость:

Продукт vGate R2 стал победителем первого этапа Конкурса продуктов VirtualizationSecurityGroup.Ru в номинации Access Control

Продукт vGate R2 разработки компании «Код Безопасности» стал победителем первого этапа Конкурса продуктов (в номинации Access control), организованного некоммерческим объединением специалистов Virtualization Security Group Russia и порталом VirtualizationSecurityGroup.Ru.

Следующим этапом конкурса станет открытое голосование на портале VirtualizationSecurityGroup.Ru за видео-ролики, которые подготовили компаний-участники по своим продуктам. Голосование за видео-ролики по продуктам на портале VirtualizationSecurityGroup.Ru продлится десять дней. Победители Конкурса продуктов будут объявлены 4 августа на сайте организатора. По результатам двух этапов организаторы объявят победителей в трех номинациях Конкурса (Access Control, Network Protection, Antivirus/Anti-Malware), а самая оригинальная и интересная видео-презентация будет отмечена в номинации «Best of Show».

В Конкурсе также приняли участие продукты для защиты виртуальных инфраструктур компаний Cisco, HP, Trend Micro, McAfee, IBM, Symantec. Вне Конкурса были представлены продукты компаний ОКБ Сапр, Stonesoft.

Можете поддержать vGate R2 следующими действиями:

• Cмотрим презентацию по продукту на -  http://www.slideshare.net/VirtSGR/vgate-r2-virtualizationsecuritygroupru
• Смотрим видео-презентацию по продукту на - http://www.youtube.com/watch?v=X4xyW9PVNyw&feature=channel_video_title
• Голосуем за продукт в двух номинациях Access Control и Best of Show (лучшая видео-презентация продукта) на - http://www.virtualizationsecuritygroup.ru/proektyi-gruppyi/golosovanie-konkurs-produktov.html

Подробнее о конкурсе - тут и тут.

Наш с вами хороший знакомый Костя (constantinv.posterous.com) приглашает принять участие в вебинаре "Обзор нововведений в StarWind 5.7", где он поделится самыми сокровенными мыслями о том, что нового появилось в продукте StarWind Enterprise 5.7.

Вебинар состоится 28 июля в 17-00 по московскому времени и будет длиться час. Явка обязательна.

Вкратце, что нового появилось в продукте:

• Улучшения механизма синхронизации
• Улучшения High availability
• Оптимизация канала связи
• Performance Monitoring
• Оснастка Snapshot Manager
• Улучшенный Event log
• Улучшения GUI
• Deduplication plugin

Зарегистрироваться на мероприятие.

Вместе с релизом продуктовой линейки VMware vSphere 5, VMware SRM 5 и VMware vShield 5 компания VMware объявила о выходе еще одного продукта - VMware vSphere Storage Appliance. Основное назначение данного продукта - дать пользователям vSphere возможность создать общее хранилище для виртуальных машин, для которого будут доступны распределенные сервисы виртуализации: VMware HA, vMotion, DRS и другие.

Для некоторых малых и средних компаний виртуализация серверов подразумевает необходимость использовать общие хранилища, которые стоят дорого. VMware vSphere Storage Appliance предоставляет возможности общего хранилища, с помощью которых малые и средние компании могут воспользоваться средствами обеспечения высокой доступности и автоматизации vSphere. VSA помогает решить эти задачи без дополнительного сетевого оборудования для хранения данных.

Кстати, одна из основных идей продукта - это подвигнуть пользователей на переход с vSphere Essentials на vSphere Essentials Plus за счет создания дополнительных выгод с помощью VSA для распределенных служб HA и vMotion.

Давайте рассмотрим возможности и архитектуру VMware vSphere Storage Appliance:

Как мы видим, со стороны хостов VMware ESXi 5, VSA - это виртуальный модуль (Virtual Appliance) на базе SUSE Linux, который представляет собой служебную виртуальную машину, предоставляющую ресурсы хранения для других ВМ.

Чтобы создать кластер из этих виртуальных модулей нужно 2 или 3 хоста ESXi 5. Со стороны сервера VMware vCenter есть надстройка VSA Manager (отдельная вкладка в vSphere Client), с помощью которой и происходит управление хранилищами VSA.

Каждый виртуальный модуль VSA использует пространство на локальных дисках серверов ESXi, использует технологию репликации в целях отказоустойчивости (потому это и кластер хранилищ) и позволяет эти хранилища предоставлять виртуальным машинам в виде ресурсов NFS.

Как уже было сказано, VMware VSA можно развернуть в двух конфигурациях:

• 2 хоста ESXi - два виртуальных модуля на каждом хосте и служба VSA Cluster Service на сервере vCenter.
• 3 хоста ESXi - на каждом по виртуальному модулю (3-узловому кластеру служба на vCenter не нужна)

С точки зрения развертывания VMware VSA - очень прост, с защитой "от дурака" и не требует каких-либо специальных знаний в области SAN (но во время установки модуля на хосте ESXi не должно быть запущенных ВМ)...

Читать статью далее ->>

Продолжаю переводить интересные материалы, относительно виртуализации Red Hat. Данный перевод дополняет мой прошлый пост «Найдет ли Red Hat «место под солнцем» на рынке облачного ПО?», думаю, что появление Open Virtualization Alliance заслуживает отдельного обсуждения.

Владимир Ескин, системный инженер Veeam, приглашает Вас принять участие в живой демонстрации SureBackup™ Recovery Verification – технологии верификации возможности восстановления в версии 5 Veeam Backup & Replication.

Мы уже не раз писали об обновленной линейке продуктов VMware vShield (тут, тут и тут). Вместе с релизом VMware vSphere 5 компания VMware также объявила о выпуске VMware Site Recovery Manager 5 и VMware vShield 5. Сегодня мы поговорим о последнем из перечисленных продуктов.

Итак, давайте взглянем на общую картину решения VMware vShield 5:

Как мы помним, в VMware vShield есть 3 ключевых компонента:

• vShield Edge - защищающий периметр датацентра.
• vShield App with Data Security - защищающий виртуальные машины на хост-серверах VMware ESXi (контроль трафика по портам и протоколам). Обратите внимание, что появился новый компонент Data Security (его, кстати, будут давать бесплатно ко многим продуктам).
• vShield Endpoint - ПО, построенное поверх VMsafe API, позволяющее сторонним производителям антивирусов интегрироваться с инфраструктурой виртуализации VMware vSphere 5.

Всеми этими компонентами в той или иной степени управляет VMware vShield Manager, который представляет собой надстройку к VMware vCenter.

Теперь взглянем на список новых возможностей VMware vShield 5 (которые соответствуют потребностям заказчика из левой колонки):

По сути, в vShield 5 появилось 3 новых ключевых возможности. Рассмотрим их детальнее.

1. Система обнаружения конфиденциальных данных для соблюдения стандартов и нормативов.

Эта функциональность реализована в компоненте vShield Data Security 5, который поставляется вместе с vShield App 5 (который, в свою очередь, является виртуальным модулем - Virtual Appliance и работает на каждом хосте ESXi). Это продукт позволяет обнаруживать конфиденциальные данные (таких как информация о банковских картах, личные данные) которые могут быть сохранены внутри документов в виртуальных машинах (это делается за счет технологии Data Loss Prevention от RSA, DLP, которая может выявлять данные из файлов, например, PDF). На базе этого анализа делается заключение о данных, нуждающихся в защите с помощью политик безопасности. Самое интересное, что это делается без агентов.

Далее организации могут выбирать из более 80 шаблонов нормативных требований, таких как PII (личные данные), данные держателей карт PCI-DSS и PHI (защищенные медицинские данные), из различных стран (Северная Америка, Европа, Ближний Восток и Африка, Азиатско-Тихоокеанский регион). России тут нет - для нас есть продукт vGate R2 от компании Security Code.

Эти шаблоны содержат в себе наборы определенных политик безопасности, которые можно применить к хост-серверам ESXi 5 и виртуальным машинам (для каждой отрасли свои требования). Элементы виртуальной инфраструктуры VMware vSphere 5 (datacenter, file share, resource pool, host, VM) можно просканировать на предмет соответствия этим политикам. После этого будет получен детальный отчет о том, какие объекты и в чем именно не соответствуют требованиям стандартов.

Этот механизм имеет собственный API. Далее проблемные виртуальные машины можно исправлять вручную (но это долго и муторно) либо с помощью VMware vCenter Configuration Manager (перед этим эти машины можно поместить в карантин). Российским пользователям лучше использовать продукт vGate R2, сертифицированный ФСТЭК.

2. Возможность карантина виртуальных машин.

В VMware vShield есть возможность интеграции со сторонними виртуальными модулями, в которых реализован механизм обнаружения и предотвращения вторжений (IDS/IPS-системы). Такая система, выявившая подозрительную виртуальную машину, может поместить ее на карантин за счет механизма VMware vShield App 5.

Машины, находящиеся в карантине, полностью изолированы от производственной среды, их можно исследовать и исправлять. После исправления (удаление вирусов, ликвидация угроз, приведение в соответствие политикам ИБ) ее можно вернуть снова в production.

Эта функциональность может быть использована компонентом vShield Data Security, а также сторонними поставщиками ативирусных продуктов через API.

3. Повышение эффективности антивирусных решений.

Помимо функциональности помещения виртуальных машин в карантин, теперь в полную силу заработала технология сканирования виртуальных машин на уровне гипервизора, без агентов, на предмет наличия вредоносного ПО (ранее мы об этом писали). Антивирусное решение, поставляемое в виде виртуального модуля (Virtual Appliance), находится на каждом хосте ESXi 5 и обеспечивает проверку виртуальных машин на вирусы (см. компонент vShield Endpoint), после чего ПО в этом модуле может "лечить" зараженные ВМ после помещения в карантин.

VMware vSphere 5 знает о наличии таких специальных сервисных виртуальных машин, обеспечивающих безопасность, поэтому не перемещает их между хостами за счет технологии DRS.

VMware vShield 5 можно купить по отдельным компонентам (например, vShield App), кроме того, некоторые компоненты vShield 5 идут в комплекте поставки некоторых продуктов VMware (например, VMware View - там идет Endpoint). Также все компоненты vShield 5 можно купить в составе vShield Bundle.

За более подробной информацией обращайтесь в компанию VMC, которая, в том числе, оказывает услуги по внедрению инфраструктуры безопасности для VMware vSphere 5.

Компания StarWind Software, выпускающая самый лучший продукт для создания iSCSI-хранилищ для ваших серверов VMware vSphere и Mirosoft Hyper-V (см. тут и тут), объявила о выпуске решения StarWind Enterprise 5.7, которое предоставляет еще больше возможностей по созданию отказоустойчивых хранилищ (само собой, есть бесплатная версия StarWind 5.7 Free).

Этот релиз StarWind Enterprise 5.7 представляет собой первый шаг по переводу механизма отказоустойчивости хранилищ на новую архитектуру.

Перечислим основные новые возможности StarWind 5.7:

1. Улучшения механизма синхронизации. Теперь отсылка данных между узлами отказоустойчивого кластера происходит в асинхронном режиме. Это означает, что StarWind Enterprise HA теперь работает заметно быстрее. Подробности нового механизма работы HA вы можете прочитать в блоге у Константина, а мы приведем основную суть.

Ранее все работало следующим образом:

Когда iSCSI-пакет приходит на основной узел, он отправляет его на резервный. После того, как резервный узел получает пакет, он посылает iSCSI-команду подтверждения получения блока данных (ACK), только после получения которой основной узел передает ACK инициатору и записывает пакет на диск. Когда iSCSI-команд становилось много, они ставились в очередь и происходили некоторые задержки, поскольку постоянно нужно было совершать эти итерации.

Теперь все работает так (некий гибрид синхронного и асинхронного процессов):

Когда iSCSI-пакет приходит на основной узел, он отправляет его на резервный. И, не дожидаясь ACK от партнера, сразу посылается второй пакет. Когда очередь закончится, и второй узел запишет данные на диск, он отсылает ACK основному узлу, которые его уже передает инициатору. Так все работает значительно быстрее. Ну и защита от потери данных при сбое в канале синхронизации тоже есть.

2. Улучшения High availability. Появилось управление полосой пропускания канала синхронизации (QoS) - теперь можно регулировать приоритезацию трафика при синхронизации HA-узлов, что позволяет не забивать весь доступный канал и не затормаживать доступ к общему хранилищу. Для этого нужно выбрать пункт "Sync channel priorities" из контекстного меню HA-устройства.

По умолчанию для наибольшей безопасности приоритет стоит у канала синхронизации. Выставлять QoS нужно только на основном узле, на резервном он выставится автоматически.

3. Оптимизация канала. Теперь для оптимизации канала используется несколько параллельных iSCSI-сессий. В следующей версии StarWind Enterprise 5.8 это количество можно будет регулировать, а также возможна будет настройка количества каналов для Heartbeat.

4. Performance Monitoring - возможность отслеживания производительности дисковой подсистемы из Management Console (disk transfer rate, average number of I/O operations on targets, CPU and memory load on StarWind server). Выглядит это так:

5. Новая полезная оснастка - Snapshot Manager. Теперь можно управлять снапшотами через GUI. Для этого в контекстном меню для устройства нужно выбрать пункт "Snapshot Manager".

6. Улучшенный Event log. Теперь при наступлении события происходит нотификация администратора через иконку в System Tray.

7. Улучшения GUI. Теперь Targets и серверы могут объединяться в группы для удобства управления.

8. Экспериментальный "deduplication plugin". Он позволяет установить дедупликацию с размерами блока от 512Б до 256КБ на выбор (вместо 512Б сейчас), что позволяет увеличить производительность процесса дедупликации до десяти раз, при этом экономия пространства на дедупликации уменьшается всего на 10-15% (при сравнении 512 байтовых с 4кб блоками). Кроме того, значительно понизится нагрузка на ЦПУ и 90% уменьшятся требования к объёму ОЗУ.

9. ImageFile, DiskBridge. Поддержка режима Mode Sense page 0x3 для совместимости с iSCSI-инициатором Solaris.

Скачать StarWind Enterprise HA 5.7 можно по этой ссылке. Советую также обратить внимание на запись о StarWind 5.7 в блоге Константина Введенского.

Компания VMware выпустила VMware View Client for Android - клиентское приложение для смартфонов и планшетов с ОС Android, с помощью которого можно получить доступ к корпоративным ПК предприятия на базе инфраструктуры VMware View. На данный момент продукт находится в статусе Tech Preview, его можно загрузить через Android Market.

Напомним, что не так давно VMware выпустила также VMware View Client для устройств iPad (есть также и vSphere Client для iPad).

Основные возможности, которыми обладает VMware View Client для Android:

• Поддержка VMware View 4.6 и более поздних версий.
• Поддержка только протокола PCoIP для доступа к виртуальным ПК.
• A new look and feel – View Client for Android сделан в новом стиле, в отличие от других клиентов VMware View.
• Multiple broker support – если у вас есть более одного одного сервера VMware View Connection Server, вы можете получить доступ к любому из них.
• Desktop Shortcuts – к четырем десктопам можно получить через ярлыки на рабочем столе смартфона или планшета.
• Virtual trackpad – удобное управление мышью внутри рабочего стола виртуального ПК.
• Custom keyboard toolbar – простой доступ к клавишам, которых нет в стандартной клавиатуре на Android .
• Honeycomb 3.x support – клиент разработан специально для Android и поддерживает все новые версии этой ОС, включая 3.x на планшетах.
• Custom gestures – удобный функционал вызова клавиатуры, скроллинга и т.п.
• VMware View Security Server support (best experience) – для клиента не нужен VPN при использовании VMware View Security Server (то есть, трафик прокируется через него - не нужен прямой доступ к серверам ESX от клиента).
• Background tasking – удобное переключение между виртуальным ПК и другими задачами Android.

Как вы знаете, на днях было объявлено о выходе платформы виртуализации VMware vSphere 5. Наше любимое средство обеспечения информационной безопасности vGate R2 от компании Security Code, безусловно, будет поддерживает ее либо еще до выхода продукта, либо сразу после него (а пока о vGate R2 почитайте тут и тут, а также про поддержку ESXi).

VMware также объявила о выходе решения VMware vShield 5 для обеспечения безопасности vSphere 5, но если вы посмотрите сюда, то увидите, что vGate является наиболее эффективным средством защиты, в отличие от нишевого продукта vShield.

А сегодня мы поговорим о том, как дополнительно можно защитить инфраструктуру VMware vSphere, в которой работает средство vGate R2, ведь помимо программных средств обеспечения безопасности, нужно обезопасить инфраструктуру еще и на физическом уровне в организациях с повышенными требованиями к ИБ и в компаниях, работающих с конфиденциальными данными. Кроме того, актуальна проблема защиты данных внутри виртуальных машин, которые для VMware являются, по-сути, "черными ящиками".

Продукт Secret Net является сертифицированным средством защиты информации от несанкционированного доступа и позволяет привести автоматизированные системы в соответствие требованиям регулирующих документов:

• №98-ФЗ ("О коммерческой тайне")
• №152-ФЗ ("О персональных данных")
• №5485-1-ФЗ ("О государственной тайне")
• СТО БР (Стандарт Банка России)

Этот продукт можно использовать для защиты от несанкционированного доступа следующих объектов виртуальной инфраструктуры vSphere:

• Защита виртуальных машин от НСД (разграничение доступа, контроль устройств, управление политиками доступа к информации в гостевой ОС, мониторинг и аудит событий ИБ).
• Защита сервера авторизации vGate R2 (несанкционированный доступ к функциям администратора информационной безопасности). Надо отметить, что сервер авторизации также может быть физической машиной, что требует дополнительных мер по его защите (см. ПАК "Соболь").
• Защита рабочего места администратора VMware vSphere (не является компонентов виртуальной инфраструктуры, а значит требует дополнительной защиты)

Более детально о продукте Secret Net можно почитать здесь.

Электронный замок (ПАК) "Соболь"

Электронный замок «Соболь» -  это аппаратно-программное средство защиты компьютера от несанкционированного доступа (аппаратно-программный модуль доверенной загрузки).

Если виртуальные машины мы можем защитить за счет их доверенной загрузки средствами vGate R2, то физические компоненты виртуальной инфраструктуры нужно наиболее тщательно защищать от злоумышленников за счет специализированных аппаратно-программных средств. Таким средством и является ПАК "Соболь" (как видно из картинки, это специальная плата и ПО). Его можно использовать для защиты следующих объектов виртуальной инфраструктуры vSphere:

• Доверенная загрузка сервера авторизации vGate R2
• Доверенная загрузка серверов ESXi и ESX

В качестве альтернативного или дополнительного метода защиты сервера авторизации и серверов ESX / ESXi могут применяться организационные меры, заключающиеся в физическом ограничении доступа к оборудованию со стороны возможных нарушителей.

Более подробно о ПАК "Соболь" можно почитать здесь.

Все эти средства прекрасно живут и работают с vGate R2. Если есть какие-то вопросы - задавайте в каментах.

Компания VMware в июле 2011 года объявила о доступности новых версий целой линейки своих продуктов для облачных вычислений, среди которых находится самая технологически зрелая на сегодняшний день платформа виртуализации VMware vSphere 5.0.

Мы уже рассказывали об основном наборе новых возможностей VMware vSphere 5.0 неофициально, но сейчас ограничения на распространение информации сняты, и мы можем вполне официально рассказать о том, что нового для пользователей дает vSphere 5.

Вслед за выпуском бета-версии Citrix XenServer 6.0, вышла также бета Provisioning Services 6.0. Данный продукт необходим для доставки образов операционных систем в физические и виртуальные машины. Citrix XenDesktop использует Provisioning Server для доставки виртуальных ПК на базе мастер-образа.

Новые возможности в службах Citrix Provisioning Services 6.0:

• Integrated vDisk Version Management: позволяет создавать и управлять версиями vDisk прямо из консоли Provisioning Services Console. Версии могут быть созданы для различных устройств и групп для обеспечения жизненного цикла виртуальных дисков разных версий с сохранением дискового пространства.
• Automated vDisk Updates: позволяет создавать запланированные задачи, автоматизирующие процесс обновления vDisk через Microsoft System Center Configuration Manager (SCCM) и Windows Server Update Services (WSUS).
• Support for vDisk Replication: позволяет использовать решения по репликации хранилищ, такие как Microsoft DFS Replication для распределения дисков по географически разнесенным сайтам. Provisioning Servers обслуживает набор доступных vDisks и их версий и балансирует нагрузку, а также обеспечивает разграничение доступа серверов к хранилищам.

Скачать бету Citrix Provisioning Services 6.0 можно по этой ссылке.

Сегодня мы поговорим о защите от несанкционированного доступа к различным компонентам инфраструктуры VMware vSphere с помощью vGate R2. Мы уже писали о том, как с помощью vGate R2 можно автоматически настроить vSphere в соответствии с политиками ИБ, а также обсуждали экономический эффект, а теперь углубимся в защиту от НСД...

У Duncan'а Epping'а появилась познавательная статья о том, как перенести ваш текущий сервер VMware vCenter 4.0, 32-битная версия которого еще была в VMware vSphere 4.0 на платформу 64-бит (начиная с 4.1) с сохранением всей иерархии объектов, задач и данных о производительности.

Во-первых, если вы скачаете пакет VIM (VMware Infrastructure Management) с дистрибутивом vCenter 4.1, в ISO-архиве вы найдете папку datamigration с файлом datamigration.zip:

Теперь вам нужно сделать следующие шаги:

1. Поднять новый VMware vCenter 4.1 64-bit.

2. Открыть этот datamigration.zip и скопировать его содержимое в папку datamigration на вашем 32-битном сервере vCenter 4.0.

3. Остановить службы vCenter Service, Update Management Service и vCenter Web Service.

4. Запустить backup.bat.

5. После завершения процесса бэкапа скопируйте всю папку datamigration на целевой хост vCenter 4.1 64-bit (в то же место).

6. Запустите install.bat.

Далее:

• Подтвердите имя vCenter Server и нажмите Y
• Укажите путь к установочным файлам vCenter
• Укажите путь к установочным файлам VMware Update Manager (по умолчанию, тот же)
• Высветится окошко о том, что базы данных будут восстановлены на новом сервере
• Продится все это минут 15, после чего можно запускать vSphere Client и смотреть на новый сервер со всеми сохранившимися тасками, объектами, иерархией и т.п.

Ну и если чего не получается, не забываем про утилиту VMware InventorySnapshot с VMware Labs.

Если ваша компания является партнером VMware, то для вас интересная новость. На партнерском портале компании VMware в разделе Content появилось множество офлайновых демок продуктов, которые позволят вам, не устанавливая их, посмотреть на GUI, функционал и обучиться основным возможностям по работе с продуктом.

Тыркать такие демо - весьма познавательно, особенно учитывая тот факт, что многие из продуктов VMware вы никогда в глаза не видели и вряд ли увидите в ближайшем будущем. Например, вот как выглядит VMware vFabric Hyperic:

А вот так работа VMware vShield App с vCloud Director:

А вот так VMware vCenter Operations Standard:

А так VMware vCenter Configuration Manager:

А тут VMware vShield Edge:

Полезно, в общем.

На сегодняшний день есть несколько средств для анализа текущего состояния виртуальной инфраструктуры VMware vSphere на предмет соответствия требованиям информационной безопасности, а также непосредственно для обеспечения этой самой безопасности.

Наиболее популярны продукты Security Code vGate R2 и VMware vShield (у обеих компаний есть бесплатные анализаторы безопасности vSphere - vGate Compliance Checker и VMware Compliance Checker). Но, дело в том, что нужны они для совершенно разных целей. Причем vGate R2 на практике для пользователей VMware оказывается значительно полезнее vShield, поскольку последний сосредоточен только на сетевой защите (+ интеграция с антивирусами), а vGate R2 позволяет автоматически настроить среду VMware vSphere в соответствии с требованиями ИБ на базе политик, а также защитить различные объекты инфраструктуры от несанкционированного доступа. К тому же, vGate еще имеет сертификат ФСТЭК, что немаловажно для российских компаний, стремящихся обеспечить соответствие нормам ФЗ 152.

Давайте посмотрим на сравнение функциональности продуктов vGate R2 и vShield в разрезе задач по обеспечению ИБ, которые стоят перед компаниями, использующими виртуализацию VMware. Информация взята из брошюры "Cравнение функциональных возможностей vGate R2 и VMware vShield". В таблице также приведены возможности продукта TrustAccess, который также делает компания Код Безопасности.

Возможности/показатели	vGate R2	TrustAccess	vShield (App+Edge+Endpoint/Zones)
Межсетевое экранирование различных типов
Дополнительные лог-файлы событий информационной безопасности
Контроль доступа к элементам инфраструк- туры (дискреционное и мандатное управление доступом)
Автоматическое приведение конфигурации виртуальной инфраструктуры в соответствие положениям PCI DSS, VMware Security Hardening Best Practice и CIS VMware ESX Server 3.5 Benchmark
Согласование готовой виртуальной машины у администратора информационной безопасности
Запрет доступа администраторов виртуальных инфраструктур к данным виртуальных машин
Создание отчетов о произошедших событиях информационной безопасности и внесенных изменениях в конфигурацию
Создание отчетов о соответствии PCI DSS, VMware Security Hardening Best Practice и CIS VMware ESX Server 3.5 Benchmark
Создание отчетов о текущем статусе конфигурации системы безопасности
Регистрация попыток доступа к инфраструктуре
Контроль целостности и доверенная загрузка виртуальных машин
Сертификаты ФСТЭК России для защиты конфиденциальной информации и персо- нальных данных	СВТ5, НДВ4 (АС 1Г и ИСПДн К1)	МЭ2, НДВ4 (АС 1Г и ИСПДн К1)
Сертификаты ФСТЭК России для защиты государственной тайны	СВТ3, НДВ2 (АС 1Б и ИСПДн К1) *Проходит сертификационные испытания	МЭ2, НДВ2 (АС 1Б и ИСПДн К1)

Как видно из таблицы, vGate R2 обеспечивает очень много возможностей тем организациям, которые хотят правильно настроить конфигурацию VMware vSphere с точки зрения безопасности, а также защитить ее от НСД, особенно от своих собственных администраторов (для этого все действия фиксируются и попадают в отчет).

Если говорить о стоимости решения Кода Безопасности, то она вполне кокурентна:

Бесспорно, и у vShield есть несколько преимуществ перед vGate R2, ведь vGate не замахивается на нишу vShield (я бы сказал, что продукты дополняют друг друга). Но если дело касается практических задач ИБ на предприятии, то vGate R2 - куда полезнее.

Мы уже писали о некоторых расширенных настройках дисковой подсистемы серверов VMware ESX / ESXi, которые позволяют управлять доступом виртуальных машин к хранилищам VMFS. Сегодня постараемся описать еще несколько параметров:

• Disk.SchedNumReqOutstanding - описан в нашей статье "Глубина очереди (Queue Depth) и адаптивный алгоритм управления очередью в VMware vSphere". Там же описано как вообще задавать Advanced Settings для категории Disk.
• Disk.QFullSampleSize - описан в этой же статье.
• Disk.QFullThreshold - описан в этой же статье.
• Disk.UseLunReset - описан в нашей заметке "Disk.UseLunReset и Disk.UseDeviceReset".
• Disk.UseDeviceReset - описан в этой же заметке.

Опишем еще несколько параметров Advanced Settings для категории Disk:

• Disk.MaxLUN - это число (по умолчанию 256, т.е. ID от 0 до 255), опеделяющее максимальное количество томов, доступных серверу VMware ESX / ESXi.
• Disk.MaskLUNs = "vmhba1:0:32-35;vmhba2:0:1,5,7-9" - это параметр, определяющий маскирование томов VMFS в SAN. В данном примере от хоста ESX / ESXi скрываются LUN с ID от 32 до 35 для HBA-адаптера vmhba1, а также LUN с ID 1,5,7,8,9 для адаптера vmhba2. Разделитель для адаптеров - точка с запятой.
• Disk.SupportSparseLUN - эта настройка включена по умолчанию (значение 1), по желанию ее можно выставить в 0. Значение 1 означает, что на ESX / ESXi включена поддержка номеров LUN, идущих непоследовательно (например, 0,6 и 23). Если у вас все LUN идут по порядку, то можно отключить эту функцию, выставив значение 0. В этом случае будет тратиться немного меньше времени на сканирование всех LUN.
• Disk.DiskMaxIOSize - с помощью этого параметра можно задать максимальный размер операции ввода-вывода (IO request). По умолчанию, сервер VMware ESX / ESXi поддерживает объем IO-запроса размером до 32767 KB, запросы большего объема разбиваются на части. Для некоторых хранилищ (это надо смотреть в документации) такой размер IO-запроса, генерируемый некоторыми приложениями может оказаться слишком большим и привести к снижению производительности. Поэтому можно уменьшить этот параметр, в зависимости от модели дискового массива. Более подробно описано в KB 1003469.

Не так давно известный блоггер Duncan Epping опубликовал еще несколько расширенных параметров из категории Disk, которые представляют интерес. Для начала прочитайте нашу статью "Глубина очереди (Queue Depth) и адаптивный алгоритм управления очередью в VMware vSphere" и статью Duncan'а "Disk.SchedNumReqOutstanding the story".

Теперь давайте попробуем понять эти параметры:

• Disk.SchedQControlVMSwitches - по умолчанию, этот параметр равен 6. Он означает вот что. Когда у нас несколько виртуальных машин отдают свои IO к LUN, у нас вступает в игру параметр Disk.SchedNumReqOutstanding (а не глубина очереди адаптера), который определяет границу для виртуальных машин по одновременной отдаче команд ввода-вывода. Если эта граница превышена - наступает постановка команд в очередь. Но VMkernel должен перед этим обнаружить, что LUN использует несколько ВМ. Так вот Disk.SchedQControlVMSwitches определяет сколько раз должен VMkernel это обнаружить. А понимает он это только тогда, когда следующее IO приходит не от той машины, которая дала предыдущий IO. Надо понимать, что это значение может быть достигнуто не очень скоро, когда у нас есть одна высоконагруженная ВМ A на одном LUN, и там же есть низконагруженная по IO машина (B). И это хорошо, поскольку в таких окружениях не должно быть урезания по вводу-выводу для высоконагруженной ВМ.
• Disk.SchedQuantum - по умолчанию, этот параметр равен 8. Он определяет число высокоприоритетных последовательных команд, которые идут к дисковому устройству. Последовательными командами считаются те, которые идут к расположенным рядом секторам диска. Что такое расположенные рядом сектора диска? Это те, которые (по умолчанию) находятся друг от друга на расстоянии не более 2000 секторов. Такие команды выполняются до 10 раз быстрее, чем с далекими секторами.
• Disk.SectorMaxDiff - это и есть параметр, определяющий, что такое "близкие" секторы для предыдущего параметра. По умолчанию, он равен 2000.
• Disk.SchedQControlSeqReqs - этот параметр (по умолчанию, 128) определяет число последовательных IO без переключений (т.е. последовательность команд только от одной ВМ), после которых счетчик Disk.SchedQControlVMSwitches будет сброшен в 0, а машина сможет использовать опять всю очередь адаптера. Этот параметр нужен для того, чтобы после всплеска нагрузки на ВМ B в первом примере, когда этот всплеск прекратится, ВМ A снова смогла получить в свое распоряжение всю очередь адаптера и дальше работать в интенсивном режиме без входа в игру параметра Disk.SchedNumReqOutstanding, который распределяет IO на LUN.

Воткнули? Нет? Тогда еще раз перечитывайте статью Duncan'а. А еще один блоггер, Andy Grant, нарисовал замечательную картинку (кликабельно):