Продолжаем рассказывать об интересных анонсах главного события года в мире виртуализации - конференции VMware Explore 2023. Сегодня организации стремятся использовать AI, но беспокоятся о рисках для интеллектуальной собственности, утечке данных и контроле доступа к моделям искусственного интеллекта. Эти проблемы определяют необходимость корпоративного приватного AI.
Об этом недавно компания VMware записала интересное видео:
Рассмотрим этот важный анонс немного детальнее. Вот что приватный AI может предложить по сравнению с публичной инфраструктурой ChatGPT:
Распределенность: вычислительная мощность и модели AI будут находиться рядом с данными. Это требует инфраструктуры, поддерживающей централизованное управление.
Конфиденциальность данных: данные организации остаются в ее владении и не используются для тренировки других моделей без согласия компании.
Контроль доступа: установлены механизмы доступа и аудита для соблюдения политик компании и регуляторных правил.
Приватный AI не обязательно требует частных облаков, главное — соблюдение требований конфиденциальности и контроля.
Подход VMware Private AI
VMware специализируется на управлении рабочими нагрузками различной природы и имеет огромный опыт, полезный для имплементации успешного приватного AI. К основным преимуществам подхода VMware Private AI относятся:
Выбор: организации могут легко сменить коммерческие AI-сервисы или использовать открытые модели, адаптируясь к бизнес-требованиям.
Конфиденциальность: современные методы защиты обеспечивают конфиденциальность данных на всех этапах их обработки.
Производительность: показатели AI-задач равны или даже превышают аналоги на чистом железе, как показали отраслевые тесты.
Управление: единый подход к управлению снижает затраты и риски ошибок.
Time-to-value: AI-окружения можно быстро поднимать и выключать за считанные секунды, что повышает гибкость и скорость реакции на возникающие задачи.
Эффективность: быстрое развертывание корпоративных AI-сред и оптимизация использования ресурсов снижают общие затраты на инфраструктуру и решение задач, которые связаны с AI.
Таким образом, платформа VMware Private AI предлагает гибкий и эффективный способ внедрения корпоративного приватного AI.
VMware Private AI Foundation в партнерстве с NVIDIA
VMware сотрудничает с NVIDIA для создания универсальной платформы VMware Private AI Foundation with NVIDIA. Эта платформа поможет предприятиям настраивать большие языковые модели, создавать более безопасные модели для внутреннего использования, предлагать генеративный AI как сервис и безопасно масштабировать задачи генерации результатов. Решение основано на средах VMware Cloud Foundation и NVIDIA AI Enterprise и будет предлагать следующие преимущества:
Масштабирование уровня датацентров: множественные пути ввода-вывода для GPU позволяют масштабировать AI-загрузки на до 16 виртуальных GPU в одной виртуальной машине.
Производительное хранение: архитектура VMware vSAN Express обеспечивает оптимизированное хранение на базе хранилищ NVMe и технологии GPUDirect storage over RDMA, а также поддерживает прямую передачу данных от хранилища к GPU без участия CPU.
Образы виртуальных машин vSphere для Deep Learning: быстрое прототипирование с предустановленными фреймворками и библиотеками.
В решении будет использоваться NVIDIA NeMo, cloud-native фреймворк в составе NVIDIA AI Enterprise, который упрощает и ускоряет принятие генеративного ИИ.
Архитектура VMware для приватного AI
AI-лаборатории VMware совместно с партнерами разработали решение для AI-сервисов, обеспечивающее приватность данных, гибкость выбора ИИ-решений и интегрированную безопасность. Архитектура предлагает:
Использование лучших моделей и инструментов, адаптированных к бизнес-потребностям.
Быстрое внедрение благодаря документированной архитектуре и коду.
Интеграцию с популярными открытыми проектами, такими как ray.io, Kubeflow, PyTorch, pgvector и моделями Hugging Face.
Архитектура поддерживает коммерческие и открытые MLOps-инструменты от партнеров VMware, такие как MLOps toolkit for Kubernetes, а также различные надстройки (например, Anyscale, cnvrg.io, Domino Data Lab, NVIDIA, One Convergence, Run:ai и Weights & Biases). В состав платформы уже включен самый популярный инструмент PyTorch для генеративного AI.
Сотрудничество с AnyScale расширяет применение Ray AI для онпремизных вариантов использования. Интеграция с Hugging Face обеспечивает простоту и скорость внедрения открытых моделей.
Решение Private AI уже применяется в собственных датацентрах VMware, показывая впечатляющие результаты по стоимости, масштабу и производительности разработчиков.
Недавно опубликованный компанией VMware технический документ "Troubleshooting TCP Unidirectional Data Transfer Throughput" описывает, как устранить проблемы с пропускной способностью однонаправленной (Unidirectional) передачи данных по протоколу TCP. Решение этих проблем, возникающих на хосте vSphere/ESXi, может привести к улучшению производительности. Документ предназначен для разработчиков, опытных администраторов и специалистов технической поддержки.
Передача данных по протоколу TCP очень распространена в средах vSphere. Примеры включают в себя трафик хранения между хостом VMware ESXi и хранилищем данных NFS или iSCSI, а также различные формы трафика vMotion между хранилищами данных vSphere.
В компании VMware обратили внимание на то, что даже крайне редкие проблемы с TCP могут оказывать несоразмерно большое влияние на общую пропускную способность передачи данных. Например, в некоторых экспериментах с чтением NFS из хранилища данных NFS на ESXi, кажущаяся незначительной потеря пакетов (packet loss) в 0,02% привела к неожиданному снижению пропускной способности чтения NFS на 35%.
В документе описывается методология для выявления общих проблем с TCP, которые часто являются причиной низкой пропускной способности передачи данных. Для этого производится захват сетевого трафика передачи данных в файл трассировки пакетов для офлайн-анализа. Эта трассировка пакетов анализируется на предмет сигнатур общих проблем с TCP, которые могут оказать значительное влияние на пропускную способность передачи данных.
Рассматриваемые проблемы с TCP включают в себя потерю пакетов и их переотправку (retransmission), длительные паузы из-за таймеров TCP, а также проблемы с Bandwidth Delay Product (BDP). Для проведения анализа используется решение Wireshark и описывается профиль для упрощения рабочего процесса анализа. VMware описывает системный подход к выявлению общих проблем с протоколом TCP, оказывающих значительное влияние на пропускную способность канала передачи данных - поэтому инженерам, занимающимся устранением проблем с производительностью сети, рекомендуется включить эту методологию в стандартную часть своих рутинных проверок.
В документе рассмотрены рабочие процессы для устранения проблем, справочные таблицы и шаги, которые помогут вам в этом нелегком деле. Также в документе есть пример создания профиля Wireshark с предустановленными фильтрами отображения и графиками ввода-вывода, чтобы упростить администраторам процедуру анализа.
Скачать whitepaper "Troubleshooting TCP Unidirectional Data Transfer Throughput" можно по этой ссылке.
На сайте проекта VMware Labs вышло небольшое обновление утилиты Power Actions версии 1.0.3. Напомним, что о прошлой версии мы писали вот тут. Это средство представляет собой плагин для клиента vSphere, который обеспечивает простой способ исполнения скриптов PowerCLI пользователями, не имеющими опыта работы с PowerShell. Утилита также реализует библиотеку скриптов, куда вы можете загрузить готовые скрипты PowerCLI, которые вы хотите сделать доступными для всех сотрудников вашей организации.
Давайте посмотрим, что нового в VMware Power Actions 1.0.3:
Многие клиенты VMware используют кластерные приложения, такие как Microsoft WSFS и Oracle RAC, на платформе vSphere. Эти кластерные системы требуют, чтобы диски были общими для всех серверных узлов внутри приложения. Одним из требований к механизму блокировки дисковых ресурсов является использование SCSI3-Persistent Reservations или режим multi-writer.
Пользователи VMware vSphere обычно применяли физический pRDM для кластерных приложений. С выпуском vSphere 6.7 SCSI3-PR были добавлены к vVols, и это вызвало большой интерес со стороны администраторов. RDM не так просты просты в эксплуатации, они требуют ручного выделения и назначения индивидуальных LUN для всех узлов кластера приложения. Это создает большую операционную нагрузку. Также в этом случае ограничены некоторые возможности виртуализации при использовании томов RDM и требуется взаимодействие с администратором хранилища для изменения его размера. Кроме того, вам также следует помечать свои RDM флагом "Perennially Reserved" для сокращения времени загрузки и повторного сканирования хранилищ.
Внедрению технологии vVols мешало отсутствие одной конкретной функции — возможности увеличивать размер общих дисков, когда кластерное приложение работает.
С выпуском VMware vSphere 8.0 Update 2 было устранено последнее преимущество RDM перед vVols. Теперь вы можете увеличивать размер общих дисков (физическое совместное использование шины physical bus sharing или же multi-writer) без необходимости останавливать кластер приложения. Для WSFC первоначально поддерживается SCSI, но для Oracle RAC поддерживаются и SCSI, и NVMeoF (FC, TCP).
Это означает, что клиентам больше не нужно выполнять все ручные операции по выделению RDM LUN для кластерных приложений. Они могут использовать vVols и выделять приложение и ВСЕ диски на стандартном хранилище данных vVols. Это позволяет клиентам значительно упростить развертывание кластерных приложений и снизить сложность их среды. Это также упрощает ежедневные операции администратора хранилища, поскольку администратор виртуальной инфраструктуры теперь может создавать и изменять размер общих дисков прямо из vCenter! Другим преимуществом является то, что vVols не являются традиционными LUN, и время повторного сканирования хранилищ и время загрузки хоста не зависят от количества выделенных vVols, в отличие от RDM, если только они не помечены флагом Perennially Reserved.
Чтобы показать вам, насколько проста операция изменения размера, VMware сделала короткое демо, показывающее процесс увеличения общего диска в активном кластере Microsoft WSFC (кликните на картинку для открытия GIF в новом окне):
В рамках прошедшей недавно конференции Explore 2023 компания VMware сделала немало интересных анонсов продуктов и технологий, которые появятся в ближайшем будущем. Одной из главных новостей стало объявление о скором выпуске второго пакета обновлений флагманской платформы виртуализации VMware vSphere 8 Update 2. Сегодня мы рассмотрим ту ее часть, которая касается аппаратного обеспечения, а особенно нагрузок, использующих модули GPU для задач искусственного интеллекта, графических приложений...
Очередной рассказ об анонсах новых продуктов и технологий, которые были сделаны на проходящей сейчас конференции VMware Explore 2023 в Лас-Вегасе, которая многие годы является главным событием в сфере виртуализации. Вчера мы писали о новом решении Tanzu Application Engine, которое предназначено для введения уровня абстракции, ориентированного на приложения, чтобы позволить им работать с постоянным операционным управлением и соответствием стандартам — как внутри облаков, так и между ними. Ну а сегодня поговорим о новой версии решения Tanzu Application Platform 1.6 (в последний раз мы писали о нем тут).
Напомним, что на базе этой платформы, разработчики и операторы команд DevOps кластеров Kubernetes могут разрабатывать различные решения для Azure Kubernetes Service, Amazon Elastic Kubernetes Service, Google Kubernetes Engine, а также непосредственно для инфраструктуры на базе Tanzu Kubernetes Grid.
Основная идея Tanzu Application Platform - дать разработчикам средства для интеграции существующих и новых приложений в бэкенд инфраструктуру контейнеров с соблюдений требований комплаенса и безопасности. При этом сама платформа модульная - то есть разработчики могут выбирать утилиты, которые они используют.
Давайте посмотрим на новые возможности Tanzu Application Platform 1.6:
1. VMware Tanzu Developer Portal
Tanzu Developer Portal - это внутренний портал для разработчиков, созданный на базе Backstage. Он упрощает координацию, сотрудничество и выполнение задач в крупных организациях, разрабатывающих внутреннее программное обеспечение, между различными командами и бизнес-подразделениями. Портал разработчиков Tanzu служит интерфейсом для платформы Tanzu Application с момента ее первого релиза и теперь включает в себя инструмент конфигурации портала (в настоящее время в бета-версии) и поддержку интеграции плагинов (пока также в бета-версии).
2. Компиляция Spring Framework 6 в нативном режиме
Нативные образы Spring имеют ряд преимуществ по сравнению с традиционными приложениями на базе Java Virtual Machine:
Улучшенное время запуска, особенно для приложений scale-to-zero.
Меньшее потребление ресурсов, что позволяет организациям запускать больше приложений с тем же вычислительным ресурсом, сокращая общие затраты на инфраструктуру.
Используя инструменты платформы Tanzu Application, разработчики могут создавать свои приложения Spring с нативной компиляцией при развертывании в продакшене, продолжая в реальном времени обновлять и удаленно отлаживать свои приложения в ненативном режиме, в своих интегрированных средах разработки (IDE).
Разработчики могут просматривать онлайн-информацию о нативно скомпилированных приложениях Spring через Application Live View для VMware Tanzu и проводить быстрое устранение неполадок, проверяя состояние работающих процессов, изменяя уровни журналирования, обновляя свойства окружения и мониторя HTTP запросы/ответы.
Так выглядит Application Live View:
А вот так - детали приложения:
3. Автоматизированная конфигурация AppSSO для рабочих нагрузок приложений
Платформа Tanzu Application 1.6 упрощает процесс обеспечения безопасности рабочих нагрузок разработчиками с помощью AppSSO в различных окружениях, сохраняя их переносимость между средами. Разработчикам больше не нужно учитывать перенаправление URI для каждой среды при обеспечении безопасности своих приложений. Теперь они могут создать один ClassClaim, и рабочая нагрузка может быть развернута в нескольких средах без необходимости отдельных конфигураций для включения SSO в каждой среде. Это упрощение использования AppSSO позволяет разработчикам и инженерам платформы сосредоточиться на других параметрах для обеспечения безопасности рабочих нагрузок.
4. Создание проекта с использованием App Accelerators в IntelliJ
Разработчики могут начать новый проект за несколько минут из своей предпочтительной IDE. Теперь они могут предоставить репозиторий Git при создании проекта с использованием ускорителей в среде разработки IntelliJ IDE, и сгенерированный код отправляется в предоставленный репозиторий, что исключает необходимость ручного создания репозитория Git. Когда проекты создаются с использованием ускорителя из IntelliJ IDE, генерируется bootstrapping provenance manifest для приложения, чтобы предоставить ранний доступ внутри организации и дать возможность оценить, соответствуют ли приложения их лучшим практикам.
5. Улучшенное расширение для Visual Studio
Панель Workload в Visual Studio теперь показывает статус развернутой рабочей нагрузки, что позволяет разработчикам .NET управлять процессом работы с ошибками и решать проблемы.
6. Улучшенное взаимодействие с реестром образов контейнеров с помощью Local Source Proxy
Local Source Proxy предоставляет более безопасный и удобный для пользователя механизм, позволяющий разработчикам взаимодействовать с внешними реестрами без знания особенностей реестра, таких как эндпоинты, учетные данные и сертификаты.
Разработчики могут сосредоточиться на логике своего приложения, а не на управлении деталями реестра контейнеров в процессе разработки, что уменьшает сложность и ускоряет разработку. К некоторым преимуществам Local Source Proxy относятся:
Возможность разработчиков развертывать рабочую нагрузку из локального исходного кода любым способом, включая расширения IDE, без указания местоположения исходного изображения или управления учетными данными реестра.
Разработчикам больше не требуется устанавливать Docker на свои локальные машины для итерационной разработки.
Local Source Proxy совместим с AWS ECR, включая предоставление роли AWS IAM для аутентификации ECR.
Уменьшена нагрузка на команды платформы и операций по поддержанию, обновлению и распределению учетных данных реестра на рабочие станции отдельных разработчиков.
Поведение по умолчанию для плагинов IDE платформы Tanzu Application, App Accelerators и CLI приложений было изменено в соответствии с функциональностью Local Source Proxy.
7. Доступность плагинов IDE на маркетплейсе в VS Code и IntelliJ
Разработчики обычно устанавливают расширения IDE из маркетплейса. Начиная с этого релиза, инструменты разработчика VMware Tanzu для VS Code и ускоритель приложений VMware Tanzu для VS Code будут доступны в маркетплейсе VS Code. Точно так же инструменты разработчика VMware Tanzu для IntelliJ будут доступны в маркетплейсе IntelliJ. Разработчики могут устанавливать расширение в своих IDE, что потенциально является более привычным процессом.
8. Безопасные по умолчанию рабочие нагрузки сервера
Разработчики теперь могут создавать рабочие нагрузки сервера, которые внешне доступны через интернет посредством Contour Ingress, и весь внешний HTTP-трафик защищен по умолчанию с помощью TLS. HTTPS через TLS автоматически настраивается для рабочих нагрузок сервера, без необходимости ручной настройки разработчиками.
9. Используйте свой предпочитаемый сканер (бета-версия)
Упрощение процесса интеграции сканеров уязвимостей образов контейнеров в цепочках доставки ПО стало ключевым улучшением релиза Tanzu Application Platform 1.6. Впервые представленный как альфа-версия в релизе Tanzu Application Platform 1.5, компонент Supply Chain Security Tools - Scan 2.0 теперь переведен в бета-версию.
Улучшения в этом релизе направлены на использование кастомных интеграций сканеров в Tanzu Application Platform, включая:
Возможность включения компонента сканирования образов нового поколения в стандартную цепочку тестирования и сканирования.
Результаты сканирования теперь отслеживаются и отправляются в хранилище метаданных для долгосрочного архивирования и извлечения.
Результаты сканирования теперь представлены в Tanzu Developer Portal, включая Supply Chain Choreographer для VMware Tanzu и графические плагины для анализа безопасности.
10. Сортировка CVE с помощью Tanzu Insight CLI (альфа-версия)
Вы можете уменьшить использование таблиц и инструментов, централизовав сканирование, идентификацию и сортировку CVE в одном месте. Используя Tanzu Insight CLI, клиенты теперь могут выполнять основные функции сортировки по обнаруженным уязвимостям: просматривать, обновлять и клонировать статусы сортировки для конкретного CVE для рабочих нагрузок, просканированных на платформе Tanzu Application.
11. Отслеживание SBOM после каждой сборки
Теперь можно извлечь спецификацию программного обеспечения (SBOM) для определенной сборки рабочей нагрузки. Ранее клиенты могли генерировать SBOM только для последней сборки рабочей нагрузки. Через эндпоинты Metadata Store API клиенты могут загрузить SBOM из любой сборки рабочей нагрузки, что позволяет им лучше отслеживать изменения рабочей нагрузки для более быстрой проверки и устранения уязвимостей безопасности.
12. Загрузка SBOM прямо из Tanzu Developer Portal
Пользователи теперь могут загружать SBOM в форматах CycloneDX и SPDX прямо из Tanzu Developer Portal (в цепочке доставки Tanzu Developer Portal, этап сканирования образа). SBOM генерируется хранилищем метаданных и представляет собой актуальный SBOM. Эта возможность позволяет быстрее устранять уязвимости и обеспечивать соответствие стандартам.
13. Управление доступом к App Live View для чувствительных действий
Организации могут настроить более детализированное управление доступом для выполнения чувствительных действий, таких как изменение уровней журнала, изменение свойств среды и создание дампа памяти из работающих нагрузок для каждого пользователя, группы или на уровне рабочей нагрузки, предоставляя более тонкий контроль доступа к чувствительным действиям, особенно в производственных средах.
14. Экономьте время с автоматизированными сборками
Способность платформы Tanzu Application автоматически создавать сборки на основе изменений в верхних потоках зависимостей, используемых рабочими нагрузками, может улучшить безопасность и сэкономить время разработчиков. Этот функционал предоставляется службой VMware Tanzu Build Service. Использование Tanzu Build Service в цепочке доставки может дополнительно автоматизировать процесс, позволяя сборкам, созданным службой Tanzu Build Service, быть бесшовно развернутыми.
15. Плагин Build Service для VMware Tanzu CLI
Эта автоматизация цепочки доставки полезна, но разработчики и инженеры платформы могут захотеть углубиться в Tanzu Build Service. Разработчику может понадобиться доступ к дополнительной информации для диагностики неудачной сборки, или инженер платформы может захотеть изучить больше деталей о пакетах сборки, настроенных в цепочке доставки, или о конфигурациях, используемых при сборке рабочей нагрузки. Новый плагин Build Service для VMware Tanzu CLI помогает пользователям исследовать Tanzu Build Service, когда они хотят углубиться в слои абстракции цепочки доставки и лучше понять, как работает этот критически важный элемент.
16. Дополнительная поддержка самоподписанных CA
Платформа Tanzu Application теперь реализует поддержку Custom CA для внутренних репозиториев Git в цепочках доставки. Это особенно важная функция для клиентов в изолированных средах, так как они используют внутренние репозитории Git и свои пользовательские сертификаты.
17. Улучшения в Carvel Package Supply Chain
Цепочки поставок Carvel Package теперь поддерживают веб, серверные и рабочие нагрузки (бета). Эта функция позволяет пользователям Tanzu Application Platform создавать артефакт приложения (Carvel Package) с любым типом рабочей нагрузки Tanzu Application Platform, который можно перенести из одной среды в другую.
Клиенты также могут определять пользовательские параметры Carvel Package при использовании Carvel Package Supply Chain (бета), что позволяет им определять пользовательскую конфигурацию рабочих нагрузок для каждой среды. Это дает пользователям гибкость развертывания одного артефакта рабочей нагрузки с различными конфигурациями в реальном времени, которые обычно различаются между разработкой, тестированием, стейджингом или продакшн-средами.
Клиенты Tanzu Application Platform теперь могут видеть улучшенное журналирование ошибок во время сборки. Теперь все сборки показывают команды и флаги, которые были введены в сборку, и поток вывода в реальном времени.
На этапе обнаружения сборки клиенты теперь могут видеть четкие детали о причинах сбоя сборки на этом этапе.
19. Установка через разные облачные платформы с улучшенным и упрощенным опытом установки
Теперь платформу Tanzu Application можно запустить с помощью установки на основе GitOps, которая устраняет необходимость вручную запускать несколько команд, сокращает сложность и экономит время. Методология GitOps включает в себя объявление желаемого состояния системы (обычно в Git) и процесс согласования, который направляет реальную систему (например, содержимое кластера Kubernetes) к сближению с желаемым состоянием (в Kubernetes, обычно сделанное через контроллер).
Процессы по установке GitOps были дополнительно улучшены интеграцией с внешними операторами секретов HashiCorp Vault, а также поддержкой Azure DevOps (репозитории). Клиенты, устанавливающие платформу Tanzu Application, теперь могут вносить изменения в свою систему, меняя желаемое состояние, сохраненное в репозитории Git. Это может значительно упростить процесс установки с использованием существующих инструментов клиента. Это также помогает клиентам проводить аудит и отслеживание изменений в их среде.
VMware Tanzu Application Engine предназначен для введения уровня абстракции, ориентированного на приложения, чтобы позволить им работать с постоянным операционным управлением и соответствием стандартам — как внутри облаков, так и между ними. Модель абстракции создает четкое разделение обязанностей между заинтересованными сторонами: разработчики смогут сосредоточиться на своих приложениях, не беспокоясь о деталях инфраструктуры, инженеры платформ смогут сосредоточиться на управлении и эксплуатации инфраструктуры в разных масштабах, а операторы смогут определять конфигурации для соответствия требованиям управления и стандартам организации.
Tanzu Application Engine ставит своей целью решение важных проблем для каждого из заинтересованных лиц, участвующих в выводе современных приложений в продакшен — в командах по приложениям, платформе и операциям.
Разработчикам приложений предоставляется возможность самообслуживания для доступа к утвержденным средам приложений, называемым VMware Tanzu Application Spaces, что уменьшает когнитивную нагрузку, связанную с операциями в инфраструктуре, и ускоряет процесс релиза продуктов. Tanzu Application Engine также ставит своей целью позволить разработчикам приложений управлять и масштабировать свои приложения, даже когда инженеры платформы обновляют и поддерживают основные кластеры Kubernetes и связанную с ними инфраструктуру и ресурсы, предоставляя обеим командам пространство для работы и оптимизации приложений.
Инженерам платформы могут пригодиться стандартизация и автоматизация полного цикла, позволяющая формировать и управлять средами приложений и основной инфраструктурой. Tanzu Application Engine разработан, чтобы позволить инженерам платформы повторно использовать, обновлять и управлять библиотекой профилей Tanzu Application Space, где находятся сформированные среды приложений, которые соответствуют текущим и будущим потребностям в области безопасности, производительности и стоимости содержания. Другие цели включают в себя возможности создавать резервные копии и восстанавливать Tanzu Application Space, а также обеспечивать бесперебойные обновления кластера.
Операторы инфраструктуры (например, NetSec и операторы сервисов) могут определять необходимые конфигурации для достижения максимальной управляемости и соответствия стандартам для приложений, работающих в цикле Dev-Test-Stage-Prod и различных облачных вариантах использования. Автоматизированные API самообслуживания позволяют организациям смещать безопасность влево, не возлагая всю нагрузку на разработчиков. Например, оператор безопасности может определить конфигурации и политики, связанные с защитой данных для соответствия стандартам PCI DSS, в то время как оператор может формировать классы сервисов, облегчающие разработчикам приложений или операторам приложений запрашивать и байндить экземпляры сервисов, такие как базы данных, очереди сообщений и кэши для повышения производительности разработчиков.
С помощью Tanzu Application Engine компания VMware внедряет следующие основные принципы и технические нововведения:
Внимание к опыту разработчика – Tanzu Application Engine предназначен для того, чтобы стать ключевой функцией платформы Tanzu Application, усиливая фокус VMware на упрощении опыта разработчиков в рамках полного цикла и позволяя разработчикам полностью сосредоточиться на написании кода и создании приложений.
Баланс между простотой, гибкостью и вариативностью – простота для разработчиков быстро выводить свои приложения в продакшен, готовые или настраиваемые профили Tanzu Application Space - для операторов, и гибкость для команд платформы и эксплуатации, позволяющая выбирать из огромной экосистемы Kubernetes и дополнительных ресурсов VMware, необходимых для выполнения сложных требований приложения.
Абстракции и сервисы, ориентированные на приложения – Tanzu Application Engine стремится предоставить уникальные абстракции и сервисы, которые находятся между приложениями и инфраструктурой, разделяя обязанности разработчиков приложений и операторов, и позволяя приложениям работать с постоянными возможностями и политиками — в кластерах и облаках.
Модель сотрудничества с минимальными препятствиями – Tanzu Application Engine стремится представить модель сотрудничества с минимальным "трением", которая позволяет различным группам заинтересованных сторон, таким как инженеры платформы, NetSec и операторы служб, работать параллельно и самостоятельно вносить конфигурации в Tanzu Application Space, уменьшая неэффективность процессов, связанных с организационными единицами и ручными процессами.
Готовые к использованию возможности – Tanzu Application Platform стремится предоставить богатый каталог возможностей, приложений и услуг, которые можно использовать с приложениями, работающими в Tanzu Application Spaces, как с открытым исходным кодом, так и проприетарным от VMware. Это позволит инженерам платформы выбирать из огромного экосистемного набора вариантов и легче внедрять стандарты безопасности, производительности и стоимости в пространства приложений.
Этот инновационный подход представляет собой будущее облачных платформ нового поколения в корпоративных публичных облаках и может решить технические и социальные проблемы функционирования в масштабе.
Больше о решении Tanzu Application Engine можно узнать из следующих сессий проходящей сейчас конференции VMware Explore 2023:
MAPK2762LV – Solution Keynote: Accelerate Application Delivery for Continuous Innovation
MAPB2682LV – VMware Tanzu: Your Complete Application Kubernetes Platform
MAPB2711LV – See it Now: Integrated, End-to-End Application Delivery with VMware Tanzu
MAPB2781LV – Accelerate App Delivery and Centralized Management on Public Clouds
На днях на сайте virten.net появилась информация об уязвимости CVE-2022-40982 Gather Data Sampling (GDS/Downfall) хостов VMware ESXi 8 инфраструктуры vSphere, которая может быть полезна для администраторов.
8 августа этого года компания Intel рассказала о проблеме "transient execution side-channel vulnerability" (уязвимость побочного канала при переходном выполнении), которая затрагивает определенные процессоры. В особых микроархитектурных состояниях CPU возможно раскрытие информации после transient-исполнения команд в некоторых векторных модулях исполнения, что может привести к ситуации, когда аутентифицированный пользователь может получить неавторизованный доступ к информации через механику локального доступа. Подробнее об уязвимости CVE-2022-40982 можно почитать тут.
Также вам могут быть полезны следующие ресурсы:
Описание уязвимости Intel Security Advisory - INTEL-SA-00828
Чтобы понять, имеет ли ваш процессор данную дыру в безопасности, вам нужно получить о нем следующую информацию: CPU Family, Model и Stepping. Сделать это можно через PowerShell с помощью скрипта Get-CPUid, который вы можете скачать здесь.
Если вы посмотрели на вывод колонок и узнали там свой процессор из таблицы, а в колонке на сайте Intel увидели значение "MCU", то вам нужно накатывать обновление микрокода вашего сервера для защиты от угроз данного типа. Для получения обновления вам нужно связаться с вендором вашего серверного оборудования (например, ссылки для HP и Dell приведены выше).
В апреле этого года мы писали о первой версии самостоятельного (ранее это были функции HTML5 клиента) решения VMware Power Actions 1.0. Этот продукт представляет собой плагин для клиента vSphere, который обеспечивает простой способ исполнения скриптов PowerCLI пользователями, не имеющими опыта работы с PowerShell. Средство также реализует библиотеку скриптов, куда вы можете загрузить готовые скрипты PowerCLI, которые вы хотите сделать доступными для всех сотрудников вашей организации.
Пользователи могут легко выполнить эти скрипты, используя удобный интерфейс для указания параметров скрипта.
Это обеспечивает мощный механизм расширения клиента vSphere с помощью настраиваемых сценариев PowerCLI. Все скрипты выполняются с использованием прав пользователя, который вошел в клиент vSphere. Таким образом, если у пользователя нет разрешения на выполнение определенных операций, он не сможет выполнить эти операции с помощью Power Actions.
Вот как это работает:
На днях на сайте проекта VMware Labs стала доступна обновленная версия Power Actions 1.0.2. Давайте посмотрим, что там нового:
Исправление для бага 1491 (установка не выполняется, когда отсутствует интернет-соединение)
Добавлены настройки прокси-сервера, позволяющие развертывание в средах с проксированием (баг 1495)
Настройка Thumbprint сервера vCenter заменена на настройку Disable vCenter Server Certificate Verification (отключение проверки сертификатов)
Установка изменена так, чтобы она не завершалась неудачей, если пароль виртуального модуля (Virtual Appliance) не был успешно установлен.
Загрузить виртуальный модуль VMware Power Actions 1.0.2 можно по этой ссылке. Кстати, небольшое количество исправлений за столь долгое время говорит о том, что в целом-то инструмент работает хорошо.
Команда VMware приглашает вас присоединиться к бета-программе тестирования платформы vSphere. Это уникальная возможность, чтобы ваша обратная связь была услышана и помогла формировать направления развития vSphere. Участие в бета-программе требует времени и активного участия в таких процессах, как установка последних бета-версий vSphere, выполнение тестов, связанных с некоторыми функциями, а также предоставление отзывов для улучшения конечного продукта.
Некоторые из многих причин участвовать в бета-программе vSphere:
Ранний доступ для ознакомления с новыми технологиями и улучшениями vSphere.
Предоставление отзывов напрямую менеджерам продуктов vSphere о функциональности, удобстве использования и производительности.
Возможность делиться предложениями о будущих функциях, улучшениях, обучении, документации и услугах.
Обучение и общение с другими техническими специалистами в закрытом онлайн-сообществе.
На эту тему команда VMware недавно записала полезное видео, в котором, помимо прочего, рассказывается о самом комьюнити и о том, какие версии vSphere сейчас проходят бета-тестирование:
Если вы хотели бы участвовать, пожалуйста, нажмите сюда, чтобы подать заявку. Подтвержденные участники будут уведомлены по электронной почте. Обратите внимание, что одобряются заявки только от адресов электронной почты, исходящих от предприятий или организаций, находящихся не в России. Личные адреса электронной почты, такие как Gmail, Hotmail и Yahoo! не будут одобрены.
Florian Grehl на сайте virten.net опубликовал полезную статью о том, как включить аутентификацию Active Directory / LDAP / LDAPS в инфраструктуре VMware vSphere 8. Приводим ниже ее перевод.
Эта статья описывает, как интегрировать VMware vCenter Server в вашу инфраструктуру аутентификации. Источниками идентификации могут быть развертывания Microsoft Active Directory или протокола OpenLDAP.
В комплекте с управляющим сервером vCenter Server идет внутренняя база данных пользователей, которая позволяет добавлять и управлять пользователями из пользовательского интерфейса. Управление пользователями и единый вход предоставляются встроенным компонентом Platform Service Controller. В большой среде вы, возможно, захотите подключить вашу инфраструктуру виртуализации к централизованно управляемому провайдеру идентификации.
Обратите внимание, что VMware объявила о прекращении поддержки Integrated Windows Authentication (IWA). IWA был методом аутентификации, при котором вы присоединяли vCenter Server к вашему домену Active Directory. Несмотря на то, что Active Directory все еще поддерживается для аутентификации, рекомендуется использовать AD через LDAP или идентификацию с помощью ADFS. Для дополнительной информации см. KB78506.
1. Получение сертификата LDAPS
В связи с рисками безопасности, LDAPS заменяет LDAP как новый протокол каталога. Настоятельно рекомендуется использовать LDAPS, который использует SSL для установления безопасного соединения между клиентом и сервером перед обменом любыми данными. В настоящее время в пользовательском интерфейсе vCenter нет функции получения сертификата, поэтому сертификат нужно загрузить самостоятельно.
Подключитесь к vCenter Server Appliance (или любой системе с установленным OpenSSL CLI) с помощью SSH и войдите как root. Выполните следующую команду, чтобы показать сертификат LDAP:
Эта команда отображает цепочку сертификатов и информацию о сессии SSL. Вы можете использовать либо сертификат CA, либо сертификат сервера. Использование сертификата CA имеет преимущество в том, что вам не нужно перенастраивать провайдер идентификации, когда сертификат LDAPS заменяется.
Копируем содержимое между строчками -----BEGIN CERTIFICATE----- и -----END CERTIFICATE----- в текстовый файл.
После этого сохраните полученный файл с расширением .crt.
2. Добавление провайдера идентификации
Откройте vSphere Client.
Войдите как Single Sign-On Administrator.
Перейдите к Administration > Single Sign On > Configuration.
На вкладке провайдера идентификации откройте Identity Sources.
Нажмите ADD.
Измените Identity Source Type на Active Directory over LDAP.
Заполните остальные поля следующим образом:
Identity source name: Метка для идентификации (нужно указать имя домена)
Base distinguished name for users: Уникальное имя Distinguished Name (DN) начальной точки для поиска на сервере каталогов. Пример: Если ваше имя домена - virten.lab, то DN для всего каталога - "DC=virten,DC=lab".
Base distinguished name for groups: Уникальное имя (DN) начальной точки для поиска на сервере каталогов.
Domain name: Ваше имя домена. Пример: "virten.lab".
Domain alias: Ваше имя NetBIOS. Пример: "virten".
Username: Пользователь домена как минимум с правами просмотра.
Если вы получаете ошибку "Invalid DN syntax.", попробуйте ввести пользователя в формате DN: "uid=administrator,cn=users,dc=virten,dc=lab".
Password: Пароль пользователя домена.
Connect to: Выберите "Connect to any domain controller in the domain", если вы хотите использовать DNS для идентификации контроллеров домена или настроить статические основные и вторичные URL. При использовании статических записей вы можете либо запрашивать локальный каталог (порт 636), либо глобальный каталог (порт 3269). (Для устаревших незащищенных подключений используйте 389/3268). Пример: "ldap://dc.virten.lab:636".
Нажмите "Browse" рядом с сертификатом (для LDAPS).
Выберите файл .crt, полученный ранее от сервера LDAP.
Нажмите "ADD" и завершите мастер настройки.
В источниках идентификации ваш LDAP должен появиться в списке, и с этого момента вы можете назначать разрешения vCenter пользователям и группам из вашего каталога Active Directory.
Выберите ваш AD и нажмите кнопку "SET AS DEFAULT", чтобы сделать его доменом по умолчанию для аутентификации в вашем vCenter, что означает, что каждый, кто не указывает имя домена для входа, автоматически аутентифицируется в этом домене.
Для входа с пользователями AD вам нужно установить разрешения. Чтобы добавить пользователя/группу AD в качестве глобального администратора, перейдите к Administration > Access Control > Global Permissions.
Нажмите "ADD".
Выберите домен и начните вводить в поле поиска User/Group, чтобы выбрать Domain entity.
Нажмите "OK".
Теперь вы должны иметь возможность входить с помощью учетной записи Active Directory. Чтобы решать проблемы, связанные с аутентификацией, проверьте файлы журнала на vCenter Server Appliance в папке /var/log/vmware/sso.
В этом году компания VMware серьезно взялась за доработку своих фреймворков по автоматизации операций в виртуальной инфраструктуре. Это было обусловлено тем, что исторически у VMware накопилось большое количество средств автоматизации, которые когда-то были привязаны к специфическим продуктам и интерфейсам, потом эти продукты эволюционировали, объединялись в различные линейки, а старые интерфейсы продолжали тянуться за разными решениями, управлять которыми до сих пор можно несколькими разными способами, а с учетом различных платформ и вспомогательных сервисов таких способов становится слишком много.
На сайте проекта virten.net появилось отличное руководство о том, как правильно настроить USB-накопитель (обычную флэшку), подключенный к хосту VMware ESXi 8.0 в качестве датастора, откуда можно запускать виртуальные машины. Для производственной среды этого делать, само собой, не рекомендуется, а вот для тестирования различных возможностей хоста vSphere данная инструкция может оказаться очень полезной.
Итак:
Рекомендации по выбору USB-накопителя
Касательно форм-фактора или типа USB-накопителей нет никаких ограничений. Вы можете использовать маленькие флешки USB, большие жесткие диски USB 3.5" с высокой емкостью или внешние твердотельные накопители на базе USB. Из-за проблем с производительностью и надежностью, не рекомендуется использовать дешевые USB-флешки для хранилищ.
Предварительные условия
Некоторые команды требуют доступа по SSH к хосту ESXi, который можно включить из vSphere Client:
После этого вы можете зайти на хост ESXi по SSH с помощью любого клиента, например, PuTTY.
Шаг 1 - отключаем USB Passthrough
Дефолтное поведение хоста ESXi при присоединении USB-накопителя к хосту - дать возможность его проброса в виртуальную машину через механизм USB Passthrough. Поэтому нам нужно отключить этот механизм.
Есть 3 способа это сделать:
На базе устройства с помощью команды esxcli passthrough
На базе модели с использованием расширенных настроек USB quirks
Полностью отключить его для всех устройств, отключив сервис usbarbitrator
1 - Отключаем USB Passthrough на базе устройства
Этот способ основан на параметрах USB Bus и Vendor ID. Эта настройка сохраняется при перезагрузке, но учтите, что она может перестать работать в условиях, когда изменяются идентификаторы Bus ID или Device ID (например, вы воткнете флэшку в другой порт, либо будет присоединено другое устройство на время отсутствия флэшки в порту).
Итак, втыкаем USB-накопитель в хост ESXi и соединяемся с ним по SSH как root. Выводим список USB-устройств командой:
esxcli hardware usb passthrough device list
Для следующей команды вам потребуется записать параметры четырех выделенных колонок в формате Bus#:Dev#:vendorId:productId (например, 1:4:1058:1140).
Отключаем проброс для устройства:
esxcli hardware usb passthrough device disable -d 1:4:1058:1140
После этого перезагружать хост ESXi не требуется.
2 - Отключаем USB Passthrough, используя USB Quirks
Второй вариант отключает USB Passthrough для конкретной модели (сочетание идентификатора производителя и идентификатора продукта) с использованием расширенных настроек USB Quirks.
Вставьте USB-накопитель в ваш ESXi, подключитесь к хосту ESXi с использованием SSH и войдите под root. Далее просмотрите доступные USB-устройства. Первое число - это идентификатор производителя, второе число - идентификатор продукта:
lusb
Для установки USB Quirks нужно указать ID в следующем формате (см. скриншот выше): 0xDeviceID:0xVendorID (например, 0x1058:0x1140).
Отключите USB passthrough, используя следующую команду:
esxcli system settings advanced set -o /USB/quirks -s 0x1058:0x1140:0:0xffff:UQ_MSC_NO_UNCLAIM
Здесь уже нужно перезагрузить хост ESXi для применения изменений.
3 - Отключаем USB Arbitrator
Перед началом процедуры не втыкаем флэшку в сервер.
Заходим в клиент vSphere Client, идем в ESX > Configure > System > Advanced System Settings и нажимаем Edit... Далее найдем параметр USB.arbitratorAutoStartDisabled и установим его в значение 1:
После этого перезагружаем хост ESXi и уже после этого втыкаем флэшку в сервер.
То же самое можно сделать с помощью CLI-команды через SSH (после нее можно уже втыкать флэшку):
/etc/init.d/usbarbitrator stop
Также можно отключить USB Arbitrator следующей командой, которая будет применена после перезагрузки хоста:
# chkconfig usbarbitrator off
Шаг 2 - создаем VMFS Datastore на флэшке
После того, как вы отключили проброс USB, можно создавать датастор через vSphere Client, кликнув правой кнопкой на хосте ESXi и выбрав Actions > Storage > New Datastore... (в ESXi Host Client это делается в разделе Storage > New Datastore).
Если ваше устройство не отображается в мастере New Datastore, нужно сделать ресканирование хранилищ (опция Rescan Storage по правому клику) и убедиться, что устройство присутствует в списке.
Если и это не помогло, то можно попробовать создать датастор с помощью командной строки. Находим путь к устройству (Device Path в формате mpx.vmhba##). Для этого запускаем команду:
esxcli storage core device list |grep '^mpx' -A3
В выводе команды вы сможете идентифицировать устройство по его размеру:
Если у вас несколько устройств одного размера, то после подключения нужного вам устройства загляните в лог /var/log/vmkernel.log и посмотрите там наличие вот такой записи:
vmkernel: Successfully registered device "mpx.vmhba34:C0:T0:L0" from plugin "NMP" of type 0
Это и есть ваша флэшка. Теперь создаем переменную с этим устройством:
DISK="/vmfs/devices/disks/mpx.vmhba34:C0:T0:L0"
После этого создаем метку для данного устройства:
partedUtil mklabel ${DISK} gpt
Теперь с помощью утилиты partedUtil создадим раздел с идентификатором GUID=AA31E02A400F11DB9590000C2911D1B8:
После этого ваш том, созданный на флэшке, появится в списке датасторов хоста.
Для бесплатного резервного копирования виртуальных машин можно использовать скрипт ghettoVCB.
Если вы заметите, что скорость копирования на/с датастора с помощью команд cp, mv или scp очень медленная, то вы можете использовать механизм Storage vMotion или утилиту vmkfstool для копирования данных.
Например, вот так можно склонировать VMDK-диск:
vmkfstools -i <src>.vmdk <dst>.vmdk
Известные проблемы
Когда вы пытаетесь определить диск, дважды проверьте, что вы не перепутали свои накопители. Имя, отображаемое в пользовательском интерфейсе, не меняется, когда меняется идентификатор. Вот пример, где выделенный диск был перенесен на виртуальный адаптер mpx.vmhba33 как новое устройство. Отображаемое имя при этом остается старым - mpx.vmhba32.
Существующие датасторы не монтируются автоматически! То есть, если на вашей флэшке уже есть тома VMFS, то они не будут видны при ее подключении. В этом случае датастор будет offline, а в логе vmkernel.log вы увидите вот такое сообщение:
cpu0:65593)LVM: 11136: Device mpx.vmhba34:C0:T0:L0:1 detected to be a snapshot:
То есть датастор определяется как снапшот. Список снапшотов вы можете вывести командой:
# esxcli storage vmfs snapshot list 583b1a72-ade01532-55f6-f44d30649051 Volume Name: usbflash VMFS UUID: 583b1a72-ade01532-55f6-f44d30649051 Can mount: true Reason for un-mountability: Can resignature: true Reason for non-resignaturability: Unresolved Extent Count: 1
В этом случае вы можете смонтировать датастор следующей командой, используя VMFS UUID:
# esxcli storage vmfs snapshot mount -u 583b1a72-ade01532-55f6-f44d30649051
Использование командлетов PowerShell/PowerCLI для автоматизации предлагает множество преимуществ, таких как простота установки на множестве различных операционных систем и мощный язык сценариев, поддерживающий команды, специфичные для VMware.
PowerCLI отлично интегрируется с экосистемой VMware, обеспечивая совместимость и бесшовную интеграцию с продуктами vSphere, vSAN, NSX, VMC, SRM и другими. Несмотря на то что PowerCLI работает автономно со своим собственным циклом выпуска, VMware стремимся синхронизировать его с официальными релизами vSphere. Это гарантирует, что клиенты PowerCLI не будут долго ждать доступа к новым функциям и возможностям, поставляемым в новых версиях VMware vSphere.
Вызовы VMware PowerCLI
Как и в других сферах автоматизации, сейчас есть некоторые проблемы, с которыми сталкиваются как в самой VMware, так и клиенты при использовании PowerCLI. В первую очередь здесь стоит возможность использовать PowerCLI на всех платформах, на которых работает PowerShell. Большинство людей ассоциируют PowerShell с Microsoft Windows, что вполне логично, но PowerShell Core становится довольно популярным на платформах Linux и MacOS. VMware стремится поддерживать эти платформы на том же уровне, что и для Windows.
Во-вторых, по мере эволюции VMware vSphere и других продуктов VMware, PowerCLI также должен меняться, и делать это быстро, чтобы успевать за нововведениями продуктовой линейки. Этот быстрый темп не должен влиять на удобство использования и качество командлетов PowerCLI. Поэтому стоит задача расширения охвата PowerCLI для продуктов за более короткий период времени, при этом нужно обеспечить требуемое качество модулей и командлетов.
Поддержка нескольких платформ
Когда PowerCLI 13.0 был выпущен в ноябре 2022 года, это был первый PowerCLI, полностью совместимый с PowerShell Core, который работает на Microsoft Windows, Linux и Apple MacOS. Это означает, что образец кода или сценарий можно запустить на любой из этих платформ, запланировать с помощью cron на Linux и т.п. Это делает его очень гибким в качестве инструмента автоматизации, и это означает больше возможностей для инструментов оркестрирования операций.
Автоматизация средств автоматизации
В выпуске PowerCLI 12.4 VMware представила инновационный подход к генерации командлетов: через механизмы автоматизации. Была автоматизирована генерация командлетов для vSphere Automation API, которая была выпущена в рамках нового модуля под названием VMware.SDK.vSphere. Этот подход позволяет быстро создавать командлеты и модули для поддержки новых функций, обеспечивая при этом качество и последовательность.
Однако успех этой стратегии во многом зависит от качества API самих продуктов. Ближайшая цель VMware - обеспечить выпуск API с высокими стандартами качества, которые также соответствуют требованиям PowerCLI.
Обширность покрытия
В последующих релизах после 12.4 продолжали внедрять новые модули PowerCLI на основе подхода автоматического генерирования, такие как модули VMware.Sdk.Nsx.Policy, VMware.Sdk.SRM и VMware.Sdk.VR.
Например, введенный в PowerCLI 12.6 модуль VMware.Sdk.Nsx.Policy позволяет клиентам управлять NSX Policy API и является важной частью мультиоблачных операций, помогая устанавливать контроль над безопасностью, независимо от того, где работает ваша нагрузка.
В выпуске 12.7 были добавлены новые командлеты для указания пороговых значений проверки "здоровья" vSAN в рамках модуля VMware.CimAutomation.Storage.
Выпуск 13.0 сделал PowerCLI мультиплатформенным инструментом, что также означало, что модули, такие как VMware.ImageBuilder и VMware.DeployAutomation, должны быть совместимы с Apple MacOS и Linux. Кроме того, были добавлены новые команды для управления дисками кластера vSAN ESA и обновлен модуль VMware.VimAutomation.Cloud для поддержки функций API VMware Cloud Director 10.4.
В последнем на данный момент выпуске PowerCLI 13.1, было представлено два новых модуля: VMware.Sdk.VR для поддержки REST API VMware vSphere Replication и VMware.Sdk.Srm для поддержки REST API VMware Site Recovery Manager. Также там добавили новые командлеты для офлайн-депозиториев Lifecycle Manager, удаленного управления хранилищем данных vCenter Server, прямого управления дисками vSAN, выключения кластера, монтирования удаленных хранилищ данных vSAN из расширенных кластеров vSAN и многого другого.
Что дальше?
Следующие шаги - это поддержание высокого уровня удобства использования и качества модулей и командлетов PowerCLI. VMware продолжает улучшать собственные инструменты, которые генерируют автоматизированные команды, а также проверяют и верифицируют исходные API в самих продуктах на предмет качества. Эти усилия приносят пользу всем средствам автоматизации, а не только PowerCLI.
Также будет расширяться охват PowerCLI за счет введения новых модулей и улучшений в существующих. Хорошим примером является поддержка автоматизации VMware Cloud Foundation, позволяющая клиентам контролировать, настраивать и автоматизировать эти среды так же легко, как они делают это с vSphere.
Наконец, будем продолжать поддерживаться кроссплатформенность, что позволит пользователям Windows, Linux и MacOS на равных использовать PowerCLI.
На сайте проекта VMware Labs вышло обновлении утилиты SDDC Import/Export for VMware Cloud on AWS версии 1.9. С помощью этого средства можно сохранять конфигурацию виртуального датацентра SDDC в облаке VMConAWS, а также импортировать ее из сохраненной копии. В прошлый раз об этой утилите мы писали вот тут.
Иногда пользователи по разным причинам хотят мигрировать из одного SDDC-датацентра в другой. Для миграции виртуальных машин есть решение VMware HCX, а вот для переноса конфигурации среды до текущего момента не было. Теперь же можно сохранить конфигурацию исходного SDDC и развернуть ее на целевом, не тратя много времени на повторную настройку.
Давайте взглянем на новые возможности продукта:
Поддержка протокола IPv6
Поддержка механизма NSX dIDPS
Поддержка клиентских шлюзов VPN уровня Tier-1
Прием ресурсов Managed Prefix List Resource Share из подключенного VPC
На сайте проекта VMware Labs вышло очередное обновление утилиты vSphere Diagnostic Tool 1.1.6. Напомним, что это python-скрипт, который запускает диагностические команды на виртуальном модуле Photon OS (на его базе построен, например, vCenter Server Appliance), а также в перспективе это будет работать и в среде VMware ESXi. О последнем обновлении vSphere Diagnostic Tool (VDT) мы писали вот тут.
Давайте посмотрим на новые возможности vSphere Diagnostic Tool 1.1.5:
Общие улучшения:
Увеличен таймаут проверок с 10 до 20 секунд
Исправлена проблема, когда версия/топология идентифицировались некорректно
Проверка VC VMDIR:
Была добавлена проверки Domain Functional Level (DFL) для обнаружения дополнительных возможных проблем
Проверка сертификатов vCenter:
Проверка идентификатора ключа на предмет того, что он не заполнен
Новая проверка для подсчета объектов CRL в разделе TRUSTED_ROOT_CRLS
Скачать VMware vSphere Diagnostic Tool 1.1.6 можно скачать по этой ссылке.
Компания VMware на днях выпустила новую версию своей основной платформы для управления IaaS-инфраструктурой сервис-провайдеров VMware Cloud Director 10.5. Напомним, что о VCD версии 10.4.2 мы писали вот тут.
Этот самый ожидаемый ежегодный крупный релиз предлагает множество новых функций и усовершенствований. В VMware уделили особое внимание улучшению сетевых возможностей, внедрили новые функции и улучшили существующие. Кроме того, были упрощены основные функции управления и внедрены обновления для оптимизации эффективности хранения.
Также были дополнительно усовершенствованы функции, связанные с взаимодействием различных решений VMware. Это обеспечивает бесшовную интеграцию с новыми функциями и обновлениями.
1. Федерация NSX с группами VDC
Теперь VMware Cloud Director поддерживает функцию NSX Federation, что позволяет зарегистрировать экземпляр NSX Global Manager, эффективно координирующий политики безопасности между локальными экземплярами NSX Manager в вашей среде VMware Cloud Director. С возможностью включения до 4 экземпляров NSX Manager в одну группу VDC, вы получаете повышенную гибкость.
Важно отметить, что использование NSX Federation с VMware Cloud Director специально ограничено развернутыми шлюзами Tier 0 и Tier 1. На практике это означает, что провайдерский шлюз, связанный как с вашим глобальным экземпляром NSX Manager, так и с группой дата-центров, устанавливает границы этой группы дата-центров. Используя NSX Federation, вы получаете больше возможностей при установке зон доступности сети, так как теперь вы можете распределять экземпляры NSX Manager по различным региональным дата-центрам, что позволяет увеличить гибкость и масштабируемость.
2. Мастер миграции IP Spaces через пользовательский интерфейс
Теперь доступны функции бесшовной миграции с помощью мастера миграции IP-пространств через пользовательский интерфейс. Этот инструмент позволяет вам перенести любые провайдерские шлюзы в вашей среде из устаревших блоков IP-адресов в наиболее актуальные IP-пространства.
3. Политики HTTP для NSX Advanced Load Balancer
VMware Cloud Director 10.5 получил пользовательский интерфейс для самостоятельной настройки политик HTTP для NSX Advanced Load Balancer со стороны клиента облака. В это входят политики для HTTP-запросов, ответов и безопасности. С помощью политик HTTP-запросов вы можете модифицировать запросы перед их перенаправлением, что позволяет переключать контент или отбрасывать его.
Политики HTTP-ответов позволяют оценивать и изменять ответы и атрибуты виртуального приложения. Кроме того, политики безопасности HTTP предоставляют контроль над разрешениями на запросы, закрытием TCP-соединений, перенаправлением HTTPS, ограничением скорости и отображением статических страниц во время сбоев.
4. Усовершенствования маршрутизируемой сети vApp
Теперь правила NAT для сети vApp могут быть настроены на уровне VDC провайдером для создания с использованием Reflexive NAT и переноса резервной сети (Standby Network Relocation).
5. Усовершенствования BGP
Улучшения BGP включают новые вкладки "Community List" и "Route Maps". Теперь клиенты могут определить дополнительные конфигурации для перераспределения маршрутов через новую вкладку карт маршрутов BGP. Эти карты маршрутов доступны исключительно для провайдерских шлюзов, использующих IP Spaces. Используя другие вкладки BGP, пользователи могут создавать карты маршрутов, содержащие IP-префиксы и списки Community List, которые определены на провайдерском шлюзе.
6. Управление правилами сетевого экрана
В VMware Cloud Director 10.5 появился улучшенный пользовательский интерфейс для настройки правил брандмауэра. Теперь доступно создание и размещение отдельных правил брандмауэра в списке без необходимости редактировать весь набор правил.
Также для удобства можно менять порядок конкретных правил фаервола. Кроме того, можно добавлять диапазоны IP и отдельные адреса прямо в текстовые поля источника и назначения. Теперь есть новый элемент 'loggingId', который согласовывает правила брандмауэра с 'rule_ids' на NSX.
7. Пространства IP Spaces – конфигурация сетевой топологии
Теперь доступны автоматически настроенные правила NAT и брандмауэра по умолчанию. При использовании IP-пространств вы имеете возможность генерировать и применять автоматически настроенные правила SNAT, NO SNAT и брандмауэра по умолчанию на граничных шлюзах и провайдерских шлюзах в вашей среде. VMware Cloud Director обрабатывает автоматическую конфигурацию правил SNAT, DNAT и брандмауэра на основе топологии соответствующих IP-пространств, а также их внешних и внутренних областей действия.
Улучшения платформы
8. Content Hub – улучшенное управление каталогами и контентом
Content Hub - это новое комплексное решение для управления, которое позволяет вам создавать и контролировать каталоги и образы приложений. Вы можете бесшовно получать доступ и извлекать контент из множества источников, включая VMware Marketplace, репозитории Helm chart, локально загруженные файлы OVF, а также импорт из vCenter или других опубликованных каталогов в VCD.
Вот как выглядит это для провайдера:
А вот как для клиента:
9. Ярлыки поддержки
Начиная с VMware Cloud Director 10.5, вы можете использовать следующие ярлыки для устранения неполадок в приложении VMware Cloud Director, VMware Cloud Director на Linux и переменных среды Bash для упрощения часто используемых путей к каталогам:
10. Обновление аддонов и их публикация для клиентов
В VMware Cloud Director 10.5 у вас появилась возможность обновлять экземпляры аддонов вашего решения, когда выпускается новая версия. Кроме того, у вас есть гибкость публиковать аддоны для выбранных или всех ваших клиентов, что дает больше возможностей для контроля и настройки.
11. Настройка обнаружения ВМ (только через API)
Начиная с VCD 10.5, функция обнаружения ВМ может быть отключена глобально, но при этом она может быть выборочно включена как на уровне организации, так и на уровне организационного VDC. Важно отдавать приоритет наиболее конкретной настройке перед глобальной конфигурацией.
Ранее обнаружение ВМ в VCD могло быть настроено глобально, на уровне организации и на уровне OVDC. Однако приоритет отдавался в следующем порядке: глобальный уровень, уровень организации, а затем уровень OVDC. Если обнаружение ВМ было отключено на глобальном уровне, то его нельзя было изменить на уровне организации или OVDC. Аналогично, если оно было отключено на уровне организации, то его нельзя было изменить на уровне OVDC.
В этом релизе работает следующая комбинация данных настроек:
Для управления настройками надо перейти по адресу https://<vcd-url/api/admin/extension/settings/general и включить AllowOverrideOfVmDiscoveryByOrgAndOVDC в значение true или false.
12. Улучшение производительности публикации и подписки каталогов
Теперь пользователи получили быструю синхронизацию контента во время публикации и подписки на каталоги между экземплярами Cloud Director. Этого удалось достичь за счет разбиения данных на меньшие блоки и введения параллельной передачи данных.
13. vCenter Server поддерживается как для провайдера VDC, так и для отдельного экземпляра vCenter Server
В VMware Cloud Director 10.5 и последующих версиях администраторы провайдера могут активировать две расширенные настройки, позволяющие экземпляру vCenter Server поддерживать как провайдер VDC, так и отдельный экземпляр vCenter Server. Важно отметить, что эта конфигурация является расширенной и несет потенциальные риски, поэтому ее должны активировать только опытные администраторы VMware Cloud Director. Вы можете активировать их выборочно для конкретных случаев использования или для тестирования и демонстраций.
14. Общие хранилища данных на нескольких серверах vCenter
В более ранних версиях, во время миграции ВМ между разными серверами vCenter, логика размещения не учитывала общие хранилища данных между серверами vCenter. Это приводило к операции копирования, включающей экспорт и импорт OVF. Однако, начиная с VMware Cloud Director 10.5, движок размещения предоставляет рекомендации для общих хранилищ данных. Это предотвращает необходимость в рабочем процессе экспорта/импорта и оптимизирует операцию переноса, что приводит к ускорению процесса.
15. Миграция арендаторов
В VMware Cloud Director 10.5 изменился способ переноса ВМ во время миграций клиентов. При миграции ВМ с использованием VMware Cloud Director, если включена опция "Migrate Entire Virtual Machine", тогда все ВМ с компонентами на выбранных хранилищах данных мигрируются целиком. Например, если у ВМ есть два диска и вы выбираете только один диск для миграции,
VMware Cloud Director все равно переместит инвентарь с другого диска на новое хранилище данных. Однако, если опция "Migrate Entire Virtual Machine" деактивирована (настройка по умолчанию), VMware Cloud Director будет мигрировать только компоненты, расположенные на выбранном хранилище данных.
Обновления компонентов
16. Обновления Cloud Director SaaS
Некоторые из обновлений:
Позволяет коммуникацию контроллера NSX Advance Load balancer (Avi) через прокси
Улучшение производительности в CDs при выводе объектов vApp, которые имеют большое количество ссылок
Сокращение времени простоя при обновлениях, когда происходят изменения в базе данных (обслуживание)
17. Terraform 3.10.0
Некоторые из обновлений:
Полная поддержка сервисных учетных записей (создание и управление)
NSX-T: управление IP-пространством в VCD 10.4.1+
NSX-T: Edge Gateway DHCP Forwarding
NSX-T: поддержка IPv6 в Org VDC
NSX-T: Edge Gateway DHCPv6
Статический маршрутизационный ресурс и источник данных для VCD 10.4+
18. Container Service Extension 4.1
Некоторые из обновлений:
Защита конфиденциальных данных в RDE
Возможность просмотра кластеров в пользовательском интерфейсе, которые создаются непосредственно с помощью CAPVCD
Самовосстановление при сбое узла с использованием K8s MachineHealthCheck
В этом случае необходимо, чтобы диски ВМ находились в режиме multi-writer, то есть позволяли производить запись в файл VMDK одновременно с нескольких хостов ESXi (можно также организовать и запись от нескольких ВМ на одном хосте). Этот режим со стороны VMware поддерживается только для некоторых кластерных решений, таких как Oracle RAC, и для технологии Fault Tolerance, у которой техника vLockstep требует одновременного доступа к диску с обоих хостов ESXi.
В статье, на которую мы сослались выше, хоть и неявно, но было указано, что режим "Multi-writer" используется и для кластеров Microsoft Windows Server Failover Clustering (WSFC, ранее они назывались Microsoft Cluster Service, MSCS), однако это была неверная информация - он никогда не поддерживался для кластеров Microsoft.
Мало того, использовать режим "Multi-writer" для WSFC не только не рекомендуется, но и опасно - это может привести к потере данных. Кроме того, возможности поддержки VMware в этом случае будут очень ограничены.
Информация о поддержке "Multi-writer" и общих дисков VMDK
Использование файлов VMDK в качестве общих дисков для виртуальных машин Windows в среде vSphere возможно, но только когда файлы VMDK хранятся в кластеризованном хранилище данных с включенной поддержкой Clustered VMDK, как описано в статье Clustered VMDK support for WSFC, или ниже в этой статье.
Сначала предупреждения и предостережения - прежде чем предпринимать любые из описанных в этой статье шагов, администратору очень важно понять и принять, что VMware не гарантирует, что эти конфигурации не приведут к потере данных или их повреждению.
Итак, какие варианты предлагает VMware, если вы уже используете кластеры WSFC в режиме multi-writer:
Переконфигурирование общих дисков на основе файлов VMDK для кластеризованных виртуальных машин Windows, которые были настроены с использованием опции флага multi-writer.
Перемещение файлов VMDK в одно или несколько официально поддерживаемых хранилищ данных с поддержкой Clustered VMDK.
Представление файлов VMDK обратно виртуальным машинам таким образом, чтобы минимизировать или избежать необходимости перенастройки внутри гостевой операционной системы или на уровне приложений.
VMware настоятельно рекомендует клиентам, выполняющим эти задачи, убедиться в наличии проверенного и повторяемого плана отката в случае сбоя во время выполнения этих операций. Предполагается и ожидается, что у клиентов имеются проверенные резервные копии всех данных и информации о конфигурации всех виртуальных машин, которые будут участвовать в этом процессе переконфигурации.
Как минимум, клиенты должны выполнить (или отметить) следующее перед началом этих процедур:
Имена и расположение файлов для КАЖДОГО диска VMDK.
Номер SCSI и SCSI ID, к которому подключен КАЖДЫЙ диск. Мы должны присоединить диск к ТОМУ ЖЕ SCSI ID при повторном подключении.
В Windows - текущий владелец ресурсов диска (проверить это можно в конфигурации WSFC).
Если владение ресурсами WSFC разделено между узлами, ПЕРЕКЛЮЧИТЕ ВСЕ РЕСУРСЫ на один узел. Это упрощает процесс реконфигурации и очень полезно, чтобы избежать путаницы. Выключите все пассивные узлы ПЕРЕД выключением активного узла. После завершения настройки необходимо включить сначала активный узел, а затем остальные узлы.
Переконфигурация кластера WSFC с Multi-Writer на режим Clustered VMDK
Давайте начнем с рассмотрения нашей текущей конфигурации, посмотрим на узлы (кликабельно):
И на диски:
Протестируем WSFC путем переключения ресурсов диска - в данном случае мы выключаем активный узел и наблюдаем, как кластерные ресурсы становятся доступными на пассивном узле. Этот тест очень важен для проверки работоспособности WSFC перед внесением изменений.
Текущая конфигурация общих дисков (отображение распространенной неправильной конфигурации с включенным multi-writer, где общие диски принадлежат выключенной третьей виртуальной машине).
Вот узел WSFC Node-1 и его расшаренные диски (флаг Multi-Writer установлен в Enabled):
Компания VMware на днях объявила о выпуске обновленной версии решения VMware Aria Operations Cloud релиз July 2023, предназначенного для комплексного управления и мониторинга виртуальной среды на платформе VMware vSphere в облаке. Напомним, что о новых возможностях январской версии продукта мы писали вот тут.
Давайте посмотрим на новые возможности платформы:
1. Поддержка Microsoft Azure Government
Эта функция была разработана в основном для агентств правительства США и их партнеров, она предлагает услуги IaaS, PaaS и SaaS. Данная функция обеспечивает физическую изоляцию дата-центров и сетей, расположенных только в США, и соответствует стандартам безопасности и соблюдения требований правительства. Обратите внимание: поддержка Azure Government Secret в настоящее время недоступна.
Поддержка подписок на Azure Government доступна в 5 регионах:
US Gov Arizona
US Gov Texas
US Gov Central
US Gov Virginia
US Gov East
Подписки управляются через встроенную интеграцию с Microsoft Azure. Пользователи могут выбирать между коммерческими или государственными подписками с соответствующими услугами и регионами. Если вы используете коммерческие подписки, можно использовать дэшборды, алерты и контент, доступные для коммерческих подписок, а потом использовать их для государственных подписок без каких-либо дополнительных настроек.
Настройка регионов Azure Government Regions:
2. Интерфейс командной строки Cloud Proxy CLI
Интерфейс командной строки Cloud Proxy был усовершенствован - теперь он позволяет выполнять проверку соединения. Ее можно использовать для конфигураций с заранее определенными эндпоинтами, такими как Gateway, S3 и узлы кластера, в зависимости от того, находится ли кластер на локальном сервере или доступен как SaaS. Он также включает возможности проверки маршрута трассировки и просмотра информации об окружении. У VMware Aria Operations также есть фоновое задание, которое проверяет связь с этими конечными точками.
Опции использования Cloud Proxy CLI (подробнее об этом тут):
3. Уведомление о работе системы (Notification Heartbeat)
Функция Notification Heartbeat позволяет вам использовать правила Notification Rules для повторной отправки активных алертов на желаемые эндпоинты, пока они остаются активными. По умолчанию этот флажок не выбран. Как только эта опция установлена, система постоянно проверяет статус алертов, которые соответствуют правилу уведомления.
4. Поиск по метрикам в панели Troubleshooting Workbench
Тут появились следующие улучшения:
Теперь появилась улучшенная возможность поиска объектов с использованием запросов. Используйте метрики, свойства или суперметрики, связанные с типами объектов. Вы можете добавлять условия, используя несколько метрик и условий.
Опции autocomplete для помощи в составлении запросов и быстрого изучения синтаксиса.
Автоматическая проверка синтаксиса запроса поможет вам правильно его построить.
Новая страница для результатов поиска:
Подробное изучение метрики
Выполнение сверток
Запуск панели устранения неполадок
Фильтрация результатов, чтобы помочь вам сузить область поиска.
Поиск автоматически сохраняется на время сессии в виде плитки на панели troubleshooting workbench.
Пакет соответствия CIS обновлен для поддержки следующих бенчмарков:
CIS_VMware_ESXi_6.7_Benchmark_V1.3.0
CIS_VMware_ESXi_7.0_Benchmark_V1.2.0
Также теперь есть определения алертов, специфичные для версий.
NSX-T Compliance pack был обновлен для поддержки следующих стандартов:
NSX-T 3.2 Security Configuration Guide
NSX-T 3.1 Security Configuration Guide
NSX-T 3.0 Security Configuration Guide
Также появились обновленные определения алертов в сценариях автоматической проверки комплаенса.
6. Улучшения Launchpad
Действие Learn More на некоторых карточках открывает объясняющее видео:
7. Новая метрика доступности для объектов мониторинга приложений
Для объектов мониторинга приложений добавлена новая метрика "Telegraf availability’", чтобы понять, получаются ли данные от агента Telegraf. Она применима как для curated, так и для open source агентов Telegraf (подробнее тут).
8. Скрипты PowerShell собирают данные для обнаружения служб без учетных данных
Теперь обнаружение служб использует скрипты PowerShell для сбора данных с виртуальных машин Windows в сценариях без учетных данных.
9. Защита платформы
VMware Aria Operations теперь имеет встроенные защитные механизмы для отслеживания изменений в метриках или свойствах Management Pack. Там, где наблюдаются частые изменения значения строки метрики или значения свойства, они отображаются в виде предупреждения о защите платформы. В текущем релизе это должен включить администратор, но в будущих релизах это может быть включено по умолчанию.
Более подробно о VMware Aria Operations Cloud можно почитать на странице продукта.
Архитектура SD-WAN является отличным инструментом для организаций, стремящихся оптимизировать производительность сети и улучшить связность между географически разбросанными локациями. Однако, чтобы получить полную выгоду от SD-WAN, вам необходимы эффективные операционные средства и утилиты для мониторинга. Это становится всё более важным из-за операционных сложностей и проблем с безопасностью, которые возникают по мере того как SaaS-приложения становятся более популярными, а пользователи могут работать из любого места.
VMware SD-WAN имеет мощные возможности, включая технологию VMware Edge Network Intelligence, которые помогут вам идентифицировать и решить проблемы с сетью прежде, чем они станут большими проблемами, использовать ресурсы на полную мощность, и обеспечить качественный пользовательский опыт. В видео ниже показаны некоторые из лучших практик для оперирования и мониторинга сети SD-WAN, с акцентом на мониторинг производительности в реальном времени, мониторинг безопасности и видимость приложений.
Мониторинг производительности в реальном времени
Возможность видеть поведение сети в реальном времени необходима для обеспечения оптимальной производительности сети и своевременного определения и решения потенциальных проблем. Вот некоторые лучшие практики эксплуатации сетей SD-WAN:
Мониторьте состояние сети - VMware SASE Orchestrator предоставляет детальное отображение показателей производительности сети, таких как latency, jitter и потери пакетов для каждого доступного WAN-соединения. В то время как функция Dynamic Multipath Optimization (DMPO) автоматически с миллисекундной задержкой принимает меры по устранению проблем со статусом соединения, она также может мониторить состояние сети и использование пропускной способности в реальном времени, чтобы своевременно выявить и решить любые проблемы с производительностью.
Включите механизмы оповещения - настройте алерты для платформ управления производительностью сети для сетевых параметров для метрик, таких как использование связи, потеря пакетов или отклонения в производительности приложения. Это позволяет получать своевременные уведомления, когда производительность отклоняется от ожидаемых уровней, давая возможность проактивно устранять неполадки. Потоковые метрики, которые предоставляются Webhooks и NetFlow, могут быть проанализированы для формирования почти в реальном времени представления о состоянии сети и производительности. Механизмы по запросу, такие как SNMP и API-вызовы, также могут быть использованы для периодического получения автоматизированных снимков состояния сети.
Используйте AI/ML аналитику - продвинутые платформы сетевой аналитики предоставляют ценные, пригодные для использования инсайты в среде SD-WAN для сетевого окружения на периферии. VMware Edge Network Intelligence использует техники искусственного интеллекта (AI) и машинного обучения (ML) для сбора, анализа и обработки данных о телеметрии сети в реальном времени от устройств на периферии. VMware Edge Network Intelligence позволяет пользователям выполнять мониторинг в реальном времени, обнаружение аномалий, прогнозирование, анализ безопасности, визуализацию, отчетность, интеграцию и автоматизацию. Он постоянно отслеживает сетевой трафик и показатели производительности на периферии, и может обнаруживать аномалии и ненормальные паттерны в поведении сети.
Применяйте непрерывный бенчмаркинг - используйте инструменты для непрерывного мониторинга, чтобы собирать и анализировать данные о производительности на постоянной основе. Это позволяет выявлять паттерны и тенденции, помогая администраторам сети принимать обоснованные решения для планирования емкости и оптимизации. Также фиксируйте ценные исторические базовые показатели производительности, которые могут быть использованы для определения, привели ли изменения в сети к улучшению или ухудшению производительности. Периодические автоматизированные отчеты также могут быть использованы для предоставления ценных исторических инсайтов и точек сравнения.
Хотя все эти механизмы рекомендуется использовать, большинство организаций могут сосредоточиться на некотором их подмножестве, которое наилучшим образом соответствует операционным требованиям и целям производительности. Возможности интеграции любых существующих платформ для логирования и алертинга также могут играть роль в выборе наилучших механизмов оповещения.
Кроме того, интегрированное решение на базе AI/ML, такое как VMware Edge Network Intelligence, может сократить необходимость передачи метрик для анализа стороннему решению и сократить среднее время до устранения проблем (mean-time-to-resolution).
Видимость приложений
Для обеспечения оптимальной производительности и пользовательского опыта критически важно иметь широкую видимость трафика приложений. Здесь можно рассмотреть следующие практики:
Используйте маршрутизацию соединений на базе приложений - осведомленность о приложениях предоставляет дополнительный способ контролировать трафик, соответствовать бизнес-целям организации и более эффективно использовать доступные сетевые каналы. Например, трафик критически важных или чувствительных приложений с более высоким приоритетом может быть настроен на использование более безопасных частных соединений, в то время как приложения с более низким приоритетом могут оставаться на более дешевых интернет-соединениях. VMware SD-WAN позволяет осуществлять маршрутизацию, основанную на приложениях, позволяя вам отдавать приоритет критически важным приложениям по сравнению с менее важным трафиком, и имеет возможность динамически перемещать трафик приложений с одного соединения на другое при необходимости.
Используйте инструменты мониторинга производительности приложений (Application Performance Monitoring, APM) - инструменты APM предоставляют глубокие инсайты о метриках производительности приложений, включая время отклика, пропускную способность и успешность транзакций. Эти инструменты помогают администраторам определять проблемы, связанные с приложениями, и эффективно их устранять.
Отслеживайте пользовательский опыт - реализуйте мониторинг пользовательского опыта end-to-end, включая время отклика и доступность приложений. VMware Edge Network Intelligence обеспечивает видимость пользовательского опыта, позволяя администраторам заблаговременно решать проблемы производительности. VMware Edge Network Intelligence обеспечивает динамический бенчмаркинг для приложений в реальном времени, таких как Zoom, и предупреждает о любых значительных отклонениях от этого бенчмарка. Он также отслеживает связанные индикаторы и предоставляет предложения по устранению основной причины проблем, сокращая среднее время до их устранения и, во многих случаях, позволяя ИТ-команде заранее решить проблему, прежде чем она затронет конечных пользователей.
Мониторинг безопасности
Обеспечение безопасности вашей SD-WAN сети является первоочередной задачей. Поскольку SD-WAN становится частью более крупного интегрированного решения SASE, важно, чтобы команды, отвечающие за транспорт и безопасность, также интегрировали свои операционные политики для обеспечения координации мониторинга, логирования, оповещений и отчетности, их согласованности и совместного управления. Вместо двух отдельных действий единый подход обеспечивает обеим командам полное представление о состоянии сети.
Вот ключевые практики для реализации лучших практик SD-WAN по безопасности:
Использовать безопасные соединения - для защиты конфиденциальности и подлинности трафика, проходящего через сетевой оверлей SD-WAN, следует использовать безопасные протоколы, такие как IPsec. SD-WAN от VMware использует шифрованный оверлей на основе IPsec для обеспечения подлинности и конфиденциальности трафика, использующего сети транспорта WAN. Также поддерживаются туннели на основе IPSec и GRE для подключения к не-SD-WAN назначениям.
Реализовать фаерволы нового поколения (next-generation firewalls, NGFW) - организации имеют возможность использовать интегрированный файрвол на основе приложений, размещенный на периферии, IDS и IPS, а также VMware Cloud Web Security для проверки и фильтрации трафика на предмет потенциальных угроз. Также поддерживается интеграция с решениями NGFW от сторонних производителей. Это обеспечивает многоуровневый подход к безопасности против вредоносных действий, а также детальную видимость для попыток вредоносной активности. Эта видимость критически важна для быстрого анализа угрозы и принятия мер по ее устранению, если это необходимо.
Мониторинг событий безопасности - используйте решения по управлению информацией и событиями безопасности (security information and event management, SIEM) для мониторинга и определения корреляции событий безопасности в сети SD-WAN. Анализируя логи и генерируя предупреждения, администраторы могут быстро реагировать на инциденты безопасности.
События безопасности могут быть записаны и проанализированы через логи файрвола, а также интеграцию с платформами SIEM. Orchestrator SASE от VMware также имеет обновляемый в реальном времени дэшборд обнаруженных угроз, включая информацию о затронутых локациях, распределение угроз и их источники.
Виртуальное мероприятие VMUG реализовано как высокоинтерактивная 3D-среда с видеодокладами и сессиями для обсуждений с возможностью задать вопросы докладчикам. Присоединяйтесь из любой точки мира, чтобы получить самые свежие технологические новости, уведомления об обновлениях и профессиональные развивающие материалы онлайн. Также будут доступны сессии для обсуждений по запросу и интерактивные партнерские экспозиции на площадке выставки. Самое удобное - это то, что мероприятие проходит в виртуальном формате, поэтому вы можете попасть на него из любого места, включая то место, из которого уже можно мало куда попасть! ;)
Фишинг является значительной угрозой для организаций, а мобильные устройства требуют усиленной защиты – будь то корпоративные устройства или устройства, принадлежащие сотрудникам. На днях VMware объявила о финальной доступности (GA) решения VMware Workspace ONE Mobile Threat Defense с интегрированной защитой от фишинга и защитой контента.
С момента запуска Workspace ONE Mobile Threat Defense в прошлом году, произошел рост фишинговых атак на мобильных устройствах. Согласно отчету Verizon Data Breach Investigations за 2023 год, фишинг является одним из трех основных способов, с помощью которых злоумышленники проникают в организации.
По мере того, как организации и сотрудники увеличивают использование мобильных устройств и используют гибкие рабочие стратегии, телефоны становятся все более важными для бизнес-операций и повышения продуктивности. Однако вместе с этим возрастают и сложности при попытке обеспечить безопасность этих устройств. Фишинг создает дополнительные угрозы на мобильных устройствах, так как может распространяться за пределы традиционных электронных писем и веб-сайтов, эксплуатируя SMS, мессенджеры и даже QR-коды. Разные средства обманывают пользователей, заставляя их раскрывать учетные данные для входа или нарушать конфиденциальность, и эти нарушения могут привести к потере данных и финансовым потерям для предприятий.
О решении Workspace ONE Mobile Threat Defense
Публично доступная информация и готовые наборы инструментов для фишинга, доступные в даркнете, облегчают задачу злоумышленникам, нацеленным на большие группы сотрудников. Для организаций, стремящихся защитить свои мобильные устройства и среды от этих угроз, Workspace ONE Mobile Threat Defense с интегрированной защитой от фишинга и защиты контента представляет собой комплексное решение по безопасности, которое отвечает на угрозы, основанные на электронной почте, SMS, мессенджерах и социальных сетях - для устройств iOS, iPadOS и Android.
Workspace ONE Mobile Threat Defense обнаруживает попытки загрузки фишингового и вредоносного веб-контента из приложений и фоновые активности на устройстве - и блокирует контент соответствующим образом. Это достигается за счет интеграции с приложением Workspace ONE Tunnel, которое отправляет URL-адреса, которые устройство пытается загрузить, в Lookout Security Graph для расширенного анализа. Эта функция использует информацию в реальном времени, алгоритмы машинного обучения и большую базу известных фишинговых URL.
Администратор может настроить политики, позволяющие или запрещающие определенные домены и типы контента, в зависимости от потребностей своей организации. Когда пользователям запрещается доступ к вредоносному или запрещенному контенту, они получают уведомление и могут видеть причину блокировки контента, без вмешательства или действий со стороны ИТ-отдела или службы безопасности.
Workspace ONE Mobile Threat Defense применяет ориентированный на приватность подход к обеспечению безопасности. Никакой пользовательский контент не отслеживается и не проверяется, и обнаруженные вредоносные или фишинговые домены могут быть настроены так, чтобы быть видимыми или невидимыми для администратора.
Защита мобильных устройств от фишинга и вредоносного контента не должна идти в ущерб обеспечению безопасного доступа к корпоративным ресурсам. Для организаций, которым требуется VPN или безопасный удаленный доступ к корпоративным ресурсам с мобильных устройств, Workspace ONE Tunnel представляет собой современное решение для удаленного доступа, обеспечивающее доступ к сети на основе принципа "нулевого доверия" (ZTNA). Защита от фишинга и контента в Mobile Threat Defense работает в паре с Workspace ONE Tunnel на устройстве, предотвращая загрузку вредоносного контента при применении правил и политик трафика для устройства. Использование Workspace ONE Tunnel для VPN требует настройки сервиса туннеля с помощью VMware Unified Access Gateway или решения для хостинга ZTNA: VMware Secure Access.
Также вам будет полезна записанная демонстрация защиты от фишинга и контента в Mobile Threat Defense:
Страница продукта Workspace ONE Mobile Threat Defense находится тут, а документация доступна здесь.
27 июня этого года пройдет глобальное онлайн-мероприятие, ориентированное на технических специалистов и участников комьюнити VMware User Groups - VMware VMUG Virtual 2023.
Виртуальное мероприятие VMUG реализовано как высокоинтерактивная 3D-среда с видеодокладами и сессиями для обсуждений с возможностью задать вопросы докладчикам. Присоединяйтесь из любой точки мира, чтобы получить самые свежие технологические новости, уведомления об обновлениях и профессиональные развивающие материалы онлайн. Также будут доступны сессии для обсуждений по запросу и интерактивные партнерские экспозиции на площадке выставки. Самое удобное - это то, что мероприятие проходит в виртуальном формате, поэтому вы можете попасть на него из любого места, включая то место, из которого уже можно мало куда попасть! ;)
Что будет на виртуальном мероприятии VMUG в июне:
Дискуссионные сессии с ответами на вопросы
Онлайн-чат с экспертами VMware и лидерами VMUG
Практические лабораторные работы в течение всего дня
Доступ к виртуальным стендам участников
Возможность скачать различные материалы
Призы и многое другое!
Программа мероприятия:
5:00 AM - 5:40 AM
Morning Keynote: The Future of Multi-Cloud, Kit Colbert, VP & CTO, Cloud Platform BU, VMware
5:50 AM - 6:20 AM CT
Partner Breakout
6:25 AM - 6:55 AM CT
vMotion Deep Dive, Niels Hagoort, Staff Technical Marketing Architect, VMware
6:25 AM - 6:55 AM CT
What’s New in Tanzu Application Platform (TAP), Ben Wilcock, Senior Technical Marketing Architect, VMware and Myles Gray, Staff Technical Marketing Architect, VMware
7:00 AM - 7:30 AM CT
vSphere 8 CPU and NUMA enhancements and Modern CPU Architectures by Intel and AMD, Frank Denneman, Chief Technologist, VMware
7:00 AM - 7:30 AM CT
Ransomware, How Not to Pay a Ransom!, Joris Leemreize, Solution Engineer, VMware
7:00 AM - 7:30 AM CT
From Source Code to Cloud-Native Application with Tanzu and Carvel, Lino Telera, Cloud Architect, Linoproject.net
7:35 AM - 8:05 AM CT
Maximizing Your IT Efficiency with Dell PowerStore and VMware I Dell Technologies
8:10 AM - 8:40 AM CT
What to Look Out for When Architecting Horizon, Ralph Hoffman, EUC Consultant, FONDO | Sander Noordijk, Solution Engineer Digital Workspace, VMware
8:10 AM - 8:40 AM CT
Kubernetes for vSphere Administrators, Cormac Hogan, Chief Technologist, VMware
8:45 AM - 9:15 AM CT
VMware and Veeam: End-to-End Intrinsic Security to Protect Mission Critical Data I Veeam
9:30 AM - 10:00 AM CT
6 Fundamentals For Advancing Your Career, Duncan Epping, Chief Technologist, VMware
10:20 AM - 10:50 AM CT
Oracle Cloud VMware Solution: A Differentiated VMware Cloud Platform I Oracle
11:30 AM – 12:00 PM CT
A to Z : A Technical Deep Dive of vSphere+, Dave Morera, Staff Technical Marketing Architect, VMware
11:30 AM – 12:00 PM CT
VMware Ransomware Recovery as a Service, Kim Delgado, Sr. Staff Cloud Solution Architect, VMware
11:30 AM – 12:00 PM CT
DevOps 101 for the VI Admin - Code, Git, CI/CD & Infrastructure as Code, Joe Houghes, Senior Solutions Architect, Pure Storage
12:05 PM -12:35 PM CT
Ransomware Resilience: Real-Time Detection Meets Real-Time Protection I Zerto
12:05 PM -12:35 PM CT
Monitor and Improve the Digital Employee Experience Across the Horizon Stack | ControlUp
2:10 PM – 2:40 PM CT
Introducing Aria, VMware's new Multi-Cloud Management Platform!, Steven Dahlin, Director Aria Multi-Cloud Management, VMware
2:10 PM – 2:40 PM CT
Intro to Kubernetes and Containers, Boskey Savla, Sr. Technical Marketing Architect, VMware
2:10 PM – 2:40 PM CT
Is 2023 the 'Year of the vVol', Tristan Todd, Field Solutions Architect, Pure Storage
3:20 PM - 3:50 PM CT
Discover the Synergistic Value of Intel vPro, VMware Workspace ONE, and Dell Technologies I Dell Technologies User Community
3:20 PM - 3:50 PM CT
A Tanzu Success Story - VMware Platform Services deploying Tanzu with Intel hardware I Intel
3:55 PM – 4:25 PM CT
Upgrade to vSphere 8: Know Before You Go, Shannon Fitzpatrick, Staff Technical Account Manager, VMware
3:55 PM – 4:25 PM CT
Five Lessons Learned from Career Stories on The Nerd Journey Podcast, Nick Korte, Staff Solution Engineer, VMware
5:05 PM - 5:35 PM CT
VMware Carbon Black XDR: Enhance Endpoint Security and Network Visibility, Dale McKay, Senior Technical Marketing Architect, VMware
5:05 PM - 5:35 PM CT
Architecting Oracle Workloads from on-premises to VMware Hybrid Multi Clouds, Sudhir Balasubramanian, Sr. Staff Solution Architect, VMware
5:05 PM - 5:35 PM CT
How Attackers Break into Your Office, Patrick Coble, Senior Security & EUC Architect, VDISEC
5:35 PM CT - 6:00 PM CT
Break
6:00 PM - 6:30 PM CT
REPLAY: Maximizing Your IT Efficiency with Dell PowerStore and VMware I Dell Technologies
7:35 PM - 8:05 PM CT
REPLAY: What to Look Out for When Architecting Horizon, Ralph Hoffman, EUC Consultant, FONDO | Sander Noordijk, Solution Engineer Digital Workspace, VMware
На днях компания VMware анонсировала новую версию решения Skyline Health Diagnostics 4.0 (SHD). Напомним, что это решение является полноценной платформой для самодиагностики, позволяющей обнаруживать проблемы, используя журналы, анализ конфигураций и другую информацию. Она предоставляет рекомендации в виде статьи базы знаний с процедурами для устранения проблем в продуктах vSphere, vSAN, VMware Cloud Foundation SDDC Manager и VMware Horizon. Этот инструмент также может помочь выявлять проблемы до того, как они усугубятся и приведут к дорогостоящим простоям.
SHD теперь преобразовался в объединенный диагностический инструмент, который обеспечивает как проактивную, так и реактивную проверку состояния и диагностику для различных продуктов VMware. Это решение является совместной инициативой отделов разработки и глобальной поддержки VMware с целью улучшения опыта взаимодействия с поддержкой VMware. SHD сокращает время простоя за счет управления операциями Day-2 и обеспечивает бесшовные обновления.
Вот новые функции SHD 4.0, анонсированные на этой неделе:
Включено более 2000+ сигнатур для быстрого определения блокировок и проблем в виртуальной среде во время Day-2 операций. Эти сигнатуры основаны на наиболее важных обращениях в службу поддержки в прошлом, связанных как с продуктовыми трудностями, так и с проблемами окружения.
Диагностика и проверка состояния на основе профилей.
Поддержка продуктов VMware Horizon и SD-WAN, начиная с SHD 4.0.
Оценка возможности обновления VMware Cloud Foundation.
Полностью поддерживаемые API для выполнения задач в SHD.
Опция апгрейда для SHD 4.0.
Развертывание и управление SHD через единую консоль.
1. Диагностика и проверка состояния на основе профилей
Здесь появились следующие новые функции:
Улучшения пользовательского интерфейса для обеспечения лучшего пользовательского опыта. Теперь доступны создание и запуск диагностики и предварительных проверок на определенном сайте (vCenter, VSAN, VCF, Horizon и хосты ESXi) и в определенной среде.
Теперь можно сохранять выполненные проверки в виде профилей для последующего использования и автоматически назначать профили для еженедельного, ежемесячного и ежегодного выполнения.
SHD 4.0 способен в ручном режиме исполнять сохраненные профили, так что пользователь может выполнить любой профиль в будущем.
Созданные профили могут быть скопированы, отредактированы в рамках рабочего процесса и выполнены.
2. Поддержка продуктов VMware Horizon и SD-WAN в SHD 4.0
Здесь следующие улучшения:
Добавлено более 60 плагинов для VMware Horizon.
SD-WAN теперь находится в режиме технического превью с функциями офлайн-аналитики.
Добавлено более 80 подписей для SD-WAN с офлайн-анализом.
3. Оценка возможности обновления VMware Cloud Foundation
Вот что нового в этой категории:
SHD 4.0 теперь имеет отдельную диагностику SDDC Manager, которая может быть выполнена в среде VCF.
SHD 4.0 теперь может запускать оценку возможности обновления для сред VMware Cloud Foundation, начиная с VCF 4.5 и для более поздних версий.
Интегрированный с SHD механизм оценки теперь способен валидировать и отмечать текущие проблемы (с продуктом или средой), чтобы пользователи могли исправить их до обновления VCF.
4. Полностью поддерживаемые API, доступные начиная с SHD 4.0
Что интересного появилось для работы через API:
API теперь категоризированы по продуктам.
Загрузка офлайн-анализа журналов из удаленных и локальных мест через API.
Редактирование и создание профилей через API.
Обновления на основе API в базе данных совместимости VMware
5. Варианты апгрейда с SHD 4.0
Для апгрейда с предыдущих версий SHD к SHD 4.0 нужно загрузить виртуальный модуль в формате OVA.
Обновления на предыдущие версии теперь не поддерживаются, так как SHD 4.0 - это мажорный релиз.
6. Развертывание и управление SHD через единую консоль
Начиная с vSphere 8 U1, достаточно просто войти в клиент vSphere, чтобы развернуть SHD и выбрать конкретный vCenter в режиме ELM для развертывания.
Клиент vSphere теперь полностью позволяет управлять и развертывать SHD из единой консоли.
Release Notes по продукту доступны тут, документация здесь, а скачать VMware Skyline Health Diagnostics 4.0 можно по этой ссылке.
Таги: VMware, Skyline, Update, Troubleshooting, Support
Давайте посмотрим на новые возможности ESXi Arm Edition 1.13:
Теперь поддерживается обновление с более ранних релизов ESXi-Arm 1.x Fling с использованием как ESXi-Arm ISO, так и автономного пакета.
Добавлена поддержка контроллеров AHCI SATA, которые не поддерживают 64-битное адресацию на системах с памятью, расположенной выше 4GB
Исправлена ошибка с выпадением в розовый экран смерти (PSOD) на системах GIGABYTE Ampere Altra и Altra Max с SATA HBA на базе ASM1164 при наличии одного или нескольких SATA дисков
Исправлено возможное повреждение данных для виртуального устройства NVMe
Таблицы виртуального UEFI ACPI теперь показывают только настроенные последовательные порты. Для первого найденного создается таблица ACPI SPCR.
Поддержка реального времени UEFI (RTC) теперь включена на системах на базе Rockchip.
Исправлено возможное зависание при выключении на системах на базе Rockchip при использовании встроенных сетевых адаптеров.
Апгрейды с использованием образов профилей автономного пакета (zip) теперь возможны на всех системах.
Исправлены сбои подключения vVols.
Добавлены функции высокой доступности для vCenter Server 8.0+ (подробнее об этом тут).
Скачать последнюю версию VMware ESXi Arm Edition 1.13 можно по этой ссылке.
Нашелся очень интересный ресурс - вебсайт Operationalize Your World (OYW), где рассказано о современных методах управления виртуальной инфраструктурой VMware vSphere. Помимо этого, там есть очень много всего полезного, в том числе и для загрузки.
Все материалы по данной теме собраны в одном месте и состоят из следующих компонентов:
Презентация PowerPoint - она используется для обсуждений внутри компании и для возможности аудитории адаптировать и представить фреймворк внутри компании CIO и командам, отвечающим за приложения.
Набор инструментов Aria (vRealize) Operations - он состоит из дэшбордов, обзоров, суперметрик и алертов, которые вы можете импортировать в свою инфраструктуру. Он создан на основе актуальной версии vRealize Operations. Эти инструменты не тестировались на более ранних версиях, поэтому сначала обновите вашу инфраструктуру до последней версии.
Книга - представляет собой редактируемый документ в формате Microsoft Word. Это документация OYW, которую клиенты могут принять и адаптировать в качестве своего внутреннего руководства по эксплуатации.
Сайт VMwareOpsGuide - он охватывает больше, чем книга, но содержание сайта немного отстает, поскольку требуется время и усилия для ручной синхронизации сотен страниц, которые обновляются автором каждый месяц.
Материалы книги абсолютно бесплатны и полностью Open Source. То есть, вы можете взять любые фрагменты из этой книги, изменить как нужно под нужды вашей организации (например, для руководств по эксплуатации) и использовать их без ограничения.
Недавно мы писали о новом релизе фреймворка для управления виртуальной инфраструктурой VMware PowerCLI 13.1. У данного средства есть очень много командлетов для автоматизации задач в различных продуктах VMware. Сегодня мы поговорим о том, как с помощью PowerCLI можно управлять задачами репликации в Site Recovery Manager (SRM) и vSphere Replication (VR). Данные операции осуществляются через REST API.
1. Подключение к серверу vSphere Replication через Connect-VrServer
Чтобы подключиться к серверу управления vSphere Replication, необходимо использовать команду Connect-VrServer. Репликация может быть настроена внутри одного сервера vCenter или между локальными и удаленными экземплярами сервера vCenter.
При настройке репликации внутри одного и того же сервера vCenter, вы можете подключиться только к локальному сайту репликации vSphere. В параметре Server укажите адрес сервера vSphere Replication. В параметрах User и Password укажите имя пользователя и пароль для экземпляра сервера vCenter, где развернут виртуальный модуль vSphere Replication.
Давайте рассмотрим объект VrServerConnection, возвращаемый командой Connect-VrServer. Он содержит свойство ConnectedPairings:
Это свойство является словарем, где хранятся все подключенные пары. Пара - это представление в API VR парных локального и удаленного сайтов. Поскольку мы только что прошли аутентификацию только на локальном сайте VR, в словаре содержится только одна запись. Это самоподключение локального vCenter.
Вы можете индексировать этот словарь по имени vCenter и получить определенный объект Pairing. Вам понадобится этот объект Pairing для вызова различных операций из API VR:
Чтобы аутентифицироваться на удаленном сервере vCenter, вы будете использовать другой набор параметров команды Connect-VrServer. Обратите внимание, что у вас должна быть настроена пара сайтов между локальным и удаленным сайтами vSphere Replication.
На этот раз для параметра LocalServer укажите уже доступный объект VrServerConnection. Для параметра RemoteServer укажите имя удаленного VC. Для параметров RemoteUser и RemotePassword укажите имя пользователя и пароль удаленного VC. Обратите внимание, что с VR мы можем настроить несколько удаленных сайтов:
Теперь, если вы проверите свойство ConnectedPairings объекта VrServerConnection, вы увидите, что в словаре появилась вторая пара, позволяющая вам вызывать операции API на удаленном сайте:
В качестве альтернативы вы можете аутентифицироваться на локальном и удаленном сайтах с помощью одного вызова Connect-VrServer:
Для начала вам нужно получить ВМ, которую вы хотите реплицировать. Используйте команду Invoke-VrGetLocalVms, для которой нужно указать параметры PairingId и VcenterId. У нас есть эти идентификаторы в объекте Pairing, который мы сохранили в переменной $remotePairing:
Вы также можете применить фильтр к этому вызову. Параметр FilterProperty указывает свойство ВМ, которое будет использоваться для поиска. В данном случае это свойство Name. Параметр Filter указывает значение свойства, которое вы ищете. Результатом этого вызова является объект VirtualMachineDrResponseList, который содержит список ВМ, соответствующих указанному фильтру. В нашем случае это будет список с одной ВМ:
Настройка HDD-дисков машин для репликации
При настройке репликации на основе хоста, вы должны указать жесткие диски ВМ, которые будут реплицированы. Для каждого реплицируемого диска вы должны указать хранилище данных на целевом vCenter. В этом примере мы будем реплицировать все жесткие диски нашей ВМ на одном целевом хранилище данных на удаленном vCenter.
Вот как получить целевое хранилище данных на удаленном vCenter, используя команду Invoke-VrGetVrCapableTargetDatastores:
Здесь для VcenterId укажите идентификатор удаленного vCenter. Укажите параметры FilterProperty и Filter, чтобы выбрать целевое хранилище данных по имени.
Жесткие диски доступны в свойстве Disks нашего объекта VirtualMachine, сохраненного в переменной $replicatedVm.
Пройдитесь по списку Disks и инициализируйте объекты ConfigureReplicationVmDisk для каждого жесткого диска. Сохраните эти конфигурации в переменной массива $replicationVmDisks:
Сначала вам нужно инициализировать объект ConfigureReplicationSpec. Помимо различных настроек репликации, мы должны указать конфигурацию репликации диска, сохраненную в переменной $replicationVmDisks, для параметра Disk. Также вам нужно указать идентификатор целевого vCenter и идентификатор реплицируемой ВМ.
Затем используйте команду Invoke-VrConfigureReplication для настройки репликации. В качестве параметров укажите PairingId и объект ConfigureReplicationSpec:
Результатом операции является объект TaskDrResponseList, который в нашем примере содержит список из одной задачи. Если хотите, вы можете указать массив объектов ConfigureReplicationSpec и реплицировать несколько ВМ одним вызовом.
Чтобы дождаться завершения задачи настройки репликации, получите задачу, пока ее свойство Status не будет равно чему-то отличному от "RUNNING":
Invoke-VrGetTaskInfo -TaskId $task.List[0].Id
В следующем разделе мы будем использовать командлеты из модуля VMware.Sdk.Srm для создания группы защиты и плана восстановления для только что созданной репликации.
3. Подключение к Site Recovery Manager с помощью Connect-SrmSdkServer
Для подключения к серверу Site Recovery Manager используйте командлет Connect-SrmSdkServer. Не используйте старый командлет Connect-SrmServer, уже доступный в модуле VMware.VimAutomation.Srm, так как он не совместим с командлетами модуля VMware.Sdk.Srm.
Site Recovery Manager поддерживает только одно соединение между локальными и удаленными сайтами SRM. Вы можете подключиться либо только к локальному сайту, либо вы можете аутентифицироваться на удаленном сайте сервера vCenter в том же вызове. Поскольку далее мы будем создавать группу защиты и план восстановления, мы выберем второй вариант. Обратите внимание, что у вас должна быть настроена пара сайтов между локальными и удаленными сайтами SRM.
Если мы посмотрим на объект SrmServerConnection, возвращенный командлетом Connect-SrmSdkServer, мы увидим, что он содержит свойство с именем ConnectedPairing. В этом случае это один объект Pairing, который представляет пару между локальным и удаленным сайтами SRM. Вам потребуется этот объект Pairing для вызова различных операций из API SRM:
4. Создание Protection Group и Recovery Plan для Host Based Replication
В этой главе мы будем использовать репликацию на основе хоста, которую мы настроили ранее. Сначала мы инициализируем HbrProtectionGroupSpec с уже реплицированной ВМ:
В этом примере мы повторно используем идентификатор ВМ, который мы сохранили в переменной $replicatedVm, поскольку он совместим между API VR и SRM. Если вам нужно получить реплицированную ВМ с помощью модуля VMware.Sdk.Srm, используйте командлет Invoke-SrmGetReplicatedVms:
Чтобы завершить этот пример, мы создадим Recovery Plan для Protection Group. Для этого сначала инициализируйте RecoveryPlanCreateSpec, требуемый командлетом Invoke-SrmCreatePlan:
После того, как вы закончили взаимодействовать с сервером SRM, закройте соединение, используя командлет Disconnect-SrmSdkServer:
Disconnect-SrmSdkServer "MySrmAddress.com"
Чтобы закрыть соединение с сервером VR, используйте командлет Disconnect-VrServer:
Disconnect-VrServer "MyVrAddress.com"
Вы можете объединить модули PowerCLI VMware.Sdk.Vr и VMware.Sdk.Srm для автоматизации всего сценария создания репликации на основе хоста и использования ее с группой защиты и планом восстановления. Если вы хотите автоматизировать репликацию на основе массива, доступную с модулем VMware.Sdk.Srm, обратитесь к статье "Array Based Replication with PowerCLI 13.1". Также вы можете ознакомиться со статьей "vSphere Replication REST API with PowerShell: Configure VM replication".
Таги: VMware, SRM, PowerCLI, Replication, Automation, DR
Как многие знают, сейчас процессоры на базе архитектуры ARM постепенно входят в повседневную жизнь, как для администраторов корпоративных инфраструктур в части специфического оборудования, так и для обычных пользователей благодаря компьютерам на базе архитектуры Apple Silicon с процессорами M1/M2 (в основном, это ноутбуки MacBook).Сегодня мы рассмотрим 3 основных инициативы компании VMware в этой сфере...
На сайте проекта VMware Labs обновилась утилита vSphere Diagnostic Tool
до версии 1.1.5. Напомним, что она представляет собой python-скрипт, который запускает диагностические команды на виртуальном модуле Photon OS (на его базе построен, например, vCenter Server Appliance), а также в перспективе это будет работать и в среде VMware ESXi. О последнем обновлении vSphere Diagnostic Tool (VDT) мы писали вот тут.
Давайте посмотрим на новые возможности vSphere Diagnostic Tool 1.1.5.
VDT 1.1.5 больше не поддерживает vCenter 6.7, хотя многие проверки все еще будут работать. 1.1.4 останется доступной для тех, кто все еще нуждается в ней для продуктовой линейки 6.x.
Учетные данные теперь проверяются в самом начале. Пользователю сообщается, что проверки, требующие аутентификации, не будут запускаться, если проверка пароля трижды не удастся.
Поведение при тайм-ауте изменилось. Теперь он предлагает пользователю пропустить проверку или позволить ей выполниться, вместо того чтобы требовать флаг --force.
Проверка базы данных vCenter:
Проверка VCDB теперь показывает уровни статистики, а также политики хранения задач и событий.
Выходные данные проверки VCDB теперь соответствуют результатам из KB 1028356.
Проверка vCenter VMDIR:
Проверка vmdir теперь включает информацию о партнерах ELM и тестирует подключение к портам через 389, 443, 2012 и 2020 к ним.
Старая проверка портов была удалена в пользу описанной выше.
Проверка vmdir теперь ищет устаревшую (нативную) конфигурацию PSC HA в реестре likewise.
Проверка сертификата vCenter:
Срок действия сертификата теперь отображается с каждым сообщением о сертификате.
Сертификат vmdir от 6.0 больше не включен в список проверок сертификатов.
Исправление ошибок:
VDT теперь декодирует в utf-8, а не в ascii, чтобы избежать ошибок парсинга.
Обновлены ссылки на KB.
Скачать vSphere Diagnostic Tool 1.1.5 можно по этой ссылке.
RSS
