Мы уже писали о некоторых особенностях лицензирования VMware vSphere 5, где основным нововведением является ограничение по количеству памяти, используемой виртуальными машинами. Кроме того, мы также писали об особенностях лицензии на бесплатный VMware ESXi 5. А сегодня мы поговорим еще об одном типе лицензии VMware vSphere 5 - vSphere Desktop.
VMware vSphere Desktop - это специальное издание VMware vSphere 5, которое позиционируется как платформа для виртуализации настольных ПК предприятия (Virtual Desktop Infrastructure). Ранее лицензию для виртуальных ПК можно было приобрести, купив решение VMware View, включающее в себя брокер соединений и ПО для виртуализации приложений VMware ThinApp.
Но теперь, поскольку новая схема лицензирования хост-серверов с ограничением по памяти оказалась весьма дорогой для VDI, компания VMware вынуждена была ввести лицензию на платформу виртуализации для виртуальных ПК без необходимости приобретать брокер соединений от VMware.
Итак, что же такое vSphere Desktop:
Это полностью функциональная платформа, обладающая возможностями VMware vSphere Enterprise Plus (то есть максимум возможностей). При этом нет никаких ограничений по количеству используемых хост-серверов, процессоров и ядер, хранилищам, оперативной памяти ВМ (vRAM) и вообще технических ограничений нет почти никаких (хотя возможно останется ограничение по числу vCPU для ВМ).
А принцип приобретения прост - вы покупаете лицензию на 100 включенных одновременно виртуальных машин (под которые можно использовать сколько угодно серверов ESXi 5), которая стоит $6 500 (само собой, это в америке - у нас будет как всегда дороже).
Кроме того, vSphere Desktop - это та лицензия, которая поставляется вместе с VMware View в качестве платформы для ПК.
Ниже показан пример сравнения стоимости лицензий для 1000 виртуальных ПК, если их приобретать по обычной схеме (vSphere Enterprise Plus по процессорам) и по лицензии vSphere Desktop. В строчках - разные разное количество памяти виртуальных машин на процессор хоста, по сути - коэффициент консолидации.
Как видно из расчетов - лицензия vSphere Desktop получается выгоднее. Хотя тут VMware, конечно, кривит душой - не всем нужен Enterprise Plus для того, чтобы поддерживать виртуальные ПК.
Второй важный момент лицензирования vSphere Desktop, помимо цены - это возможность использовать сторонние брокеры соединений на базе платформы vSphere 5. В первую очередь, речь идет о Citrix XenDesktop, который очень большое количество пользователей применяет именно на базе vSphere. Теперь им станет полегче.
Несколько важных моментов лицензии vSphere Desktop:
Эту лицензию можно только купить, в нее нельзя сконвертировать текущие лицензии vSphere.
Если вы используете виртуальные ПК на обычном издании vSphere - на здоровье, главное, чтобы за ограничение по памяти не вылезать.
Лицензии можно приобретать только комплектом по 100 виртуальных ПК. Это минимальный шаг.
Один и тот же vCenter можно использовать для виртуальных серверов vSphere и виртуальных десктопов vSphere Desktop. Для каждого издания ограничения по памяти считаются отдельно, поэтому на ограничения обычной vSphere на виртуальные ПК не повлияют.
Мы уже не раз писали об обновленной линейке продуктов VMware vShield (тут, тут и тут). Вместе с релизом VMware vSphere 5 компания VMware также объявила о выпуске VMware Site Recovery Manager 5 и VMware vShield 5. Сегодня мы поговорим о последнем из перечисленных продуктов.
Итак, давайте взглянем на общую картину решения VMware vShield 5:
Как мы помним, в VMware vShield есть 3 ключевых компонента:
vShield Edge - защищающий периметр датацентра.
vShield App with Data Security - защищающий виртуальные машины на хост-серверах VMware ESXi (контроль трафика по портам и протоколам). Обратите внимание, что появился новый компонент Data Security (его, кстати, будут давать бесплатно ко многим продуктам).
Всеми этими компонентами в той или иной степени управляет VMware vShield Manager, который представляет собой надстройку к VMware vCenter.
Теперь взглянем на список новых возможностей VMware vShield 5 (которые соответствуют потребностям заказчика из левой колонки):
По сути, в vShield 5 появилось 3 новых ключевых возможности. Рассмотрим их детальнее.
1. Система обнаружения конфиденциальных данных для соблюдения стандартов и нормативов.
Эта функциональность реализована в компоненте vShield Data Security 5, который поставляется вместе с vShield App 5 (который, в свою очередь, является виртуальным модулем - Virtual Appliance и работает на каждом хосте ESXi). Это продукт позволяет обнаруживать конфиденциальные данные (таких как информация о банковских картах, личные данные) которые могут быть сохранены внутри документов в виртуальных машинах (это делается за счет технологии Data Loss Prevention от RSA, DLP, которая может выявлять данные из файлов, например, PDF). На базе этого анализа делается заключение о данных, нуждающихся в защите с помощью политик безопасности. Самое интересное, что это делается без агентов.
Далее организации могут выбирать из более 80 шаблонов нормативных требований, таких как PII (личные данные), данные держателей карт PCI-DSS и PHI (защищенные медицинские данные), из различных стран (Северная Америка, Европа, Ближний Восток и Африка, Азиатско-Тихоокеанский регион). России тут нет - для нас есть продукт vGate R2 от компании Security Code.
Эти шаблоны содержат в себе наборы определенных политик безопасности, которые можно применить к хост-серверам ESXi 5 и виртуальным машинам (для каждой отрасли свои требования). Элементы виртуальной инфраструктуры VMware vSphere 5 (datacenter, file share, resource pool, host, VM) можно просканировать на предмет соответствия этим политикам. После этого будет получен детальный отчет о том, какие объекты и в чем именно не соответствуют требованиям стандартов.
Этот механизм имеет собственный API. Далее проблемные виртуальные машины можно исправлять вручную (но это долго и муторно) либо с помощью VMware vCenter Configuration Manager (перед этим эти машины можно поместить в карантин). Российским пользователям лучше использовать продукт vGate R2, сертифицированный ФСТЭК.
2. Возможность карантина виртуальных машин.
В VMware vShield есть возможность интеграции со сторонними виртуальными модулями, в которых реализован механизм обнаружения и предотвращения вторжений (IDS/IPS-системы). Такая система, выявившая подозрительную виртуальную машину, может поместить ее на карантин за счет механизма VMware vShield App 5.
Машины, находящиеся в карантине, полностью изолированы от производственной среды, их можно исследовать и исправлять. После исправления (удаление вирусов, ликвидация угроз, приведение в соответствие политикам ИБ) ее можно вернуть снова в production.
Эта функциональность может быть использована компонентом vShield Data Security, а также сторонними поставщиками ативирусных продуктов через API.
3. Повышение эффективности антивирусных решений.
Помимо функциональности помещения виртуальных машин в карантин, теперь в полную силу заработала технология сканирования виртуальных машин на уровне гипервизора, без агентов, на предмет наличия вредоносного ПО (ранее мы об этом писали). Антивирусное решение, поставляемое в виде виртуального модуля (Virtual Appliance), находится на каждом хосте ESXi 5 и обеспечивает проверку виртуальных машин на вирусы (см. компонент vShield Endpoint), после чего ПО в этом модуле может "лечить" зараженные ВМ после помещения в карантин.
VMware vSphere 5 знает о наличии таких специальных сервисных виртуальных машин, обеспечивающих безопасность, поэтому не перемещает их между хостами за счет технологии DRS.
VMware vShield 5 можно купить по отдельным компонентам (например, vShield App), кроме того, некоторые компоненты vShield 5 идут в комплекте поставки некоторых продуктов VMware (например, VMware View - там идет Endpoint). Также все компоненты vShield 5 можно купить в составе vShield Bundle.
За более подробной информацией обращайтесь в компанию VMC, которая, в том числе, оказывает услуги по внедрению инфраструктуры безопасности для VMware vSphere 5.
Компания StarWind Software, выпускающая самый лучший продукт для создания iSCSI-хранилищ для ваших серверов VMware vSphere и Mirosoft Hyper-V (см. тут и тут), объявила о выпуске решения StarWind Enterprise 5.7, которое предоставляет еще больше возможностей по созданию отказоустойчивых хранилищ (само собой, есть бесплатная версия StarWind 5.7 Free).
Этот релиз StarWind Enterprise 5.7 представляет собой первый шаг по переводу механизма отказоустойчивости хранилищ на новую архитектуру.
Перечислим основные новые возможности StarWind 5.7:
1. Улучшения механизма синхронизации. Теперь отсылка данных между узлами отказоустойчивого кластера происходит в асинхронном режиме. Это означает, что StarWind Enterprise HA теперь работает заметно быстрее. Подробности нового механизма работы HA вы можете прочитать в блоге у Константина, а мы приведем основную суть.
Ранее все работало следующим образом:
Когда iSCSI-пакет приходит на основной узел, он отправляет его на резервный. После того, как резервный узел получает пакет, он посылает iSCSI-команду подтверждения получения блока данных (ACK), только после получения которой основной узел передает ACK инициатору и записывает пакет на диск. Когда iSCSI-команд становилось много, они ставились в очередь и происходили некоторые задержки, поскольку постоянно нужно было совершать эти итерации.
Теперь все работает так (некий гибрид синхронного и асинхронного процессов):
Когда iSCSI-пакет приходит на основной узел, он отправляет его на резервный. И, не дожидаясь ACK от партнера, сразу посылается второй пакет. Когда очередь закончится, и второй узел запишет данные на диск, он отсылает ACK основному узлу, которые его уже передает инициатору. Так все работает значительно быстрее. Ну и защита от потери данных при сбое в канале синхронизации тоже есть.
2. Улучшения High availability. Появилось управление полосой пропускания канала синхронизации (QoS) - теперь можно регулировать приоритезацию трафика при синхронизации HA-узлов, что позволяет не забивать весь доступный канал и не затормаживать доступ к общему хранилищу. Для этого нужно выбрать пункт "Sync channel priorities" из контекстного меню HA-устройства.
По умолчанию для наибольшей безопасности приоритет стоит у канала синхронизации. Выставлять QoS нужно только на основном узле, на резервном он выставится автоматически.
3. Оптимизация канала. Теперь для оптимизации канала используется несколько параллельных iSCSI-сессий. В следующей версии StarWind Enterprise 5.8 это количество можно будет регулировать, а также возможна будет настройка количества каналов для Heartbeat.
4. Performance Monitoring - возможность отслеживания производительности дисковой подсистемы из Management Console (disk transfer rate, average number of I/O operations on targets, CPU and memory load on StarWind server). Выглядит это так:
5. Новая полезная оснастка - Snapshot Manager. Теперь можно управлять снапшотами через GUI. Для этого в контекстном меню для устройства нужно выбрать пункт "Snapshot Manager".
6. Улучшенный Event log. Теперь при наступлении события происходит нотификация администратора через иконку в System Tray.
7. Улучшения GUI. Теперь Targets и серверы могут объединяться в группы для удобства управления.
8. Экспериментальный "deduplication plugin". Он позволяет установить дедупликацию с размерами блока от 512Б до 256КБ на выбор (вместо 512Б сейчас), что позволяет увеличить производительность процесса дедупликации до десяти раз, при этом экономия пространства на дедупликации уменьшается всего на 10-15% (при сравнении 512 байтовых с 4кб блоками). Кроме того, значительно понизится нагрузка на ЦПУ и 90% уменьшятся требования к объёму ОЗУ.
9. ImageFile, DiskBridge. Поддержка режима Mode Sense page 0x3 для совместимости с iSCSI-инициатором Solaris.
Как вы знаете, только у нас вы можете прочитать самый полный список новых возможностей VMware vSphere 5 на русском языке, новой версии платформы виртуализации, которая выйдет в третьем квартале этого года (скорее всего, сразу после VMworld 2011). Новая версия будет построена только на базе VMware ESXi 5.
Сегодня мы хотим рассказать о новой версии VMware ESXi 5, которая (не волнуйтесь) останется в бесплатном варианте (правильно бесплатную версию VMware ESXi 5 нужно называть VMware vSphere Hypervisor). Но поскольку правила лицензирования теперь изменились (об этом там же), то нужно знать о важном ограничении, которое повлияет на большинство пользователей малого и среднего бизнеса, а именно:
Бесплатный VMware ESXi 5 позволяет использовать сколько угодно виртуальных машин на сервере, который имеет сколько угодно процессоров и ядер, но совокупная сконфигурированная память всех включенных виртуальных машин не должна превышать 32 ГБ.
Что такое сконфигурированная память виртуальной машины? Это та, которую вы выставляете в настройках при ее создании.
Звучит плохо, не правда ли - 32 ГБ памяти для всех запущенных виртуальных машин на сервере с бесплатным VMware ESXi 5? Но это так. Понятно дело, что для VMware ESXi 4.1 у вас на сервере для виртуальных машин, зачастую, выставлено больше памяти. Но этот тот способ, за счет которого VMware заставит вас купить хотя бы VMware vSphere 5 Essentials, где уже для каждого физического процессора сервера позволяется использовать 24 ГБ сконфигурированной памяти виртуальных машин (а значит, 48 ГБ на двухпроцессорный сервер).
VMware vSphere Hypervisor is a free product that provides a simple
and easy way to get started with virtualization at no cost...vSphere Hypervisor is entitled to 32GB of vRAM per server (regardless of the number of processors) and can be
utilized on servers with up to 32GB of physical RAM.
Хочется знать, то такое vRAM? Не проблема - vRAM is the entitlement of pooled virtual memory used across all active virtual machines on the system. Кстати, обратите внимание, что бесплатный VMware ESXi 5 можно использовать только на серверах, где установлено до 32 ГБ физической RAM.
Ну и, конечно, вам хочется знать, что произойдет, если вы превысите планку Entitled vRAM. В этом случае, после лимита в 32 ГБ, новая виртуальная машина просто не включится (это предварительная информация). Все очень просто - hard limit.
А вот какие улучшения и новые возможности появятся в бесплатном VMware ESXi 5:
8 виртуальных процессоров для виртуальной машины (vCPU)
Улучшенный фаервол для VMware ESXi 5 (см. видео тут)
Поддержка устройств USB 3.0
GUI для редактирования количества виртуальных ядер на виртуальный процессор
USB-устройства, подключаемые к ВМ со стороны клиента
Поддержка больших томов VMFS и RDM (до 64 ТБ) в VMFS 5
Поддержка EFI BIOS и гостевых ОС Mac OS 10.6
Поддержка смарт-карт для доступа к консоли виртуальных машин
Поддержка 3D-графики и Windows Aero
Становится понятным, что теперь возможны два варианта: или под давлением общественности VMware повысит планку используемой памяти для бесплатного VMware ESXi 5, или пользователи начнут массовые миграции на Microsoft Hyper-V и Citrix XenServer, которые потихоньку набирают силу в сегменте малого и среднего бизнеса.
Оставайтесь с нами. Еще интереснее дальше будут вещи. Кстати, по vSphere 5 появился еще вот такой интересный документик.
Компания VMware выпустила VMware View Client for Android - клиентское приложение для смартфонов и планшетов с ОС Android, с помощью которого можно получить доступ к корпоративным ПК предприятия на базе инфраструктуры VMware View. На данный момент продукт находится в статусе Tech Preview, его можно загрузить через Android Market.
Основные возможности, которыми обладает VMware View Client для Android:
Поддержка VMware View 4.6 и более поздних версий.
Поддержка только протокола PCoIP для доступа к виртуальным ПК.
A new look and feel – View Client for Android сделан в новом стиле, в отличие от других клиентов VMware View.
Multiple broker support – если у вас есть более одного одного сервера VMware View Connection Server, вы можете получить доступ к любому из них.
Desktop Shortcuts – к четырем десктопам можно получить через ярлыки на рабочем столе смартфона или планшета.
Virtual trackpad – удобное управление мышью внутри рабочего стола виртуального ПК.
Custom keyboard toolbar – простой доступ к клавишам, которых нет в стандартной клавиатуре на Android .
Honeycomb 3.x support – клиент разработан специально для Android и поддерживает все новые версии этой ОС, включая 3.x на планшетах.
Custom gestures – удобный функционал вызова клавиатуры, скроллинга и т.п.
VMware View Security Server support (best experience) – для клиента не нужен VPN при использовании VMware View Security Server (то есть, трафик прокируется через него - не нужен прямой доступ к серверам ESX от клиента).
Background tasking – удобное переключение между виртуальным ПК и другими задачами Android.
Как вы знаете, на днях было объявлено о выходе платформы виртуализации VMware vSphere 5. Наше любимое средство обеспечения информационной безопасности vGate R2 от компании Security Code, безусловно, будет поддерживает ее либо еще до выхода продукта, либо сразу после него (а пока о vGate R2 почитайте тут и тут, а также про поддержку ESXi).
VMware также объявила о выходе решения VMware vShield 5 для обеспечения безопасности vSphere 5, но если вы посмотрите сюда, то увидите, что vGate является наиболее эффективным средством защиты, в отличие от нишевого продукта vShield.
А сегодня мы поговорим о том, как дополнительно можно защитить инфраструктуру VMware vSphere, в которой работает средство vGate R2, ведь помимо программных средств обеспечения безопасности, нужно обезопасить инфраструктуру еще и на физическом уровне в организациях с повышенными требованиями к ИБ и в компаниях, работающих с конфиденциальными данными. Кроме того, актуальна проблема защиты данных внутри виртуальных машин, которые для VMware являются, по-сути, "черными ящиками".
Продукт Secret Net является сертифицированным средством защиты информации от несанкционированного доступа и позволяет привести автоматизированные системы в соответствие требованиям регулирующих документов:
№98-ФЗ ("О коммерческой тайне")
№152-ФЗ ("О персональных данных")
№5485-1-ФЗ ("О государственной тайне")
СТО БР (Стандарт Банка России)
Этот продукт можно использовать для защиты от несанкционированного доступа следующих объектов виртуальной инфраструктуры vSphere:
Защита виртуальных машин от НСД (разграничение доступа, контроль устройств, управление политиками доступа к информации в гостевой ОС, мониторинг и аудит событий ИБ).
Защита сервера авторизации vGate R2 (несанкционированный доступ к функциям администратора информационной безопасности). Надо отметить, что сервер авторизации также может быть физической машиной, что требует дополнительных мер по его защите (см. ПАК "Соболь").
Защита рабочего места администратора VMware vSphere (не является компонентов виртуальной инфраструктуры, а значит требует дополнительной защиты)
Более детально о продукте Secret Net можно почитать здесь.
Электронный замок «Соболь» - это аппаратно-программное средство защиты компьютера от несанкционированного доступа (аппаратно-программный модуль доверенной загрузки).
Если виртуальные машины мы можем защитить за счет их доверенной загрузки средствами vGate R2, то физические компоненты виртуальной инфраструктуры нужно наиболее тщательно защищать от злоумышленников за счет специализированных аппаратно-программных средств. Таким средством и является ПАК "Соболь" (как видно из картинки, это специальная плата и ПО). Его можно использовать для защиты следующих объектов виртуальной инфраструктуры vSphere:
Доверенная загрузка сервера авторизации vGate R2
Доверенная загрузка серверов ESXi и ESX
В качестве альтернативного или дополнительного метода защиты сервера авторизации и серверов ESX / ESXi могут применяться организационные меры, заключающиеся в физическом
ограничении доступа к оборудованию со стороны возможных нарушителей.
Более подробно о ПАК "Соболь" можно почитать здесь.
Все эти средства прекрасно живут и работают с vGate R2. Если есть какие-то вопросы - задавайте в каментах.
Параллельно с релизом новой версии платформы виртуализации VMware vSphere 5 компания VMware объявила о выходе новых версий еще нескольких продуктов своей линейки для организации частных облаков. Один из них - VMware Site Recovery Manager 5, где появилось несколько полезных новых возможностей и улучшений.
Взглянем на общую картину улучшений:
Как мы видим, основных моментов, отличающих VMware SRM 5 от предыдущей версии, три - это репликация на уровне хостов VMware ESXi 5, возможность запланированных миграций и автоматизированный failback (восстановление на основную площадку с резервной после восстановления работы первой).
Рассмотрим сначала репликацию на уровне хоста (Host Based Replication):
Теперь нам предлагается 2 вида репликации в VMware Site Recovery Manager 5. Наиболее критичные виртуальные машины (Tier 1 apps) мы защищаем с помощью репликации на уровне дисковых массивов (а значит, это дорого), а менее критичные (Tier 2) мы защищаем с помощью Host Based Replication. Под менее критичными приложениями мы подразумеваем такие, у которых требования к точке восстановления составляют от 15 минут до 24 часов (именно для таких и применяется репликация).
Взглянем на репликацию в VMware Site Recovery Manager 5 поближе:
На каждом хосте VMware ESXi 5 у нас работает vSphere Replication Agent (VSR Agent), который передает все данные об изменении виртуальных дисков машин на резервный сайт в асинхронном режиме с некоторым интервалом. Наличие агента означает, что репликация на базе хоста будет работать только, начиная с VMware ESXi 5.
На резервном сайте работает vSphere Replication Server, который собирает данные об изменениях виртуальных дисков с основной площадки и применяет их к виртуальным машинам на хранилищах резервного сайта. Также на обеих площадках есть компонент vSphere Replication Management Server, который тесно интегрирован с vCenter и SRM и необходим для управления процессом репликации, а также чтобы управлять несколькими vSphere Replication Server, потому как какждый из них обслуживает около 100 машин.
Рассмотрим теперь новый рабочий процесс - Planned Migrations:
Теперь, помимо основного процесса DR Failover, в VMware SRM 5 есть процесс Planned migration (он входит в Recovery Plan). Он позволяет выключить виртуальные машины, синхронизировать хранилища и переместить виртуальные машины на резервную площадку. Поскольку машины выключаются корректно, они переезжают на резервную площадку без вреда для приложений и данных.
Данный процесс может быть полезен для обслуживания основного сайта, тестирования возможности восстановления и просто для переезда виртуальных машин на резервную площадку по необходимости. Ну и, по-сути, на практике его можно применять, когда команда основной площадки знает, что через некоторое время основной сайт будет выведен из строя и есть возможность машины на некоторое время остановить для миграции.
Ну и третье наиболее значимое нововведение VMware Site Recovery Manager 5 - Automated Failback:
Это та возможность, которую так долго ждали пользователи VMware SRM. Теперь в продукте есть механизм реализации двунаправленных миграций за счет автоматизации операций по переключению с резерва на основной сайт (Failback).
При инициации Failback, VMware SRM 5 взаимодействует с массивом, чтобы повернуть репликацию в обратную сторону, а затем выполняет Recovery Plan в обратном направлении в отношении основного сайта (то есть отдельный план восстановления для Failback не нужен).
Для данной возможности SRM 5 есть два ограничения:
основной сайт не должен измениться после восстановления (то есть там нельзя снова переустановить хосты ESXi)
эта функция не работает с vSphere Host Based Replication
Лицензирование VMware Site Recovery Manager 5
Ну и рассмотрим, что изменилось в лицензировании VMware Site Recovery Manager 5. У нас есть теперь два издания SRM - Standard и Enterprise, оба с одинаковым функционалом:
Как видно из таблицы, единственная разница - это то, что в издании SRM Standard есть ограничение на 75 виртуальных машин на одной площадке. Здесь отчетливо видно, что цена в $195 за виртуальную машину для издания Standard (а значит, и для среднего и малого бизнеса) - это попытка конкурировать с продуктом Veeam Backup and Replication 5, который еще со своей первой версии умеет делать репликацию виртуальных машин между площадками. Однако здесь совершенно понятно, что даже при 7 виртуальных машинах на двухпроцессорный хост (а это немного) - VMware SRM уже проигрывает по цене Veeam Backup and Replication (а в последнем есть помимо репликации еще много чего).
Маппинг лицензий существующих пользователей VMware Site Recovery Manager на пятую версию будет проходить так:
Обновление на VMware SRM 5 для пользователей с активной подпиской и поддержкой (SnS) происходит бесплатно. Все получают издание SRM Enterprise, однако есть нюанс: те, кто покупал SRM по процессорам хостов ESX / ESXi теперь получают лицензии по количеству виртуальных машин из расчета 5 лицензий на ВМ для одной купленной ранее лицензии на процессор (невыгодно, да, а что делать). Это потому, что VMware SRM уже достаточно давно лицензируется только по количеству защищаемых виртуальных машин.
Вот вкратце и все. Если у вас будет интерес к тому, чтобы мы подетальнее описали VMware Site Recovery Manager 5 - то сделаем технический обзор.
Компания VMware в июле 2011 года объявила о доступности новых версий целой линейки своих продуктов для облачных вычислений, среди которых находится самая технологически зрелая на сегодняшний день платформа виртуализации VMware vSphere 5.0.
Мы уже рассказывали об основном наборе новых возможностей VMware vSphere 5.0 неофициально, но сейчас ограничения на распространение информации сняты, и мы можем вполне официально рассказать о том, что нового для пользователей дает vSphere 5.
Сегодня, в 20-00 по московскому времени, состоится онлайн-мероприятие под названием "Raising the Bar, Part V", вести которое будет, в частности Пол Мориц, глава компании VMware. Вот по этой ссылке можно зарегистрироваться на мероприятие.
В этом вебкасте нам расскажут о VMware vSphere 5 и новых инициативах компании в сфере облачных вычислений (vCloud). Бонус - весьма вероятен синхронный перевод на русский язык. Таги: VMware, vSphere, Update, Cloud, Cloud Computing, vCloud, Enterprise
Сегодня мы поговорим о защите от несанкционированного доступа к различным компонентам инфраструктуры VMware vSphere с помощью vGate R2. Мы уже писали о том, как с помощью vGate R2 можно автоматически настроить vSphere в соответствии с политиками ИБ, а также обсуждали экономический эффект, а теперь углубимся в защиту от НСД...
Некоторым из вас должен быть знаком проект pfSense, который представляет собой разработку программного фаервола и роутера на базе дистрибутива FreeBSD. Это средство есть также в виде виртуального модуля (Virtual Appliance), которое можно импортировать в VMware vSphere в качестве уже готовой машины. Также Eric Sloof сделал его в в формате OVA.
Естественно, pfSense - это бесплатно и open source. Для продукта доступно огромное количество модулей, за счет которых можно расширять функционал.
У Duncan'а Epping'а появилась познавательная статья о том, как перенести ваш текущий сервер VMware vCenter 4.0, 32-битная версия которого еще была в VMware vSphere 4.0 на платформу 64-бит (начиная с 4.1) с сохранением всей иерархии объектов, задач и данных о производительности.
Во-первых, если вы скачаете пакет VIM (VMware Infrastructure Management) с дистрибутивом vCenter 4.1, в ISO-архиве вы найдете папку datamigration с файлом datamigration.zip:
Теперь вам нужно сделать следующие шаги:
1. Поднять новый VMware vCenter 4.1 64-bit.
2. Открыть этот datamigration.zip и скопировать его содержимое в папку datamigration на вашем 32-битном сервере vCenter 4.0.
3. Остановить службы vCenter Service, Update Management Service и vCenter Web Service.
4. Запустить backup.bat.
5. После завершения процесса бэкапа скопируйте всю папку datamigration на целевой хост vCenter 4.1 64-bit (в то же место).
6. Запустите install.bat.
Далее:
Подтвердите имя vCenter Server и нажмите Y
Укажите путь к установочным файлам vCenter
Укажите путь к установочным файлам VMware Update Manager (по умолчанию, тот же)
Высветится окошко о том, что базы данных будут восстановлены на новом сервере
Продится все это минут 15, после чего можно запускать vSphere Client и смотреть на новый сервер со всеми сохранившимися тасками, объектами, иерархией и т.п.
На сегодняшний день есть несколько средств для анализа текущего состояния виртуальной инфраструктуры VMware vSphere на предмет соответствия требованиям информационной безопасности, а также непосредственно для обеспечения этой самой безопасности.
Наиболее популярны продукты Security Code vGate R2 и VMware vShield (у обеих компаний есть бесплатные анализаторы безопасности vSphere - vGate Compliance Checker и VMware Compliance Checker). Но, дело в том, что нужны они для совершенно разных целей. Причем vGate R2 на практике для пользователей VMware оказывается значительно полезнее vShield, поскольку последний сосредоточен только на сетевой защите (+ интеграция с антивирусами), а vGate R2 позволяет автоматически настроить среду VMware vSphere в соответствии с требованиями ИБ на базе политик, а также защитить различные объекты инфраструктуры от несанкционированного доступа. К тому же, vGate еще имеет сертификат ФСТЭК, что немаловажно для российских компаний, стремящихся обеспечить соответствие нормам ФЗ 152.
Давайте посмотрим на сравнение функциональности продуктов vGate R2 и vShield в разрезе задач по обеспечению ИБ, которые стоят перед компаниями, использующими виртуализацию VMware. Информация взята из брошюры "Cравнение функциональных возможностей vGate R2 и VMware vShield". В таблице также приведены возможности продукта TrustAccess, который также делает компания Код Безопасности.
Возможности/показатели
vGate R2
TrustAccess
vShield (App+Edge+Endpoint/Zones)
Межсетевое экранирование различных типов
Дополнительные лог-файлы событий
информационной безопасности
Контроль доступа к элементам инфраструк-
туры (дискреционное и мандатное управление доступом)
Автоматическое приведение конфигурации
виртуальной инфраструктуры в соответствие положениям PCI DSS, VMware Security
Hardening Best Practice и CIS VMware ESX
Server 3.5 Benchmark
Согласование готовой виртуальной машины
у администратора информационной безопасности
Запрет доступа администраторов виртуальных инфраструктур к данным виртуальных
машин
Создание отчетов о произошедших событиях
информационной безопасности и внесенных
изменениях в конфигурацию
Создание отчетов о соответствии PCI DSS,
VMware Security Hardening Best Practice и
CIS VMware ESX Server 3.5 Benchmark
Создание отчетов о текущем статусе конфигурации системы безопасности
Регистрация попыток доступа к инфраструктуре
Контроль целостности и доверенная
загрузка виртуальных машин
Сертификаты ФСТЭК России для защиты
конфиденциальной информации и персо-
нальных данных
СВТ5, НДВ4
(АС 1Г и ИСПДн К1)
МЭ2, НДВ4
(АС 1Г и ИСПДн К1)
Сертификаты ФСТЭК России для защиты
государственной тайны
СВТ3, НДВ2
(АС 1Б и ИСПДн К1)
*Проходит сертификационные испытания
МЭ2, НДВ2
(АС 1Б и ИСПДн К1)
Как видно из таблицы, vGate R2 обеспечивает очень много возможностей тем организациям, которые хотят правильно настроить конфигурацию VMware vSphere с точки зрения безопасности, а также защитить ее от НСД, особенно от своих собственных администраторов (для этого все действия фиксируются и попадают в отчет).
Если говорить о стоимости решения Кода Безопасности, то она вполне кокурентна:
Вариант покупки / Продукт
vGate R2
TrustAccess
vShield App
vShield Edge
vShield Zones
vShield Manager
vShield Endpoint
Ориентировочная стоимость решения Кейс 1
небольшая инфраструктура
30 виртуальных машин
(15 с серверными операционными системами)
3 сервера
(по 2 физических процессора)
236,000 руб.
195,000 руб.
263,465 руб.
263,465 руб.
87,840 руб.
Бесплатный (вклю-
чен в поставку
некоторых редакций
vSphere)
Бесплатный
(при условии
покупки одного из
продуктов семей-
ства vShield)
Ориентировочная стоимость решения Кейс 2
инфраструктура средних размеров
100 виртуальных машин
(50 с серверными операционными системами)
10 серверов
(по 2 физических процессора)
579,000 руб.
575,000 руб.
526,931 руб.
526,931 руб.
175,681 руб.
--
--
Ориентировочная стоимость решения Кейс 3
крупная инфраструктура
200 виртуальных машин
(100 с серверными операционными системами)
20 серверов
(по 2 физических процессора)
1069,000 руб.
1110,000 руб.
1053,862 руб.
1053,862 руб.
351,362 руб.
--
--
Бесспорно, и у vShield есть несколько преимуществ перед vGate R2, ведь vGate не замахивается на нишу vShield (я бы сказал, что продукты дополняют друг друга). Но если дело касается практических задач ИБ на предприятии, то vGate R2 - куда полезнее.
Как знают пользователи VMware vSphere, в версии платформы 4.1 появилась новая возможность по управлению приоритетами ввода-вывода виртуальных машин для хранилищ на уровне кластера под названием Storage IO Control (SIOC). Но эта функциональность доступна только в издании vSphere Enterprise Plus, что оставляет множество пользователей за бортом.
В рамках одного хост-сервера VMware ESX / ESXi есть механизм по управлению приоритетами ВМ для хранилищ с помощью Disk Shares (в настройках ВМ). Однако эти приоритеты могут быть заданы только в относительных значениях, что тоже в некоторых случаях неудобно.
В версии VMware vSphere 4.1 появилась возможность задать параметры ограничения ввода-вывода для конкретных ВМ с помощью абсолютных значений (в числе операций в секунду - IOPS и в пропускной способности в секунду - MBps). Это может пригодиться для отдельных виртуальных машин, для которых есть риск "забивания" канала к системе хранения.
Как можно эти параметры добавлять:
Нажмите Edit Settings для выключенной виртуальной машины.
Перейдите на вкладку Options.
В категории Advanced: General нажмите кнопку Configuration Parameters.
Нажмите Add Row.
Далее можно добавить 2 параметра (обратите внимание, что они задаются для каждого виртуального диска):
sched.<diskname>.throughputCap = <value><unit>
Например:
sched.scsi0:0.throughputCap = 10KIOps
sched.<diskname>.bandwidthCap = <value><unit>
Например:
sched.scsi0:0.bandwidthCap = 10KBps
В качестве значений можно использовать буквы K (KBps или KIOps), M (MBps или MIOps) и G (GBps или GIOps). Подробнее в KB 1038241.
По наблюдениям автора, если задать оба параметра для виртуального диска, они будут проигнорированы хост-сервером. А если для каждого диска одной ВМ задать определенные лимиты, то для каждого из этих дисков лимит установится как сумма для двух (то есть, если мы поставим 100IOps и 50IOps, лимит для каждого диска станет 150IOps).
Напоминаю, что работает это только, начиная с VMware vSphere 4.1 (и для ESX, и для ESXi).
Пока все обсуждают то, что из Citrix ушли ключевые люди, а 12 июля VMware объявит о своей платформе VMware vSphere 5, мы расскажем о другом.
Хорошая новость для тех, кому необходимы средства для защиты инфраструктуры виртуализации VMware vSphere. Как многие знают, есть такое семейство продуктов VMware vShield, среди которых есть средства для обеспечения безопасности виртуальных машин, хост-серверов ESX / ESXi и периметра датацентра.
Теперь суть новой промо-акции. Любой пользователь VMware, приобретающий продукт VMware vSphere до 15 сентября 2011 года, получает бесплатно 50 лицензий на VMware vShield Data Security. Кстати, не очень понятно пока, какие именно компоненты vShield включены в промо-пакет, ведь как такого продукта VMware vShield Data Security еще нет, он выйдет несколько позже. При этом по данному промо, к пакету идет бесплатно поддержка и подписка на обновления на 1 год (SnS).
Исключение из акции составляют пакеты ПО VMware vSphere Essentials и VMware vSphere Essentials Plus, которые как всегда в пролете.
Список парт-номеров и названия продуктов, участвующих в акции, приведен здесь. Так что не забывайте задать вопрос своему поставщику VMware про данную акцию.
Продолжаем вам рассказывать о средстве vGate от компании Код Безопасности, которое необходимо для двух важных с точки зрения информационной безопасности вещей: защиты компонентов VMware vSphere от несанкционированного доступа (НСД) и автоматической настройки среды VMware vSphere (хосты ESX и виртуальные машины) в соответствии со стандартами и регламентами по обеспечению безопасности виртуальных инфраструктур.
На фоне грядущей ответственности за неисполнения норм ФЗ 152 продукт vGate R2 будет вам очень полезен, тем более, что он имеет сертификат ФСТЭК. Согласно сертификату ФСТЭК России №2308, программное средство защиты информации разработки компании «Код Безопасности» vGate R2 предназначено для защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну, и может применяться в автоматизированных системах уровня защищенности до класса 1Г включительно и в информационных системах персональных данных (ИСПДн) до класса К1 включительно.
А сегодня - еще одна важная новость. В данное время продукт vGate R2 с поддержкой ESXi передан во ФСТЭК России для прохождения инспекционного контроля. Поступление сертифицированного продукта в продажу ожидается в августе 2011 года (т.е. ближе к релизу vSphere 5).
"При разработке новой версии vGate R2 мы постарались учесть все пожелания наших заказчиков. Теперь vGate R2 поддерживает ESXi-сервера, а также содержит новые встроенные наборы шаблонов для АС по требованиям ФСТЭК и для ИСПДН по требованиям СТО БР ИББС. Реализованные в новой версии vGate R2 функции значительно облегчат приведение виртуальных инфраструктур в соответствие законодательству, обеспечат непрерывность в соблюдении политик безопасности и позволят сократить затраты на обеспечение ИБ. На этом мы не останавливаемся и продолжаем дальше развивать vGate с учетом пожеланий наших заказчиков. Сегодня любой желающий может внести свой вклад в развитие vGate, предложив идею относительно развития функционала продукта на нашем сайте", - отметила Мария Сидорова, заместитель руководителя направления "Защита виртуальных инфраструктур" компании «Код Безопасности».
Свой вклад в развитие продукта vGate R2 можно внести, оставив комментарий вот в этой форме на сайте Кода Безопасности.
Скачать пробную версию vGate R2 можно по этой ссылке (вам выдадут лицензию на 60 или 90 дней). В ближайшее время мы подробно рассмотрим механизм защиты информации в виртуальной инфраструктуре VMware vSphere от несанкционированного доступа, а также расскажем о процессе установки vGate R2.
Мы уже писали об утилите VDI Sizing Tool от отчественного разработчика Василия. Она позволяет сымитировать нагрузку на виртуальные ПК предприятия (VMware View или Citrix XenDesktop) с помощью специальных агентов и измерить производительность решения (старт приложений, создание RDP-сессии и т.д.).
Недавно вышла версия VDI Sizing Tool 0.2. В новой версии утилиты появилась поддержка VMware View Client для протоколов RDP и PCoIP. А
на сайте автора появилась статья про сравнение потребления ресурсов
протоколами PCoIP и RDP:
В документе детально описана концепция Dynamic Memory, технологии, появившейся в Microsoft Windows Server 2008 R2 SP1, рассмотрены варианты ее применения и настройки, а также даны лучшие практики по ее использованию в производственной среде. Документ весьма понятный и очень нужный для администраторов Hyper-V.
Второе - несколько интересных документов от Veeam Software, выпускающей продукт номер один Veeam Backup and Replication 5 для создания систем резервного копирования VMware vSphere. Документы написаны известными блоггерами, давно пишущими о виртуализации на базе VMware.
VMware Recovery: 77x Faster! - интересный документ о практическом применении новейших технологий в продукте Veeam Backup: мгновенное восстановление ВМ из резервных копий, верификация резервных копий в автоматических лабораториях и восстановление отдельных объектов приложений. Все с интересными картинками.
Третье - очередной документ "Project Virtual Reality Check Phase IV" от Login Consultants. Вы их уже знаете по заметкам у нас тут и тут. Коллеги сравнивают производительность различных продуктов и технологий в сфере виртуализации и выкладывают результаты в открытый доступ. На этот раз сравнивались продукты для виртуализации приложений в инфраструктуре VDI: Citrix Application Streaming (XenApp), Microsoft App-V и VMware ThinApp.
Интересно, что VMware ThinApp бьет почти все остальные варианты:
StarWind Enterprise iSCSI Target в виде VSA позволит вам создать хранилища для виртуальных машин VMware vSphere или Microsoft Hyper-V в виде виртуальных серверов хранения (в ВМ), которые развертываются из уже готовой машины StarWind VSA. Для платформ ESX / ESXi и Hyper-V компания StarWind выпустила отдельные версии. Сам виртуальный модуль построен на базе Gentoo Linux и не требует отдельной лицензии Windows.
Отличительная особенность от аналогичных продуктов, поставляемых в виде виртуальных модулей (например, Openfiler) - это то, что с помощью этих модулей можно создать хранилища с высокой доступностью, которые в случае выхода из строя одного из узлов (т.е. ВМ или хост-сервера) мгновенно переключается на работу с синхронизированным резервным хранилищем.
О решении для создания хранилищ StarWind Enterprise iSCSI в виртуальных машинах мы уже писали тут. Его можно использовать для филиалов и небольших компаний, где нет возможности закупить дорогостоящие системы хранения данных, и даже нет денег на покупку отдельных серверов хранения.
Установка продукта StarWind VSA очень проста - вы импортируете виртуальный диск на хранилище VMware ESX или ESXi (понятное дело, что это может быть как локальный том VMFS, так и общее хранилище NFS/VMFS), создаете новую виртуальную машину, к которой подцепляете этот диск vmdk, а также еще один виртуальный диск для хранения данных виртуальных машин, которые будут защищены с помощью высокой доступности.
Конфигурацию машины StarWind VSA рекомендуется сделать такой (пока нет точной информации по этому поводу):
Guest OS - other Linux 64 bit
RAM - 1 GB
2 vNIC
можно поставить paravirtualized SCIS-контроллер для диска с данными
После загрузки этой машины, на стартовом скрине можно будет увидеть IP-адрес, полученный по DHCP, а дальше ее можно подцепить с помощью StarWind Management Console, где уже настраиваются сетевые и прочие параметры:
Процесс установки для платформы Hyper-V в принципе аналогичен. Понятное дело, когда выйдет релизная версия StarWind VSA, она будет поставляться в виде виртуального модуля OVF, чтобы машину можно было сразу импортировать на ESX.
Насчет логина и пароля к Linux-консоли StarWind VSA. Это vsa и starwind, соответственно. Для добавления VSA к консоли управления логин и пароль остались теми же: root и starwind.
Скачать StarWind VSA сейчас можно бесплатно и без регистрации с пробной лицензией на 120 дней по этой ссылке.
Как знают администраторы систем хранения данных, у различных компонентов SAN-сети есть такой параметр как глубина очереди (Queue Depth). Он есть у HBA-адаптера сервера (на котором, например, работает VMware ESX / ESXi) и у порта Storage Processor'а системы хранения (SP). Глубина очереди определяет сколько операций ввода-вывода (IO) может быть одновременно обработано на устройстве.
Как мы уже писали, если до SP со стороны сервера ESX / ESXi используется один активный путь, то глубина очереди целевого порта массива (T) должна удовлетворять следующему соотношению:
T >= Q*L,
где Q - это глубина очереди на HBA-адаптере, а L - число LUN, обслуживаемых SP системы хранения. Если у нас несколько активных путей к одному SP правую часть неравенства надо еще домножить на P - число путей.
Соответственно, в виртуальной инфраструктуре VMware vSphere у нас несколько хостов имеют доступ к одному LUN через его SP и получается следующее соотношение:
T>= ESX1 (Q*L*P) + ESX2 (Q*L*P)+ и т.д.
Queue Depth на серверах
По умолчанию, для хостов VMware ESX / ESXi значение Queue Depth равно 32, как его изменить, читайте у нас тут и вот тут. Теперь внимание: этот параметр имеет значение только когда у вас только одна виртуальная машина на хост-сервере использует конкретный LUN. Если его используют уже 2 машины, то он игнорируется, а в действие вступает следующая расширенная настройка (Advanced Setting - как его задавать описано тут):
Disk.SchedNumReqOutstanding (DSNRO)
Этот параметр также по умолчанию равен 32. Он глобально определяет, сколько операций ввода-вывода (IOs) может максимально выдать одна виртуальная машина на LUN одновременно. В то же время, он задает это максимальное значение в IOs для всех виртуальных машин на этот LUN. То есть, если задано значение 32, то все машины могут одновременно выжать 32 IOs, это подтверждается в статье Jason Boche, где 3 машины генерируют по 32 одновременных IO к одному LUN, а реально к LUN идут все те же 32, а не 3*32:
Здесь видно, что активно выполняется 30 команд (максимально 32) для параметра DQLEN, а остальные 67 остаются в очереди. То есть параметр определяет максимальную планку в IO как для одной машины на LUN, так и для всех машин на LUN.
Важно, чтобы параметры Queue Depth и DSNRO были установлены в одно и то же значение. Это рекомендация VMware. Так что, если вздумаете изменить один из них - не забудьте и про второй. И помните, что параметр DSNRO для хоста - глобальный, а значит будет применяться ко всем LUN, подключенным к хосту.
Target Port Queue Depth на массивах
Для дискового массива (а точнее, SP) очередь - это то, куда он сладывает SCSI-команды в то время, пока обрабатывается и выполняется пачка предыдущих. Нормальный midrange-массив имеет глубину очереди 2048 и более. Если массив получает в очередь команд IO больше значения Target Port Queue Depth, то он назад выдает команду QFULL, которая означает, что очередь заполнена и хост-серверу нужно с этим что-то делать. VMware ESX / ESXi реагирует на это следующим образом - он уменьшает очередь на LUN и периодически (каждые 2 секунды) проверяет, не исчезло ли QFULL, и если исчезло, то начинает постепенно увеличивать глубину очереди для этого LUN (это может занять до одной минуты). Это и есть причины тормозов, которые часто возникают у пользователей VMware ESX / ESXi.
Как управлять очередью и адаптивный алгоритм VMware
Теперь становится понятным, почему мы сразу не выставляем параметр Disk.SchedNumReqOutstanding на хостах VMware ESX / ESXi в максимальное значение - мы можем вызвать QFULL на SP массива. С другой стороны, уменьшать его тоже нехорошо - мы ограничим количество операций IO с хоста на LUN.
Поэтому здесь нужен гибкий подход и он есть у VMware (adaptive queue depth algorithm). Работает он таким образом: мы его активируем с помощью параметров Disk.QFullSampleSize и Disk.QFullThreshold в Advanced Settings. Они влияют вот на что:
QFullSampleSize - если число число ответов QFULL (оно же BUSY) превысит его, то ESX / ESXi наполовину обрежет глубину очереди (LUN queue depth)
QFullThreshold - если число ответов о том, что QFULL или BUSY больше нет, превысит его, то ESX / ESXi будет постепенно увеличивать LUN queue depth на 1 (вроде бы, каждые 2 секунды).
Но сколько бы не уменьшалось DQLEN - ниже заданного нами значения DSNRO оно не упадет. Это защищает нас от неожиданного провала в производительности. Кстати, эти параметры тоже глобальные - так что если один (например, тормозящий) массив с хоста будет подвергаться такому адаптивному эффекту со стороны ESX / ESXi, то и для другого (например, производительного) тоже будут выполняться такие фокусы.
Теперь, что дополнительно можно почитать на эту тему:
То есть мораль всей басни такова - дефолтные зачения DSNRO и Queue Depth подходят для большинства случаев. Но иногда имеет смысл изменить их. Но в этом случае надо учитывать параметры системы хранения данных, структуру SAN, количество LUN и другие параметры, влияющие на производительность ввода-вывода.
Как вы знаете, есть такой хороший продукт vGate 2, который производится нашим спонсором - компанией "Код Безопасности" (об основных его возможностях можно почитать в нашей статье). Нужен он для двух важных с точки зрения информационной безопасности вещей: защиты компонентов VMware vSphere от несанкционированного доступа (НСД) и автоматической настройки среды VMware vSphere (хосты ESX и виртуальные машины) в соответствии со стандартами и регламентами по обеспечению безопасности виртуальных инфраструктур (это экономит деньги, которые вы должны были бы потратить на консультантов, обучение своих специалистов и ручную настройку виртуальной среды).
Кстати, важная новость. Вышел vGate 2 с полной поддержкой VMware ESXi 4.1 (об этом мы писали тут, но продукт был еще в бете). Скачать vGate 2 для VMware ESXi можно тут.
Но сегодня мы поговорим о том, как было бы неплохо организовать безопасную инфраструктуру доступа системных администраторов VMware vSphere к различным компонентам среды виртуализации. Это нужно для того, чтобы понимать как правильно наладить контроль за серверами ESX / ESXi и виртуальными машинами со стороны vGate, а также разграничить доступ к этим объектам в рамках зон ответственности администраторов vSphere.
Логичной выглядит следующая схема построения локальной сети в контексте доступа к компонентам виртуальной инфраструктуры:
Немного опишем ее:
Выделяем на уровне домена безопасности отдельно сеть администрирования инфраструктуры vSphere. Она содержит серверы ESX / ESXi, сервер vCenter, а также сервер авторизации vGate. Сам сервер авторизации имеет два сетевых адаптера - одним он смотрит в сети администрирования vSphere, а другим во внешнюю сеть предприятия, где находятся рабочие станции администраторов. Таким образом из последней сети в сеть управления можно попасть исключительно через сервер авторизации vGate (компоненты vGate выделены зеленым). На рабочих местах администраторов vSphere и администратора ИБ также установлены клиентские компоненты vGate.
В отдельную подсеть нужно выделить сеть репликации ВМ (та, что для vMotion и Fault Tolerance).
В отдельную подсеть выделяем сеть для IP-хранилищ (NFS/iSCSI).
Ну и, само собой, сеть виртуальных машин тоже должна быть отдельной. Разделение сетей на хостах ESX / ESXi лучше делать на базе тегирования на уровне виртуального коммутатора (см. виды тэгирования).
Если взглянуть на разделение сетей со стороны сетевых адаптеров хост-сервера ESX сервера авторизации vGate, мы получим такую картину:
После конфигурирования локальной сети обязательно следует настроить маршрутизацию между подсетями, а также убедиться в наличии доступа с рабочих мест администраторов vSphere к элементам управления виртуальной инфраструктурой (vCenter и хост-серверы).
Вот основные варианты настройки маршрутизации (АВИ - это администратор виртуальной инфраструктуры):
Компания VMC, золотой партнер компании Veeam Software, ведущего поставщика решений для управления инфраструктурой VMware vSphere, объявляет о запуске промо-программы, которая позволит пользователям Veeam Backup and Replication осуществить обновление своего продукта до издания Enterprise по минимальной цене - со скидкой 40%.
40% скидка от прайс-листа на обновление продукта Veeam Backup & Replication Standard до версии Enterprise (различия изданий)
40% скидка от прайс-листа на обновление продукта Veeam Backup & Replication Standard до пакета продуктов Veeam Management Suite Plus (включает Veeam Backup Enterprise, а также Veeam Reporter и Veeam Monitor)
Внимание: акция действует только для клиентов Veeam, которые приобрели продукт до 1 марта 2011 года.
При внесении различных параметров в конфигурационные файлы виртуальной машины на VMware ESX могут возникнуть различные ошибки. При этом виртуальная машина может до некоторого времени работать корректно.
Есть способ проверить vmx-файл на предмет наличия в нем ошибок (опечаток, например, в путях к рабочим директориям и т.п.). Для этого есть команда:
/usr/bin/vmware-configcheck <путь к vmx-файлу>
Она проверяет его на соответствие правилам оформления, приведенным в файле /etc/vmware/configrules.
В случае успешной проверки результат будет таким:
А в случае неуспешной - будет выведен результат FAIL и описание ошибки конфигурации.
В первой части статьи о файлах журнала VMware ESX (логах) мы описали их размещение и назначение. Но поскольку готовящаяся к выходу платформа VMware vSphere 5 будет построена только на базе платформы VMware ESXi (см. нашу серию статей), то сегодня мы поговорим о том, где находятся логи ESXi и как их можно посмотреть.
Если открыть консоль ESXi через консоль Tech Support Mode или по SSH мы можем увидеть следующую структуру основных логов:
/var/log/vmware/hostd.log – это лог службы хоста VMware ESXi (host daemon - служба, управляющая хостом)
/var/log/vmware/vpx/vpxa.log – лог агента vCenter (который управляет через агент хоста). Этого лога не будет если ESXi работает не под управлением vCenter.
/var/log/messages – Syslog Log (это комбинация логов vmkernel и hostd)
/var/log/sysboot.log - System boot log (лог загрузчика хоста)
/var/log/vmware/aam/vmware_<hostname>-xxx.log - Automatic Availability Manager (AAM) logs (лог агента VMware HA). Этого лога не будет если ESXi работает не под управлением vCenter.
NB: Обратите внимание, что при установке VMware ESXi по умолчанию логи хранятся в разделе Scratch Partition, который находится в памяти в виде RAM-диска. После перезагрузки хоста - они будут удалены, если вы не настроили этот раздел для хранения, в том числе, логов.
Теперь как эти логи на ESXi можно посмотреть. Есть аж 5 способов.
1. Через DCUI (Direct Console User Interface).
В главном меню System Customization, куда вы попадаете по кнопке F2 на самом сервере, выберите пункт "View System Logs":
Также в DCUI можно по комбинации клавиш Alt+F12 увидеть лог vmkernel.
Также вы можете зайти в консоль и перейти в папку с логами (/var/logs):
2. Через веб-браузер.
Просто наберите в адресной строке https://<esxi ip address>/host, после чего введите имя пользователя и пароль root.
3. Использование Syslog-сервера для VMware ESXi.
Вы можете настроить Syslog-сервер для ваших хостов ESXi в целях организации удаленного логирования. Для этих целей вполне можно использовать бесплатный продукт vSphere Management Assistant (vMA). Подробно это описано тут:
Кстати, по умолчанию сообщения логов vpxa и hostd (/var/log/vmware/vpx/vpxa.log и /var/log/vmware/hostd.log) дублируются в /var/log/messages. Если вы хотите это отключить (чтобы там было меньше флуда), используйте вот эту заметку.
Оказывается, на сайте Microsoft есть калькулятор для сравнения цен на приобретение решений VMware vSphere и Microsoft Hyper-V (с другими компонентами System Center). Там есть три сценария внедрения виртуализации в организации: базовая консолидация, виртуализация для среднего и малого бизнеса (СМБ), а также виртуализация для Enterprise-сектора.
Если мы выберем виртуализацию для СМБ, то увидим такую картинку:
Красненьким выделено то, насколько по расчетам Microsoft дороже обходится решение от компании VMware. Интересная штука: Microsoft до сих пор не знает, что в VMware Essentials Plus горячая миграция vMotion входит (в этом можно убедиться тут). Во-вторых, цена на vSphere Essentials Plus указана неправильно, сейчас он стоит $3 844,50 (в калькуляторе же $3 495,00). Из чего мы делаем вывод, что Microsoft просто пофигу на свой калькулятор.
Кстати, раз уж мы порекламировали Microsoft, приведем ссылку на еще один калькулятор - уже от VMware, где, наоборот, приложение от Microsoft вызывает большие затраты (тоже туфтовый калькулятор):
Продолжаем вас знакомить с решением vGate 2 от компании Security Code, которая является нашим спонсором (вот тут описано решение, а вот тут - специальный раздел о продукте). Вкратце: vGate 2 позволяет защиту объектов VMware vSphere от несанкционированного доступа, а самое главное - позволяет автоматически настроить среду VMware vSphere (хосты ESX и виртуальные машины) в соответствии со стандартами и регламентами по обеспечению безопасности виртуальных инфраструктур (это экономит деньги). Кстати, недавно вышла версия vGate 2.3 с поддержкой VMware ESXi.
Сегодня мы поговорим о мониторинге и аудите событий информационной безопасности, происходящих в виртуальной инфраструктуре VMware vSphere. Надо сказать, что для тех компаний, которые заботятся о безопасности своих виртуальных серверов, анализировать стандартные логи, которые дает ESX и vCenter весьма муторно:
На хостах ESX структура логов (откуда мы и можем выделить события ИБ) такова:
/var/log/messages – Syslog Log (это комбинация логов vmkernel и hostd)
Вручную разгребать и анализировать всю эту пачку весьма трудозатратно, поэтому vGate 2 дает вам возможность сделать это удобно из центральной консоли в едином Журнале событий. Но vGate 2 - это не обработчик логов на хостах VMware ESX / ESXi. За счет собственных агентов на хост-серверах он сам регистрирует все события, относящие к информационной безопасности инфраструктуры виртуализации. Это именно те события, аудит которых позволяет своевременно обнаружить и пресечь попытки несанкционированного доступа.
События безопасности регистрируются на всех серверах ESX, на которых установлены компоненты защиты vGate (агенты), а затем пересылаются на сервер авторизации для централизованного хранения. Регистрируются как события несанкционированного доступа к объектам vSphere, так и правомочные события.
Если открыть одно события из списка, мы увидим нечто подобное (доступно полное детальное описание - кто сделал, что, когда и с какого хоста):
События имеют следующие характеристики:
vGate 2 отслеживает те события, которые могут тем или иным образом повлиять на безопасность виртуальной инфраструктуры. Как примеры таких событий можно привести следующее:
Также, помимо основных событий, vGate 2 регистрирует еще и события, связанные с нарушением контроля целостности (КЦ) в различных компонентах виртуальной инфраструктуры:
На серверах ESX (папка /opt/vgate)
На сервере авторизации (каталог установки vGate)
На рабочей станции администратора VMware vSphere
На рабочей станции администратора безопасности инфраструктуры vSphere
Кстати, на компьютерах внешнего периметра сети администрирования (то есть рабочих станциях с vSphere Client), на которых установлен агент аутентификации, сообщения хранятся локально в журнале при
ложений Windows (Application Event Log). Для их просмотра (локально или удаленно) можно использовать Windows Event Viewer.
В этом документе вы найдете полное описание событий ИБ на хостах VMware ESX / ESXi, которые регистрирует vGate 2.
В заключение скажем, что vGate 2 имеет возможность интеграции с SIEM-системами, если таковые имеются на вашем предприятии. vGate позволяет настроить ведение журнала событий и поддерживает протокол SNMP, что позволит при необходимости перенаправить события из журнала событий vGate на удаленный сервер.
На сайте VMware Communities появилась в открытом доступе для всех желающих бета-версия продукта VMware Converter Standalone 5.0, предназначенного для миграции физических серверов в среду VMware vSphere, перевода виртуальных машин на эту платформу с решений других производителей (Hyper-V), а также для миграции между платформами VMware (Workstation, Server, Fusion). Слово Standalone в названии продукта означает, что он не интегрирован с консолью vSphere Client при подключении к vCenter и имеет свой собственный интерфейс управления. Напомним, что продукт абсолютно бесплатен.
Напомним также, что последняя мажорная версия VMware Converter вышла аж в 2009 году (см. нашу заметку тут, а также про версию 4.3 - тут). Поэтому данное обновление - весьма долгожданное.
Новые возможности VMware Converter 5.0:
Сохранение LVM-конфигурации томов исходной Linux-машины при ее миграции.
Улучшенный механизм синхронизации, включая запланированный запуск задачи, а также выполнение нескольких задач синхронизации в одной задаче миграции.
Оптимизация выравнивания дисков и разделов + возможность изменения размера кластера ФС.
Передаваемые данные при миграции между исходным сервером и сервером назначения - шифруются.
Поддержка миграции Red Hat Enterprise Linux 6.x (32-bit and 64-bit). Прекращена поддержка Ubuntu 5.x-7.x.
Скачать бету VMware Converter Standalone 5.0 можно по этой ссылке. Документация доступна тут.
Суть диалога блоггеров такова: Брайан рассматривает позицию VMware о собирании денег с пользователей на базе лицензирования виртуальных машин весьма скептически. Это, во-первых, весьма неудобно (сложно понять, какие машины надо лицензировать, сколько их вообще и т.п.), а, во-вторых, это становится более накладно + не толкает пользователей на оптимизацию датацентра в части увеличения коэффициента консолидации (а, как следствие, и уменьшения количества оборудования).
Так вот, Скотт ему отвечает, что переход на лицензирование по ВМ - вполне логичен. Ибо производительность процессоров на серверах растет как на дрожжах (напомним, что VMware vSphere лицензируется в настоящее время по количеству физических процессоров).
То есть, в данный момент у VMware как бы наблюдается недополученная прибыль, поскольку цена на продукты почти не меняется (хотя мы знаем, что это не так), а мощности серверных платформ растут. А недополученную прибыль как-то надо возвращать, в том числе за счет введения новых программ лицензирования.
Интересно, кстати, будут ли новые версии vSphere проходить по таким программам? Если да, то это приведет к такой путанице, что даже не все сотрудники VMware будут в курсе, как именно лицензируется продукт при определенных условиях (сейчас это иногда бывает и с Microsoft). Будут даже мудрые консультанты по лицензированию VMware.
Но расстраивает тут два момента - первый, что компания вводит все эти вещи в одностороннем порядке, без обсуждения среди пользователей и без объяснения причин, а второй - реально, товарищи, вмваре дорогая, очень дорогая. И безо всяких там изменений. А видно, что изменения эти будут только в сторону удорожания.
Как оказалось, на нашем сайте нет хорошего руководства по назначению и использованию RDM-дисков (Raw Device Mapping) с платформой VMware vSphere. Постараемся заполнить этот пробел.
Давайте начнем с того, что для виртуальных машин на серверах VMware ESX есть всего 3 типа дисков с точки зрения виртуализации подсистемы хранения:
VMDK-диски
Это самые часто используемые диски VMware vSphere. Они создаются на хранилищах VMFS или NFS и позволяют использовать все возможности работы VMware с виртуальными машинами в части распределенных служб. К ним относятся распределенная блокировка файлов (distributed file locking), снапшоты дисков, vMotion - и много чего еще. О типах виртуальных дисков у нас есть отдельная статья. Обычные vmdk-диски - это самый высокий уровень виртуализации, т.е. все SCSI-команды виртуальной машины при обращении к нему проходят через компонент VMkernel, который уже процессит их внутрь файла vmdk. За пределы этого файла виртуальная машина ничего не видит. То есть виртуальной машине дается кусочек тома VMFS или NFS в виде файла vmdk, операции по работе с которым полностью контролируются гипервизором - это и есть максимальная виртуализация устройства. Из этого, кстати, следует, что поскольку есть слой виртуализации, в определенных условиях такие диски могут работать медленнее RDM-дисков, но есть также и условия при которых такие диски могут работать быстрее. Более подробно об этом можно прочитать здесь. На этих дисках в статье мы останавливаться не будем.
RDM-диски в режиме виртуальной совместимости (virtual RDM).
Это промежуточный тип диска с точки зрения виртуализации хранения. В случае создания такого диска на хранилище VMFS (NFS - не поддерживается) создается mapping-файл (он тоже с расширением *-rdmp.vmdk), через который происходит маппирование виртуальной машине физического дискового устройства LUN. Устройство это маппируется особым образом - основные служебные операции по работе с ним (например, команда Open и другие служебные SCSI-команды) проходят через через слой виртуализации в гипервизоре, а команды по работе с данными (Read и Write) процессятся напрямую к устройству, минуя слой виртуализации.
Что означает, что передаются напрямую только команды Read / Write в виртуальный RDM? Это означает, что устройство представляется виртуальной машине как обычный SCSI-диск, с которым нельзя работать иначе как с устройством хранения (как можно иначе - дальше). Зато сохраняется большинство возможностей VMware vSphere по функциональности - например, снапшоты. Ниже мы также посмотрим, где можно использовать такой тип дисков.
RDM-диски в режиме физической совместимости (Physical RDM). Это наименее виртуализованный тип дисков. Для таких дисков хост-сервер ESX также создает mapping-файл, но вот iSCSI-команды процессятся к устройству LUN напрямую, минуя слой виртуализации хранилища в гипервизоре (за исключением одной команды LUN Report).
Что дает такой механизм доступа к устройству? Он позволяет использовать iSCSI-устройство не просто как диск, но и передавать к нему различные iSCSI-команды, которые предоставлют больше возможностей по работе с устройством (например, управление SAN-устройствами изнутри виртуальной машины или снятие снапшота на уровне хранилища). Ниже мы тоже рассмотрим подобные примеры.
Общее у всех этих продуктов - то, что они лицензируются не на базе процессоров (как vSphere), а на базе виртуальных машин. Эта особенность, с одной стороны, как бы ближе к облачной концепции - типа нам не важно где и как работают виртуальные машины, а важно сколько сервисов мы используем, соответственно, за них и платим.
Но с другой стороны, с этим возникают специфические проблемы, на которые обратили внимание в блоге компании VKernel. Суть проблем такова:
Когда организация использует модель лицензирования по физическим процессорам, ее основная цель - достичь максимальной консолидации виртуальных машин на хосте, поскольку она платит за инфраструктурные составляющие (стойки, питание, охлаждение, площади), а также за весьма недешевые лицензии на продукты для виртуализации. А вот когда лицензируются виртуальные машины - увеличение коэффициента консолидации не сказывается на стоимости лицензий, а значит нет и соответствующей мотивации у администраторов и менеджеров датацентра.
Когда используется лицензирование по числу виртуальных машин - это очень сложно учитывать. Виртуальные машины постоянно создаются, удаляются, развертываются в тестовых целях и забываются. Учитывать число лицензий в таких окружениях очень сложно и затратно.
Также автор обратил внимание на проблему, изложенную на одной из веток комьюнити, где у человека возникли проблемы с применением продукта CapacityIQ - он пытался строить отчеты о емкостях инфраструктуры не для всех виртуальных машин (поскольку некоторые не должны влиять на ее будущее состояние). Но оказалось в продукте нет такой возможности - он собирает информацию со всего окружения vCenter и нам рекомендуют лицензировать виртуальных машин столько, сколько нам реально нужно в анализе. Однако это очень неформализованное правило, которое нельзя отразить в EULA.
То есть, в данном случае совсем непонятно, какие виртуальные машины нам надо лицензировать (если она работает раз в году - надо?). Подобные проблемы в будущем будут возникать и в других продуктах (просто вышеозначенные - пока весьма не распространены). А это плохо, вот.
RSS
