Продолжаем рассказывать о продукте vGate R2 для защиты виртуальных инфраструктур от компании Код Безопасности. Он позволяет автоматизировать настройку безопасной конфигурации хост-серверов, хранилищ, сетей и виртуальных машин в инфраструктуре VMware vSphere 5, а также защитить ее от несанкционированного доступа.

Сегодня мы продолжаем разговор о безопасности и облачных инфраструктурах. Хотим обратить вниманию на статью небезызвестной Марии Сидоровой "Противоречивые облака":

Виртуализация на платформе VMware vSphere позволяет владельцам облачных ЦОД предложить своим клиентам эффективные решения для бизнеса. Практически неограниченная масштабируемость ресурсов в сочетании с эффективной моделью оплаты (pay-as-you-go), предлагаемой в модели облачных сервисов, делает услуги виртуализированных облачных ЦОД, построенных с использованием технологий VMware, привлекательными для многих корпоративных пользователей. И мы с вами видели уже немало примеров облаков на базе продуктов VMware с соответсвующими показателями уровня обслуживания (SLA), которые существенно превосходят те, что можно обеспечить в средней компании.

Тем не менее, недоверие компаний к уровню обеспечения безопасности информации в облачных инфраструктурах - это одна из основных причин того, что только ограниченное количество компаний принимает решение о переходе на использование этой модели.

Облачная модель в понимании корпоративных заказчиков соотносится со многими рисками информационной безопасности. Среди наиболее актуальных для компаний ИБ-рисков, препятствующих переходу на облачную модель, можно перечислить следующие:

• риски в области целостности данных, сохранности данных, восстановления данных;
• риски несанкционированного доступа к данным;
• риски невыполнения требований стандартов безопасности и регулирующего законодательства;
• риски ненадлежащего аудита и оценки соответствия стандартам и лучшим практикам (PCI DSS, CIS Networking и др.);
• риск возникновения несоответствия корпоративным политикам безопасности.

Все эти проблемы, в той или иной степени, позволяет решать продукт vGate R2, бесплатную пробную версию которого можно скачать по этой ссылке. А в статье вы найдете ответы на вопросы о том, как это делается. И почитайте вот эту нашу статью.

Еще один момент - в vGate R2 уже есть поддержка альтернативного метода лицензирования на базе платы за виртуальную машину за месяц (по модели SaaS). То есть уже сейчас, если вы являетесь сервис-провайдером, предлагающим виртуальные машины в аренду (например, по программе VSPP), вы можете обратиться в компанию Код Безопасности с вопросом о том, как по модели SaaS платить за сервисы обеспечения безопасности вашего ЦОД.

Компания VMware в базе знаний опубликовала интересный плакат "VMware vSphere 5 Memory Management and Monitoring diagram", раскрывающий детали работы платформы VMware vSphere 5 с оперативной памятью серверов. Плакат доступен как PDF из KB 2017642:

Основные техники оптимизации памяти хостов ESXi, объясняемые на плакате:

• Memory ballooning
• Transparent page sharing
• Memory Compression
• Host Swapping

Есть также интересная картинка с объяснением параметров вывода esxtop, касающихся памяти (кликабельно):

Пишут, что администраторы VMware vSphere скачивают его, распечатывают в формате A2 и смотрят на него время от времени, как на новые ворота. Таги: VMware, vSphere, Memory, ESX, esxtop, VMachines, Whitepaper, Diagram

Symantec Veritas Dynamic Multi-Pathing for VMware vSphere - еще один продукт для управления путями.

Вчера мы писали об архитектуре VMware PSA, позволяющей встраивать в VMware ESXi ПО для управления путями, а сегодня расскажем еще об одном продукте, совсем недавно анонсированном компанией Symantec - Veritas Dynamic Multi-Pathing for VMware vSphere 6.0.

Ключевые особенности продукта от Symantec - возможность динамической балансировки запросов ввода-вывода с хоста по нескольким путям одновременно, поддержка работы с основными дисковыми массивами, представленными на рынке, и возможность учитывать характеристики хранилищ (RAID, SSD, Thin Provisioning).

Как можно узнать из нашей статьи про PSA, Veritas Dynamic Multi-Pathing (DMP) - это MPP-плагин для хостов ESXi:

Veritas DMP позволяет интеллектуально балансировать нагрузку с хостов ESXi в SAN, обеспечивать непрерывный мониторинг и статистику по путям в реальном времени, автоматически восстанавливать путь в случае сбоя и формировать отчетность через плагин к vCenter обо всех хранилищах в датацентре. Что самое интересное - это можно будет интегрировать с физическим ПО для доступа по нескольким путям (VxVM) в единой консоли.

Всего в Veritas DMP существует 7 политик для балансировки I/O-запросов, которые могут быть изменены "на лету" и позволят существенно оптимизировать канал доступа к хранилищу по сравнению со стандартным плагином PSP от VMware. Кстати, в терминологии Symantec, этот продукт называется - VxDMP.

Стоимость этой штуки - от 900 долларов за четырехъядерный процессор хоста (цена NAM). Полезные ссылки:

• Hardware Compatibility List
• Veritas™ Dynamic Multi-Pathing for VMware Administrator's Guide 6.0
• Veritas™ Dynamic Multi-Pathing for VMware Release Notes 6.0
• Veritas™ Dynamic Multi-Pathing for VMware Installation Guide 6.0

Скачать Symantec Veritas Dynamic Multi-Pathing можно по этой ссылке, но только обладая ключиком.

Как знают администраторы VMware vSphere в крупных компаниях, в этой платформе виртуализации есть фреймворк, называющийся VMware Pluggable Storage Architecture (PSA), который представляет собой модульную архитектуру работы с хранилищами SAN, позволяющую использовать ПО сторонних производителей для работы с дисковыми массивами и путями.

Выглядит это следующим образом:

А так понятнее:

Как видно из второй картинки, VMware PSA - это фреймворк, работа с которым происходит в слое VMkernel, отвечающем за работу с хранилищами. Расшифруем аббревиатуры:

• VMware NMP - Native Multipathing Plug-In. Это стандартный модуль обработки ввода-вывода хоста по нескольким путям в SAN.
• Third-party MPP - Multipathing plug-in. Это модуль стороннего производителя для работы по нескольким путям, например, EMC Powerpath
• VMware SATP - Storage Array Type Plug-In. Это часть NMP от VMware (подмодуль), отвечающая за SCSI-операции с дисковым массивом конкретного производителя или локальным хранилищем.
• VMware PSP - Path Selection Plug-In. Этот подмодуль NMP отвечает за выбор физического пути в SAN по запросу ввода-вывода от виртуальной машины.
• Third-party SATP и PSP - это подмодули сторонних производителей, которые исполняют означенные выше функции и могут быть встроены в стандартный NMP от VMware.
• MASK_PATH - это модуль, который позволяет маскировать LUN для хоста VMware ESX/ESXi. Более подробно о работе с ним и маскировании LUN через правила написано в KB 1009449.

Из этой же картинки мы можем заключить следующее: при выполнении команды ввода-вывода от виртуальной машины, VMkernel перенаправляет этот запрос либо к MPP, либо к NMP, в зависимости от установленного ПО и обращения к конкретной модели массива, а далее он уже проходит через подуровни SATP и PSP.

Уровень SATP

Это подмодули, которые обеспечивают работу с типами дисковых массивов с хоста ESXi. В составе ПО ESXi есть стандартный набор драйверов, которые есть под все типы дисковых массивов, поддерживаемых VMware (т.е. те, что есть в списке совместимости HCL). Кроме того, есть универсальные SATP для работы с дисковыми массивами Active-active и ALUA (где LUN'ом "владеет" один Storage Processor, SP).

Каждый SATP умеет "общаться" с дисковым массивом конкретного типа, чтобы определить состояние пути к SP, активировать или деактивировать путь. После того, как NMP выбрал нужный SATP для хранилища, он передает ему следующие функции:

• Мониторинг состояния каждого из физических путей.
• Оповещение об изменении состояний путей
• Выполнение действий, необходимый для восстановления пути (например failover на резервный путь для active-passive массивов)

Посмотреть список загруженных SATP-подмодулей можно командой:

esxcli nmp satp list

Уровень PSP

Path Selection Plug-In отвечает за выбор физического пути для I/O запросов. Подмодуль SATP указывает PSP, какую политику путей выставить для данного типа массива, в зависимости от режима его работы (a-a или a-p). Вы можете переназначить эту политику через vSphere Client, выбрав пункт "Manage Paths" для устройства:

Для LUN, презентуемых с массивов Active-active, как правило, выбирается политика Fixed (preferred path), для массивов Active-passive используется дефолтная политика Most Recently Used (MRU). Есть также и еще 2 политики, о которых вы можете прочитать в KB 1011340. Например, политика Fixed path with Array Preference (VMW_PSP_FIXED_AP) по умолчанию выбирается для обоих типов массивов, которые поддерживают ALUA (EMC Clariion, HP EVA).

Надо отметить, что сторонний MPP может выбирать путь не только базовыми методами, как это делает VMware PSP, но и на базе статистического интеллектуального анализа загрузки по нескольким путям, что делает, например, ПО EMC Powerpath. На практике это может означать рост производительности доступа по нескольким путям даже в несколько раз.

Работа с фреймворком PSA

Существуют 3 основных команды для работы с фреймворком PSA:

esxcli, vicfg-mpath, vicfg-mpath35

Команды vicfg-mpath и vicfg-mpath35 аналогичны, просто последняя - используется для ESX 3.5. Общий список доступных путей и их статусы с информацией об устройствах можно вывести командой:

vicfg-mpath -l

Через пакет esxcli можно управлять путями и плагинами PSA через 2 основные команды: corestorage и nmp.

Надо отметить, что некоторые команды esxcli работают в интерактивном режиме. С помощью nmp можно вывести список активных правил для различных плагинов PSA (кликабельно):

esxcli corestorage claimrule list

Есть три типа правил: обычный multipathing - MP (слева), FILTER (аппаратное ускорение включено) и VAAI, когда вы работаете с массивом с поддержкой VAAI. Правила идут в порядке возрастания, с номера 0 до 101 они зарезервированы VMware, пользователь может выбирать номера от 102 до 60 000. Подробнее о работе с правилами можно прочитать вот тут.

Правила идут парами, где file обозначает, что правило определено, а runtime - что оно загружено. Да, кстати, для тех, кто не маскировал LUN с версии 3.5. Начиная с версии 4.0, маскировать LUN нужно не через настройки в vCenter на хостах, а через объявление правил для подмодуля MASK_PATH.

Для вывода информации об имеющихся LUN и их опциях в формате PSA можно воспользоваться командой:

esxcli nmp device list

Можно использовать всю ту же vicfg-mpath -l.

Ну а для вывода информации о подмодулях SATP (типы массивов) и PSP (доступные политики путей) можно использовать команды:

esxcli nmp satp list
esxcli nmp psp list

Ну а дальше уже изучайте, как там можно глубже копать. Рекомендуемые документы:

• Fibre Channel SAN Configuration Guide
• Managing Storage Paths and Multipathing Plugins

Источник статьи: "VMware vSphere 4.1 PSA (Pluggable Storage Architecture) Understanding".

В составе дистрибутива платформы виртуализации VMware vSphere 5 идет новая служба позволяющая удаленно собирать логи с хост-серверов ESX/ESXi (как пятой так и более ранних версий) - VMware Syslog Collector. Это средство идет в стандартной поставке вместе с VMware vCenter 5 и подходит для тех, кому лень заморачиваться с платными и новороченными Syslog-серверами, которых сейчас на рынке немало. Зачем вообще нужен Syslog-сервер в вашей инфраструктуре? Очень просто - безопасность и централизованный сбор логов в целях аудита и решения проблем.

Как знают все администраторы VMware vSphere, виртуальный диск виртуальной машины представляется как минимум в виде двух файлов:

• <имя ВМ>.vmdk - заголовочный, он же индексный, он же файл-дескриптор виртуальго диска, который содержит информацию о геометрии диска, его тип и другие метаданные
• <имя ВМ>-flat.vmdk - непосредственно диск с данными ВМ

Практика показывает, что нередки ситуации, когда администраторы VMware vSphere теряют заголовочный файл VMDK по некоторым причинам, иногда необъяснимым, и остается только диск с данными ВМ (неудивительно, ведь в него идет запись, он залочен).

Ниже приведена краткая процедура по восстановлению дескрипторного VMDK-файла для существующего flat-VMDK, чтобы восстановить работоспособность виртуальной машины. Подробную инструкцию можно прочитать в KB 1002511.

Итак, для тех, кто любит смотреть видеоинструкции:

Для тех, кто не любит:

1. Определяем точный размер в байтах VMDK-диска с данными (чтобы геометрия нового созданного дескриптора ему соответствовала):

ls -l <имя диска>-flat.vmdk

2. Создаем новый виртуальный диск (цифры - это полученный размер в байтах, тип thin для экономии места, lsilogic - контроллер):

vmkfstools -c 4294967296 -a lsilogic -d thin temp.vmdk

3. Переименовываем дескрипторный VMDK-файл созданного диска в тот файл, который нам нужен для исходного диска. Удаляем только что созданный пустой диск данных, который уже не нужен (temp-flat.vmdk).

4. Открываем переименованный дескрипторный файл VMDK и меняем выделенные жирным строчки:

# Disk DescriptorFile
version=1
CID=fb183c20
parentCID=ffffffff
createType="vmfs"

# Extent description
RW 8388608 VMFS "vmdisk0-flat.vmdk"

# The Disk Data Base
#DDB

ddb.virtualHWVersion = "4"
ddb.geometry.cylinders = "522"
ddb.geometry.heads = "255"
ddb.geometry.sectors = "63"
ddb.adapterType = "lsilogic"
ddb.thinProvisioned = "1"

То есть, меняем просто имя flat VMDK-файла и убираем строчку о том, что диск thin provisioned, если он у вас изначально был flat.

Все - машину можно запускать.

Компания StarWind представила новый документ "Best practices for backing up virtual servers with Veeam software and StarWind storage", написанный нашими итальянскими коллегами, в котором описываются лучшие практики резервного копирования виртуальных машин VMware vSphere с iSCSI-хранилищ средствами продукта Veeam Backup and Replication.

Схема очень проста - StarWind iSCSI можно использовать как для продуктивного хранилища, так и для хранилища резервных копий:

В документе рассматривается вариант использования отказоустойчивого iSCSI-хранилища StarWind в производственной среде, где применяются такие возможности StarWind как:

• Снапшоты хранилищ
• Дедупликация
• Отказоустойчивая конфигурация из двух серверов хранения, обеспечивающая непрерывную работу виртуальных машин в случае отказа одного из них

За остальными подробностями обращайтесь к документу и нашему разделу о продуктах StarWind.

На блоге наших коллег из vmind.ru появилась дорожная карта развития продуктовой линейки компании VMware в сфере виртуализации и облачной инфраструктуры: "VMware Cloud Infrastructure Product Roadmap". Не знаю, является данный документ конфиденциальным сейчас, но, поскольку он уже опубликован, приведем несколько интересных картинок для тех, кому лень ходить по ссылке.

Управление ресурсами:

Безопасность:

VMware vCloud Director:

Ну а в конце презентации - максимумы продуктов (7 слайдов):

На сайте проекта VMware Labs, о котором мы не раз писали, появился новый технический журнал для администраторов платформы виртуализации VMware vSphere и других продуктов - VMware Technical Journal. Первый номер насчитывает 80 страниц:

Предполагается, что это издание, освещающее основные активности R&D-подразделения VMware, будет выходить на регулярной основе и представлять все основные новинки и продукты, над которыми работает VMware, с технической стороны. Вот темы первого номера:

• VisorFS: A Special-purpose File System for Efficient Handling of System Images
• A Software-based Approach to Testing VMware® vSphere® VMkernel Public APIs
• Providing Efficient and Seamless Desktop Services in Ubiquitous Computing Environments
• Comprehensive User Experience Monitoring
• StatsFeeder: An Extensible Statistics Collection Framework for Virtualized Environments
• VMware Distributed Resource Management: Design, Implementation, and Lessons Learned
• Identity, Access Control, and VMware Horizon
• VMworld 2011 Hands-On Labs: Implementation and Workflow

Темы интересные, присутствуют картинки и таблицы - все, что нужно техническим специалистам.

Компания Код Безопасности продолжает развивать свой продукт для защиты виртуальных сред vGate R2 средствами автоматической настройки безопасной конфигурации VMware vSphere, а также механизма защиты от несанкционированного доступа. Недавно версия 2.4 продукта vGate R2, которая поддерживает vSphere 5, успешно прошла инспекционный контроль во ФСТЭК России. Отметим, что vGate R2 - это единственное на российском рынке сертифицированное решение, предназначенное для нейтрализации информационных угроз в виртуальных инфраструктурах на платформе VMware.

Сертификат ФСТЭК от 28 марта 2012 года (то есть сертифицировались все изменения, касающиеся поддержки VMware vSphere 5.0):

Сертификат подтверждает соответствие требованиям руководящих документов в части защиты от несанкционированного доступа по 5 классу защищенности (СВТ5) и контроля отсутствия недекларированных возможностей по 4 уровню контроля (НДВ4). Наличие данного сертификата  позволяет использовать новую версию vGate R2  в АС до класса защищенности 1Г включительно и для защиты информации в ИСПДн до 1 класса включительно.

Появление в продаже сертифицированного vGate R2 с полной поддержкой vSphere 5 ожидается в этом месяце, о чем мы непременно вам сообщим. Для ознакомления доступна для скачивания по запросу демонстрационная версия vGate R2 с поддержкой vSphere 5.

Помните мы писали о бесплатных утилитах от компании VKernel - vScope Explorer и SearchMyVM? Оказывается VKernel их не забросила (как обычно бывает с бесплатными средствами), а продолжает их развивать. Обе этих утилиты теперь выпущены в виде бесплатного пакета vOPS Server Explorer, который состоит из двух указанных утилит и позволяет обнаруживать проблемы в виртуальной инфраструктуре VMware vSphere, а также искать различные объекты в ней через google-like интерфейс:

Все это поставляется в виде виртуального модуля (Virtual Appliance). vOPS Server Explorer собирает метрики с виртуальных машин VMware vSphere, которые потом анализируются для определения производительности, эффективности и "самочувствии" самих ВМ, хранилищ и хост-серверов.

Основные возможности vOPS Server Explorer:

• Визуализация датацентра, его объектов и имеющихся проблем:
  
• Просмотр состояния всех виртуальных машин в датацентре, в том числе, между несколькими серверами vCenter:
  
• И самое полезное - поиск по множеству критериев:
  

Скачать VKernel vOPS Server Explorer можно бесплатно по этой ссылке.

Руководство по установке можно посмотреть здесь.

Продолжаем вас знакомить с решением номер 1 для защиты виртуальных сред - vGate R2 от Кода Безопасности. Напомним, что этот продукт позволяет автоматически настроить безопасную конфигурацию инфраструктуры VMware vSphere с помощью политик, разделить полномочия администраторов и обеспечить защиту от несанкционированного доступа к объектам (хостам, виртуальным машинам, сетям и хранилищам).

Сегодня мы расскажем о возможностях сервера отчетов, который входит в состав сервера авторизации vGate R2. В первую очередь отметим, что он теперь не требует установки отдельной БД MS SQL и ее настройки - отчеты теперь можно получать сразу после установки.

Вот какие виды репортов можно генерировать в vGate R2, отражающих состояние безопасности инфраструктуры vSphere:

• Вход в систему в нерабочее время
• Доступ к файлам ВМ
• Изменение конфигурации политик безопасности
• Изменение правил мандатного доступа
• Изменение сетевых правил доступа
• Использование учетных записей VMware
• Мониторинг учетных записей vGate
• Наиболее активные пользователи
• Наиболее используемые виды доступа к защищаемым объектам
• Наиболее частые события ИБ
• Настройка правил сетевой безопасности
• Настройка доступа к защищаемым объектам
• Попытки несанкционированного изменения настроек безопасности
• Применение политик безопасности
• Проблемы с доверенной загрузкой ВМ
• Проблемы со входом в vSphere
• Проблемы со входом в систему
• Проблемы со сменой пароля
• Соответствие стандартам безопасности (кратко)
• Соответствие стандартам безопасности (подробно)

Как мы видим, в vGate R2 есть шаблоны отчетов на все случаи жизни. И некоторые из них показывают события, на которые было бы очень интересно взглянуть сотрудникам компании, отвечающими за безопасность в крупных и средних инфраструктурах (особенно последние два).

Виды отчетов сгруппированы в удобные категории (кликабельно):

Интересно взглянуть на статистику наиболее частых событий ИБ:

Ну и, само собой, отчет можно очень гибко кастомизировать, добавив логотип компании и прочие прелести.

Скачать пробную версию продукта vGate R2 можно по этой ссылке. Презентации по защите виртуальных инфраструктур доступны тут, а сертификаты ФСТЭК продукта - здесь.

Сейчас на VMware Communities обсуждается очередной баг в бесплатном гипервизоре VMware ESXi 5.0 Update 1 (он же vSphere Hypervisor). Приведенная ниже информация касается только пользователей бесплатного ESXi и не затрагивает владельцев любого из платных изданий vSphere.

Итак, когда вы обновляете VMware ESXi 5.0 на ESXi 5.0 Update 1, вы обнаруживаете неприятную особенность: функции Auto Start для виртуальных машин больше не работают (то есть машины при старте хост-сервера не запускаются). И это несмотря на то, что настройки автоматического запуска виртуальных машин работают:

Проблема начинается с билда 623860 и, повторимся, не касается платных изданий ESXi в составе vSphere. Слухи о том, что это, ходят разные: либо это новое ограничение бесплатного ESXi, либо обычный баг. Вроде бы все в итоге склоняются, что обычный баг. Сама VMware обещает поправить это в VMware vSphere 5.0 Update 2.

Если функции автоматического запуска виртуальных машин в бесплатном ESXi так важны, то вы можете откатиться до ESXi 5.0 просто нажав при загрузке Shift+R для входа в Recovery Mode, где можно откатить Update 1:

Более подробную информацию можно получить вот в этой статье на блогах VMware.

Раньше блоггеры публиковали диаграммы портов и соединений для VMware vSphere и других продуктов по отдельности, о которых мы писали тут и тут. Для VMware vSphere 5 список портов стал настолько обширен (из-за увеличения количества компонентов), что блоггеры уже перестали рисовать картинки и диаграммы.

Напомним, что последнюю версию схемы портов для VMware vSphere 4.1 можно скачать вот тут:

Теперь же сетевым администраторам и администраторам ИБ нужно запомнить вот эту ссылку на статью: KB 1012382, где приведены порты, используемые не только VMware vSphere 5, но и другими продуктами VMware: View, SRM, Converter и пр. Там в таблице конечно мешанина, но ничего другого пока нет:

Для каждого порта приведены комментарии - зачем он нужен и когда используется. Обратите внимание, что порты для vSphere Client указаны внизу статьи.

Многие пользователи серверной виртуализации VMware в сегменте среднего и малого бизнеса, купившие платформу vSphere 5, начинают подумывать о виртуализации настольных ПК в своей организации. При этом, когда они обращаются к решению VMware View 5, они понимают, что это решение заточено под крупные инфраструктуры, да и стоит оно недешево.

Мы уже писали о том, что компания Citrix не так давно приобрела компанию Kaviza, которая разработала решение VDI-in-a-Box как раз для небольших организаций, которым нужно все быстро, просто и недорого. Основное преимущество для небольших компаний - это то, что решение VDI-in-a-box не требует общего хранилища для виртуальных ПК, можно использовать локальные диски серверов.

Штука эта, помимо прочих платформ, работает на платформе VMware vSphere 5, которая есть во многих СМБ-организациях. Поставляется она в формате OVF, то есть виртуального модуля (Virtual Appliance), который можно просто импортировать в vSphere Client:

Далее просто заходим в веб-интерфейс VDI-in-a-Box:

Устанавливаем параметры VMware vSphere (логины-пароли, хранилище):

Генерируем базовый образ для ВМ, на основе которого будут создаваться виртуальные ПК, выбрав имеющуюся ВМ (базовый образ получается клонированием):

Далее устанавливаем агента в эту базовую ВМ для коммуникации с брокером соединений:

Ну а потом, вы можете управлять образами виртуальных ПК и создавать шаблоны для них:

Ну а потом уже можно соединяться с виртуальным ПК по протоколу Citrix HDX:

Вся эта штука должна работать быстро и четко:

У Citrix VDI-in-a-Box своя интересная ниша, не занятая сейчас VMware - виртуализация ПК в небольших компаниях. Ведь там админам тоже интересно попробовать пересадить пользователей на виртуальные ПК, однако покупать инфраструктуру под VMware View и сам этот продукт им никто не станет. А на этой штуке - может и взлететь.

Ну и в заключение, предлагаю посмотреть видео по развертыванию VDI-in-a-Box, записанное Дэвидом Дэвисом:

Сама статья про развертывание находится тут. В общем, присмотритесь к этой штучке.

А есть тут такие, кто ее уже использует?

Компания Veeam Software, известная своими решениями для управления и резервного копирования виртуальной инфраструктуры VMware (Veeam Backup и ONE=Monitor+Reporter), выпустила бесплатную версию своего комплекта для мониторинга и отчетности виртуальной среды Veeam ONE Free Edition.

Veeam ONE - это единое решение, которое раньше было доступно в виде двух отдельных продуктов. Veeam Monitor для мониторинга инфраструктуры vSphere в реальном времени:

и отчетности по конфигурациям, включая ведение истории изменений настроек виртуальной среды, создаваемой в Veeam Reporter:

Кроме того, благодаря наличию более чем 125 встроенных оповещений и обширной базы знаний в Veeam ONE, вы получите не только уведомление о возникшей проблеме, но и сведения для поиска неисправности, определения главной причины и решения вопроса. С помощью Veeam ONE легко поддерживать актуальность документации по всей виртуальной инфраструктуре, чего требуют внутренние политики, внешние правила и простой здравый смысл.

Отличий Veeam ONE Free Edition от платной версии много, поэтому перечислять их здесь не будем. Просто взгляните на эту кликабельную простыню (или в этот документ):

Если вкратце, то в отчетности вы ограничены 1 отчетом на дэшборде, 7-ю днями истории в мониторинге, доступны не все алармы и не вся база знаний, нет функции планирования мощностей, не все отчеты можно выгрузить в Visio и отслеживать изменения можно только за 24 часа.

Скачать Veeam ONE Free Edition бесплатно можно по этой ссылке. Потом, если потребуется, апгрейд на платную версию делается простым вводом ключа.

Компания VMware выпустила очередное обновления своей платформы виртуализации VMware vSphere 5 Update 1, в которое вошли VMware vCenter 5.0 Update 1 и VMware ESXi 5.0 Update 1.

Новые возможности VMware ESXi 5.0 Update 1:

• Support for new processors – ESXi 5.0 Update 1 поддерживает новые процессоры AMD и Intel, которые приведены в VMware Compatibility Guide.
• Support for additional guest operating systems – В ESXi 5.0 Update 1 появилась поддержка гостевых ОС Mac OS X Server Lion 10.7.2 и 10.7.3.
• New or upgraded device drivers – В ESXi 5.0 Update 1 появилась поддержка драйверов Native Storage Drivers для чипсетов Intel C600 series, а драйвер LSI MegaRAID SAS продвинулся до версии 5.34.
• Также были исправлены несколько зафикисрованных ранее проблем.

Новые возможности VMware vCenter 5.0 Update 1:

• Улучшения механизма Guest Operating System Customization. Теперь vCenter Server может кастомизировать при развертывании следующие ОС:
  • Windows 8
  • Ubuntu 11.10
  • Ubuntu 11.04
  • Ubuntu 10.10
  • Ubuntu 10.04 LTS
  • SUSE Linux Enterprise Server 11 SP2

Кроме того, прошло массовое обновление следующих продуктов VMware:

VMware vCloud Director 1.5.1 (тут):

• Добавлена поддержка vSphere 5.0 Update 1 и vShield 5.0.1
• ОС RHEL 5 Update 7 поддерживается как платформа для управления
• Улучшения для: firewall rules, AMQP system notifications, log collection, chargeback retention
• Добавлена поддержка шифрования AES-256 для Site-to-Site VPN-туннелей (при отсутствии поддержки vSphere 5.0 Update 1 <-> vCloud Connector 1.5)

VMware Site Recovery Manager 5.0.1 (тут):

• Добавлена поддержка vSphere 5.0 Update 1
• Возможность Forced Failover, которая позволяет восстановление ВМ в случаях, когда дисковый массив отказывает на защищенном сайте, который ранее не мог остановить и разрегистрировать ВМ.
• IP customization для некоторых релизов Ubuntu
• Вернулась расширенная настройка storageProvider.hostRescanCnt (см. тут)
• Массивы, сертифицированные на версии 5.0 автоматически пересертифицированы на 5.0.1

VMware View 5.0.1 (тут):

• Добавлена поддержка vSphere 5.0 Update 1
• Обновленные версии VMware View Connection Server 5.0.1, который включает replica server, security server и View Transfer Server, а также VMware View Agent 5.0.1, VMware View Client for Windows 5.0.1
• View Client for Mac OS X теперь поддерживает коммуникацию с виртуальными ПК по PCoIP (см. тут)
• VMware View Client for Ubuntu Linux1.4 с поддержкой PCoIP
• Новые релизы View client for Android и View Client for iPad (все клиенты View теперь консолидированно качаются тут)
• Требование по наличию SSL-сертификатов со стороны клиента

VMware vShield 5.0.1 (тут):

• Добавлена поддержка vSphere 5.0 Update 1
• Улучшенные движки отчетности и экспорта
• Новые вызовы REST API
• Улучшенные логи для аудита
• Улучшенное управление политиками для vShield App
• Поддержка Autodeploy через модули vShield VIB, загружаемые vShield Manager

Если у вас в датацентре установлена не только VMware vSphere 5, то Jason Boche предлагает обновляться следующим образом:

1a. View 5.0 –> View 5.0.1

1b. vCD 1.5 –> VCD 1.5.1

1c. SRM 5.0 –> SRM 5.0.1

1d. vShield App/Edge/Endpoint 5.0 –> 5.0.1

1e. vDR 2.0 –> Go Fish

2. vSphere Client 5.0.1 (it’s really not an upgrade, installs parallel with other versions)

3. vCenter Server 5.0 –> vCenter Server 5.0 Update 1

4. Update Manager 5.0 –> Update Manager 5.0 Update 1

5. ESXi 5.0 –> ESXi 5.0 Update 1

И отметим, что VMware vSphere 5 Update 1 несовместима с некоторыми другими еще не обновленными продуктами VMware (наприме, Data Recovery 2.0). Поэтому вам может оказаться полезной следующая картинка совместимости от Джейсона:

Все вышеперечисленное загружается по этой ссылке.

Маркетинг Citrix не оставляет попыток по продвижению своего продукта для виртуализации серверов - Citrix XenServer. После выхода новой версии XenServer 6, компания выпустила онлайн-калькулятор "Server virtualization at a fraction of the cost", в котором платформа VMware vSphere 5 сравнивается с XenServer.

Для приведенных дефолтных значений результаты получаются ошеломляющими:

Однако, обратим внимание, что этот калькулятор сравнивает только стоимость продуктов и не касается таких вещей, как TCO, ROI, Payback и прочих, которые являются единственными адекватными методиками по финансовой оценке необходимого решения для виртуализации.

Недавно мы писали о такой интересной вещи как Managed Object Browser (MOB), которая доступна через веб-сервер, работющий на сервере VMware vCenter (а также напрямую через веб-доступ к ESXi). А что вообще есть еще интересного на этом веб-сервере? Давайте посмотрим:

1. Если вы еще не пользовались веб-клиентом VMware vSphere Web Client в vSphere 5.0, самое время сделать это, зайдя по ссылке:

https://<имя vcenter>

Этот клиент умеет очень многое из того, что делает обычный "толстый" клиент:

2. Там же, на стартовом экране веб-сервера vCenter, вы можете нажать "Browse Datastores in the vSphere Inventory" и просмотреть хранилища, прикрепленные к хостам ESXi, прицепленным к vCenter:

3. Следующая интересная вещь - vCenter operational dashboard, компонент, который позволяет просматривать статистики по различным событиям, произошедшим в виртуальной инфраструктуре vSphere. Он доступен по ссылке:

http://<имя vCenter>/vod/index.html

Смотрите как интересно (кликабельно) - там много разых страничек:

4. Ну и на закуску - просмотр конфигурации и лог-файлов хоста ESXi через его веб-сервер (предварительно должен быть включен доступ по SSH). Зайдите по ссылке:

https://<имя ESXi>/host

Здесь можно ходить по папкам /etc, /etc/vmware и /var/log, исследуя логи хоста и его конфигурацию:

Поскольку виртуальная машина может состоять из множества файлов (виртуальные диски, конфигурация и т.п) и не имеет формальных правил ее описания для переносимости между платформами, был придуман формат OVF ( Open Virtualization Format). Он представляет собой унифицированный формат распространения готовых виртуальных машин (Virtual Appliances) - виртуальных модулей, которые можно просто скачать и импортировать на платформу виртуализации VMware vSphere или какую-нибудь другую.

В vSphere Client делается это так:

А как наоборот сделать из большого набора файлов vmdk и прочего виртуальную машину в формате OVF? Можно воспользоваться встроенной функцией vSphere Client - Export OVF Template:

Но ее возможности весьма невелики. Намного интереснее - воспользоваться утилитой OVF Tool от VMware, которая позволяет создавать виртуальные модули из виртуальных машин и виртуальных сервисов (vApp) для различных платформ виртуализации. Также утилита может и импортировать виртуальные модули в VMware vSphere.

Простейший способ ее использования - это запаковать машину в OVF, указав путь к vmx-файлу и путь к целевому ovf-файлу:

ovftool.exe <path to vmx> <path to ovf>

Получится вот такой симпатичный набор, который дальше можно выкладывать для скачивания или переносить на флэшках:

Ну а дальше есть куча опций по созданию OVF-пакета, которые можно вывести командой:

ovftool.exe -h

Далее нужно изучать документацию, чтобы построить свой Virtual Appliance по следующим ссылкам:

• Open Virtualization Format Tool
• OVF Tool Documentation
• Virtual Appliances

Многие администраторы VMware vSphere 5 управляют виртуальной инфраструктурой с помощью фреймворка PowerCLI/Powershell. Это удобно для выполнения различных операций из командной строки и вывода в файлы отчетов и настроек по хостам ESXi и виртуальным машинам.

Между тем, есть еще один важный аспект в данном процессе - неплохо бы получать графики для различных сущностей, например, визуализовать машины по загрузке процесса или памяти, сравнить хосты по загрузкам, посчитать количество машин в различных разрезах и т.п.

Этот график построил Шон, автор сайта http://www.shogan.co.uk.

Для того, чтобы начать нужно установить Microsoft Chart Controls for Microsoft .NET Framework 3.5. Шон понял, что создавать чарты на PowerCLI/Powershell - это геморрой, поэтому он написал свои функции, которые облегчают этот процесс:

• Create-Chart for PowerCLI / PowerShell (построение диаграммы в PNG)
• Create-HashTable for PowerCLI / PowerShell (генерация входного массива данных)

Вот пример использования для построения pie-диаграммы:

Create-Chart -ChartType Pie -ChartTitle "Sean's Awesome VM Chart" -FileName seanchart3 -XAxisName "VMs" -YAxisName "MemoryMB" -ChartWidth 750 -ChartHeight 650 -DataHashTable (Create-HashTable -Cmdlet "Get-VM" -NameProperty Name -ValueProperty MemoryMB)

Вот результат:

Процесс на видео:

Дальше - к Шону за подробностями и примерами использования.

Как многие из вас знают, в среде VMware vSphere есть специализированные виртуальные машины, которую выполняют служебные функции, специфические для виртуальной инфраструктуры. К ним, например, можно отнести, виртуальные агенты (Agent VMs) - машины, предназначенные для того, чтобы присутствовать на хосте всегда (т.е. не участвовать в DRS/DPM) и обслуживать другие ВМ. Хороший пример - это антивирусные виртуальные модули (Virtual Appliance), которые сейчас есть у Trend Micro и Касперского и которые работают через vShield Endpoint и VMsafe API:

Логично предположить, что эти виртуальные машины в среде VMware vSphere надо обрабатывать как-то по-особенному. Это так и происходит. Давайте посмотрим, как это делается:

1. Платформа vSphere помечает внутри себя такие виртуальные машины как виртуальные агенты (Agent VMs).

2. Поскольку виртуальный агент должен предоставлять сервис для других виртуальных машин, агенские ВМ, в случае сбоя, на каждом хосте запускаются в первую очередь, чтобы не оставить никого без этого сервиса.

Таким образом, в случае сбоя порядок загрузки ВМ на хосте ESXi следующий:

• стартуют виртуальные агенты
• запускаются Secondary виртуальные машины для тех, которые защищены технологией Fault Tolerance
• поднимаются виртуальные машины с высоким, средним и низким приоритетом, соответственно

3. Механизм VMware DRS/DPM, осуществляющий балансировку виртуальных машин по хостам средствами vMotion и экономию электропитания серверов средствами их отключения при недогрузке датацентра, также в курсе о виртуальных агентах. Поэтому здесь следующее поведение:

• DRS учитывает Reservations, заданные для агентов, даже в том случае, когда они выключены
• для режимов обслуживания (maintenance mode) и Standby - виртуальные агенты никуда с хоста автоматически не мигрируют
• виртуальные агенты должны быть доступны на хосте перед тем, как там будут включены обычные ВМ или они туда будут смигрированы

Источники: тут и тут.

Все разработчики, но не все администраторы VMware vSphere 5 знают, что есть такой инструмент Managed Object Browser (MOB), который позволяет просматривать структуру программных объектов хоста или сервера vCenter и вызывать различные методы через API.

Работать с MOB через браузер можно двумя способами (потребуется ввод административного пароля):

• По ссылке на хост ESXi: http://<имя хоста>/mob
• По ссылке на сервер vCenter: http://<имя vCenter>/mob

Вот, например, методы для работы с виртуальными дисками:

Вообще, полазить там для администратора будет интересно и полезно - можно узнать много нового о том, какие свойства есть у различных объектов vSphere. И прямо оттуда можно создавать различные объекты виртуальной среды с их параметрами.

Ну а пост этот о том, что в VMware vSphere 5 появился еще один раздел MOB - mobfdm, доступный по ссылке:

http://<имя хоста>/mobfdm

Этот MOB позволяет вызывать методы Fault Domain Manager, отвечающего за работу механизма VMware HA. Там можно узнать много интересного: какие хосты master и slave, список защищенных ВМ, Heartbeat-датасторы, состояние кластера и многое другое.

Покопайтесь - это интересно.

Мы уже много писали о продукте номер 1 для защиты виртуальных сред VMware vSphere - vGate R2 от компании Код Безопасности. Разбирали также и нововведения в новой версии, которая поддерживает vSphere 5.

Нас часто спрашивают, чем отличаются vGate R2 и vGate-S R2. Поэтому сегодня мы попробуем разобрать это подробнее.

vGate-S R2 - это специальная версия продукта vGate R2, предназначенная для защиты государственной тайны в виртуальной среде.
На текущий момент продукт предназначен для защиты VMware Infrastructure 3, VMware vSphere 4 и VMware vSphere 4.1. Однако версия с поддержкой VMware vSphere 5 уже проходит инспекционный контроль.

Сертификат ФСТЭК России на vGate-S R2 (ТУ, НДВ 2) позволяет применять продукт в автоматизированных системах уровня защищенности до класса 1Б включительно и информационных системах обработки персональных данных (ИСПДн) до класса К1 включительно.

К ИСПДн класса К1 относятся, например, данные о пациентах медицинских учреждений, поэтому им нужно приобретать только эту версию продукта.

Функционал программного решения vGate-S R2 позволяет защитить информацию различных грифов (до уровня «совершенно секретно»), хранящуюся и обрабатываемую в АС госорганизаций, от несанкционированного доступа. Для этого продукт имеет набор инструментов для распределения и ограничения полномочий специалистов по информационным технологиям и специалистов по информационной безопасности. vGate-S R2 также позволяет организациям строго и детально следить за соблюдением политик безопасности пользователями, а также за соблюдением политик безопасности ИБ и ИТ-администраторами.

Иногда бывает необходимо поменять IP адрес сервера vCenter Server в продуктивной, а чаще в тестовой, среде. Это не так просто - хосты ESXi, подключенные к vCenter, переходят в состояние Disconnected. Ниже приведен способ восстановления конфигурации vCenter, хостов ESXi, Update Manager и Auto Deploy после изменения IP-адреса vCenter.

1. Поменяйте IP-адрес сервера vCenter и переприсоедините его к домену Active Directory.

2. После этого произойдут следующие вещи:

• Хосты ESXi перейдут в статус "disconnected" - это происходит потому, что каждый хост ESXi хранит IP-адрес vCenter в конфигурационном файле vpxa.cfg
• Перестанет работать vSphere Update Manager - по той же причине, только у него есть файл extension.xml
• Перестанет работать vSphere Auto Deploy - у него файлик vmconfig-autodeploy.xml

3. Для переприсоединения хоста ESXi к серверу vCenter вы можете удалить его из окружения vCenter и добавить повторно через vSphere Client, но этот способ приведет к потере данных о производительности хоста, что не очень хорошо. Поэтому нужно сделать так:

• Зайти на сервер ESXi по SSH (сначала нужно его включить)
• Открыть файл /etc/vmware/vpxa/vpxa.cfg
• Изменить в нем секцию <serverIP>, указав новый IP-адрес vCenter:

• Перезапустить management agents на хосте ESXi 5 командой # /sbin/services.sh restart, либо из DCUI как показано на видео ниже:

За более подробной информацией обращайтесь к KB 1001493.

• После всего этого перезапустите службу "VMware VirtualCenter Server" на сервере vCenter.

4. Теперь приступаем к vSphere Update Manager. Заходим на машину, где он установлен, и переходим в папку C:\Program Files (x86)\VMware\Infrastructure\Update Manager, где открываем файл extension.xml и редактируем секцию <healthUrl>, указав новый IP-адрес vCenter Server:

Теперь открываем командную строку (cmd). Переходим в папку C:\Program Files (x86)\VMware\Infrastructure\Update Manager. Там выполняем следующую команду:

vciInstallUtils.exe –vc <vc_ip> –port <vc_http_port> -U <user_name> -P <password> -S extension.xml -C . -L . -O extupdate

где <vc_ip> = новый IP vCenter Server, а <vc_http_port> = 80. Параметры <user_name> и <password> - учетная запись администратора vCenter.

Если все прошло нормально, вывод будет выглядеть подобным образом:

Далее запускаем C:\Windows\ SysWOW64\obcad32.exe на сервере Update Manager. Там переходим на вкладку "System DSN" и нажимаем кнопку Configure. Идем до конца мастера по шагам и успешно проходим тест:

Пробуем запустить службу VMware vSphere Update Manager Service и получаем ошибку:

There was an error connecting to VMware vSphere Update Manager – [vc5:443]. Fault.HostNotReacable.summary

Поэтому переходим в папку C:\Program Files (x86)\VMware\Infrastructure Update Manager и открываем файл vci-integrity.xml, где в секции <vpxdLocation> вводим новый IP-адрес vCenter.

Теперь перезапускаем VMware vSphere Update Manager Service и включаем VMware vSphere Update Manger Extension в vSphere Client. После этого все должно заработать.

Более подробная информация в KB 101322.

5. Переходим к vSphere Auto Deploy. Открываем файл:

c:\ProgramData\VMware\VMware vCenter Auto Deploy\vmconfig-autodeploy.xml

где меняем старый адрес vCenter на новый IP.

Из этой же папки, из командной строки выполняем команду:

autodeploy-register.exe -R -a <vc_ip> -p <vc_http_port> -u <user_name> -w <password> -s <setup-file-path>

параметры вбиваем те же, что и на шаге 4, за исключением последнего:

<setup-file-path>= c:\ProgramData\VMware\VMware vCenter Auto Deploy\vmconfig-autodeploy.xml

Включаем Auto Deploy Plug-in в vSphere Client. Более подробная информация в KB 2000988.

Как вы знаете, с появлением VMware vSphere 5 в состав решения вошел также виртуальный модуль VMware vCenter Server Virtual Appliance (vCSA), который представляет собой готовую виртуальную машину с преднастроенными сервисами vCenter, работающими с интегрированной БД IBM DB2.

Однако такая конфигурация подходит лишь для небольших инсталляций (не более 5 хост-серверов ESXi и 50 виртуальных машин), поэтому в корпоративной инфраструктуре необходимо будет подключать внешнюю базу данных, например, Microsoft SQL Server или Oracle Database.

В данной заметке мы рассмотрим настройку СУБД Oracle 11g R2 x64, работающей Windows Server 2008 для использования совместно с VMware vCenter Server Virtual Appliance.

Для начала сконфигурируем Oracle и пользователя БД:

1. Откройте сессию SQL*Plus как SYSDBA:

C:`>sqlplus sys/<password> as SYSDBA

2. Создайте базу данных с помощью следующих SQL-команд:

CREATE SMALLFILE TABLESPACE “VPX” DATAFILE ‘e:/app/oracle/oradata/orcl/vpx01.dbf’ SIZE 1G AUTOEXTEND ON NEXT 10M MAXSIZE UNLIMITED LOGGING EXTENT MANAGEMENT LOCAL SEGMENT SPACE MANAGEMENT AUTO;

3. Создайте пользователя БД Oracle с необходимыми для vCenter Server привилегиями с помощью следующих команд SQL:

CREATE USER "VPXADMIN" PROFILE "DEFAULT" IDENTIFIED BY "oracle" DEFAULT TABLESPACE "VPX" ACCOUNT UNLOCK;  
grant connect to VPXADMIN;  
grant resource to VPXADMIN;  
grant create view to VPXADMIN;  
grant create sequence to VPXADMIN;   
grant create table to VPXADMIN;   
grant create materialized view to VPXADMIN;  
grant execute on dbms_lock to VPXADMIN;  grant execute on dbms_job to VPXADMIN;  
grant select on dba_tablespaces to VPXADMIN;  
grant select on dba_temp_files to VPXADMIN;  
grant select on dba_data_files to VPXADMIN;  
grant unlimited tablespace to VPXADMIN;

Теперь приступим к настройке VMware vCenter Server Virtual Appliance:

1. Зайдите на vCenter по адресу:

https://<имя vcsa>:5480/

2. На вкладке vCenter Server перейдите в категорию Database.

3. Выберите oracle в качестве Database Type и введите информацию о БД, затем нажмите Save Settings. Обратите внимание, что в tnsnames.ora ничего добавлять не нужно, а также не надо настраивать ODBC-конфигурацию.

4. Подождите около 5 минут, пока vCSA создаст схему БД.

5. Перейдите в категорию Status и в поле Service Status должно отображаться "Running":

6. После этого уберите ненужные больше привилегии пользователя следующими командами в SQL*Plus:

revoke select on dba_tablespaces from VPXADMIN;
revoke select on dba_temp_files from VPXADMIN;
revoke select on dba_data_files from VPXADMIN;

Всего и делов.

Решение номер 1 - StarWind iSCSI SAN - для создания отказоустойчивых хранищ под виртуальные машины серверов VMware ESXi и Microsoft Hyper-V снова в продаже со скидками, которые уменьшаются каждый день. Торопитесь!

Календарь скидок в процентах при заказе в первых двух неделях марта:

Напомним основные возможности решений StarWind:

• Синхронное зеркалирование данных (synchronous mirroring)
• Высокая доступность/Автоматическое преодоление отказа (High Availability / Automatic Failover)
• Восстановление с быстрой синхронизацией (Failback with Fast Synchronization)
• Удаленная / Асинхронная репликация (Remote / Asynchronous Replication)
• Постоянная защита данных и Снапшоты (CDP & Snapshots)
• Кластеризация серверов (Server Clustering)
• Тонкое резервирование (Thin Provisioning)
• Улучшенное высокоскоростное кэширование (Advanced High Speed Caching)

Плюс к этому в StarWind для Hyper-V и vSphere есть Backup Plug-in, который имеет следующие преимущества:

• Безагентная Архитектура
• Резервные копии, сохраняемые в «родном» для Hyper-V VHD-формате (для vSphere - в своем)
• Глобальная Дедупликация
• Операция резервного копирования и восстановления ВМ в один клик

Более подробно с продуктом можно ознакомиться в наших статьях:

• Выпуск новой версии StarWind Native SAN for Hyper-V 5.8
• Простое резервное копирование виртуальных машин Hyper-V с помощью VM Backup в StarWind Native SAN
• Установка StarWind Enterprise HA и создание отказоустойчивого кластера хранилищ VMware vSphere
• Обновленное сравнение изданий StarWind iSCSI SAN Enterprise и StarWind Native SAN for Hyper-V

Купить продукты компании StarWind можно в компании VMC.

Мы уже не раз писали о продукте номер 1 - vGate R2, который является лидером на рынке защиты виртуальных инфраструктур за счет средств автоматической настройки виртуальной среды VMware vSphere и механизмов защиты от несанкционированного доступа. Как мы также сообщали, технический релиз продукта vGate R2 с поддержкой VMware vSphere 5 уже выпущен и передан на инспекционный контроль в ФСТЭК России.

Сегодня мы хотим обратить внимание еще на 2 документа от производителя vGate R2, компании Код Безопасности, раскрывающих особенности применения данного средства защиты в ЦОД коммерческих и государственных организаций:

Технологии виртуализации в коммерческих центрах обработки данных

Выполнение требований законодательства по защите информации государственными компаниями при использовании технологий виртуализации

Напомним основные возможности vGate R2:

• Усиленная аутентификация администраторов виртуальной инфраструктуры и администраторов информационной безопасности.
• Защита средств управления виртуальной инфраструктурой от НСД.
• Защита ESX-серверов от НСД.
• Мандатное управление доступом.
• Контроль целостности конфигурации виртуальных машин и доверенная загрузка.
• Контроль доступа администраторов ВИ к данным виртуальных машин.
• Регистрация событий, связанных с информационной безопасностью.
• Контроль целостности и доверенная загрузка ESX-серверов.
• Контроль целостности и защита от НСД компонентов СЗИ.
• Централизованное управление и мониторинг.

Среди основных возможностей новой версии продукта:

• Полная поддержка VMware vSphere 5
• Новый интерфейс просмотра отчетов. Для построения отчетов больше не требуется наличие SQL-сервера, устанавливаемого ранее отдельно.
• Поддержка новых стандартов и лучших практик в политиках и шаблонах (VMware Security Hardening 4.1, PCI DSS 2.0, CIS VMware ESX Server Benchmark 4).
• Поддержка распределенного коммутатора (Distributed vSwitch) Cisco Nexus 1000v.
• Поддержка 64-битных систем в качестве платформы для vGate Server.
• Улучшение юзабилити, пользовательного интерфейса и масштабируемости.
• Поддержка альтернативного метода лицензирования на базе платы за виртуальную машину за месяц (по модели SaaS).

Получить более подробную информацию о продукте vGate R2 и загрузить его пробную версию бесплатно можно по этой ссылке, а презентации с обзором решения как всегда доступны здесь.

Как вы знаете, еще в VMware vSphere 4.1 появилась возможность "пробрасывать" USB-устройства сервера в виртуальные машины (USB device passthrough). В VMware vSphere 5 эти возможности еще были несколько улучшены за счет добавления поддержки устройств для проброса и от клиента (+USB 3.0), а не только от сервера. В этой заметке приведем основные особенности и условия использования USB-устройств в виртуальных машинах на серверах ESXi.

Для начала простые правила при пробросе USB-устройств сервера (Host-Connected USB Passthrough):

• одно USB-устройствo может быть проброшено только в одну ВМ, для одной ВМ может быть использовано до 20 устройств
• Для работы проброса необходима версия Virtual Hardware 7 или выше (в vSphere 5 - восьмая версия)
• Понятное дело, на хосте должен быть USB-контроллер. USB arbitrator хоста ESXi может управлять 15-ю контроллерами
• Для ВМ с привязанными к ним USB-устройствами можно использовать vMotion, но мигрировать сами устройства нельзя
• Перед тем как использовать USB-устройство в ВМ, нужно добавить к ней USB-контроллер в настройках

Правила посложнее:

• Перед отключением проброшенного в ВМ USB-устройства рекомендуется отключать проброс контроллера в ВМ.
• Перед использованием функций Hot Add (memory, CPU) нужно отключать USB-устройства от ВМ, поскольку при добавлении ресурсов Hot Add устройства USB отключаются, что может привести к потере данных
• Виртуальная машина не может загружаться с проброшенного устройства USB
• Ну и наверное догадываетесь, что нельзя пробрасывать флэшку с самим ESXi
• Контроллер xHCI (для устройств USB 3.0) доступен пока только для Linux-систем (начиная с ядра 2.6.35), для Windows драйверов пока нет

Также отметим, что начиная с VMware vSphere 5.0, стала доступной возможность пробрасывать USB-устройства в ВМ от клиентов (Client-Connected USB Passthrough). Поскольку эта возможность реализована на уровне клиента vSphere Client, то, используя клиента пятой версии, можно пробрасывать USB-девайсы на ВМ, размещенные на ESX/ESXi 4.1.

Таким образом, получается следующая таблица поддержки интерфейсов USB и типов подключения устройств:

USB-контроллер можно добавить к виртуальной машине как из Sphere Client:

так и из vSphere Web Client:

Вопреки расхожему мнению, поддержка USB-устройств в виртуальных машинах VMware vSphere весьма ограничена. Вот полный список поддерживаемых устройств из KB:

То есть всего ничего - эти модели были протестированы чисто чтобы табличку заполнить. Все что за пределами этого списка следует тестировать самостоятельно, в этом случае вопросы в техподдержку VMware задавать не следует.