Многие из вас в курсе, что современный подход к построению инфраструктуры предполагает создание конвергентной среды, где вычислительные ресурсы, системы хранения и сети собраны в единую интегрированную сущность и управляются из одной точки. Гиперконвергентная инфраструктура подразумевает то же самое, только в виртуальной среде.

Из видео ниже вы можете узнать, как построить гиперконвергентную платформу на базе ПО StarWind Virtual SAN, которое позволяет создавать кластеры отказоустойчивых хранилищ для виртуальных машин на VMware vSphere и Microsoft Hyper-V. Ну и конечно, как сэкономить 40% бюджета при ее построении.

StarWind Hyper-Converged Platform (H-CP):

А вот, собственно, практическая часть этого процесса:

Скачать пробную версию StarWind Virtual SAN можно по этой ссылке.

Как многие из вас знают, в VMware vSphere 6.0 была добавлена функциональности горячей миграции vMotion виртуальной машины между датацентрами под управлением разных серверов vCenter. Виртуальные машины могут теперь перемещаться между виртуальными коммутаторами Standard vSwitch и Distributed Switch (vDS)в любой их комбинации, при этом при уходе с vDS настройки машины на его портах сохраняются и уезжают вместе с ней.

На днях VMware выпустила интересное видео, описывающее данную возможность:

Чтобы машина могла переезжать с одного vCenter на другой в горячем режиме необходимо:

• Чтобы оба сервера vCenter были версии 6.0 или более поздней.
• Чтобы оба сервера vCenter работали в режиме Enhanced Linked Mode и были в одном домене Single Sign-On, то есть один vCenter (исходный) мог аутентифицироваться на другом (целевом).
• Оба сервера vCenter должны быть синхронизированы по времени, чтобы SSO мог корректно производить аутентификацию.
• Если вы переносите только ВМ с сервера на сервер (хранилище остается тем же), оба сервера vCenter должны видеть общее хранилище (соответственно, хост-серверы и vCenter должны быть соответствующим образом отзонированы).

Больше подробностей можно узнать из видео выше и KB 2106952.

Практически все администраторы виртуальных инфраструктур обеспокоены проблемой ее производительности в тех или иных условиях. На днях компания VMware обновила свое основное руководство по производительности платформы виртуализации номер один на рынке - Performance Best Practices for VMware vSphere 6.0.

Это не просто очередной whitepaper - это настоящая книга о производительности, на почти 100 страницах которой можно найти не только теоретические советы, но и вполне практичные настройки и конфигурации среды VMware vSphere. К каждому объясняемому параметру заботливо описаны рекомендуемые значения. В общем, Must Read.

На днях компания VMware выпустила интересный документ "VMware vSphere Metro Storage Cluster Recommended Practices" о построении архитектуры распределенного кластера VMware HA/DRS. Теперь в документе учтены все самые последние изменения, которые произошли в этом плане после выхода VMware vSphere 6.

Документ состоит из двух частей: в первой части рассказывается о том, как правильно спроектировать кластер vMSC и настроить платформу VMware vSphere соответствующим образом:

Во второй части подробно описаны различные сценарии сбоев и их обработка кластером vMSC в вашей распределенной виртуальной инфраструктуре:

В документе описаны следующие виды сбоев:

• Отказ одного хоста в основном датацентре
• Изоляция одного хоста в основном датацентре
• Разделение пула виртуальных хранилищ
• Разделение датацентра на сегменты (сети хостов и сети хранилищ)
• Отказ дисковой полки в основном ЦОД
• Полный отказ всех хранилищ в основном датацентре
• Потеря устройств (полный выход из строя, выведение из эксплуатации) - Permanent Device Loss (PDL)

Понятное дело, что документ обязателен к прочтению, если вы планируете строить распределенную инфраструктуру для ваших виртуальных машин на платформе VMware vSphere 6.0.

В блоге компании VMware появился интересный пост с некоторыми подробностями о работе технологии репликации виртуальных машин vSphere Replication. Приведем здесь основные полезные моменты.

Во-первых, репликация с точки зрения синхронизации данных, бывает двух типов:

• Full sync - это когда требуется полная синхронизация виртуальной машины и всех ее дисков в целевое местоположение. Для этого в версии VMware vSphere 5.x использовалось сравнение контрольных сумм дисков на исходном и целевом хранилище. Если они не совпадают, и нужно делать Full sync, исходя из начальных условий - начинается процесс полной репликации ВМ. В первую очередь, основным подвидом этого типа является Initial full sync - первичная синхронизация работающей виртуальной машины, для которой репликация включается впервые.

Кроме того, полная синхронизация включается, когда по какой-либо причине произошла ошибка отслеживания блоков виртуального диска машины при дельта-репликации и передать на целевую ВМ только изменения виртуальных дисков становится невозможным.

• Delta sync - после того, как полная синхронизация закончена, начинается процесс передачи целевой ВМ только различий с момента полной репликации. Тут используется технология changed block tracking, чтобы понять, какие блоки надо отреплицировать с последнего Full sync. Периодичность дельта-репликации зависит от установленной политики Recovery Point Objective (RPO).

Чтобы политика RPO соблюдалась нужно, чтобы дельта-синхронизация полностью проходила за половину времени, установленного в RPO, иначе будут нарушения политики, сообщения о которых вы увидите в vSphere Client. Почему половину? Подробно мы писали об этом вот тут (почитайте, очень интересно). Также еще и в документации VMware есть информация о расписании репликации.

Если вы настроите репликацию для виртуальной машины, то автоматически работать она будет для включенной ВМ, а если она выключена, то сама работать не будет, о чем будет выдано соответствующее предупреждение:

Таким образом, репликация делится еще на 2 типа:

• Online sync - репликация включенной ВМ, проходящая автоматически.
• Offline sync - репликация выключенной ВМ, запускаемая вручную.

Вот так запускается репликация для выключенной ВМ:

Во время offline-репликации виртуальную машину нельзя включить, а ее диски будут залочены. Кроме того, вы не сможете отменить эту операцию. Поэтому при нажатии Sync Now будет выведено вот такое предупреждение:

Обычно offline-репликация используется для создания гарантированной копии ВМ на другой площадке (например, при переезде датацентра или частичном восстановлении инфраструктуры на другом оборудовании). Ну или если у вас была настроена online-репликация, а вы выключили ВМ, то в конце нужно сделать еще ручной Sync Now.

Также в VMware vSphere 6.0 было сделано существенное улучшение в производительности процесса репликации. Если раньше идентичность копий основного диска и реплики сверялась только на базе контрольных сумм (все данные диска надо прочитать - а это затратно по вводу-выводу и CPU), то теперь иногда используются данные о конфигурации виртуального диска на базе регионов. Например, если на исходном диске есть регионы, которые не были аллоцированы на целевом диске, то репликация это отслеживает и передает данные в эти регионы на целевое хранилище. Это работает значительно быстрее вычисления контрольных сумм.

Но такая оптимизация работает не для всех типов виртуальных дисков, а только для Lazy zeroed thick disks, thin disks и vSAN sparse disks и только на томах VMFS. Тома NFS, тома VVols, а также диски типа Eager zeroed thick не предоставляют информации об аллокации регионов, поэтому для них оптимизация работать не будет. Более подробно об этом написано тут.

Как вы знаете, мы продолжаем сотрудничество с компанией Код Безопасности и в ближайших статьях будем знакомить вас с возможностями vGate R2 - главного продукта в сфере обеспечения безопасности инфраструктур VMware vSphere и Microsoft Hyper-V. Совсем недавно была анонсирована новая версия решения - vGate 2.8 для Hyper-V, которая стала еще более функциональной, надежной и удобной. Напомним также, что есть и vGate R2 для VMware vSphere.

Дункан опубликовал в своем блоге интересный пост про то, как кластер VMware Virtual SAN размещает данные больших VMDK-дисков на малых физических дисках. Напомним, что Virtual SAN оперирует понятием дисковых страйпов (disk stripes), на которые разбивается дисковый объект (в частности, виртуальный диск VMDK является дисковым объектом). Это как кирпичики Virtual SAN, на уровне которых работает кластер.

Давайте взглянем на картинку:

Здесь мы видим вот что: на уровне политики (VSAN Policy) задан параметр "Number of failures to tolerate" (подробнее об этом мы писали тут) равный 1. Это значит, что инфраструктура Virtual SAN может пережить отказ не более одного хоста.

Но также в рамках политики есть еще и параметр "Stripe Width" (он же "Number of Disk Stripes Per Object"), который позволяет разбить дисковый объект на два страйпа: stripe/a и stripe/b, причем обратите внимание, что реплика дискового объекта может храниться на разных хост-серверах (а может и на одном - это вы никак не сможете отрегулировать, гарантируется лишь, что это будут 2 разных hdd-диска). Так что, если у вас маленькие диски, а виртуальные машины с большими дисками VMDK, то задайте этот параметр вот здесь:

Кстати говоря, объекты разбиваются на страйпы не только при заданном Stripe Width, но и автоматически, когда размер VMDK превышает 256 ГБ.

Как некоторые из вас знают, компания VMware в последний год активно двигает продажи не просто платформы VMware vSphere, а ее "расширенной" версии со средствами мониторинга и управления (есть даже пакеты Acceleration Kit с обязательной добавкой Operations Management). По-сути, vSphere with Operations Management - это vSphere плюс vRealize Operations Standard.

Помните про такой сайт VMware Walkthroughs, где собраны обучающие интерактивные материалы, с помощью которых можно виртуально "пощупать" продукты VMware, в частности vSphere и Virtual SAN? Так вот недавно этот ресурс пополнился материалами про vSphere with Operations Management.

Теперь всем желающим доступны материалы на следующие темы об Operations Management:

• Install and Upgrade
• Configuration
• Performance and Health Monitoring
• Understanding, Analyzing and Forecasting Capacity
• Resource Management and Optimization
• Security and Compliance
• Networking
• Storage
• Availability

Кроме того, теперь есть и клацалка по Virtual SAN:

Ну и вообще, загляните на главную страницу сервиса - там реально интересно теперь.

Не так давно мы писали о том, что компания VMware выпустила бета-версию своего основного руководства по обеспечению информационной безопасности виртуальной инфраструктуры vSphere 6.0 Hardening Guide. На днях же вышла финальная версия этого документа. Надо отметить, что документ весьма сильно поменялся по структуре и содержанию:

Согласно записи в блоге VMware, в данной версии руководства были сделаны следующие позитивные изменения:

• Сделан упор на автоматизацию воплощения рекомендаций через API, чтобы доставить меньше хлопот по ручному конфигурированию настроек. Приводятся конкретные команды PowerCLI и vCLI для исследования конфигураций и задания необходимых параметров.
• В качестве рекомендуемого значения добавлен параметр "site-specific", что означает, что конкретная имплементация данной настройки зависит от особенностей инфраструктуры пользователя.
• Появилась колонка с разносторонним обсуждением проблемы потенциальной уязвимости (с учетом предыдущего пункта).
• Дается больше информации о потенциальных рисках - на что влияет данная настройка в итоге.

Кстати, вот полный список руководящих документов по обеспечению безопасности других продуктов компании VMware и прошлых версий VMware vSphere:

• vSphere 4.0
• vSphere 4.1
• vSphere 5.0

• vSphere 5.1 Hardening Guide
• vSphere 5.1 Hardening Guide Change Log

• vSphere 5.5 Hardening Guide
• vSphere 5.5 Hardening Guide Change Log

• vSphere 5.5 Update 1 Hardening Guide
• vSphere 5.5 Update 1 Hardening Guide Change Log

• vSphere 6.0 - Moved to Documentation from Hardening Guide
• vSphere 6.0 Hardening Guide

• vRealize Configuration Manager PDF
• vRealize Automation (последний документ внизу)
• vCloud Director 1.5

Ну и надо обязательно добавить, что VMware Configuration Manager теперь полностью поддерживает конфигурации из руководства vSphere 6 Hardening Guide. Более подробно об этом написано в блоге VMware Security.

В нескольких заметках мы освещали новости о продукте VMware Log Insight, который предназначен для автоматизированного управления файлами журналов, а также сбора различных данных, их анализа и поиска.

Многие администраторы VMware vSphere знают, что такой продукт есть, на мало кто знает, зачем он реально нужен. Ну да, централизованно собирает логи, есть аналитика, но когда он может пригодиться? Поэтому приведем тут пример решения конкретной административной задачи с помощью VMware Log Insight, которую описал у себя в блоге Iwan Rahabok.

Итак, каждый из вас, я надеюсь, знает, что снапшоты виртуальных машин - это плохо (назовем их "snapshits"). Поэтому в большой инфраструктуре часто оказывается необходимым найти тех, кто снапшоты создает, а если он потом их удалил, то когда это было сделано.

Для начала создадим и удалим снапшот виртуальной машины. Это отобразится в списке последних задач vSphere Web Client:

Откроем консоль VMware Log Insight и перейдем в представление "Virtual Machine – Snapshots", как показано ниже:

Видим, что оба события были пойманы. Переключимся в представление Interactive Analytics (в верхнем меню):

Тут мы видим оба события на таймлайне. Расширим диапазон до 7 дней и добавим фильтр по строчкам "vmw_esxi_snapshot_operation". Видим записи лога о снапшотах:

Ну и переключимся на вкладку Field Table, где выберем параметр vc_username в качестве фильтра (если пользователь заходил из vCenter):

Ну и видим тут, что всеми этими делами занимался пользователь obi-wan.

На самом деле, с помощью Log Insight можно вытягивать очень много чего полезного, например, можно было бы составить фильтр так, чтобы показать виртуальные машины только по указанному шаблону именования.

Это гостевой пост компании ИТ-ГРАД, предоставляющей услуги аренды виртульных машин в облаке.

Контейнерная виртуализация и специализированные облака — тренд нашего времени. Возможность выпускать приложение в унифицированном формате под любую платформу привлекательна сама по себе. А если добавить сюда открытость, поддержку всех основных систем виртуализации и фокус на разработчиков ПО, то получаем любопытное решение для поставщиков программного обеспечения и их клиентов. В этой статье поговорим о платформенном облаке Pivotal CF и поищем ответ на вопрос, зачем оно нужно.

Компания Pivotal — обособленное подразделение EMC, кoторое разрабатывает продукты для виртуализации и облачных вычислений. Наиболее известным из них можно назвать Pivotal Cloud Foundry, который предназначен для упрощения жизни разработчикам ПО. Pivotal предлагает некую абстракцию для всем привычной IaaS-виртуализации, когда ПО выпускается в виде своеобразного «строительного кубика» без привязки к платформе виртуализации. Напоминает контейнеры, правда? По сути идея очень близка, но имеет свои особенности.

Теперь любой разработчик может запустить свое приложение в среде Cloud Foundry, выбрав конкретное облако по желанию: vSphere, AWS или OpenStack. Подход сулит серьезную экономию времени и сил на предоставлении доступа заказчикам к новым разработкам. А возможность работы с облаками нескольких типов еще больше повышают гибкость и решения.

Платформенное облако

Pivotal CF — платформа для облачных систем, которая выступает в качестве некоего слоя абстракции для виртуальной среды (как виртуализация для виртуализации). Суть в том, чтобы создать унифицированную площадку, на которой можно запускать любые приложения без привязки к конкретному облаку или гипервизору. То есть строительным блоком служит не виртуальная машина, а контейнер приложения. На контейнерах подробнее остановимся чуть позже, а пока разберемся, чем CF лучше привычного облака PaaS.

Platform as a Service (PaaS) — модель предоставления облачных вычислений, при которой потребитель получает доступ к использованию информационно-технологических платформ: операционных систем, систем управления базами данных, связующему программному обеспечению, средствам разработки и тестирования, размещённым у облачного провайдера.

Фактически Pivotal предлагает прийти к любому облачному провайдеру с собственным облаком-платформой, которое ставится поверх всех популярных IaaS. Зачем нужно так усложнять и почему бы просто не создать десяток VM на той же vSphere? Все очень просто: а вдруг вы хотите работать с Amazon, а не VMware? Или нужно распределенное по миру решение, а услуги облачных провайдеров в разных странах отличаются по платформе или цене за нее. В конце концов, можно построить огромное распределенное облако сразу из нескольких типов IaaS и вообще ничем себя не стеснять...[кликните, чтобы читать дальше]

Интересная история произошла тут между компаниями VMware и Nutanix. Инженеры и сейлы из VMware решили провести сравнение производительности программных отказоустойчивых кластеров на базе локальных хранилищ серверов VMware Virtual SAN и Nutanix. Создав тестовую конфигурацию и выбрав профиль нагрузки, компания VMware сделала тест в средах Virtual SAN и Nutanix.

Кстати, вот конфигурация тестового кластера хранилищ:

• 4 x Dell XC630-10 для Nutanix,
• 4 x Dell R630 для vSphere с кластером VSAN
• 2 x Intel E5-2690 v3 на сервер
• 12 ядер на процессор 2.6GHz, 256 ГБ памяти на сервер
• Двухпортовый 10Gb Ethernet
• 1 x PERC H730 Mini на сервер
• 2 x 400GB Intel S3700 на сервер
• 6 дисков x 1TB 7200 RPM NL-SAS (Seagate) на сервер

Но тут спецы из VMware решили заглянуть в EULA Nutanix, а там написано (п. 2.1, подпункт e):

You must not disclose the results of testing, benchmarking or other performance or evaluation information related to the Software or the product to any third party without the prior written consent of Nutanix

То есть, публиковать результаты тестирования нельзя. Вот такой облом. А ведь VMware много раз ругали за то, что она сама запрещает публиковать результаты тестирования производительности с конкурирующими продуктами. Это также зафиксировано в EULA:

You may use the Software to conduct internal performance testing and benchmarking studies. You may only publish or otherwise distribute the results of such studies to third parties as follows: (a) if with respect to VMware’s Workstation or Fusion products, only if You provide a copy of Your study to benchmark@vmware.com prior to distribution; (b) if with respect to any other Software, only if VMware has reviewed and approved of the methodology, assumptions and other parameters of the study (please contact VMware at benchmark@vmware.com to request such review and approval) prior to such publication and distribution.

VMware, конечно, утверждает, что у нее условия мягче, но по-сути у них написано одно и то же. Публиковать результаты тестов без разрешения нельзя. А разрешение, конечно, никто не даст, так как опубликовать конкуренты захотят только, если у них все работает лучше и быстрее.

Поэтому VMware ничего не оставалось, как опубликовать результаты только своих тестов и разбить их по профилям нагрузки, отметив, что желающие сравнить пользователи сами могут убедиться, что Nutanix работает медленнее, проведя тесты самостоятельно.

Надо также отметить, что VMware отправила запрос на публикацию в Nutanix, на что получила ожидаемый ответ - публиковать нельзя.

Ну и, собственно, результаты тестирования для кластера Virtual SAN:

Как вы знаете, мы уже много лет сотрудничаем с компанией Код Безопасности, которая выпускает лучший продукт для защиты виртуальных инфраструктур - vGate. Средство комплексного обеспечения безопасности виртуальной среды vGate позволяет защитить инфраструктуру VMware vSphere, а также инфраструктуру предприятия на базе гипервизора Microsoft Hyper-V.

Сертифицированные продукты семейства vGate обеспечивают безопасность виртуальной инфраструктуры, в которой ведется обработка персональных данных, конфиденциальной информации и сведений, относящихся к гостайне. Широкие функциональные возможности vGate предоставляют службе безопасности предприятия удобные инструменты контроля и противодействия злоупотреблениям в виртуальной среде с учетом особенностей ее использования.

vGate позволяет выполнить необходимые технические меры защиты информации и способствует приведению виртуальной инфраструктуры в соответствие нормам российского законодательства, отраслевым стандартам и лучшим мировым практикам.

Основные возможности vGate:

• Усиленная аутентификация администраторов виртуальной инфраструктуры и администраторов информационной безопасности
• Защита средств управления виртуальной инфраструктурой от несанкционированного доступа (НСД)
• Мандатное управление доступом
• Защита серверов ESXi и Hyper-V от НСД
• Поддержка распределенных инфраструктур
• Контроль целостности конфигурации виртуальных машин и доверенная загрузка
• Контроль доступа администраторов ВИ к файлам виртуальных машин
• Разграничение доступа серверов ESXi и Hyper-V на запуск виртуальных машин
• Контроль целостности и доверенная загрузка хост-серверов виртуализации
• Контроль целостности и защита от НСД компонентов СЗИ
• Регистрация событий, связанных с информационной безопасностью
• Централизованное управление и мониторинг

В ближайшее время мы расскажем о новой версии продукта vGate для Hyper-V версии 2.8, где появилось множество новых и полезных для адимнистраторов возможностей. Не отключайтесь!

Рано или поздно любой администратор VMware vSphere сталкивается с проблемой разросшихся тонких дисков виртуальных машин, которые увеличиваются неизбежно по своей природе (при удалении файлов в гостевой ОС блоки не обнуляются и не отдаются обратно на хранилище с уменьшением VMDK).

Многие из вас знают следующий способ уменьшения тонкого диска (Thin disk): надо сначала почистить блоки утилитой sdelete, а потом сделать миграцию машины средствами Storage vMotion на другое хранилище. Тогда thin-диски и уменьшатся до реального размера данных в нем.

Но, во-первых, SVMotion есть не у всех (так как в начальные издания vSphere эта технология не входит), а, во-вторых, есть более простой способ. Итак:

1. Давайте сначала "раздуем" исходный тонкий диск с помощью утилиты sdelete.

Было (18,74 ГБ):

Запускаем в гостевой ОС Windows утилиту:

sdelete -c

Стало (41,8 ГБ):

2. Очищаем удаленные блоки в гостевой ОС, заполняя их нулями.

Для этого запустим команду:

sdelete -z

3. Уменьшаем размер виртуального диска с помощью утилиты vmkfstools.

Делается это с помощью ключа -K (можно также использовать ключ --punchzero) в консоли сервера ESXi:

vmkfstools -K Test.vmdk

Вот и все, смотрим на получившийся размер:

Надо отметить, что утилита vmkfstools, запущенная с ключом -K, еще и может преобразовать обычный диск (zeroedthick или eagerzeroedthick) в thin disk с вычищением нулевых блоков и, соответственно, уменьшением размера vmdk.

На днях компания VMware запустила публичную бету решения vROps Management Pack for Virtual SAN, которое позволяет отслеживать состояние и параметры кластера VMware Virtual SAN, производить аналитику и траблшутинг, а также Healthcheck инфраструктуры отказоустойчивых хранилищ:

По-сути, это vRealize Operations Manager, прикрученный к VSAN, который позволяет нам следить за кластером хранилищ и своевременно решать проблемы, которые возникают в процессе эксплуатации.

Посмотрим на возможности vROps Management Pack for Virtual SAN:

• Возможность контролировать несколько кластеров Virtual SAN
• Поддержка дэшбордов для Cluster Insights, Device Insights, Entity usage, heat maps и т.п.
• Информация о механизме SMARTS (отчеты и алертинг)
• Обнаружение проблем APD (All Path Down) и PDL (Physical Device Loss). Мы писали об этом тут
• Обнаружение несовместимости протоколов доступа к хранилищам
• Описание сбоев программного и аппаратного обеспечения, а также конкретные рекомендации по их устранению
• Мониторинг SSD (в дополнение к CPU, памяти и т.п.)
• Мониторинг агрегированных IOPS
• Отслеживание обновлений ПО
• Решение проблем с некорректной презентацией LUN
• Решение проблем со снапшотами, которые разрастаются и заполоняют хранилища
• Возможность отключения LUN после ошибки администратора

Скачать vRealize Operations Manager в рамках бета-программы можно по этой ссылке.

В середине весны компания Symantec выпустила обновление своего продукта для резервного копирования данных физических и виртуальных машин Symantec Backup Exec 15. Этот продукт стал одним из первых, кто поддержал все новые фичи VMware vSphere 6, такие как Virtual Volumes (VVols) и Virtual SAN 6.0. Теперь это действительно удобное комплексное решение как для резервного копирования ВМ в гетерогенной виртуальной среде (VMware vSphere и Microsoft Hyper-V), так и для бэкапа данных физической инфраструктуры с корпоративными приложениями, такими как Microsoft SQL Server или Sharepoint.

Многие из вас знают, что у VMware есть виртуальный модуль vCenter Server Appliance (vCSA), который можно использовать в качестве виртуального управляющего сервера для инфраструктуры vSphere. Для многих это просто "черный ящик", к которому можно подключиться с помощью vSphere Client или Web Client и рулить хостами и виртуальными машинами.

Давайте немного заглянем внутрь. Если мы откроем консоль vCSA, то увидим нечто подобное консоли VMware ESXi:

Не забывайте, что это не только сервер vCenter, но еще и Linux, в который можно залезть. Сделать это можно в локальной консоли, нажав комбинацию клавиш Alt+F1, но лучше нажать <F2> и включить доступ к vCSA по SSH. Также это можно сделать и в vSphere Web Client в следующем разделе:

System Configuration / Nodes / Manage / Settings / Access

Далее можно будет подключиться к хосту vCSA по SSH под аккаунтом root и смотреть, что там внутри:

Это оболочка виртуального модуля vCSA. Чтобы посмотреть API-функции, которые можно использовать для настройки модуля, введите команду:

help api list

Интерфейс vCSA содержит несколько стандартных плагинов (посмотреть их можно командой help pi list), реализующих стандартные средства, такие как ps, top или vimtop (это своего рода esxtop, но только для vCSA). Запустим, кстати, vimtop:

Здесь наглядно видно, какой сервис vCenter или самой ОС отъедает ресурсы. Более подробно об этом средстве написано вот тут.

Чтобы включить доступ к bash-консоли линукса нужно написать:

shell.set --enabled true

Далее просто запустите ее командой shell.

Кстати, тут есть хинт - по умолчанию для bash-консоли установлен таймаут 1 час, поэтому оттуда вас будет постоянно выбрасывать. Увеличить его можно следующей командой (отключить нельзя, поэтому указываем максимальное время в секундах на 68 лет - только учтите, что оно сохраняется после перезагрузки):

shell.set --enabled true --timeout 2147483647

Чтобы закинуть на vCSA какие-нибудь скрипты или другие файлы, воспользуемся утилитой WinSCP. Но при попытке соединения мы получим вот такой отлуп:

Все логично - WinSCP ожидает стандартный shell линукса, а не то, что показано на первом скрине. Поэтому надо сделать так: в настройках Win SCP выставить протокол SFTP (вместо SCP), а в Advanced Settings ввести "shell /usr/lib64/ssh/sftp-server" (без кавычек) для использования SFTP-сервера.

Также можно временно заменить дефолтный шел модуля на bash с помощью команды:

chsh -s /bin/bash

И потом можно просто соединяться через WinSCP в обычном режиме. Чтобы вернуть шел модуля, напечатайте:

chsh -s /bin/appliancesh

Также обратимся к настройке устаревания и сложности паролей. Многих эта тема волнует и бесит, когда заставляют создавать пароли, не соответствующие чьим-то мудацким правилам. Ну и, конечно же, по дефолту включено устаревание пароля в 90 дней.

Отключить все это можно через Web Client в разделе Administration / Single Sign-On / Configuration / Policies / Password Policy (не забудьте зайти под SSO админом):

Для отключения устаревания установите значение 0. Также это можно сделать командой:

chage -M -1 root

Для изменения политики сложности пароля вам нужно отредактировать следующий файл:

/etc/pam.d/common-password

Кстати, если вы все же решите оставить устаревание пароля, то с помощью следующей команды можно настроить отсылку предупреждения об устаревании пароля на электронную почту:

user.set --username root --email yourmail@somewhere.org

Это гостевой пост компании ИТ-ГРАД. В нашу эпоху бурного роста объемов информации и «хотелок» бизнеса подход к сохранности данных тоже требует перемен. Вспомните, как раньше небольшие и средние компании решали вопрос с временной недоступностью своих сервисов. Если кратко — то никак. Полагались на авось и резервные копии. Сейчас же рост популярности виртуализации и облачных вычислений фактически уравнял в возможностях компании с любыми бюджетами.

Посмотрим, какие есть варианты организации катастрофоустойчивого решения с использованием облаков.

В новой версии VMware vSphere 6 для хостов ESXi было сделано следующее нововведение в плане безопасности - теперь после 10 неудачных попыток входа наступает блокировка учетной записи (account lockout), которая длится 2 минуты.

Этот эффект наблюдается теперь при логине через SSH, а также при доступе через vSphere Client (ну и в целом через vSphere Web Services SDK). При локальном доступе через DCUI (напрямую из консоли) такого нет.

Сделано это понятно зачем - чтобы никто не перебирал пароли рута брутфорсом.

Отрегулировать настройки блокировки можно в следующих параметрах Advanced Options хоста ESXi:

• Security.AccountLockFailures - максимальное число попыток входа, после которого аккаунт блокируется. Если поставить 0, то функция локаута будет отключена.

• Security.AccountUnlockTime - число секунд, на которое блокируется аккаунт.

Ну и напомню, что мы также писали о том, как установить таймаут сессии по SSH или ESXi Shell, а также таймаут сессии vSphere Web Client.

Многие из вас знакомы с продуктом VMware Site Recovery Manager, который позволяет построить катастрофоустойчивую виртуальную инфраструктуру за счет репликации виртуальных машин на хосты резервной площадки, помещения или стойки. Как известно, VMware SRM может использовать два типа репликации:

• Array Based Replication - репликация уровня массива, котора требует наличия соответствующего типа дискового массива на основной и резервной площадке, канала репликации, а также, собственно, программного продукта, который реализует эту репликацию. Как правило, данный тип представляет собой синхронную репликацию с возможностью быстрого переключения на резервную инфраструктуру в случае сбоя без потери данных.
• vSphere Replication - репликация уровня массива, которая не требует ничего кроме сетевого соединения между площадками, но она происходит в асинхронном режиме, а значит возможна потеря данных в случае сбоя.

Давайте попробуем рассмотреть особенность обоих методов репликации в таблице:

Также при использовании репликации уровня дискового массива рекомендуется прочитать документацию к соответствующему компоненту SRA (storage replication adapter).

Какое-то время назад мы писали о том, что компания VMware выпустила документ об обеспечении непрерывной работы сервера управления VMware vSphere - vCenter Server 5.5 Availability Guide. Совсем недавно VMware выпустила обновление этого документа - vCenter Server 6.0 Availability Guide.

Если вкратце, то компоненты vCenter предлагается защищать с помощью следующих решений:

1. Кластер высокой доступности VMware HA и сервис слежения за vCenter - Watchdog.

Сервис HA автоматически перезапускает виртуальную машину с vCenter отказавшего сервера на другом хосте кластера, а сервис Watchdog (он есть как на обычном vCenter, так и на vCenter Server Appliance) следит за тем, чтобы основная служба vCenter работала и отвечала, и запускает/перезапускает ее в случае сбоя.

2. Защита средствами VMware Fault Tolerance.

Теперь технология VMware FT в VMware vSphere 6.0 позволяет защищать ВМ с несколькими vCPU, поэтому данный способ теперь подходит для обеспечения непрерывной доступности сервисов vCenter и мгновенного восстановления в случае сбоя оборудования основного хоста ESXi.

3. Сторонние утилиты, использующие VMware Application Monitoring API.

Компания VMware предоставляет специализированный API, который могут использовать партнеры для создания решений, защищающих приложения в гостевой ОС, в частности, сервис vCenter. Одно из таких приложений - Symantec ApplicationHA. Оно полностью поддерживает vCenter, имеет специализированного агента и перезапускает нужные службы в случае сбоя или зависания сервиса.

4. Средства кластеризации на уровне гостевой ОС (с кворумным диском).

Это один из древнейших подходов к защите сервисов vCenter. О нем мы писали еще вот тут.

Для организации данного типа защиты потребуется основная и резервная ВМ, которые лучше разместить на разных хостах vCenter. С помощью кластера Windows Server Failover Clustering (WSFC) организуется кворумный диск, общий для виртуальных машин, на котором размещены данные vCenter. В случае сбоя происходит переключение на резервную ВМ, которая продолжает работу с общим диском. Этот метод полностью поддерживается с vCenter 6.0:

Кстати, в документе есть пошаговое руководство по настройке кластера WSFC для кластеризации vCenter 6.0 (не забудьте потом, где его искать).

Ну и в заключение, сводная таблица по функциям и преимуществам приведенных методов:

Далее идет описание средств высокой доступности в Enterprise-инфраструктуре с несколькими серверами vCenter, где компоненты PSC (Platform Services Controller) и vCenter разнесены по разным серверам. Схема с использованием балансировщика:

Обратите внимание, что для PSC отказоустойчивость уже встроена - они реплицируют данные между собой.

Та же схема, но с кластеризованными серверами vCenter средствами технологии WSFC:

Использование географически распределенных датацентров и сервисов vCenter в них в едином домене доступа SSO (Single Sign-On) за счет технологии Enhanced Linked Mode (каждый сайт независим):

То же самое, но со схемой отказоустойчивости на уровне каждой из площадок:

Ну и напоследок 2 дополнительных совета:

1. Используйте Network Teaming для адаптеров vCenter (физических или виртуальных) в режиме отказоустойчивости, подключенные к дублирующим друг друга сетям.

2. Используйте Anti-affinity rules кластера HA/DRS, чтобы основная и резервная машина с vCenter не оказались на одном хосте VMware ESXi.

Да, и не забывайте о резервном копировании и репликации виртуальной машины с vCenter. Сделать это можно либо средствами Veeam Backup and Replication 8, либо с помощью VMware vSphere Replication/VMware vSphere Data Protection.

На днях компания VMware сделала неожиданный ход: решение VMware vCloud Director, про которое говорилось, что оно будет снято с производства (пруф), получило новую жизнь. Пропустив 6 и 7 версии со времен последней версии vCloud Director 5.6, компания VMware анонсировала скорую доступность бета-версии vCloud Director 8.0.

Заявленные новые возможности продукта:

• Полная поддержка vSphere 6.0 и совместимость с решением для виртуализации сетей NSX 6.1.
• Шаблоны Virtual Data Center (VDC) для возможности использования портала самообслуживания пользователями самостоятельно.
• Улучшения юзабилити виртуальных сервисов (vApp). Также от них ждут поддержки контейнеризованных приложений.
• Ограничения параметров ВМ (использование ресурсов), для того чтобы гибко управлять потреблением физических ресурсов в многопользовательской облачной среде.
• Поддержка провайдеров аутентификации OAuth
• Улучшения процессов развертывания и автоматизации за счет поддержки нового плагина vRealize Orchestrator Plugin.

Записаться в участники бета-программы vCloud Director 8.0 можно на этой странице. Сам продукт будет доступен для скачивания 1 июня. Пока можно записаться на вебинар по этому решению, который также пройдет 1 июня в 18-00 по московскому времени.

Ну и после регистрации в бета-программе вам будет доступен vCloud Director 8.0 User's Guide, где можно почитать о новых возможностях подробнее.

На днях компания VMware объявила о выходе обновленной версии средства для переноса физических компьютеров в виртуальную среду - vCenter Converter Standalone 6.0. Напомним, что прошлое большое обновление этого продукта вышло достаточно давно - vCenter Converter Standalone 5.5.1 был выпущен больше года назад (а в октябре прошлого года вышла версия 5.5.3).

Давайте посмотрим, что появилось нового в vCenter Converter 6.0, который органично вписывается в линейку продуктов на платформе vSphere версии 6.0:

• Поддержка виртуального аппаратного обеспечения (virtual machine hardware) версии 11.
• Полная поддержка vSphere 6.0 and Workstation 11.
• Поддержка новых гостевых ОС: Red Hat Enterprise Linux 7, Ubuntu 14, CentOS 6-7, Windows Server 2012 R2, Windows 8.1.
• Поддержка сетевых окружений, полностью построенных на базе протокола IPv6.
• Режим работы через прокси-сервер.
• Клонирование данных на уровне файлов для томов файловой системы ReFS в ОС Windows.
• Поддержка файловой системы XFS.
• Поддержка прописанных заранее имен сетевых интерфейсов.
• Исправления ошибок и улучшенная стабильность.

Кстати, заявляется о том, что данная версия vCenter Converter является последней, которая поддерживает сторонние образы и виртуальные машины других платформ в качестве источников для конверсии. Следующая версия Converter будет предназначена только для конверсии изнутри ОС в режиме миграции P2V. Учитывайте это при планировании проектов по миграции систем.

Основной документ VMware vCenter Converter Standalone 6.0 User's Guide можно скачать по этой ссылке. Сам продукт vCenter Converter Standalone 6.0 можно загрузить здесь.

Компания Softline рада пригласить вас на свои вебинары в сфере виртуализации:

Вебинар: «VMware vSphere with Operation Management vs. VMware vSphere»

19 мая 2015 в 11:00 (по Московскому времени) Softline и VMware приглашают вас принять участие в бесплатном вебинаре «VMware vSphere with Operation Management vs. VMware vSphere».

VMware vSphere with Operation Management – надежная платформа виртуализации, в состав которой входят средства мониторинга производительности и управления ресурсами. Решение разработано для компаний любых размеров и выполняет задачи по обеспечению высокого уровня обслуживания для корпоративных приложений; снижению расходов на оборудование за счет эффективного использования ресурсов и повышения коэффициентов консолидации.

Программа:

• Обзор vSphere with Operation Management;
• Преимущества апгрейда с vSphere на vSphere with Operation Management;
• Комплектации решения;
• Специальные условия апгрейда для пользователей vSphere.

РЕГИСТРАЦИЯ на вебинар

Вебинар «Облачная модель лицензирования Veeam Cloud Provider Program для оптимизации затрат на IT»

20 мая 2015 года в 11:00 компании Softline и Veeam приглашают вас посетить бесплатный вебинар: «Облачная модель лицензирования Veeam Cloud Provider Program для оптимизации затрат на IT».

В ходе нашего вебинара у Вас будет возможность пообщаться с техническим консультантом компании VEEAM, задать вопросы и узнать::

• Что такое VPC
• Зачем нужна программа VCP
• Как она работает
• Как стать участником
• Истории успеха использования
• Новейшие технологические решения от Veeam под названием Veeam Cloud Connect.

Благодаря программе VCP у Вас появятся следующие преимущества:

• широчайший спектр услуг по защите данных и резервному копированию
• повышение эффективности и мониторинга виртуальных сред благодаря использованию продуктов Veeam.

Кому будет интересно посетить наш вебинар:

• Центрам обработки данных.
• Интернет- и сервис- провайдерам.
• Системным интеграторам.
• Операторам связи.
• Поставщикам услуг по модели DaaS, IaaS, BaaS.
• IT-подразделениям крупных холдингов.

РЕГИСТРАЦИЯ на вебинар

Недавно компания EMC сделала доступным виртуальный модуль (Virtial Appliance) vVNX community edition, представляющий собой готовую ВМ в формате OVF, с помощью которой можно организовать общее хранилище для других виртуальных машин.

Видеообзор vVNX с EMC World:

Сам продукт фактически представляет собой виртуальный VNXe 3200. Для его работы вам потребуется:

• VMware vSphere 5.5 или более поздняя версия
• Сетевая инфраструктура с двумя адаптерами 1 GbE или 10 GbE
• Аппаратный RAID-контроллер (рекомендуется 512 МБ NV Cache)

Основные возможности vVNX:

• Replication – возможность асинхронной репликации на уровне блоков для локальных и удаленных инстансов vVNX. Также поддерживается репликация между vVNX и настоящим VNXe 3200.
• Unified Snapshots – поддержка технологии снапшотов как на уровне блоков, так и на уровне файлов. Для этого используется технология Redirect on Write (ROW).
• VMware Integration – vVNX предоставляет несколько механизмов интеграции с платформой VMware vSphere, таких как VASA, VAI и VAAI. Это позволяет производить мониторинг хранилищ vVNX из клиента vSphere, создавать хранилища из Unisphere, а также использовать техники compute offloading.
• Flexible File Access – к хранилищам можно предоставить доступ через CIFS или NFS. Причем оба протокола можно использовать для одной файловой системы. Также можно использовать FTP/SFTP-доступ.

Для виртуальной машины с Virtual VNX потребуется 2 vCPU, 12 ГБ оперативной памяти и до 4 ТБ хранилища для виртуальных дисков.

Также кое-где на сайте EMC заявляется, что vVNX поддерживает технологию Virtual Volumes (VVOls) от VMware, что позволяет потестировать эти хранилища, не имея физического хранилища с поддержкой этого механизма. Это неверно. Поддержка VVols в vVNX будет добавлена только в третьем квартале этого года (пруф).

Пока можно посмотреть вот это видео на эту тему:

Скачать vVNX и получить бесплатную лицензию к нему можно по этой ссылке. Материалы сообщества, касающиеся vVNX объединены по этой ссылке, а вот тут можно посмотреть видео развертывания продукта и скачать гайд по установке. Ну и вот тут вот доступен FAQ.

Компания ИТ-ГРАД, предоставляющая услуги аренды инфраструктуры VMware, делится опытом резервного копирования данных в облако с помощью средства Veeam Cloud Connect. Тема резервного копирования была, есть и будет актуальной во все времена. С каждым годом объем данных, хранящихся как на физических, так и на облачных площадках различных компаний, постоянно увеличивается. Исследование, проведенное аналитической компанией Gartner, показало, что рост объема данных является самой большой проблемой инфраструктуры ЦОДов в крупных организациях...

Компания VMware в своем блоге затронула интересную тему - обновление микрокода для процессоров платформ Intel и AMD в гипервизоре VMware ESXi, входящем в состав vSphere. Суть проблемы тут такова - современные процессоры предоставляют возможность обновления своего микрокода при загрузке, что позволяет исправлять сделанные вендором ошибки или устранять проблемные места. Как правило, обновления микрокода идут вместе с апдейтом BIOS, за которые отвечает вендор процессоров (Intel или AMD), а также вендор платформы (HP, Dell и другие).

Между тем, не все производители платформ делают обновления BIOS своевременно, поэтому чтобы получить апдейт микрокода приходится весьма долго ждать, что может быть критичным если ошибка в текущей версии микрокода весьма серьезная. ESXi имеет свой механизм microcode loader, который позволяет накатить обновления микрокода при загрузке в том случае, если вы получили эти обновления от вендора и знаете, что делаете.

Надо сказать, что в VMware vSphere 6.0 обновления микрокода накатываются только при загрузке и только на очень ранней стадии, так как более поздняя загрузка может поменять данные, уже инициализированные загрузившимся VMkernel.

Сама VMware использует тоже не самые последние обновления микрокода процессоров, так как в целях максимальной безопасности накатываются только самые критичные апдейты, а вендоры платформ просят время на тестирование обновлений.

Есть два способа обновить микрокод процессоров в ESXi - через установку VIB-пакета и через обновление файлов-пакетов микрокода на хранилище ESXi. Если вы заглянете в папку /bootbank, то увидите там такие файлы:

• uc_amd.b00
• uc_intel.b00

Эти файлы и содержат обновления микрокода и идут в VIB-пакете cpu-microcode гипервизора ESXi. Ниже опишем процедуру обновления микрокода для ESXi с помощью обоих методов. Предпочтительный метод - это делать апдейт через VIB-пакет, так как это наиболее безопасно. Также вам потребуется Lunix-машина для манипуляций с микрокодом. Все описанное ниже вы делаете только на свой страх и риск.

1. Скачиваем обновления микрокода.

Можно воспользоваться вот этими ссылками:

• Intel microcode download
• AMD microcode download

Для Intel выполните команду:

tar -zxf microcode-*.tgz

После распаковки вы получите файл microcode.dat. Это файл в ASCII-формате, его надо будет преобразовать в бинарный. У AMD в репозитории есть сразу бинарные файлы (3 штуки, все нужные).

2. Делаем бинарный пакет микрокода.

Создаем следующий python-скрипт и называем его intelBlob.py:

#! /usr/bin/python
# Make a raw binary blob from Intel microcode format.
# Requires Python 2.6 or later (including Python 3)
# Usage: intelBlob.py < microcode.dat microcode.bin

import sys

outf = open(sys.argv[1], "wb")

for line in sys.stdin:
if line[0] == '/':
continue
hvals = line.split(',')
for hval in hvals:
if hval == '\n' or hval == '\r\n':
continue
val = int(hval, 16)
for shift in (0, 8, 16, 24):
outf.write(bytearray([(val >> shift) & 0xff]))

Далее создаем бинарники микрокода. Для Intel:

cat intel/*.dat | ./intelBlob.py uc_intel
gzip uc_intel

Для AMD:

cat amd/*.bin > uc_amd
gzip uc_amd

3. Метод замены файлов с апдейтом микрокода.

Тут все просто. Выполним одну из следующих команд для полученных файлов:

• cp uc_intel.gz /bootbank/uc_intel.b00
• cp uc_amd.gz /bootbank/uc_amd.b00

Далее можно переходить к шагу 5.

4. Метод создания VIB-пакета и его установки.

Тут нужно использовать утилиту VIB Author, которую можно поставить на Linux-машину (на данный момент утилита идет в RPM-формате, оптимизирована под SuSE Enterprise Linux 11 SP2, который и предлагается использовать). Скачайте файл cpu-microcode.xml и самостоятельно внесите в него изменения касающиеся версии микрокода.

Затем делаем VIB-пакет с помощью следующей команды:

vibauthor -c -d cpu-microcode.xml \
-p uc_intel.gz,boot,uc_intel,200 \
-p uc_amd.gz,boot,uc_amd,201

Если в VIB-файл не нужно включать микрокод от одного из вендоров CPU - просто уберите часть команды с "-p".

Далее устанавливаем VIB через esxcli:

esxcli software acceptance set --level=CommunitySupported
esxcli software vib install \
-v file:/vmfs/volumes/datastore1/cpu-microcode-6.0.0-0.test.0.vib

Затем проверьте наличие файлов uc_*.b00, которые вы сделали на шаге 2, в директории /altbootbank.

5. Тестирование.

После перезагрузки хоста ESXi посмотрите в лог /var/log/vmkernel.log на наличие сообщений MicrocodeUpdate. Также можно посмотреть через vish в файлы /hardware/cpu/cpuList/*, в которых где-то в конце будут следующие строчки:

Number of microcode updates:1
Original Revision:0x00000011
Current Revision:0x00000017

Это и означает, что микрокод процессоров у вас обновлен. ESXi обновляет микрокод всех процессоров последовательно. Вы можете проверит это, посмотрев параметр Current Revision.

Также вы можете запретить на хосте любые обновления микрокода, установив опцию microcodeUpdate=FALSE в разделе VMkernel boot. Также по умолчанию запрещено обновление микрокода на более ранние версии (даунгрейд) и на экспериментальные версии. Это можно отключить, используя опцию microcodeUpdateForce=TRUE (однако микрокод большинства процессоров может быть обновлен только при наличии цифровой подписи вендора). Кроме того, чтобы поставить экспериментальный апдейт микрокода, нужно включить опции "debug mode" или "debug interface" в BIOS сервера, после чего полностью перезагрузить его.

Перейдите на надежную платформу со скидкой 25% и обновите VMware vSphere Standard, Enterprise или Enterprise Plus до версии vSphere with Operations Management.

Используйте надежную платформу виртуализации с поддержкой интеллектуальных процессов, благодаря которой компании любых размеров могут обеспечить наивысшие уровни обслуживания приложений и добиться максимальной окупаемости инвестиций в оборудование.

По условиям специального предложения предоставляется скидка 25% при обновлении VMware vSphere Standard, Enterprise или Enterprise Plus до версии vSphere with Operations Management.

Получить скидку просто: отправьте запрос менеджеру с сайта интернет-магазина Softline.

Специальное предложение распространяется на заказчиков, которые приобрели VMware vSphere Standard, Enterprise или Enterprise Plus до 1 февраля 2015 г. и имеют действующие договоры подписки и поддержки.

Дополнительные условия:

• При переходе с vSphere Standard, Enterprise или Enterprise Plus на равноценную или более полную редакцию vSphere with Operations Management заказчики получают 25-процентную скидку от цены по каталогу.
• Специальное предложение доступно всем заказчикам из коммерческого, образовательного и государственного секторов.
• Данное специальное предложение нельзя комбинировать с другими специальными предложениями и скидками на продукты VMware.
• Предложение действует до 26 июня 2015 г.