p>На днях компания VMware выпустила обновленную версию решения VMware Horizon Workspace 1.5, входящего в состав пакета VMware Horizon Suite, предназначенного для автоматизации инфраструктуры виртуальных и физических ПК.
VMware Horizon Workspace - это такой большой комплект виртуальных модулей (Virtual Appliances) на 5 гигов, которые выполняют различные задачи для решения проблем конечных пользователей в рамках инфраструктуры Horizon.
Horizon Workspace состоит из 5 ключевых компонентов:
Configurator Virtual appliance (VA) – модуль для развертывания решения (настройка компонентов, шлюзов, сертификатов).
Connector VA – модуль, отвечающий за аутентификацию пользователей, с интеграцией со службами AD (отношение Master – slave), синхронизирующийся с пулами VMware Horizon View и компонентами Thinapp.
Proxy VA – обратный прокси-сервер, перенаправляющий запросы к нужному узлу.
Management VA – панель администрирования, каталог приложений, управление пользователями и правами, группами Workspace groups и отчетами.
Data VA - хранилище файлов, политик работы пользователей с этими файлами, а также интерфейс конечного пользователя.
Все эти 5 компонентов реализуют 3 основных сервиса:
Horizon Application Manager - средство федерации SaaS-приложений и VDI-сервисов в едином портале для пользователей (подробная статья здесь).
Horizon Data (бывший Project Octopus - решение а-ля корпоративный Dropbox, о котором мы много писали вот тут).
VMware Blast - средство организации доступа к виртуальным ПК по протоколу Blast через браузер с поддержкой технологии HTML5 (подробнее тут).
Что нового появилось в VMware Horizon Workspace 1.5:
Large support of mobile devices - теперь поддерживаются устройства на базе Android, такие как Samsung Galaxy S3, S4 и Droid Razr HD от Motorola.
New UI - теперь на устройствах Android есть средства интеграции VMware Horizon Mobile
Admins can entitle Mobile apps – теперь для назначения прав доступа поддерживаются мобильные приложения.
Policy Management – появился новый механизм управления политиками, а также их моделирования и распространения.
Oracle DB support – поддержка СУБД Oracle.
New revisited iOS Apps – теперь есть 2 отдельных приложения для iOS. Одно для управления файлами (Octopus), а второе для доступа к приложениям.
Internationalization – доступно на французском, немецком, японском и китайском.
Performance enhancements – улучшения производительности и багофиксы.
Представляем вам заключительную (девятую) статью автора VM Guru Максима Федотенко, посвященную аудиту инфраструктуры виртуальных ПК. В этой части статьи разберем рекомендации по настройке аудита в инфраструктуре виртуальных десктопов. В Главе 1 разберем рекомендации по аудиту действий в самой инфраструктуре, а в Главе 2 – по настройке аудита действий пользователя в виртуальном десктопе...
VMware Workstation 10 получит следующие функции (многие из этих возможностей уже были включены в майское превью, новые отмечены звездочкой):
New OS Support - появилась экспериментальная поддержка Windows 8.1, а также гостевых и хостовых ОС Ubuntu 13.04, Fedora 18 и прочих.
* VMware Hardware Version 10 - обновилось поколение виртуального аппаратного обеспечения виртуальных машин. Это дает новую функциональность создаваемых ВМ, в первую очередь, поддержку 16-ти виртуальных процессоров (vCPU) для одной машины. Для этого на вашем ПК должно быть не менее 16-ти логических процессоров (или 8 ядер с включенным HT), чем может похвастаться далеко не каждый компьютер. Также существенно была увеличена производительность, работа с подсистемой питания и улучшена поддержка новых возможностей десктопных процессоров. Кроме того, появилась поддержка виртуальных дисков объемом 8 ТБ. Появились виртуальные SATA-диски, была улучшена поддержка USB 3.0 и удвоилось число VMnet .
SSD Passthrough - ОС Windows 8 способна определить, что она работает с диска solid state drive (SSD), что позволяет ей оптимизировать работу с подсистемой ввода-вывода. В этом Technology Preview, Workstation может обнаружить, что диск ВМ размещен на SSD-носителе, и передать гостевой ОС эту информацию, чтобы та смогла включить оптимизацию.
Expiring Virtual Machines - VMware улучшила возможности Restricted Virtual Machines, которые появились в прошлых версиях. Теперь виртуальная машина может устареть в заданную дату по времени UTC. Такие машины соединяются с ресурсом VMware.com для валидации времени и предотвращения попыток пользователя снять лок с машины.
* Virtual Tablet Sensors - теперь в виртуальной машине можно получить виртуальные устройства планшетов: GPS, акселерометр, инклинометр, компас, гирометр и симуляцию окружающего света (Ambient Light). Все это пригодится при разработке программного обеспечения, например, под планшеты и телефоны на базе Windows 8.
New Converter - в этой версии VMware Converter получил несколько новых улучшений:
- Поддержка гостевых ОС Microsoft Windows 8 и Microsoft Windows Server 2012
- Поддержка гостевой ОС Red Hat Enterprise Linux 6
- Поддержка виртуальных и физических машин с дисками GUID Partition Table (GPT)
- Поддержка виртуальных и физических машин с интерфейсом Unified Extensible Firmware Interface (UEFI)
- Поддержка файловой системы EXT4
- Поддержка ВМ vSphere 5.1 (hardware version 9)
Pre-Released OVFTool - утилита командной строки VMware OVF Tool позволяет импортировать и экспортировать OVF-пакеты. Теперь она имеет улучшенные механизмы импорта шаблонов Oracle.
* VMware-KVM - очень полезный режим для тех, кто хочет скрыть от пользователя, что он работает в виртуальной машине (например, в школьных классах). В этом случае машину можно запустить командой "vmware-kvm.exe vmx-file.vmx" и она будет развернута на весь экран, комбинация клавиш Ctrl-Alt позволит выйти из машины, а кнопкой Pause/Break можно будет переключаться между консолями нескольких ВМ в полноэкранном режиме.
Windows 8 Unity Mode Support - поддержка режима бесшовной интеграции Unity теперь еще лучше интегрирована с интерфейсом Windows Metro.
Multiple Monitor Navigation - улучшенные механизмы работы с 2, 3, 4, 5 и даже 6-ю мониторами в полноэкранном режиме при переключении между экранами.
Power Off Suspended Virtual Machines - возможность выключить ВМ, поставленную "на паузу", что отменяет необходимость включать такие машины для внесения изменений в их конфигурацию.
Remote Hardware Upgrade - при удаленной работе с виртуальными машинами на платформе vSphere или другом ПК с VMware Workstation, теперь можно удаленно обновлять Hardware version.
* 30-day evaluation - теперь для активации пробной версии Workstation на 30 дней достаточно ввести email в окне установки.
Скачать VMware Workstation Technology Preview July 2013 можно по этой ссылке. Документ о новых возможностях доступен тут.
Еще в 2010 году мы писали о продукте VMware vCenter Configuration Manager 5.3 (не путать с vCenter Operations Manager), который позволяет управлять конфигурациями виртуальной среды на базе политик (проверка соответствия), а также обновлять различные сервисы в ИТ-инфраструктуре крупного предприятия. Этот продукт может быть интегрирован с пакетом vCenter Operations Manager Suite, а по своей сути напоминает майкрософтовский System Center Configuration Manager (SCCM).
Примеры проверки соответствия политикам в инфраструктуре предприятия с помощью VMware vCCM:
На днях вышла версия VMware vCenter Configuration Manager 5.7, которая, оказывается, продвинулась с 2010 года всего на 0.4 версии, что говорит о том, что VMware не уделяет большого внимания этому продукту.
Новые возможности vCenter Configuration Manager 5.7:
1. Enhanced OS Patching - улучшенные механизмы наката обновлений на гостевые ОС.
Что нового в этой категории:
Dynamic Templates - теперь в шаблон обследования можно автоматически включать новые бюллетени обновлений, то есть не приходится их теперь добавлять в шаблоны руками.
Automatic Patch Deployment - теперь можно задавать параметры автоматического накатывания обновлений, включая триггер по наступлению события, а также обновление по времени.
Patching Exceptions - для патчей можно задавать, исключения, позволяющие, например, не накатывать определенную версию патча для некоторых систем, в которых существуют проблемы совместимости.
Improved Linux/Unix Patching - улучшения, связанные с обновлением *nix-систем.
2. Simplified Install and Setup - упрощенная установка.
Теперь процесс установки и настройки vCenter Configuration Manager стал простым и быстрым. На эту тему даже сняли видео:
По сути, поставить продукт теперь можно методом Next-next-next.
3. Enhanced vSphere Support - улучшенная поддержка платформы виртуализации VMware vSphere.
Тут появились 3 основных улучшения:
Performance Improvements - теперь до 87% сократилось время сбора данных с хостов VMware vSphere.
Granular Control Over Data Collections - теперь очень детально можно указывать, какие именно данные нужно собирать с инфраструкутры VMware vSphere.
New Report – появился отчет Virtual Environments Virtual Devices Details.
4. Platform Enhancements - улучшения самого продукта.
Improved Self-Diagnostics - теперь в разделе "Администрирование" есть возможность в отдельном интерфейсе просмотреть состояние самой системы vCCM.
New Look and Feel - теперь интерфейс больше походит на VMware vSphere и vCenter Operations Manager.
Поддержка SQL Server 2012.
Напоследок небольшое видео об интеграции vCCM с продуктом vCenter Operations Manager:
Скачать продукт VMware vCenter Configuration Manager 5.7 просто так нельзя. Для запроса пробной версии нужно связываться напрямую с VMware.
Кстати, забыл тут про одну вещь. Не все администраторы VMware vSphere знают, что для того, чтобы зайти в черно-серое меню сервера VMware ESXi вовсе не обязательно использовать доступ через встроенную консоль типа HP iLO. Имеется в виду вот это меню настройки сервера (аналогично DCUI - Direct Console User Interface):
Все можно сделать прямо из SSH-сессии, если вы работаете под пользователем, имеющим локальную роль Administrator. Нужно просто выполнить команду:
# dcui
И вуаля - можно настраивать сервер без всяких iLO:
Само собой, это не работает в Lockdown mode, так как оно запрещает использование всех внешних интерфейсов, за исключением VMware vCenter Server (однако непосредственно в физическую консоль администратору залогиниться в этом режиме, конечно, можно).
Иногда, вследствие ошибки или отсутствия поддержки каких-либо функций, появляется необходимость обновить драйвер HBA-адаптера на сервере VMware ESXi - ведь ждать очередного обновления vSphere с обновленными драйверами можно очень долго.
Поэтому можно обновиться самим - это просто. Смотрим на свои адаптеры HBA, для чего выполняем команду:
# esxcfg-scsidevs -a
Здесь мы видим в каких слотах сервера размещены адаптеры (и производителя адаптера), но не видим версий их Firmware. Поэтому смотрим в девайсы, например для адаптера Qlogic (как смотреть остальные - тут):
# more /proc/scsi/qla2xxx/0
Здесь мы видим версию Firmware - 5.03.15 и метку версии драйвера.
Далее нужно посмотреть в KB 2030818 (Supported Driver Firmware versions for I/O devices) для того, чтобы определить поддерживаемые для ESXi драйверы адаптеров и рекомендации по текущей версии.
Например, для серверов HP идем в http://vibsdepot.hp.com/hpq/recipes/, где находим документ "HP-VMware-Recipe.pdf", в котором есть ссылки на необходимые драйверы:
Те из вас, кто являются сертифицированными специалистами VMware по программам VMware Certified Professional (VCP), VMware Certified Advanced Professional (VCAP) и прочим, наверняка уже получили письмо от VMware, что старые номера сертификаций в формате VCP###### отменяются, а вместо них вводятся универсальные номера для всех сертификаций (кроме VCDX) в формате VMW-########X-000#####.
Все эти изменения уже можно увидеть в профиле на VUE:
Последние 8 цифр в коде сертификации - это бывший VCP ID (он у вас может не совпадать с действующим, так как он мог поменяться при сдаче новых экзаменов). Теперь больше нет всяких номеров типа 00001 или VCAPDCA-123456 - все записывается унифицированном формате.
Очевидно, что нумерацию VCDX оставили прежней, поскольку этих людей немного, и номер VCDX (какой бы он ни был) является предметом гордости и обоснованного ЧСВ.
Все из вас, конечно же, слышали об истории простого американца Эдварда Сноудена (Edward Snowden), раскрывшего "великие секреты" АНБ (NSA). Нетрудно догадаться, что его рассказы про систему PRISM, обеспечивающую доступ к данным неамериканцев на популярных сервисах, только начались. В опубликованных материалах заявлено, что доступ к данным через PRISM санкционируется, когда существует 51-процентная уверенность в том, что отслеживаемый человек является иностранцем и находится заграницей на момент сбора данных.
The supervisor must endorse the analyst's "reasonable belief," defined as 51 percent confidence, that the specified target is a foreign national who is overseas at the time of collection.
Очевидно, что с логической точки зрения - это бред, поскольку такая планка вероятности дает возможность следить за любым человеком внутри страны, а потом заявить о том, что он попал в оставшуюся половину. Но речь не об этом.
Для русского человека, который еще с советских времен привык к тому, что никакой неприкосновенности его личных данных в отношении государства не существует даже в фантазиях, проблема, поставленная Сноуденом, является весьма надуманной. Однако для цивилизованного мира это не так - там народ привык ставить на место зарвавшихся любителей позыркать на частную переписку, особенно если этот народ и дает работу этим балбесам.
Так вот все это совсем не играет на руку сервис-провайдерам, оперирующим данными пользователей, таким как Dropbox, Google и Microsoft, последние два из которых оказались под колпаком PRISM:
Очевидно, что разразившийся скандал, как бы сейчас не отмывались софтверные гиганты, навсегда подорвал доверие к надежности и защищенности таких публичных сервисов - особенно для средних и крупных компаний. Кто даст гарантию, что дядя Джон не зайдет в гости к своему знакомому Биллу из АНБ и не попросит его выгрузить парочку внутренних документов конкурентов, обосновав это соображениями национальной безопасности?
Поэтому в таком свете решения компаний, позволяющие построить в собственном частном облаке защищенную инфраструктуру хранения данных, выглядят достаточно привлекательно для искушенных американских параноиков. Так как для доступа к ним потребуется санкция настоящего суда, а не какого-то там "секретного". К таким решениям относятся сервисы VMware Horizon Workspace (та его часть, что называется Horizon Data - бывший Octopus) и Citrix ShareFile (мы немного писали о нем тут). Подобные сервисы сейчас начинают расти как грибы.
Поэтому если раньше VMware и Citrix говорили, что их продукты лучше, потому что в них нет дырок, как в Dropbox (тут,тут,тут), то теперь они могут гордо тыкать пальцем в Сноудена и его пресловутую PRISM.
Русским же компаниям остается выбирать одно из двух: либо хранить данные у себя, что чревато их выносом в разгар рабочего дня бармалеями непонятного происхождения в масках, либо хранить данные за рубежом и быть всегда под всякими призмами и прочими мутными темами. Но если говорить о такой проблеме у нас в целом - всем пох. Такая вот у нас ортодоксальная традиция.
Оказывается, одна британская компания выпускает интересное устройство под названием Raspberry Pi, представляющее собой маленький и немощный компьютер на базе процессора ARM11, предназначенный для выполнения небольших задач. Например, с его помощью можно детям учиться программированию или играть в какие-нибудь мини-игрушки.
Позиционируется данный девайс как "credit-card sized computer" и выглядит он вот так:
Эта штучка имеет на борту 256 или 512 МБ оперативной памяти, обычный и графический процессоры (CPU и GPU), а также необходимые интерфейсы для подключения устройств ввода-вывода (среди них HDMI и 1 или 2 USB-порта) и порт для Ethernet:
Стоит эта штучка в базовой комплектации $25 (Model A - 1 USB-порт и 256 МБ RAM) и $35 за модель постарше (Model B - 2 USB-порта и 512 МБ RAM) - без учета источника питания и preloaded SD-карты. В общем, интересный гаджет.
Недавно компания Xtravirt (мы много о ней в свое время писали) выпустила приложение Advantage vPi, представляющее собой образ с набором утилит для управления виртуальной инфраструктурой VMware vSphere. Туда входит VMware View Open Client, ESXCLI 5.1, vSphere Perl SDK, Ruby vSphere console, набор скриптов vGhetto, vmkfstools и многое другое. В приложении реализована полноценная многозадачность, решение является полностью Open Source продуктом и поставляется в виде образа для Raspberry Pi.
Тулбокс Xtravirt Advantage vPi можно использовать стильным администраторам, которые хотят всегда иметь с собой средство управления виртуальной инфраструктурой VMware vSphere.
Представляем вам восьмую статью автора VM Guru Максима Федотенко, посвященную дополнительным режимам работы инфраструктуры виртуальных ПК. В данной части даются только общие рекомендации по использованию методов резервного копирования виртуальных десктопов и пользовательских данных. Очевидно, что резервное копирование виртуальных десктопов связанного клонирования не имеет смысла, т.к. они создаются каждый раз заново. Поэтому...
Некоторое время назад мы писали про новые возможности решения для виртуализации настольных ПК VMware Horizon View 5.2, а также о пакете Feature Pack 1, в котором появились возможности доступа к консоли виртуального ПК через браузер с поддержкой HTML 5 (протокол Blast).
Что нового в Feature Pack 2? Во-первых, появилась возможность "Real-Time Audio-Video". Это развитие идеи View Media Services for Unified Communications, которая появилась в VMware View 5. Она предоставляет сторонним разработчикам решений для унифицированных коммуникаций (Avaya, Cisco, Microsoft и Mitel) специальный API, посредством которого обеспечивается поддержка локальных устройств (веб-камеры, микрофоны) для передачи голоса и видео.
Таким образом, производительность таких приложений, как Skype, Cisco Webex and Google Talk существенно улучшена и поддерживается официально. Иногда обещают увеличение производительности аж до 100 раз.
Следующая новая возможность Horizon View 5.2 Feature Pack 2 - это "Flash URL Redirection". Она позволяет оптимизировать броадкастовое вещание для клиентов Adobe Media Server.
Когда пользователь виртуального ПК кликает на линк потокового воспроизведения ShockWave Flash (SWF), происходит подмена URL, открывается локальный Flash-плеер и поток транслируется напрямую на конечное устройство, минуя виртуальный ПК, что улучшает производительность и не создает дополнительной нагрузки на сеть.
Для смартфонов и планшетов на базе Android 4.x появилась поддержка аутентификации посредством смарт-карт через устройство от Biometrics Associates.
Кроме этого, появились следующие улучшения механизма Unity Touch:
Возможность свернуть приложения напрямую из меню Unity Touch.
Удобное добавление результатов поиска в избранное.
Скролл документов одним пальцем.
Для тех, кто не знает или забыл как работает Unity Touch:
Помимо всего этого, для Android 4.2 и выше появился режим презентации (Presentation Mode), который позволит использовать планшет или смартфон как клавиатуру или трэкпад. Это будет удобно тем, кто хранит презентационные материалы в облаке.
Ну и добавим, что клиент Horizon View Mobile Client 2.1 поддерживает последнюю версию планшета Samsung Galaxy Tab 3 10.1, появившегося совсем недавно.
Скачать VMware Horizon View 5.2 Feature Pack 2 можно по этой ссылке. Документ по установке и администрированию находится тут.
Наше сотрудничество со спонсором ресурса Rentacloud.su продолжается. Напомним, что компания Rentacloud - надежный облачный провайдер, предоставляющий услуги IaaS-хостинга виртуальных машин на платформах VMware vSphere и Microsoft Hyper-V.
Инфраструктура, предоставляющая сервисы виртуальных машин в аренду, имеет следующие компоненты:
Дата-центр Rentacloud.su расположен в Голландии и является одной из наиболее известных и надежных площадок для размещения облачных аппаратных кластеров. Все услуги, доступные пользователям в России, будут также доступны применительно к европейскому сегменту облака. Сценарии использования европейской площадки весьма универсальны. Компании-операторы высоконагруженных сайтов, доступных в версиях для англоязычных пользователей, могут использовать услуги Rentacloud.su для разделения нагрузки между российским и европейским сегментом облака. Запросы из России будут автоматически отправляться на российский сегмент, а европейские – на европейский. При этом значительно снизится задержка доступа к данным, что особенно критично для интерактивных веб-сервисов и индустрии онлайн-развлечений, переживающих активный рост.
Цены на аренду виртуальных машин VMware и Microsoft просты и понятны:
Кроме того, Rentacloud предоставляет услуги по защите персональных данных на своей облачной платформе. Возможна защита разнообразных систем в полном соответствии требованиям Закона 152-ФЗ, защита персональных данных путем размещения клиентской инфраструктуры в защищенном сертифицированном контуре в облаке. Клиентам обязательно выдается шаблонный административный правовой документ, в котором детально прописаны все действия клиента во время работы с персональными данными в компании.
Rentacloud предоставляет всем желающим 7 дней бесплатного теста для ознакомления с преимуществами облачных технологий.
У некоторых виртуальных машин на платформе VMware vSphere может оказаться такая ситуация, что на одном виртуальном диске VMDK окажутся 2 логических раздела - например, диски C и D в Windows. Произойти это может вследствие P2V-миграции физического сервера в ВМ или изначальной конфигурации машины.
При этом, для каких-то целей вам может потребоваться эти логические диски разнести по двум файлам VMDK (например, для целей хранения дисков на разных "ярусах" хранения). Решить эту проблему весьма просто с помощью VMware vCenter Converter (мы писали о нем тут).
Делается так это все так:
Начинаем процесс конвертации виртуальной машины
Идем в мастере конверсии в Options
Для раздела "Data to copy" выбираем "Edit"
Выбираем опцию "Data copy type" и меняем ее на "Select volumes to copy".
Далее на вкладке "Target Layout" в представлении "Advanced" настраиваем разнесение логических дисков по разным vmdk, как на картинке ниже.
Как многие из вас знают, мы своевременно обновляем посты про диаграммы портов и соединений различных компонентов VMware vSphere и других продуктов компании. Об этом можно почитать, например, тут, тут и тут.
Недавно вышло очередное обновление схемы портов VMware vSphere 5.1. Схема уже является официальной и приведена в KB 2054806.
Приятно также и то, что теперь в этом же документе в виде таблицы приведены все порты различных компонентов VMware vSphere 5.x и назначение соединений:
Мы много пишем о проекте VMware Labs, созданный для того, чтобы инженеры VMware выкладывали там свои наработки, которые не были оформлены в виде конечных продуктов компании (заметки об этом можно найти у нас по тэгу Labs).
На этот раз на VMware Labs появилась по-настоящему полезная штука - VisualEsxtop. Как можно догадаться из названия, эта утилита, написанная на Java, позволяет визуализовать данные о производительности в реальном времени, выводимые командой esxtop. Утилита кроссплатформенная и работает под Windows и Linux как .bat или .sh сценарий.
Возможности VisualEsxtop:
Соединение как с отдельным хостом ESXi, так и с vCenter Server.
Гибкий способ пакетного вывода результатов.
Загрузка результатов пакетного вывода и его "прогонка" (replay).
Возможность открыть несколько окон для отображения различных данных одновременно.
Визуализация в виде графика выбранных счетчиков производительности.
Гибкий выбор и фильтрация счетчиков.
Тултип на ячейках счетчиков, объясняющий их назначение (см. картинку).
Цветовое кодирование важных счетчиков.
Также VisualEsxtop можно заставить работать под Mac OS X - для этого почитайте вот эту статью.
Скачать VisualEsxtop можно по этой ссылке. Четырехстрочная инструкция доступна тут.
Те из вас, кто читает нас уже давно, знают, что летом мы публикуем заметки про "магический квадрант" компании Gartner, которая занимается аналитикой (в том числе) в сфере виртуализации. Об этом мы писали, например, тут и тут.
В этом году Gartner Magic Quadrant on x86 Server Virtualization выглядит так:
Напомним, что Magic Quadrant используется для оценки поставщиков какого-либо сегмента рынка информационных технологий, где Gartner использует две линейные прогрессивные экспертные шкалы:
полнота видения (completeness of vision)
способность реализации (ability to execute)
Каждый поставщик, попавший в рамки рассмотрения для исследуемого сегмента рынка, оценивается по этим двум критериям. При этом, полнота видения откладывается на оси абсцисс, способность реализации — на оси ординат. Каждый поставщик, таким образом, оказывается в одном из четырёх квадрантов плоскости, называемых:
Лидеры (leaders) — поставщики с положительными оценками как по полноте видения, так и по способности реализации.
Претенденты (сhallengers) — поставщики с положительными оценками только по способности реализации.
Провидцы (visionaries) — поставщики с положительными оценками только по полноте видения.
Нишевые игроки (niche players) — поставщики с отрицательными оценками по обоим критериям.
Напомним прошлогодний квадрант Gartner в сфере виртуализации от июня 2012 года:
Кроме того, нам удалось раздобыть проект магического квадранта 2016 года, который выражает уже виденье не Gartner, а авторов VM Guru:
Заметка навеяна письмом Владимира, который потерял пароль (master password) на VMware vCenter SSO из состава vSphere 5.1. Как многие знают, при установке служб единой аутентификации vCenter Single Sign-On (SSO) требуется задать master password для аккаунта admin@System-Domain, который нельзя забывать. Под учетной записью admin@System-Domain происходит аутентификация SSO для доступа к службам VMware vCenter.
Даже если вы впоследствии поменяете пароль для аккаунта admin@System-Domain, то пароль, задаваемый при установке (master password), потребуется, чтобы восстановить доступ к этому аккаунту.
Итак, случай 1 - вы помните master password, но забыли актуальный пароль к admin@System-Domain.
Для решения этой проблемы есть статья KB 2034608. Приведем краткое ее содержание:
Залогиньтесь как администратор на машину, где установлен SSO Server.
Запустите cmd.exe и перейдите в папку \Program Files\VMware\Infrastructure\SSOServer\utils
Выполните следующую команду:
rsautil reset-admin-password
введите свой master password, который вы задали при установке SSO.
введите аккаунт SSO, для которого вы хотите сбросить пароль (например, admin).
в случае успеха вы получите сообщение Password reset successfully
Если вы используете VMware vCenter Appliance, то процедура та же, за исключением того, что нужно выполнить команду:
./rsautil reset-admin-password
В следующей директории:
/usr/lib/vmware-sso/utils
Итак, случай 2 - вы забыли заданный при установке master password и ищете в гугле: vCenter SSO master password reset for admin@System-Domain
Сразу отметим, что способ описанный ниже не поддерживается со стороны VMware, а значит никто не несет ответственности за то, что будет сделано. А вот что надо сделать:
Надо поставить еще одну временную копию базы данных SSO и служб.
При установке обязательно запомнить и записать master password!
С помощью SQL-запроса получить хэш пароля этого master password.
Остановить продуктивные сервисы VMware vCenter и vCenter SSO.
С помощью SQL-запроса заменить хэш пароля на продуктивной БД SSO.
Перезапустить все окружение VMware vCenter и SSO.
Войти с заданным для временной базы vCenter SSO.
Как узнать хэш пароля из временной базы:
SELECT [PASSWORD] FROM [Dbo]. [IMS_PRINCIPAL] WHERE LOGINUID = 'admin' AND PRINCIPAL_IS_DESCRIPTION = 'admin'
Как заменить хэш пароля в продуктивной базе:
UPDATE [Dbo]. [IMS_PRINCIPAL] SET [PASSWORD] = 'ваш хэш пароля' WHERE LOGINUID = 'admin' AND PRINCIPAL_IS_DESCRIPTION = 'admin'
Некоторое время назад компания VMware инициировала Project Serengeti, целью которого было обеспечение возможности запуска кластеров Apache Hadoop на виртуальной платформе (в частности, VMware vSphere). Это одна из первых серьезных инициатив VMware в сегменте Big Data.
Совсем недавно была выпущена бета-версия расширений VMware vSphere Big Data Extensions v1.0 Beta, которые позволяют применить все наработки Serengeti для создания виртуальных машин с Hadoop на борту. Эти расширения обеспечивают жизненный цикл Hadoop на платформе VMware vSphere и позволяют отслеживать потребляемые ими ресурсы.
Возможности VMware vSphere Big Data Extensions v1.0 Beta:
Графический интерфейс Big Data Extensions. Он позволяет создавать, масштабировать и удалять кластеры Hadoop. Кроме того, доступен отдельный мониторинг и контроль ресурсов этих виртуальных машин.
В целом, VMware заявляет, что Apache Hadoop исполняется в виртуальных машинах практически без потерь производительности (об этом можно почитать здесь):
Скачать VMware vSphere Big Data Extensions v1.0 Beta можно по этой ссылке.
Мы часто пишем заметки о безопасности виртуальной инфраструктуры VMware vSphere и других продуктов на данной платформе (их можно найти по тэгу Security). И вот на днях я натолкнулся на интересную статью "It’s a Unix system, I know this!", в которой есть одна умная мысль, касающаяся настройки безопасности, и которую я часто пытаюсь донести до заказчиков. А именно: некорректное планирование и исполнение процедур по обеспечению безопасности может привести к еще большим проблемам как с точки зрения конфигурации виртуальной среды, так и с точки зрения самой безопасности.
Итак, обратимся к статье. Есть такая организация в штатах Defense Information Systems Agency (DISA), которая выпускает документ Security Technical Implementation Guide (STIG), являющийся руководящим документом по обеспечению безопасности для правительственных организаций. Есть подозрение, что в части виртуальных машин он сделан на основе VMware vSphere Security Hardening, однако не из самой актуальной версии последнего.
Так вот в этом DISA STIG есть пункты, касающиеся виртуальных машин, например, пункт про отключение операций Copy/Paste с гостевой ОС виртуальной машины из ОС компьютера, где выполняется vSphere Client.
Посмотрим, как рекомендуется выполнить эту процедуру:
To edit a powered-down virtual machine’s .vmx file, first remove it from vCenter Server’s inventory. Manual additions to the .vmx file from ESXi will be overwritten by any registered entries stored in the vCenter Server database. Make a backup copy of the .vmx file. If the edit breaks the virtual machine, it can be rolled back to the original version of the file.
1. Open the vSphere/VMware Infrastructure (VI) Client and log in with appropriate credentials. If connecting to vCenter Server, click on the desired host. Click the Configuration tab. Click Storage. Right-click on the appropriate datastore and click Browse Datastore. Navigate to the folder named after the virtual machine, and locate the <virtual machine>.vmx file. Right-click the .vmx file and click Remove from inventory.
2. Temporarily disable Lockdown Mode and enable the ESXi Shell via the vSphere Client.
3. Open the vSphere/VMware Infrastructure (VI) Client and log in with appropriate credentials. If connecting to vCenter Server, click on the desired host. Click the Configuration tab. Click Software, Security Profile, Services, Properties, ESXi Shell, and Options, respectively. Start the ESXi Shell service, where/as required.
4. As root, log in to the ESXi host and locate the VM’s vmx file.
# find / | grep vmx
Add the following to the VM’s vmx file.
keyword = “keyval”
Open the vSphere/VMware Infrastructure (VI) Client and log in with appropriate credentials.
If connecting to vCenter Server, click on the desired host.
Click the Configuration tab.
Click Storage.
Right-click on the appropriate datastore and click Browse Datastore.
Navigate to the folder named after the virtual machine, and locate the <virtual machine>.vmx file.
Right-click the .vmx file and click Add to inventory. The Add to Inventory wizard opens.
Continue to follow the wizard to add the virtual machine.
Круто, да? Это все для того, чтобы просто отключить копирование из консоли ВМ (для одной машины), которое если уж кому-то очень сильно понадобится - он сделает все равно через принтскрин или еще как.
А теперь подумаем, к чему это все может привести:
В процессе такой настройки администратор может что-то испортить.
Сотни виртуальных машин обработать таким способом очень долго и нудно.
Такая процедура открывает больше дырок, чем закрывает (администратор снимает Lockdown хоста, делает операции в шеле и тыркается по вицентру).
Контролировать исполнение процесса очень сложно - все ли локдауны были закрыты, по всем машинам ли мы прошлись и т.п.
Конечно же, есть простой и элегантный способ сделать все это сразу для всех ВМ и с помощью PowerCLI через методы, описанные в пунктах vm.disable-console-copy и vm.disable-console-paste документа vSphere Hardening Guide.
Однако те из вас, у кого в компании есть отдел информационной безопасности, знают что такое формализм этих ребят, которые может в виртуализации и не разбираются, зато прекрасно понимают, что приведенный выше гайд несколько отличается от двух строчек на PowerShell.
И, хотя это в основном касается западных организаций, в отечественных крупных компаниях тоже возникают проблемы из-за подобных процедур.
Так вот какова мораль сей басни:
При разработке руководящих документов по обеспечению безопасности виртуальной инфраструктуры поймите, какие требования являются обязательными, а какие можно реализовать факультативно (то есть не реализовывать вовсе). Минимизируйте число обязательных требований и по мере необходимости расширяйте.
Используйте последние версии руководящих документов по ИБ от вендоров и всегда обновляйте свои собственные (хотя бы с выходом мажорной версии продукта).
Максимально применяйте автоматизацию при выполнении процедур по конфигурации безопасности. В VMware vSphere и других продуктах VMware можно автоматизировать практически все.
Если выполнение требования к ИБ виртуальной среды потенциально может открыть еще больше дырок, вызвать ошибки конфигурации и причинить еще беды, подумайте - а может стоит отказаться от этого требования или переформулировать его?
Ну а если кратко - с головой надо подходить, а формализм отставить. Больше интересных подробностей - в статье.
Не так давно мы писали про средство PCoIP Log Viewer, предназначенное для просмотра и визуализации логов решения для виртуализации настольных ПК VMware View в части протокола доставки виртуальных десктопов и пользовательских сессий.
Продолжаем знакомить вас с багами VMware vSphere 5.1 - ведущей платформы виртуализации. На этот раз мы расскажем о баге VMware vSphere Client, для чего откроем вкладку редактирования пользователя и посмотрим на его свойства:
Такую картину мы увидим в том числе и тогда, когда пользователь VMware ESXi был создан автоматически, например, при использовании функций AutoDeploy и Host Profiles. Не очень понятно, почему это пользователю при создании по дефолту гарантируются права на доступ к консоли ESXi, а вот в списке групп, где он состоит, наблюдается пустота.
Все на самом деле просто: в vSphere 5.1 поменялся подход к безопасности, а вот сделать обновление vSphere Client забыли, так как сейчас идет переход на vSphere Web Client, и никому нет дела до толстого клиента. Соответственно, аспекты этого бага таковы:
Галка "Grant shell access to this user" ни на что не влияет. Важно только, назначена ли роль Administrator пользователю (что позволит ему войти в консоль сервера).
Поле Group пустое, так как ESXi больше не использует информацию из /etc/groups, а использует свою модель пользователей и групп:
Поэтому вновь создаваемый пользователь с галкой "Grant shell access to this user" не сможет соединиться по SSH и зайти в консоль, то есть это баг UI:
Иногда возникает потребность правильно выключить виртуальные машины VMware vSphere в определенной последовательности, чтобы не нарушить консистентность данных и приложений. Требуется это при различных сценариях обслуживания инфраструктуры, переездах оборудования, подготовке к отключениям электричества и т.п. Ну а потом, соответственно, эти ВМ нужно включить - и тоже в нужной последовательности.
Специально для таких случаев Graham French допилил скрипт на PowerShell / PowerCLI, который автоматизирует процессы Startup / Shutdown для виртуальных машин на ESXi. Грэхам подошел к задаче научно - он разделил все ВМ на 5 слоев, отражающих очередность выключения машин:
Phase 1 - веб-серверы, балансировщики нагрузки, принт-серверы - то есть некритичные машины и машины на краю периметра датацентра.
Phase 2 - серверы приложений и другие серверы, являющиеся фронтэнд-звеном в архитектуре многокомпонентных приложений.
Phase 3 - серверы баз данных и кластеризованные серверы.
Phase 4 - NAS-серверы и файловые серверы.
Phase 5 - сервисы обеспечения инфраструктуры: Active Directory, DNS, DHCP, виртуальные модули (Virtual Appliances).
Соответственно, правильной схемой выключения виртуальных машин является последовательность Phase 1 -> Phase 5. Скрипт принимает на вход имена виртуальных машин в CSV-файлах, а также умеет выключать/включать и физические серверы:
Для включения машин используем обратную последовательность Phase 5 -> Phase 1:
Сам скрипт Startup / Shutdown и примеры CSV-файлов можно скачать по этой ссылке.
Недавно Duncan Epping опубликовал интересную статью о параметре Mem.MinFreePct, который есть в настройках сервера VMware ESXi из состава vSphere. По-сути, этот параметр определяет, какое количество оперативной памяти VMkernel должен держать свободным на хосте, чтобы всегда были доступные ресурсы под нужды системы, и хост не вывалился в PSOD.
В VMware vSphere 4.1 параметр Mem.MinFreePct составлял 6% и его можно было изменять с помощью следующей команды:
vsish -e set /sched/freeMemoryState/minFreePct <Percentage>
Например, вот так можно было установить Mem.MinFreePct в значение 2%:
vsish -e set /sched/freeMemoryState/minFreePct 2
Этак команда, кстати, не требует перезагрузки, но зато после перезагрузки значение Mem.MinFreePct не сохраняется. Поэтому данную команду, если требуется, нужно занести в /etc/rc.local (подробнее в KB 1033687).
Параметр этот очень важный, поскольку от него зависят пороги использования различных механизмов оптимизации памяти хоста ESXi. При этом, если памяти на хосте много (например, десятки гигабайт), то держать постоянно 6% свободной памяти может быть для кого-то расточительством. Поэтому, начиная с VMware vSphere 5.0, параметр Mem.MinFreePct является "плавающим" и устанавливается в зависимости от объема физической памяти на хосте ESXi.
Вот какие значения принимает Mem.MinFreePct в зависимости от того, сколько RAM есть на вашем физическом хост-сервере:
Процент необходимой свободной памяти
Объем памяти хоста ESXi
6%
0-4 ГБ
4%
4-12 ГБ
2%
12-28 ГБ
1%
Больше 28 ГБ
А вот какие механизмы оптимизации памяти на хосте работают, если свободной памяти становится все меньше и меньше:
Состояние свободной памяти хоста
Пороговое значение
Какие механизмы оптимизации памяти используются
High
6%
-
Soft
64% от значения MinFreePct
Balloon, Compress
Hard
32% от значения MinFreePct
Balloon, compress,swap
Low
16% от значения MinFreePct
Swap
Интересно, конечно, но как-то бесполезно. Зачем загонять хост в такие лимиты? Лучше как минимум процентов 10 всегда держать свободными и своевременно покупать новые серверы.
Решил вот тут вывести статистику посещаемости нашего портала с процентными соотношениями посетителей из разных городов. За последние полтора года получается вот такая картинка (кликните для увеличения):
Для тех, кому лень тыркать, наиболее виртуализованные города России и постсоветского пространства списком:
1.
Moscow
28,32%
2.
Saint Petersburg
8,31 %
3.
Kiev
6,87 %
4.
Minsk
3,17 %
5.
(not set)
2,51 %
6.
Yekaterinburg
2,42 %
7.
Novosibirsk
1,90 %
8.
Nizhny Novgorod
1,30 %
9.
Rostov-on-Don
1,24 %
10.
Kharkiv
1,15 %
11.
Almaty
1,12 %
12.
Samara
1,12 %
13.
Kazan
1,09 %
14.
Chelyabinsk
1,07 %
15.
Krasnodar
1,06 %
16.
Perm
0,97 %
17.
Krasnoyarsk
0,89 %
18.
Dnipropetrovs'k
0,85 %
19.
Voronezh
0,78 %
20.
Lviv
0,76 %
21.
Omsk
0,76 %
22.
Irkutsk
0,74 %
23.
Ufa
0,71 %
24.
Donetsk
0,70 %
25.
Vladivostok
0,68%
Оказывается, в замкадье тоже есть жизнь - и там сосредоточено более 70% наших читателей. Если, конечно, город "not set" менее чем наполовину состоит из хитропопых москвичей, блокирующих трекинг.
Компания VMware опубликовала очередной номер своего технического журнала VMware Technical Journal Summer 2013, в котором разбираются наиболее интересные технические аспекты решений для виртуализации на весьма глубоком уровне (зачастую даже с математическими выкладками). Напомним, что о предыдущем выпуске VMware Technical Journal мы писали вот тут. Как и в прошлом выпуске все статьи доступны онлайн и как PDF (5 МБ).
Мне понравились "Redefining ESXi IO Multipathing in the Flash Era" и "Methodology for Performance Analysis of VMware vSphere under Tier-1 Applications".
На днях компания VMware объявила о начале публичного бета-тестирования своего нового средства для анализа логов VMware vSphere - VMware vCenter Log Insight 1.0. Продукт поставляется в виде виртуального модуля (Virtual Appliance), который развертывается как обычный OVF-пакет, после чего становится доступен сбор и анализ данных syslog с серверов VMware ESXi 4.1, 5.0, 5.1, а также vCenter Server Appliance и других источников. Кроме того, Log Insight может быть интегрирован с vCenter Operations Manager.
Возможности VMware vCenter Log Insight 1.0:
High Performance Ingestion - Log Insight принимает данные от syslog или через API на скорости до 1000 Мбит/с на один виртуальный модуль
Near Real-Time Search - входящие данные доступны для поиска почти сразу и могут быть агрегированы с историческими данными в одном большом логе.
Aggregation - данные группируются методом похожим на GROUP-BY в реляционных БД.
Runtime Field Extraction - Log Insight может доставать данные из сырого лога средствами регулярных выражений.
Dashboards - администраторы могут создавать свои дэшборды из запросов к базе логов.
Scalability - инфраструктуру Log Insight можно наращивать за счет добавления дополнительных серверов.
Когда-то давно мы публиковали заметки о P2V-миграции физических серверов в виртуальные машины на платформе тогда еще VMware ESX Server (а также рассказывали о необходимых действиях после миграции). С тех пор многое изменилось, вышел VMware vCenter Converter Standalone 5.0, процесс миграции стал проще и стабильнее, а также накопилось пару моментов, о которых можно рассказать. Кроме того, появилась отличная статья на эту тему. Итак, есть 3 типа P2V-миграции...
RSS
1.
