У VMware в vSphere есть клевая штука - DRS. Балансировщик нагрузки.
А "поверх" DRS можно еще включить DPM - который выключит часть серверов, когда нагрузка со стороны ВМ маленькая.
Напомню, что есть толковое видео, иллюстрирующее работу этого механизма:
Регулярно меня спрашивают - а можно ли сделать так, чтобы DPM начал включать сервер не через 5 минут после возросшей нагрузки, а за 10 минут до?
Ответ - да. Не совсем штатными средствами, но это реализуется.
См. Scripts for "Proactive DPM".
Ну и подробности про работу DPM тут - distributed_power_management_vsphere.pdf.
пятница, 30 октября 2009 г.
Proactive DPM
VForum 2009
Коллеги, был в среду на VForum 2009.
Краткие заметки по мотивам того, что запомнилось:
*) в ноябре должен выйти view 4. Поддержка pcoverip от Teradici, и этот протокол будет дефолтным (подробнее про view 4 и PCoIP тут - В ожидании VMware View 4).
Было демо, через yota с двумя палками открывали два подключение View клиента к ЦОДу в Европе. Одно подключение - rdp, второе - PCoIP.
Во втором случае флеш ролик не то что работал несравнимо лучше, он в принципе работал. В отличие от rdp.
(Правда, нераскрытыми остаются вопросы сравнения с ica, и rdp7. Ну и принципиально нерешаемым остаются проблемы требовательных к видеоконтроллеру приложений)
Приводились отзывы от компаний использующих view в штатах:
-) больше производительность труда на сотрудника
-) меньше, значительно меньше затрат на хелпдеск
-) одна из потенциальных проблем - завышенные ожидания. чуваки сначала относятся скептически. потом пробуют, и оказывается что это клевая штука! и им начинает казаться, что это панацея
-) еще один +- - число ВМ растет быстро
В кулуарах пообщался с уважаемым среди меня специалистом из ай теко.
Из его опыта, плюсы те же что и выше, плюс еще HA для рабочих мест. В инфраструктуре с ПК это труднодостижимо.
Ну и его личное впечатление, что View - просто и надежно. Некоторые конкуренты намного менее комфортны и в настройке, и в документации, и в использовании много технических заковырок.
*)выступал директор HP. Отжег про виртуальных слушателей, 5-6 человек на 1 место. В завершении показал слайд с фото авианосца, информацией о том, что hp поставляет решение виртуализации вмф сша, и сказал, что "авианосная группа hp уже у самых берегов российского ИТ острова". Я один услышал угрозу в этих словах?
*)Антон Антич привел интересную аналогию к виртуализации:
завод, куча рабочих, их надо возить.
можно отдельный автобус каждому, а можно большие автобусы на много рабочих сразу.
*) Многое было посвящено теме "Облаков". В общем про это можно глянуть например у меня же - cloud computing. На конференции говорили более конкретно.
Одна из идей: Внешнее "облако" (vSphere у хостера) дает ресурсы. Сейчас сервер для вашего ЦОДа только едет, а задачу нужно разворачивать уже вчера. Мы разворачиваем задачу на внешних ресурсах, у хостера ВМ. При необходимости переносим к нам внутрь, или к другому провайдеру. В России уже есть те, кто этим занимается.
Ну и продолжение идеи вплоть до применения такой схемы для дома. Домой один раз купил пару тонких клиентов, и теперь у провайдера арендуешь себе\жене то скромные ресурсы на поработать, то нескромные на поиграть.
*) оказывается, vdi решение есть у parallels. Я пообщался с кем то :) кто внедрял это решение, притом parallels стоял в ВМ на ESX. Упоминались 4 DL585 на примерно 200 легких юзеров, но подробностей не знаю.
*)как работает change block tracking?
*) задавал в HP вопрос про обновление ESXi с их агентом. Вроде должно обновляться vmware'вскими патчами, через VUM в том числе. Впрочем, это я еще договорился уточнить.
*) Starwind показывали свой HA кластер из iSCSI таргетов.
В принципе, прикольно -
поднимаем 2 ВМ (или физических сервера). В них винды. В виндах - starwind. Между таргетами настраиваем что они узлы одного HA кластера. Теперь, со стороны ESX(i) мы их IP указываем в discovery для инициатора. ESX(i) видит один LUN с (минимум)двумя путями к нему, через разные target. Прикольно. Переключение происходит через механизмы multipathing самого ESX(i). Впрочем, аналогично это работает для любой ОС.
Видеоролик можно глянуть тут - http://www.starwindsoftware.com/starwind-v5-preview.
Пока в HA кластере могут быть только image файлы. Вскоре обещают и диски и что угодно.
Для России (и СНГ) цены процентов на 30 обещают ниже, плюс спецпредложение - лицензия на двухузловой Starwind HA target за примерно 1200$. Некоторых ИТ руководителей с большой сетью небольших филиалов это предложение неиллюзорно радовало.
Можно добавить что 4-го ноября состоятся вебинары (пока англоязычный) для конечных пользователей с живой демонстрацией. http://www.starwindsoftware.com/featured-webinar-starwind-5-first-look.
Релиз и, очевидно, триал будут доступны в воскресенье, 1го ноября.
*) гайд как пользоваться суппортом VMware.
*) много кого мучил вопрос: "Пробрасываются ли USB ruToken'ы поверх IP в ВМ на ESX(i)". Пока хз, надо проверять.
Workstation 7
Только что упало письмо:
Workstation 7 доступна.
Что нового.
P.S. Судя по строке "Upgrade Price", мой VCP'шный ключик не подойдет?
VDI licenses
ныне VDI тема все более горячая, и тут очень важно как это все лицензируется.
На русском - Лицензирование виртуальных машин. Часть 7. VDI Suite — кардинальные изменения лицензирования VDI.
четверг, 29 октября 2009 г.
resignaturing
Какое то время назад, по моему на последнем VMUG, мне задали вопрос: как в 4ке с resignature и disallowSnapshotLun.
Тогда я сказал, что это делается из графического интерфейса:
Кстати, рекомендую небольшую презентацию:
вторник, 27 октября 2009 г.
small but good
Коллеги, с удовольствием хочу представить вашему вниманию небольшой отчет по небольшому, но весьма эффективному использованию виртуализации в небольших и средних компаниях:
работа сервера Dell Pe2850 20091027
От автора:
Ограничение ресурсов не использовалось, все по умолчанию.
Некоторые машинки (офисные) работают так с 2007 года. На столах пользователей псевдо-тонкие клиенты Dell PII-400 128Ram, они родились еще в том веке и валялись лет 5 на складе.
Техника (рабочие места) в офисе на пределе 3 летнего периода эксплуатации
Программные инсталляции от 4-5 лет.
Основная цель проекта
дать жизнь многолетним инсталляциям со специализированным бизнес приложениями, такими как:
- многочисленные клиент банки (инсталляции более 5 лет до 15 клиентов на машину);
- системы сдачи отчетности таском (много фирм и рабочих мест);
- специальные программы для расчетов экономической эффективности. Принцип - много людей одна инсталляция;
- тестовая среда для внутренних задач;
- накопления правильных количественных изменений и плавное внедрение парадигм виртуальности в сознание и мировоззрения бизнеса;
- не ожидаемая прибыль от старого серверного оборудования, которое обычно выбрасывается;
Положительные стороны:
- уводим приложения со старого оборудования
- легче защищать
- легче управлять
- более гибко реагируем на новые задачи (отчет был написан пока размножались машинки)
Отрицательные стороны:
-уязвимость к сбоям. Решается продуктами третьих компаний.
Приглашаем к обсуждению.
Acronis® Backup & Recovery™ 10 Advanced Server Virtual Edition
На днях писал пост про бекап, из комментариев:
Недавно был выпущен "Acronis® Backup & Recovery™ 10 Advanced Server Virtual Edition".
Я принимал в этом некоторое участие, поэтому выскажу своё личное мнение.
Сначала очевидный минус - стоит денег :)
Зато в плюсах практически все вышеперечисленные: любой тип бэкапа - full, incremental, differential, volume-, disk-, or file-level based для любых поддерживаемых ОС. Не требует установки софта в ВМ. Умеет класть данные на ленточку. Есть опциональная дедупликация. Есть возможность избежать проблем консистентности данных при снапшоте :) В принципе работает с бесплатным ESXi, но, возможно, это уберут по чьей-то просьбе :) Огромное количество настроек, интеграция с инфраструктурой архивации от Acronis, интеграция с vCenter Server, поддержка Hyper-V, ESX(i) 3.5 и 4, и тд. и тп.
Для сранения я смотрел некий продукт - который якобы "лучшее бэкап-решение для vSphere, 2009". Более глючного поделия я давненько не видел, даже когда оно работало - уступало по всем параметрам.
Более другой продукт - это который бывший фаворит, а нынче в опале :) - гораздо лучше предыдущего. По эффективности может с нами поспорить, но недолго :) По функциям - однозначно в минусе.
Вот так вот. Судя по молчанию блогосферы наши маркетологи непонятно что делают. Ну да ладно, это меня не касается :)
..
есть на сайте и доки, и мануалы, с продуктом идёт хорошая справочная система. Там и скриншоты есть тоже. Даже триал-версию можно скачать :) Если этого не хватает - тогда я могу попытаться помочь.
Да, тот самый урл - http://www.acronis.com/backup-recovery/advanced-server-virtual/
Если кратко - продукт ставится как Virtual Appliance, через импорт OVF на конкретный хост, чем напоминает VDR. Продукт с помощью Acronis Management Server можно зарегистрировать на vCenter, после чего можно автоматически устанавливать его на все подконтрольные vCenter хосты. При бэкапе создаётся снепшот ВМ, который, собственно и архивируется. Снепшот всегда запрашивается максимально корректный, и, если на гестовой ОС стоят VMware Tools, снепшот должен создаваться в консистентном виде. Бэкапить можно на сетевую CIFS\SMB папку, NFS, локальные диски и LUN-ы с любой поддерживаемой ФС (NTFS, EXT2/3, FAT16/32, ...). Можно (и нужно :) бэкапить на Storage Server с дедупликацией или без неё. Virtual Appliance интегрируется в инфраструктуру на основе Acronis Management Server точно так же, как и обычная физическая машина, но, естественно, опознаётся и обрабатывается специальным образом. Есть возможность создания архива ВМ даже если сам VA стоит на другом хосте, если он и соответствующие хосты зарегистрированы в vCenter. Можно при создании задачи архивирования ВМ или физической машины настроить создание резервной копии на любом зарегистрированном хосте и обновляться эта резервная копия будет по тому же расписанию, по которому архивируется исходная машина. Есть возможность создания статических и динамических груп физических и/или виртуальных машин.
На самом деле настроек и возможностей масса, лучше скачать и посмотреть самим, обо всём не расскажешь. Естественно, Acronis® Backup & Recovery™ 10 Advanced Server Virtual Edition умеет работать и с физическими машинами тоже. Кроме того, даже не Virtual Edition умеет конвертировать имеющийся или только создаваемый архив в ВМ для Citrix XEN Server 5, VMware Workstation 6.x.x, Parallels WS 2.2.2xxx.
Если что-то будет работать "не так" - обращайтесь ко мне :)
thx камраду QA.
Коллеги, если у кого есть опыт использования, или кто заинтересуется попробует - был бы рад прочитать отзывы.
воскресенье, 25 октября 2009 г.
esx4 esxi4 scripts
По моему, уже писал, но хочу напомнить еще раз о существовании подборок готовых скриптов под vSphere:
http://www.virtu-al.net/script-list/
vSphere Client + Ubuntu Linux + Single Application RDP
Если на твоем рабочем месте стоит Linux, а нужно работать с клиентом VI\vSphere, то что может помочь:
*) установка клиента под Wine.
*) запуск под Linux виртуалки с Windows, и запуск клиента уже в ней.
*) использование RDM для доступа к vCenter
Притом, RDP можно использовать для публикации лишь самого клиента:
подробности тут - Using vSphere Client on Ubuntu Linux with Single Application RDP.
суббота, 24 октября 2009 г.
backup
Вопрос резервного копирования виртуальных машин стоит довольно остро.
Подходов у нас несколько:
*) Бекапить данные виртуалок так же, как мы бекапим данные физических серверов, то есть ставить агента резервного копирования внутрь каждой ВМ.
Плюсы: после переноса инфраструктуры в ВМ, можно использовать старую схему бекапа без изменений. Бекапить можно все, что поддерживается агентами.
Минусы: агенты стоят денег.
*) С помощью стороннего софта или скриптов, бесплатный вариант. Об реализации отлично написано тут - Создание резервных копий ВМ подручными средствами (и там уже 60 комментариев :).
Плюсы: Дешево.
Минусы: Бекап только всей ВМ (т.е. full или image level backup). Нет законченного решения (скрипты), или работающего с бесплатным ESXi средства (софт).
*) Решения бекапа не от VMware. Насколько вижу я, самые сильные позиции тут у Veeam backup. То, что ребята оттуда показывали и рассказывали на последних двух VMUG (см. тут), было очень интересно, да и реально использующих это решение людей я видел много, все вроде довольны.
Плюсы: законченное решение бекапа. Оптимизировано именно на бекап виртуальных машин. Не требует установки софта в ВМ.
Минусы: стоит денег. Не умеет класть данные на ленточку.
*) Решения бекапа от VMware. Это продукт под названием VMware Data Recovery. Виртуальная машина, делающая image level backup инкрементально, с дедупликацией.
Плюсы: Просто реализовать, настроек минимум. И бекап, и востановление интегрируется в клиент vSphere. Лицензия на DR входит во многие лицензии vSphere.
Минусы: настроек минимум. Не умеет класть на ленточку.
*) комбинированное решение с VCB - VMware Consolidated Backup. Суть в том, что делаем выделенный сервер бекапа (VCB Proxy) - физический или виртуальный сервер Windows. Устанавливаем на него "третьесторонний агент бекапа" (в кавычах потому, что этим агентом может быть и bat файлы - читайте у Антона Жбанкова). VCB подмонтирует данные ВМ к этой Windows, и "агент бекапа" их забирает куда скажем.
Плюсы: в случае физического сервере, бекапный трафик может идти по SAN сети. Один агент (который может стоить денег) бекапит все наши ВМ. Бекап и image level, и на уровне файлов гостя.
Минусы: Не все приложения могут быть забекаплены таким образом, из за проблем консистентности данных при снапшоте (для DR и Veeam Backup это тоже актуально). Бекап на уровне файлов гостя - только для Windows ВМ.
(В плюсах и минусах я что то мог упустить - если что в камменты).
Но для vSphere VMware планирует отказаться от VCB, за счет поддержки ESX'ом т.н. vStorage API for Data Protection. У такой реализации драйвера под VMFS (чем во многом и является VCB) есть преимущества. Вкратце они сводятся к возможности построения более простых и гибких решений для бекапа. Из минусов, кстати, невозможности или усложнения скриптования их испольхования. Подробнее про плюсы минусы можно глянуть тут - What is VMware vStorage API?.
Притом, vStorage API for Data Protection это только один из нескольких vStorage API, которые создала VMware. В целом это:
1) vStorage API for Data Protection (this is what you’re talking about) – a set of APIs focused on local backup/recovery use cases. You cover this well.Пара интересных моментов об этом тут - So, what does vStorage really mean?.
2) vStorage APIs for Site Recovery Manager – a set of APIs focused on array vendor remote replication such that they can be orchestrated by Site Recovery Manager.
3) vStorage APIs for Multipathing (otherwise known as the Pluggable Storage Architecture). A set of APIs for 3rd parties to extend vSphere’s core multipathing architectures.
4) vStorage APIs for Array Integration (VAAI). Technically not in vSphere 4, but have been discussed in VMworld events in the past. Will be available in future vSphere-generation releases. This allow array vendors to “offload” various tasks from the ESX host’s vmkernel stack – things like writing blocks that make up VMs, copying/snapshotting blocks, doing thin-provisioning out of space handling, and also a much more advanced global locking mechanism than VMFS uses today. These each will make common actions 5x-10x faster (clone, deploy from template, create a FT VM), and improve VMFS scaling by an order of magnitude. More on that here, for folks that are interested (note that when I wrote this, vStorage API for Data Protection was called the VCB Backup Framework)
Наконец, я это все к чему:
1) VCB является хорошей штукой, которая часто самая эффективная для бекапа ВМ.
2) VMware сделала API, которые придут на смену VCB.
3) Когда? Как их задействовать?
Углядел часть ответа на этот вопрос тут - Even with new and advanced VMware data backup tools, users stick with older technologies.
Цитата:
..
сurrently shipping products with VMware vStorage API integration include CA Inc.'s ARCserve Backup 12.5 (day-one support); FalconStor Software Inc.'s Network Storage Server (NSS); and PHD Virtual's esXpress 3.6 (snapshots only; full support will follow in version 4.0; Quantum Corp. OEM's esXpress). Veeam's Backup & Recovery 4.0, slated for release this fall, will also integrate with the vStorage APIs.
Products with roadmap plans to integrate with the vStorage API include AppAssure's self-titled continuous data protection (CDP) product; Asigra Inc.'s Hybrid Cloud Backup v9 and v9.2 Service Pack; BakBone Software Inc.'s NetVault; Double-Take Software Inc.'s Double-Take Backup; EMC Corp.'s Avamar and NetWorker; Symantec Corp.'s Backup Exec 2010 and NetBackup 7.0; and Zmanda Inc.'s Zmanda Recovery Manager.
..
пятница, 23 октября 2009 г.
Unable to access a file since it is locked
Чтобы не забыть - Unable to access a file since it is locked.
VMware vStorage Integration
Очень и очень, имхо, интересная преза про интеграцию СХД NetApp и EMC с vSphere.
Скачать можно тут - 1st Scottish VMware User Group Meeting.
Я заоплоадил ее, можно посмотреть не скачивая:
storage comparsion
Углядел тут Comparison of Storage Protocol Performance in VMware vSphere™ 4.
8 страниц, четыре графика:
Сколько получилось прочитать, для разного размера блоков:
Сколько получилось записать, для разного размера блоков:
Нагрузка на проц:
Это накладные расходы.
передача данных для разного количества ВМ:
Тут показано, что для достаточно быстрых дисков бутылочным горлышком становится интерфейс (оптика или ethernet).
Признаться, дока ни о чем.
Взяли железку, в ней 9 дисков 15К. Сравнивали только разные режимы работы с ней ESX'а - и везде упирались в интерфейс. Сравнения с работой физического сервера с тем же стораджем не было.
perfomance monitoring
Подборка ссылок о средствах и нюансах мониторинга нагрузки на сервер и ВМ:
- Understanding Performance
- Using esxtop to Troubleshoot Performance Problems
- Interpreting esxtop Statistics
- Using the esxtop tool to identify VMware ESX memory use
- Using Perfmon For Accurate, ESX Performance Counters
- Performance Troubleshooting for VMware vSphere 4 and ESX 4.0
- Understanding VirtualCenter Performance Statistics
- Using vscsiStats for Storage Performance Analysis
- Performance Analysis Methods
- CPU Performance Analysis and Monitoring
- Memory Performance Analysis and Monitoring
- Network Performance Analysis and Monitoring
- Storage System Performance Analysis with Iometer
- VMware Infrastructure - Performance Optimization & Troubleshooting (VMware ESX / VMware ESXi) (VMworld 2008 - free registration required)
- Intepreting Performance Statistics in VI3 (VMworld 2008 - free registration required)
- Troubleshooting virtual machine performance issues (KB Article)
- Using esxtop to identify storage performance issues (KB Article)
Отсюда - I/O bottlenecks in virtual environments.
пятница, 16 октября 2009 г.
четверг, 15 октября 2009 г.
среда, 14 октября 2009 г.
vcp 4 \ vci 4
Давно я сдавал бета версию теста VCP 4.
Писал об этом тут.
Результаты теста рассылаются бумажной(!) почтой, и я уже не уверен, что они дойдут в наши пенаты.
Однако, я узнал что в своем профиле на vue.com можно посмотреть сдал\не сдал (но не балл).
понедельник, 12 октября 2009 г.
инструкция о том, как запустить HP CV 8.1 под ESX 4.0
из переписки:
Уважаемые коллеги, доброго дня!
Ниже инструкция о том, как запустить HP CV 8.1 под ESX 4.0.
Одна ремарка сейчас вышла новая версия Command View 9.1 и в соответствующей статье из HP Product Bulletin есть такая ремарка:
What's New
* Support for the new Command View EVA v9.1
* Installation of Command View on VMware Windows 2003/2008
Возможно в этой версии никаких танцев с бубном вообще не нужно – я пока не проверял.
Итак.
1. Создаём самую обычную виртуальную машину
2. Добавляем новый SCSI device
3. Не забываем изменить SCSI ID на 1:0 и выбрать контролер EVA’ы в списке – он будет называться RAID HP
4. На этом доконфигурация VM завершается
5. Теперь включаем машину и смотрим на каком хосте она поднимется.
6. Заходим в конфигурацию этого хоста и настраиваем Storage Controllers на правильный WWIN EVA’ы:
7. Для этого нужны выбрать правильный WWIN в качестве preferred – как правило это наименьший адрес:
8. Получится вот так:
9. Теперь ставьте HP Command View. На самом деле в какой момент устанавливать CV вообще не важно – можно сразу после установки VM’а
биг thx Vladislav Kirilin
vmug 2009-2 Veeam
Нельзя не отметить доклад компании Veeam - Дмитрий Блейзер без презентации, внятно и интересно рассказал и показал новшевства новой версии Veeam Backup. Там достаточно много нюансов, как крупных (центральная веб консоль для управления несколькими инсталляциями veeam backup), так и помельче (например, возможность дробить дельты снапшотов по достижении порогового размера, чтобы не возникало лагов при их удалении).
Продукт активно развивается, мне кажется более чем интересным, рекомендую.
vmug 2009-2 Starwind Software
Коллеги из Starwind Software подошли к вопросу онлайн публикации по итогам ответственно:
(кстати, они будут очень рады вопросам - если что пишите в комментарии)
1. Что такое iSCSI?
iSCSI (Internet-SCSI) – протокол, работающий поверх существующюх сетей передачи данных. Спецификация iSCSI обозначила протокол, который позволил енкапсулировать SCSI пакеты в пакеты TCP/IP, позволяя компьютерам получить доступ к устройствам храниния данных на блочном уровне через сети IP. Низкая цена на IP сети вослужила «хребтом» для соединения централихованных или распределенных СХД к серверам в любом месте, где есть IP соединение.
2. Как работает технология iSCSI в продуктах StarWind?
StarWind Server – программа, работающая на базе любого компьютера под управлением Microsoft Windows (XP и выше). Процедура создания так называемого iSCSI таргета, или объекта, подключаемого через сеть и распознаваемого клиентом как свое локальное хранилище данных – весьма проста. После установки и настройки перед нами появляется консоль управления StarWind Server. Консоль управления позволяет манипулировать как локальным StarWind Server, так и удаленными серверами с уже установленной StarWind Server.
vmug 2009-2 Денис Батурин
Одна из важных задач, которые он может решить - отдать настройки сети полностью в руки группы сетевых администраторов.
Nexus 1000V поддерживает pVLAN (востребовано в DMZ и collocation), притом pVALN на Cisco работают более эффективно, чем в распределенном коммутаторе VMware. У VMware пакеты дропаются на порту назначения, а у Cisco на порту источника. Преимущество - неразрешенный траффик совсем не ходит.
Есть подозрения, что существует ограничение в 256 портов на один VEM (это компонент Nexus 1000V на одном хосте). Впрочем, этот вопрос требует дальнейшего уточнения.
Еще один вопрос - поддерживается ли ESXi? Нюанс в том, что для установки VEM на ESXi необходим доступ к unsupported локальной консоли, и этот факт переводит ESXi в разряд потенциально не поддерживаемых.
Триал для 1000V доступен, получить возможность поиграться с ним можно на сайте Cisco.
Еще Денис подсказал интересный пример cloud computing, см. видео тут - http://vcloudexpress.terremark.com/howitworks.aspx.
vmug 2009-2 Мария Сидорова
Мария Сидорова (VMware Security Group Russia), консультант "Алмитек", акцентировала внимание участников встречи на важности обеспечения информационной безопасности виртуальной инфраструктуры. Рассказала о встроенных средствах и новых продуктах (Reflex VMC и Hytrust Virtual Appliance) по управлению виртуальной инфраструктурой и обеспечению информационной безопасности виртуальных сред.
Доклад Безопасность в виртуальной среде - технологии обеспечения.
Первая презентация Марии проходила в форме диалога, обсуждались вопросы того, что в силах администратора, чтобы сделать инфраструктуру безопаснее без использования дополнительных средств. Порадовало то, что часть аудитории активно отвечала на вопросы Марии.
Участники дискуссии вместе пришли к мнению, что обеспечение должного уровня безопасности виртуальной инфраструктуры, возможно и для этого необходимо:
o Разработка внутренних стандартов/политик обеспечения безопасности
o Следование рекомендациям производителей (security hardening)
o Использование специализированных решений
Так же Мария отметила, что необходимо реально оценивать риски с учетом модели нарушителя и модели угроз.
Рекомендации производителей и другие материалы по обеспечению информационной безопасности сред виртуализации можно скачать по адресу http://wiki.vm4.ru/security
Доклад Что модно в этом сезоне (Virtual Appliances Secure Content and Threat Management).
Вторая презентация была посвящена решениям сертифицированным компанией VMware на использование технологии VMsafe по направлению - Virtual Appliances Secure Content and Threat Management, в большей степени решению Reflex VMC которое стало первой системой начавшей этот список, что означает, что Reflex VMC способен управлять безопасностью на самом глубоком уровне.
Решение Reflex Virtualization Management Center (VMC) позволяет эффективно управлять сетевой безопасностью в среде виртуализации, предоставляя функциональность межсетевых экранов и систем предотвращения вторжений для контроля трафика между виртуальными машинами. Отличительной особенностью Reflex VMC является формирование динамических «зон доверия», для которых определяются детальные политики безопасности. Включение виртуальных машин в определенную зону доверия может осуществляться как вручную администратором системы, так и автоматически на основе различного рода критериев, как например наличие на машине конкретного программного обеспечения, или используемой операционной системы, или просто названия машины. Вторая важная функция Reflex VMC – контроль соответствия (compliance). Система позволяет определять политики, контролировать их выполнение, и, в случае обнаружения нарушений, предпринимать корректирующие действия. В качестве примера, контролируя выполнения требования PCI DSS 4.1 по криптографической защите передаваемой по публичным каналам информации, Reflex VMC может осуществлять поиск в сетевом трафике заданных паттернов, и, в случае обнаружения, блокировать подобный трафик. Третья функция Reflex VMC – мониторинг основных параметров среды виртуализации. Протоколируя все изменения среды, Reflex VMC позволяет администратору получить целостную картину конфигурации по состоянию на любой момент времени, а возможности корреляции событий позволяют оценить влияние изменений конфигурации на работу систем.
С любыми техническими вопросами можете смело обращаться к Марии (skype и почта указаны в презентации).
vmug 2009-2 Константин Пичугов
Константин Пичугов, "Код Безопасности".
Тезисно можно отметить следующее:
Данные обрабатываемые в виртуальных машинах должны быть защищены также надежно, как и в случае с обычными компьютерами. В докладе рассказывается о новых угрозах виртуализации и о том, почему традиционные средства защиты информации не всегда могут обеспечить полноценную защиту в виртуальной среде. Во второй части доклада представлен новый продукт компании Код Безопасности, который предназначен для обеспечения безопасности виртуальных инфраструктур.
Презентация:
Описание продукта:
Было несколько вопросов, ответы на которые были оставлены на попозже:
* как дела с сертификацией на Украине?
На Украине действует собственная система законов, лицензий и сертификации в области защиты информации. Кроме того, насколько мы знаем, продукт должен быть локализован на украинский язык. Мы сможем рассмотреть вопрос сертификации на Украине позже, когда пройдем эту процедуру в России. Возможно, если среди сообщества VMware есть реально заинтересованные в использовании подобного продукта коллеги из Украины, то мы можем активизировать работу на этом направлении.
* Как дела обстоят с поддержкой? Со стороны VMware?
У нас есть собственная линия поддержки наших продуктов. Зависимости от SLA клиенту может оказываться поддержка разного уровня. Также мы планируем после завершения российской сертификации во ФСТЭК пройти сертификацию VMware. Это позволит поддержке VMware знать о существовании нашего продукта и определенных случаях переводить поддержку на нас.
* для установки на ESXi необходимо входить в "Unsupported" консоль. Это как то не хорошо с точки зрени поддержки.
В текущей версии vGate мы к сожалению не поддерживаем ESXi, только ESX. В будущих версиях мы вернемся к вопросу поддержки ESXi, и тогда будем думать, что с этим делать.
Да, я еще вот что хотел отметить. Если по данному продукту у кого-то из сообщества возникнут вопросы, или, если кто-то захочет получить версию для тестирования, то можно смело обращаться ко мне. Я являюсь менеджером данного продукта в Коде Безопасности.
Мои контакты ниже.
С уважением,
Константин ПИЧУГОВ,
менеджер по развитию продуктов
ООО "Код Безопасности"
ГК "Информзащита"
тел.: +7 495 980 2345 доб. 483
факс.: +7 495 980 2345
email: k.pichugov@securitycode.ru
www.securitycode.ru
vmug 2009-2 Сергей Щадных
Коллеги, начинаю публиковать презентации и краткие отчеты по докладам VMUG 2009- 2:
Сергей Щадных рассказал о собственном (главное - успешном) опыте реализации весьма масштабного проекта по внедрению виртуализации в филиалах (коих у него порядка четырех десятков). Проект позволил выделить из 120 ИТ-специалистов различного профиля, 5 профильных специалистов сконцентрировавших свои знания и опыт на конкретных задачах по развитию и обслуживанию ИТ инфраструктуры.
Кроме деталей самого проекта, упоминались такие вещи как:
·организационные нюансы и рекомендации по проведению в жизнь масштабных проектов;
·экономические выкладки;
·описания управления инфраструктурой, с указанием чего не хватает.
·например, есть негатив про VMware Update Manager - через тонкие каналы много патчей зараз он не заливает, вываливается ошибка. Централизованного управления нету. неудобно.
·для резервного копирования ВМ как файлов vmdk используетс veeam backup. Неудобно, что бекап задания приходиться администрировать во всех 40 филиалах независимо. (Но буквально через час был доклад veeam, которые вот-вот выпустят следующую версию с централизованным управлением через web интерфейс. )
Презентация:
воскресенье, 11 октября 2009 г.
VMware View + Thinstation + PXE
Внедрение терминальных рабочих станций (в классическом варианте или новомодном VDI) несет в себе много преимуществ для большинства компаний. Однако, большие первоначальные затраты на покупку оборудования и программного обеспечения/лицензий могут отпугнуть потенциальных потребителей данного решения. Не последнюю роль в общей стоимости играет цена самих терминальных клиентов - устройств с которых осуществляется удаленный доступ к терминальному серверу.
Понятно, что не всем по карману брендовые тонкие клиенты, как например HP T5735, цена на которые близка к стоимости среднего офисного компьютера; вариант же с перенастройкой существующих рабочих станций пользователей не всегда применим, поскольку требует больших усилий по отключению всех ненужных программ и ограничению функционала, поддержке системы, установке обновлений для ОС и антивирусной защиты. Кроме того, в случае использования Windows, вы не избавляетесь от необходимости покупки лицензий на ОС. Печально, однако недорогой и практичный выход из данной ситуации есть.
Сетевая загрузка бездискового клиента Thinstation для VMware View.
Кончилось место на datastore
Вот у нас есть хранилище, datastore, на котором лежит куча ВМ.
Если мы пользуемся thin дисками или снапшотами хотя бы для части ВМ, вполне вероятна ситуация, что виртуальные машины могут потребить все место этого хранилища.
Что произойдет в этом случае?
В этом случае ESX(i) 4 запаузит ВМ на этом хранилище.
Как только мы освободим место, можно будет их включить и продолжить работу.
Кстати, кроме удаления и переноса файлов с хранилища может помочь:
выключение ВМ - удалятся их своп файлы.
увеличение резерва ВМ - уменьшатся своп файлы.
Само собой, правильным будет настроить оповещение через vCenter alarms, чтобы нас оповещали о том что место скоро закончится.
Развитие этой идеи - чтобы alarm сразу запускал Storage VMotion для освобождения места. Как это сделать - PowerShell Prevents Datastore Emergencies.
Выключить FT без vCenter
VMware Fault Tolerance - интересная штука. Защищает ВМ от сбоев железа. Требует vCenter для включения или выключения FT для той или иной ВМ.
Что делать, если вдруг vCenter недоступен, а выключить FT надо?
Ситуация чисто гипотетическая, но рецепт предложен тут - how to remove FT from a host without vCenter.
esx + cpu
Небольшая подборка информации по поводу работы ESX(i) 4 с процессором - Four Things You Should Know About ESX 4’s Scheduler.
суббота, 10 октября 2009 г.
VMware courses
Коллеги, хочу рассказать, как сегодня обстоят дела с курсами VMware.
Наш учебный центр (ну и я лично) читает следующие курсы:
VMware vSphere: What's new - два дня, акцент на различиях между третьей и четвертыми версиями. Т.е. кроме как про новшества вообще ни про что не говорится. Идеально для тех, кому только новшества и нужны. Практика есть, притом начинается не с установки, а с обновления с VI 3 на vSphere 4. Так же, если кто был на курсах по VI 3, и хочет сдавать тест на VCP 4, то ему достаточно посетить этот курс для получения права на сдачу нового теста.
VMware vSphere: Install, Configure, Manage - 4 дня, базовый курс про все основное в vSphere. От установки ESX и vCenter и до работы со всем фичами и большинством сопутствующих продуктов. Кто хочет получить знания по четверке, уложить в голове уже имеющиеся - этот курс для вас. Дает право на сдачу теста VCP 4. Даташит.
VMware vSphere: Manage Availability - однодневный курс, делающий акцент на средствах повышения доступности. Что надо настроить для MSCS, разговор поподробнее про HA\FT, vCenter Heartbeat. Даташит.
VMware vSphere: Fast Track - пятидневный курс по vSphere, который позволяет получить наибольшее количество знаний за наименьшее время. Содержит в себе весь ICM и часть MA, а так же какое то количество материала, не входящего в другие курсы. Курс весьма интенсивный - это и плюс и минус, не всем нравится такое плотное изложение материала. Даташит.
VMware Infrastructure 3: Deploy, Secure & Analyze V3.5 - это курс по VI 3.5, посвященный углубленному изучению некоторых аспектов. Например - командная строка. DSA для четверки не появился, но практически все из DSA 3.5 актуально и для 4 (ну а что неактуально - будет заменено на актуальное уже тренером). DSA для четверки и не появится, он будет заменен на несколько однодневных курсов, каждый из которых концентрируется на какой то одной теме. Первый из таких - VMware vSphere: Manage Availability, остальные еще не появились. Даташит.
VMware vCenter Site Recovery Manager - 2 дня по SRM 1. Вышел SRM 4, но когда появится курс по нему еще нет данных.
VMware View: Install, Configure, Manage - курс по View версии 3. Три дня, про весь спектр работ с этим VDI решением. Даташит.
VMware View: Design Best Practices - один день, курс посвящен разработке решений с VMware View.
VMware Capacity Planner - курс по Capacity Planner 2.7, один день.
Раздел сайта УЦ по этим курсам - Авторизованные курсы фирмы VMware. С этой же страницы доступен график курсов.
Вопросы по курсам можно задавать в том числе мне - mikhail.mikheev@vm4.ru.
четверг, 8 октября 2009 г.
VMware vSphere Vs. Microsoft Hyper-V
Собираю ссылки на сравнения гипервизоров, такие посты помечаются отдельным тегом "сравнение".
От какой то компании - VMware vSphere Vs. Microsoft Hyper-V A Technical Analysis:
дальше большие картинки под катом:
К вопросу о Dinamic Memory allocation
http://social.technet.microsoft.com/Forums/en-US/winserverhyperv/thread/1e668f20-60eb-4603-8a28-889d56d15557
Раздел сравнения по стоимости:
помельче
покрупнее
Имхо, очень много вопросов такие усредненные подсчеты вызывают, не стоит безоглядно полагаться на эти цифры.
На странице 27 начинаются выводы, их много, копипастить не стал.
среда, 7 октября 2009 г.
про память
Углядел на ixbt:
Не совсем "новости серверного hardware", но этот тред подходит более всего.
Группа исследователей Google и человек из University of Toronto, те же, что делали в 2007 году анализ и разбор корреляций отказов жестких дисков в датацентрах Google (на популяции в 100 тысяч дисков) закончили и опубликовали очередную работу: DRAM Errors in the Wild: A Large-Scale Field Study.
В течении 2,5 лет наблюдались отказы в DRAM серверов датацентров Google.
Результаты сведены в небольшой 12-страничный PDF. Рекомендуется к вдумчивому втыканию.
+1 к последней фразе.
вторник, 6 октября 2009 г.
LUN Masking
Существует такая штука, как LUN Masking.
Делаем ее мы на сторадже.
Но можем делать и на ESX(i).
Зачем ее делать?
Меня позабавил ответ на этот вопрос на одном из форумов:
once visited a customer site for a VMware/CLARiiON Health Check. The customer was unable to see a LUN that had been provisioned from the CLARiiON to the ESX Host. First I verified that a Storage Group was created on the CLARiiON and that the LUN and Host had been placed in the storage group, everything looked good on the CLARiiON. I knew it wasn't a zoning issue because the ESX host was able to see other LUNs from the CLARiiON, but I checked it anyway to be thorough. Zoning was properly configured. I then attempted to rescan the storage adapters from the vSphere client, it still did not pick up the LUN. I did a second rescan...just to be sure, and again the LUN wasn't visible to the HBA.
After about 20 minutes I thought to myself.....Nah...there is no way....nobody uses that....and so I checked to see if the LUN may have been masked from the ESX host and sure enough it was. After speaking with the onsite admin, he told me......
"Nobody here knows how to configure the CLARiiON so we have to have a consultant come in every time we need a new LUN, that consultant charges us a minimum 3-hour bill time even though it only takes him 10 minutes to do. The last time he was here I had him provision 10 LUNs and then I used this disk.mask.LUN feature to hide them so that they wouldn't be used. When we needed another LUN I figured I would go in there and "unmask" it. I totally forgot that I had done that."
В ESX(i) 4 это делается иначе, чем в версии 3 - Mask Paths.
понедельник, 5 октября 2009 г.
vmware converter, steps after
Для того, чтобы перенести в виртуальную среду существующий сервер, есть специальные средства.
У VMware это бесплатный VMware Convertor. У него две версии:
- скачиваемая с vmware.com версия "Standalone"
- и поставляемая с vCenter версия "Enterprise".
Обратите внимание, что кое в чем Standalone версия получше - умеет конвертить Linux.
Но для Standalone версии недоступен Live CD для Cold Clone - он доступен для скачивания лишь пользователям с зарегестрированной лицензией vCenter (или что то в таком духе). Cold Clone иногда надежнее работает.
Но.
Даже успешно сконвертированный сервер нуждается в доводке. В частности, будет полезно удалить старые ненужные теперь устройства.
Полезная инфа и пара ссылок на тему тут - Removing old hardware after a P2V conversion. В частности, ссылка на скрипт, который должен делать это автоматически. Что не лишнее, т.к. счет на неактуальные после конвертации железки может идти на десятки.
few news
Несколько новостей в одном посте:
Наши локальные новости:
встреча сообщества VMware состоялась. Состоялась успешно. Сейчас я работаю над публикацией результатов, презентаций, впечатлений. Александр Самойленко уже выложил свой доклад у себя.
Планирую в течении этой недели подтянуть оставшееся.
На vmind углядел неприятную фишечку для лицензий дешевле Advanced - Тестирование ESX4i - VMware отстой :).
Новости поглобальнее:
VMware выпустила Site Recovery Manager 4.0. Цифра 4 в названии говорит о поддержке vSphere.
Нового много, почитать можно тут - Release Notes.
еще на тему - Site Recovery Manager (SRM) 4.0 Upgrade FAQ.
Обзор со скриншотами тут - A Quick tour of SRM 4.0.
И еще новости про VMware Workstation - Workstation 7 Release Candidate Available!