Кроме званий VCP по четырем поколениям продуктов этой компании, удостоен звания VMware vExpert.
Являюсь автором книги "Администрирование VMware vSphere".
С февраля 2012 работаю в компании VMware.
Адрес моей электронной почты
mikhail.mikheev@vm4.ru.
Все высказанное здесь представлено “как есть” и не предоставляет каких-либо гарантий и прав.
Позиция автора может не совпадать с позицией работодателя.
Давно собирался написать этот пост, но что-то руки не доходили. Вот, взял себя за шкирку и пишу :)
Правда, по хорошему его надо писать слегка по другому - не только в теории (как я это делаю сейчас), но и практики добавить - но время, время... Напишу как есть, а будет время попрактикуюсь и еще напишу.
Это - продукты и функции VMware vSphere, имеющие отношение к безопасности.
Интерфейс vShield Manager, управлялки ко всему остальному
Во-первых - есть продукт vShield Zones. Это - межсетевой экран, позволяющий контролировать обмен трафиком, притом даже тем трафиком, что остается внутри ESX(i), когда им обмениваются две ВМ на одном вКоммутаторе. Еще он хорош тем, что правила создаются и контролируются в одном месте (появляется отдельная страница прямо в интерфейсе vSphere Client, см. картинку) - не требуется отдельно конфигурить правила в каждой гостевой ОС, если использовать внутри-гостевые межсетевые экраны.
Его плюс - он доступен нахаляву тем, у кого куплена vSphere Advanced и более высокие лицензии.
Его минус - это только брандмауэр.
Впрочем, его можно прокачать до vShield App. Этот апгрейд весьма заметно расширяет функционал - теперь контроль трафика возможен не только по правилам отслеживающим Source IP address, Destination IP address, Source Port, Destination port, protocol, но и по многим другим параметрам, а так же добавляются многие организационно полезные вещи. Список тут.
Это - платная дырка в гостя. Благодаря этому интерфейсу, специально обученная виртуальная машина может:
перехватывать и контролировать трафик прочих ВМ на этом сервере
получать доступ к ОЗУ и к диску прочих виртуальных машин
Благодаря этому в упомянутой "специально обученной ВМ" могут работать антивирус\антималваре - и защищать ВМ на этом ESX(i). (Предполагается, что такая ВМ разворачивается на каждом ESX(i), это же относится к vShield Zones).
Кроме антивируса, по такой схеме заработают системы обнаружения и предотвращения вторжений, IDS\IPS, межсетевые экраны.
Ну а плюсы такого варианта развертывания этих систем - в централизации. У нас антивирус стоит не на каждой ВМ, а на каждом хосте - на порядок меньше потенциальных проблем и обслуживания.
Сама VMware предлагает лишь этот интерфейс, а создание "специально обученных ВМ" с реализацией тех или иных функций ложится на плечи профильных, предполагается, партнеров.
И вот про этих партнеров я, преимущественно, и хочу немного рассказать.
Продукты третьих фирм
Дисклаймер:
Приведенная здесь информация может изобиловать неточностями и неуказанными нюансами. Автор не является специалистом ни в области безопасности, ни в каком-либо из описываемых продуктов. Информация предоставляется в общеобразовательных целях, целевой аудиторией являются владельцы vSphere, которым область сторонних продуктов обеспечения безопасности vSphere незнакома.
Cisco
Дает нам свой виртуальный коммутатор - Nexus 1000V. Определенный функционал безопасности в нем можно найти.
Еще - Virtual Security Gateway. Это Virtual Appliance, с функциями, я так понимаю, контроля трафика. Устанавливается в дополнение к Nexus 1000V.
Продукт McAfee Move(Management for Optimized Virtual Environments).
Вариантов два - или мы берем просто антивирусы, и их расставляем в ВМ - тогда центральная консоль управления дает возможность ограничить одновременные запуски сканирование на хост\LUN, для предотвращения шторма .
Или добавляем его на каждый хост Virtual Appliance (я не совсем разобрался, это подготовленный именно Appliance, или просто дистрибутив который сам устанавливаешь в самостоятельнуо подготовленную ВМ).
Затем в каждого гостя ставим "тонокого" агента. Такой агент, вроде как, умеет данные для антивирусного сканирования отправлять на Appliance - т.е. на каждую ВМ нагрузка меньше, и антивирус-шторма можно не так опасаться.
Однако - VMware Endpoint API не используется, связь между агентами в ВМ и выделенной ВМ со сканером просто по IP.
Тем не менее, обещают на порядок меньший объем памяти и нагрузку на процессор для каждой ВМ с таким "тонким" агентом.
Сегодняшняя версия не интегрируется с API от VMware. В каждую ВМ устанавливаем привычного агента, с функцией антивируса. Под виртуализацию заявлена кое-какая оптимизация - исключение из сканирования файлов из мастер-образов, автоматическое обнаружение клиентов-ВМ и назначение им политик, которые могут отличаться от политик для физических клиентов. Обещают защиту от антивирус-штормов. Позволяют одинаковый файл проверять один раз на хост, не для каждой ВМ где он был найден.
Про функционал кроме антивируса я не понял. Функции брандмауэра и IPS упоминаются, но понятной инфы я не нашел.
Презентация (на редкость невычитанная, я даже удивился низкому качеству вроде бы публичного источника информации. Смысл, к сожалению, без спикера тоже не очень легко уловить):
Доступен как в варианте с установкой обычного агента в каждую ВМ, так и вообще без установки агента(!). Последнее, насколько я могу судить - пока уникальная фича, притом функционал вполне себе.
Если на каждый сервер добавить Virtual Appliance Deep Security, а в ВМ активировать vShield Endpoint (сегодня это требует установки маленького компонента в каждую ВМ, потом обещают реализовать эти вещи прямо в VMware tools), то на всех этих ВМ мы получим функции:
антивируса
межсетевого экрана
IDS\IPS
Самым прямым конкурентом для Trend Micro выглядят антивирусные вендоры Symantec и McAfee. Я присутствовал на презентации Trend Micro, но отсутствовал на презентациях Symantec и McAfee, поэтому информации для сравнения у меня мало.
Но должен сказать, что Deep Security мне понравился больше прочих продуктов, с которыми я ознакомился очно или заочно.
Опять же дисклаймер - я понятия не имею, насколько качественно и полно реализован функционал того же антивируса или там IPS. А вот с точки зрения работы именно в контексте vSphere Deep Security мне понравился .
Что еще обратило на себя внимание с презентации по этому продукту:
в конце года обещают версию 8 под vSphere 5
управление Deep Security через веб-интерфейс (интеграции с vCenter нет)
если внутри ВМ есть агент, а на сервере - Appliance, то антивирус делается последним. а все остальное - агентом. Сегодня агент не умеет антивирус, зато умеет контроль событий (с файлами, папками, реестром) в госте - чего не умеет VA.
чтобы использовать Deep Security в варианте с VA, потребуется купить его самого, и еще лицензии на VMware Endpoint (впрочем этот пункт по идее должен быть одинаков для всех продуктов, которые использую эти API)
Презентация (очень информативная, рекомендую к ознакомлению):
HP Tipping Point. Это vController, Virtual Appliance, предлагающий функции IDS\IPS. Притом, сама логика контроля трафика в этом VA не реализована - он лишь перехватывает трафик ВМ и переправляет его на физический IPS от HP.
Управлялкой к этим VA является продукт VMC, это OEM от Reflex.
vGate.
Продукт с немного другой спецификой, чем упомянутые ранее. vGate встает "в разрез" между администраторами и vCenter, и позволяет более правильно закрутить гайки прав и возможностей. Кроме того, позволяет обеспечить контроль целостности конфигурации ВМ, их доверенную загрузку. Обеспечивает контроль целостности и доверенную загрузку хостов. Регистрирует события информационной безопасности.
Если интересует антивирус - присмотритесь к Deep Security, при прочих равных, этот продукт вроде как по максимуму использует все то, что VMware позволяет использовать для оптимизации процесса.
Функционал контроля трафика предлагают большинство упомянутых компаний. Рискну предположить, что с этой стороны выбирать следует исходя уже из нюансов.
Продукты от vGate и ЗАО "ОКБ САПР" реализуют специфические задачи - думать не надо, есть задачи - надо использовать :-)
Кроме того, у некоторых продуктов есть сертификация перед российскими регуляторами, что делает их весьма интересными в контексте соответствия инфраструктуры 152-ФЗ и т.п.
P.S. Буду сильно рад отзывам тех, кто имел дело с упомянутыми продуктами в боевых и приближенных к ним условиях.
В свете обновления на пятерку интересные подробности про обновление VMFS.
ESX(i) 4 использует VMFS версии 3.
ESXi 5 использует VMFS версии 5, но VMFS версии 3 тоже поддерживает.
Возможен апгрейд раздела VMFS 3 -> VMFS 5, притом даже без прерывания работы ВМ, располагающихся на нем(!)
Получается, у нас есть три возможности:
1) Оставить разделы VMFS 3 как есть - ESXi 5 спокойно продолжит с ними работать.
2) Обновить VMFS 3 -> VMFS 5.
3) Пересоздать VMFS 5 с нуля.
Забегая вперед - третий вариант самый правильный, хотя в какой-то инфраструктуре разница не будет заметна.
Вариант 1 не позволит пользоваться плюшками нового VMFS. Это LUN до 64 ТБ, это новые возможности VAAI, это pRDM до 64 ТБ.
В принципе, вполне можно допустить что в конкретном случае это нам не нужно.
Вариант 2 хуже варианта 3 по одной причине: раздел, обновленный до VMFS 5 отличается от раздела где VMFS 5 создана с нуля.
Отличия - в размере блока. Обновленный раздел унаследует блок в 1, 2, 4 или 8 МБ от предшественника, а у созданного с нуля он всегда 1 МБ.
И неудобство нас настигнет при миграции ВМ между такими хранилищами - если блоки разных размеров, то будет выбран не самый оптимальный механизм миграции, и миграция займет значительно больше времени.
Запущенный esxtop может сильно нагружать процессоры сервера. Это может возникнуть в случае, если к серверу подключены много LUN - а esxtop обновляет список объектов по которым снимать данные каждый снимок данных (это часто).
Интересное новшество на сайте экспериментальных продуктов VMware - CloudFS.
Я так понимаю, что это модуль ядра, который может быть установлен на ESX (но не на ESXi?), и который позволит делать репликацию между локальными хранилищами нескольких серверов ESX.
Немного хочу рассказать про организацию своей домашней лаборатории - так как вопрос такой лабы для многих актуален, чтобы было куда дать ссылку интересующимся.
Несколько лет назад я закупил компьютер.
Обычный писюк, двухядерный процессор, 8 ГБ памяти.
Поставил на него Windows 7, VMware Workstation 7, и под Workstation несколько виртуальных машин.
В первую очередь это были три виртуалки: ESX1, ESXi2 и vCenter. На хостовой Windows 7 был установлен Starwind, который отдавал этим серверам по iSCSI файл-img, пару сотен гигов размером.
Ну и внутри этих ESXи ESXi были запущены еще несколько ВМ. Например, ворочался полный стенд VMware View - AD, View Server, View Security Server и View Desktop.
Многие из вас видели разнообразные скриншоты, сделанные на этой vSphere - вся моя книга писалась на этом стенде.
Кроме того, иногда я запускал vMA и некоторые другие ВМ на одном уровне с ESX(i) и vCenter - так как их гости, ВМ второго уровня, могли быть только 32-битными. А 64-битность начинала быть все более необходимой - например одна из ролей View ставится только на Windows 2008 R2, а она только x64.
Конечно, время отклика поражение не вызывало, а иногда требовало и определенной выдержки :), но за свои деньги и занимаемое место этот стенд давал отличные возможности.
С технической точки зрения купить два компа и их просто как ESXi использовать - лучше, но обосновать бюджет и, так сказать, юниты, перед супругой сложнее.
Тем не менее, такой стенд прослужил мне верой и правдой не один год. Пришла пора двигаться дальше.
Двигаться дальше я стал относительно недавно - когда дошли руки до покрутить пятерку, точнее ее бета версию.
Сделал я очень просто - установил ESXi 5 на флешку, и запустил с нее свой компьютер, вместо Windows 7. Все чудесным образом завелось. Я создал первые три ВМ - два ESXi и vCenter, настроил автостарт вместе с физическим ESXi - все отлично заработало. Ну а упомянутая ранее возможность запускать в гостях второго уровня 64битные ВМ - просто сказка сама по себе.
У нового варианта есть несколько преимуществ перед старым.
Ну, неоспоримое преимущество - это запуск 64битных гостей под виртуальными ESXi. Теперь я должен смочь попробовать любые или почти любые Virtual Appliance, число которых множится с каждым месяцем.
Ну и Hyper-V покрутить лишним не будет. И сторонние VDI решения (хотя Citrix XenDesktop я поднимал и на старом стенде, но тут удобнее все будет) .
Второе - за счет выключения больших страниц (параметр Mem.AllocGuestLargePage = 0, помните недавние посты?) я делаю довольно неплохой memory overcomitment. Все работает шустрее, чем в варианте с Workstation.
Вот, для иллюстрации нагрузка на физическую машину:
Памяти используется 6 600 из 8 000 мегабайт.
В это же самое время запущено несколько ВМ, совокупным объемом выделенной памяти 13 гигабайт.
Две ВМ с ESXi пока простаивают, но vCenter уже установлен и работает, а на Windows 7 в данный момент устанавливается ОС.
Огорчает только одно - если к релизу не изменятся известные сейчас правила лицензирования бесплатного ESXi, я не смогу этим оверкомитментом пользоваться.
UPD. На ESXi 5 с бесплатной лицензией вроде как можно использовать до 32 ГБ на сервер.
Сторадж тоже пришлось делать по другому. Как-то так получилось, что у меня дома завялялись два ноутбучных жестких диска.
Один из них в завалявшемся корпусе с SATA->USB был подключен к моему домашнему роутеру, а он расшарил его по сети, по NFS. Работает на удивление стабильно, тьфу-тьфу - ни единого намека на разрывы.
Другой был установлен в свежекупленный SATA->eSATA, и подключен к свежекупленному PCI контроллеру с eSATA.
Все работает замечательно.
Теперь я планирую место на этом диске использовать как основное хранилище, и в частности пробовать его расшаривать через Stariwind (апробированное решение), Starwind Virtual Appliance (интересно поиграться и сравнить) и VMware Virtual Storage Appliance (если заведется, там вроде есть какие-то ограничения - буду изучать).
Однако есть неудобство - Windows на этом компьютере использовала два диска - старый 300 ГБ для себя, и 2 ТБ под все остальное. У нас дома эта машина выполняет роль файл-сервера. Например, на ней я держу папку Images, со всеми образами (на ноуте они тоже есть, но иногда частично тасуются, а большом диске стационарного компьютера места еще много). Получается, сейчас эти данные недоступны.
Пичаль пичаль.
Однако, нет! Я же могу прокинуть этот большой диск в ВМ, как RDM! Впрочем, не могу - RDM не работает для большинства локальных дисковых контроллеров.
Пичаль пичаль.
Однако, нет! Есть же всякие хаки! И действительно, инструкция из последнего каммента вот к этой полезной статье сработала.
Так что сейчас все те же данные доступны в моей сети. Ура ура.
К компьютеру подключен еще и принтер. Хотел и его пробросить - но в списке доступных для подключения к ВМ usb устройств хоста был только бесперебойник. Странно.
Кстати, никто не знает - есть ли возможность как-то легитимно использовать Windows 2008 для своих стендов в течении продолжительного времени? А то ей хочется активации, а slrmgr/rearm надолго не помогает.
Даются намеки на то, что в когда-то выходящей Windows 8 и новом Hyper-V все будет круто, но пока секрет (правда, особых изысканий я не делал - есть у кого ссылка на неофициальные списки новых фич?).
Было бы хорошо - для VMware это было бы поводом ценник сбросить, а то пока везде изменения в лицензировании обсуждаются с позиции "да они о****и".
К слову, в упомянутом посте список новшевств пятерки (видимо, имелись в виду только основные) довольно скромный. Напомню, что полный тут - http://www.vm4.ru/2011/07/vsphere-5-features-list.html - и он рекомендуется к ознакомлению, особенно тем кто уже понял всю соль анекдота, заканчивающегося словами "... но есть нюанс".
показана работа скрипта vSphere 5 License Entitlements и его красивый html отчетик по анализу вашей текущей инфраструктуры в контексте лицензирования под пятерку.
Сегодня есть способ уменьшения разросшихся тонких дисков путем:
1)обнуления ранее выделенных но уже неиспользуемых блоков
2) с последующим Storage vMotion для их исключения из vmdk.
В ESXi5 (а вроде бы и в 4) появилась команда
vmkfstools -K
которая позволяет шаг 2 выполнить без SVmotion,
Правда, пока только для выключенной ВМ.
Скопипастю (отсюда) список новых фич новой vSphere, претендующий на максимальную полноту:
VMware vSphere 5.0
ESXi Convergence – No more ESX, only ESXi (they said they would do it, they meant it)
New VM Hardware: Version 8 – New Hardware support (VS5 still supports VM Hardware 4 & 7 as well if you still want to migrate to the old hosts)
3D graphics Support for Windows Aero
Support for USB 3.0 devices
Platform Enhancements (Blue Requires Hardware v8)
32 vCPUs per VM
1TB of RAM per VM
3D Graphics Support
Client-connected USB devices
USB 3.0 Devices
Smart-card Readers for VM Console Access
EFI BIOS
UI for Multi-core vCPUs
VM BIOS boot order config API and PowerCLI Interface
vSphere Auto Deploy – mechanism for having hosts deploy quickly when needed ( I’m going to wait and see how customers use this one.)
Support for Apple Products – Support for running OSX 10.6 Server (Snow Leopard) on Apple Xserve hardware. (although I betting technically, you can get it to run on any hardware, you will just not be compliant in your license)
Storage DRS – Just like DRS does for CPU and Memory, now for storage
Initial Placement – Places new VMs on the storage with the most space and least latency
Load Balancing – migrates VMs if the storage cluster (group of datastores) gets too full or the latency goes too high
Datastore Maintenance Mode - allow you to evacuate VMs from a datastore to work on it (does not support Templates or non-registered VMs yet…)
Affinity & Anti-Affinity – Allows you to make sure a group of VMs do not end up on the same datastore (for performance or Business Continuity reasons) or VMs that should always be on the same datastore. Can be at the VM or down to the individual VMDK level.
Support for scheduled disabling of Storage DRS – perhaps during backups for instance.
Profile-Driven Storage – Creating pools of storage in Tiers and selecting the correct tier for a given VM. vSphere will make sure the VM stays on the correct tier(pool) of storage. (Not a fan of this just yet. What if just 1GB of the VM needs high-tier storage? This makes you put the whole VM there.)
vSphere File System – VMFS5 is now available. (Yes, This is a non-disruptiveupgrade, however I would still create new and SVmotion)
Support for a single extent datastore up to 64TB
Support for >2TB Physical Raw Disk Mappings
Better VAAI (vStorage APIs for Array Integration) Locking with more tasks
Space reclamation on thin provisioned LUNs
Unified block size (1MB) (no more choosing between 1,2,4 or 8)
Sub-blocks for space efficiency (8KB vs. 64KB in VS4)
VAAI now a T10 standard – All 3 primitives (Write Same, ATS and Full Copy) are now T10 standard compliant.
Also now added support for VAAI NAS Primitives including Full File Clone (to have the nas do the copy of the vmdk files for vSphere) and Reserve Space (to have the NAS create thick vmdk files on NAS storage)
VAAI Thin Provisioning – Having the storage do the thin provisioning and then vSphere telling the storage which blocks can be reclaimed to shrink the space used on the storage
Storage vMotion Enhancements
Now supports storage vMotion with VMs that have snapshots
Now supports moving linked clones
Now supports Storage DRS (mentioned above)
Now uses mirroring to migrate vs change block tracking in VS4. Results in faster migration time and greater migration success.
Storage IO Control for NAS – allows you to throttle the storage performance against “badly-behaving” VMs also prevents them from stealing storage bandwidth from high-priority VMs. (Support for iSCSI and FC was added in VS4.)
Support for VASA (vStorage APIs for Storage Awareness) – Allows storage to integrate tighter with vcenter for management. Provides a mechanism for storage arrays to report their capabilities, topology and current state. Also helps Storage DRS make more educated decisions when moving VMs.
Support for Software FCoE Adapters – Requires a compatible NIC and allows you to run FCoE over that NIC without the need for a CNA Adapter.
vMotion Enhancements
Support for multiple NICs. Up to 4 x 10GbE or 16 x 1GbE NICs
Single vMotion can span multiple NICs (this is huge for 1GbE shops)
Allows for higher number of concurrent vMotions
SDPS Support (Slow Down During Page Send) – throttles busy VMs to reduce timeouts and improve success.
Ensures less than 1 second switchover in almost all cases
Support for higher latency networks (up to ~10ms)
Improved error reporting – better, more detailed logging (thank you vmware!)
Improved Resource Pool Integration – now puts VMs in the proper resource pool
Distributed Resource Scheduling/Dynamic Power Management Enhancements
Support for “Agent VMs” – These are VMs that work per host (currently mostly vmware services – vshield, edge, app, endpoint, etc) DRS will not migrate these VMs
“Agents” do not need to be migrated for maintenance mode
Resource pool enhancements – now more consistent for clustered vs. non-clustered hosts. No longer can modify resource pool settings on the host itself when it is managed by vcenter. It does allow for making changes if the host gets disconnected from vCenter
Support for LLDP Network Protocol – Standards based vendor-neutral discovery protocol
Support for NetFlow – Allows collection of IP traffic information to send to collectors (CA, NetScout, etc) to provide bandwidth statistics, irregularities, etc. Provides complete visibility to traffic between VMs or VM to outside.
Network I/O Control (NETIOC) – allows creation of network resource pools, QoS Tagging, Shares and Limits to traffic types, Guaranteed Service Levels for certain traffic types
Support for QoS (802.1p) tagging – provides the ability to Q0S tag any traffic flowing out of the vSphere infrastructure.
Network Performance Improvements
Multiple VMs receiving multicast traffic from the same source will see improved throughput and CPU efficiency
VMkernel NICs will see higher throughput with small messages and better IOPs scaling for iSCSI traffic
Command Line Enhancements
Remote commands and local commands will now be the same (new esxcli commands are not backwards compatible)
Output from commands can now be formatted automatically (xml, CSV, etc)
ESXi 5.0 Firewall Enhancements
New engine not based on iptables
New engine is service-oriented and is a stateless firewall
Users can restrict specific services based on IP address and Subnet Mask
Firewall has host-profile support
Support for Image Builder – can now create customized ESXi CDs with the drivers and OEM add-ins that you need. (Like slip-streaming for Windows CDs) Can also be used for PXE installs.
Host Profiles Enhancements
Allows use of an answer file to complete the profile for an automated deployment
Greatly expands the config options including: iSCSI, FCoE, Native Multipathing, Device Claming, Kernel Module Settings & more) (I don’t think Nexus is supported yet)
Update Manager Enhancements
Can now patch multiple hosts in a cluster at a time. Will analyze and see how many hosts can be patched at the same time and patch groups in the cluster instead of one at a time. Can still do one at a time if you prefer.
VMTools can now be scheduled at next VM reboot
Can now configure multiple download URLs and restrict downloads to only the specific versions of ESX you are running
More management capabilities: update certificates, change DB password, proxy authentication, reconfigure setup, etc.
High Availability Enhancements
No more Primary/Secondary concept, one host is elected master and all others are slaves
Can now use storage-level communications – hosts can use “heartbeat datastores” in the event that network communication is lost between the hosts.
HA Protected state is now reported on a per/VM basis. Certain operations no longer wait for confirmation of protection to run for instance power on. The result is that VMs power on faster.
HA Logging has been consolidated into one log file
HA now pushes the HA Agent to all hosts in a cluster instead of one at a time. Result: reduces config time for HA to ~1 minute instead of ~1 minute per host in the cluster.
HA User Interface now shows who the Master is, VMs Protected and Un-protected, any configuration issues, datastore heartbeat configuration and better controls on failover hosts.
vCenter Web Interface – Admins can now use a robust web interface to control the infrastructure instead of the GUI client.
Includes VM Management functions (Provisioning, Edit VM, Poer Controls, Snaps, Migrations)
Can view all objects (hosts clusters, datastores, folders, etc)
Basic Health Monitoring
View the VM Console
Search Capabilities
vApp Management functions (Provisioning, editing, power operations)
vCenter Server Appliance – Customers no longer need a Windows license to run vCenter. vCenter can come as a self-contained appliance (This has been a major request in the community for years)
64-bit appliance running SLES 11
Distributed as 3.6GB, Deployment range is 5GB to 80GB of storage
Included database for 5 Hosts or 50 VMs (same as SQL Express in VS4)
Support for Oracle as the full DB (twitter said that DB2 was also supported but I cannot confirm in my materials)
Authentication thru AD and NIS
Web-based configuration
Supports the vSphere Web Client
It does not support: Linked Mode vCenters, IPv6, SQL, or vCenter heartbeat (HA is provided thru vSphere HA)
vCenter Heartbeat 6.4 Enhancements
Allows the active and standby nodes to be reachable at the same time, so both can be patched and managed
Now has a plug-in to the vSphere client to manage and monitor Heartbeat
Events will register in the vSphere Recent Tasks and Events
Alerts will register in the alarms and display in the client
в vSphere 5 останется бесплатная лицензия для ESXi (под названием vSphere Hypervisor).
Однако она, потеряв ограничение на число ядер в процессоре, приобрела ограничение на 8 ГБ памяти. Но непонятно - это на сервер или на сокет.
Получается, на двухпроцесорном сервере ESXi 5 с бесплатной лицензией не позволит выдать ВМ больше 8 (16?) ГБ ОЗУ.
пичаль пичаль.
Впрочем, можно будет продолжать использовать ESXi 4 там, где памяти надо больше.
Правда, и для бесплатной лицензии в новой версии есть вкусные новые возможности. Я вижу список вот таким:
3D graphics Support for Windows Aero
Support for USB 3.0 devices
8 vCPUs per VM
Client-connected USB devices
Smart-card Readers for VM Console Access
EFI BIOS
UI for Multi-core vCPUs
Support for Apple Products – Support for running OSX 10.6 Server (Snow Leopard) on Apple Xserve hardware. (although I betting technically, you can get it to run on any hardware, you will just not be compliant in your license)
Как многие уже слышали, VMware объявила об относительно скором релизе пятой вСферы - в третьем квартале этого года.
Уже стали известны подробности, о технических новшествах, и об изменении в лицензировании.
Из технических особенностей
(с ними конечно еще надо будет поразбираться в поисках нюансов) мне наиболее значимыми кажутся:
(список пополниться чуть позже, да и подробное описание каждой или некоторых фич тоже вполне вероятно)
VMFS 5
Можно будет подключать RDM размером более 2 ТБ (до 60). vmdk по прежнему до 2 ТБ.
Улучшена поддержка offload всяких задач на хранилку (VAAI).
Ну и по мелочи.
Хорошая статья - Особенности VMFS-5.
Поддержка USB 3 и проброс USB устройств из клиента vSphere до ВМ.
Новый, вроде как с нуля переписанный HA - Fault Domain Manager. Теперь HA сможет пережить отказ более чем пяти хостов, и общаться узлы смогут и через хранилища.
vSphere Storage Appliance - давно ожидаемое решение для превращения локальных хардов в высокодоступное разделяемое хранилище..
До 32 ядер на ВМ (в Enterprise Plus, в остальных - до 8 vCPU).
Схема лицензирования.
Смена модели лицензирования заключается вот в чем:
в vSphere 4 мы покупали лицензий нужного типа по число процессоров всех хостов. Однако если мы хотели использовать восьми- и двенадцати- ядерные процессоры, нам подходила не любая лицензия.
А теперь - любая.
Однако теперь покупая одну лицензию на процессор, вы получаете право на выделение виртуальным машинам ограниченного объема оперативной памяти.
24 ГБ на лицензию на один процессор в лицензиях Essentials, Essentials Plus и Standart.
32 ГБ на лицензию на один процессор для Enterprise.
48 ГБ на лицензию на один процессор для Enterprise Plus.
Кстати, лицензия Advanced пропала. Те, у кого активна подписка и кто имеет право апгрейдится на пятерку бесплатно, имея сейчас Advanced обновляются на Enterprise:
VMware вводит термин vRAM - это максимум памяти, который ВМ может использовать. Сумма этой памяти всех ВМ вСферы.
Т.е. вы не должны выдавать всем ВМ в вашем vCenter больше памяти, чем (число купленных лицензий)*(разрешенный для вашей лицензии объем).
Если у вас одновременно лицензии разного типа - они не смешиваются.
Если вы хотите выделить больше памяти, чем позволяют лицензии - докупайте еще лицензии. Или апгрейдтесь на более дорогие, позволяющие больше памяти использовать.
AFAIK, проверка не жесткая - т.е. запустить очередную ВМ с превышением vRAM мы можем, это плохо только для кармы.
Проверить текущую ситуацию с объемом vRAM перед апгрейдом на пятерку должно стать можно отдельной утилитой, ее обещают вскоре выпустить. Уже есть неофициальный скрипт.
Я тут овладел новым джедайством (Денис, спасибо за наводку).
Посмотрите на эту картинку:
На первый взгляд скриншот как скриншот. Однако есть нюанс:
В перспективе можно будет запускать Hyper-V, Xen или (как у меня) ESX(i) как гостя, притом они будут работать полноценно. Здесь сервер .198 - ВМ второго уровня вложенности. И на нем запущена ВМ temp - уже третьего.
Первая рекоменлация - цитата из документа. Просто это не performance optimization, а must have - иначе уже от 20 виртуалок все начинает тормозить и oracle.exe постоянно кушает 100% от одного CPU.
Второй пункт - через полгода перестал стартовать vCenter service, причем в логах тишина по этому поводу. Видимо не обрабатывается ситуация когда password expired. Эта проблема специфична именно для 11 версии Oracle - там измениласть default policy. Пришлось править руками и в VCREP и в VUMREP.
Надеюсь что в следующих выпусках vCenter эти действия добавят в инсталляционный скрипт.
Углядел интересный сервис - http://userlook.com/ - позволяет риалтайм отслеживать посетителей на сайте и интересующие их страницы.
Выглядит это примерно так:
С учетом некоммерческой направленности моего блога я пока не придумал как это можно использовать (ну кроме ощущения радости от того что твой блог нужен аж пятерым в три часа ночи...правда мозг подсказывает что когда в Москве три ночи в некоторых уголках нашей страны уже начался рабочий день).
Сообщения
