Не секрет, что в последнее время пользователи виртуальной инфраструктуры VMware vSphere серезно задумываются о ее защите, а также о соответствии российскому законодательству, поскольку, зачастую, в виртуальных машинах обрабатываюся персональные данные. Кроме того, организации тратят большие деньги на организацию и исполнение процедур по настройке безопасности виртуальных сред в соответствии с руководящими документами и стандартами (это ручные и трудоемкие операции).
Специально для решения этих проблем и создан продукт vGate R2 - единственное сертифицированное средство для защиты инфраструктуры VMware vSphere. Поэтому приглашаем вас на вебинар "Информационная безопасность и выполнение требований законодательства при использовании в организации инфраструктуры, построенной на платформе VMware", который состоится 14 июня в 15:00 по московскому времени.
На вебинаре менеджер по развитию продукта Александр Лысенко расскажет о программном продукте vGate - лидирующем на российском рынке решении для защиты систем управления виртуальных инфраструктур на платформе VMware.
Будут рассмотрены угрозы информационной безопасности, возникающие при использовании виртуализации и способы их нейтрализации. Отдельно докладчик остановится на требованиях законодательства, отраслевых стандартах и лучших практиках в области информационной безопасности виртуализированных систем.
Будут представлены схемы использования vGate и других продуктов разработки «Кода Безопасности» для решения ИБ-задач в виртуальных инфраструктурах.
Регистрируйтесь!
Читать далее... - читать дальше и комментировать |  |
Как известно, в VMware vSphere 5 появилось несколько полезных нововведений, касающихся сетевого взаимодействия, доступных в распределенном коммутаторе VMware vSphere Distributed Switch (vDS), которые облегчают жизнь сетевым администраторам. В частности, посредством dvSwitch доступны следующие новые возможности, которые описаны в документе "What's New in VMware vSphere
5.0
Networking":
- Поддержка Netflow версии 5 - возможность просмотра трафика между виртуальными машинами (ВМ-ВМ на одном или разных хостах, а также ВМ-физический сервер) посредством сторонних продуктов, поддерживающих Netflow.
- Поддержка зеркалирования портов Switch Port
Analyzer (аналог технологии SPAN в коммутаторах Cisco) - возможность дублировать трафик виртуальной машины (а также VMkernel и физических адаптеров) на целевую машину (Port Mirroring), которая может реализовывать функционал системы обнаружения или предотвращения вторжений (IDS/IPS).
- Поддержка открытого стандарта Link Layer Discovery Protocol (LLDP, в реализации 802.1AB) - это механизм обнаружения соседних сетевых устройств и сбора информации о них для решения различных проблем сетевыми администраторами. Ранее поддерживался только протокол CDP (Cisco Discovery Protocol), поддержка которого есть не во всех устройствах.
- Улучшения механизма Network I/O Control - пулы ресурсов для сетевого трафика и поддержка стандарта 802.1q. Опредлеямые пользователем пулы для различных типов трафика позволяют приоритезировать и ограничивать пропускную способность канала для них посредством механизма shares и limits.
Все эти новые возможности мы разберем в следующих заметках, а сегодня сосредоточимся на механизме Netflow и его поддержке в vSphere 5. NetFlow — сетевой протокол, предназначенный для учёта сетевого трафика, разработанный компанией Cisco Systems. Является фактическим промышленным стандартом и поддерживается не только оборудованием Cisco, но и многими другими устройствами.
Для сбора информации о трафике по протоколу NetFlow требуются следующие компоненты:
- Сенсор. Собирает статистику по проходящему через него трафику. Обычно это L3-коммутатор или маршрутизатор, хотя можно использовать и отдельно стоящие сенсоры, получающие данные путем зеркалирования порта коммутатора. В нашем случае это распределенный коммутатор vDS.
- Коллектор. Собирает получаемые от сенсора данные и помещает их в хранилище.
- Анализатор. Анализирует собранные коллектором данные и формирует пригодные для чтения человеком отчёты (часто в виде графиков).
NetFlow дает возможность сетевому администратору мониторить сетевые взаимодействия виртуальных машин для дальнейших действий по обнаружению сетевых вторжений, отслеживания соответствия конфигураций сетевых служб и анализа в целом. Кроме того, данная возможность полезна тогда, когда требуется отслеживать поток трафика от приложений внутри виртуальной машины с целью контроля производительности сети и целевого использования трафика.
Синяя линия на картинке показывает настроенный виртуальный коммутатор, который посылает данные Netflow на стороннюю машину (коллектор), которая подключена к хост-серверу VMware ESXi через физический коммутатор. Коллектор уже передает данные анализатору. Netflow может быть включен на уровне отдельной группы портов (dvPortGroup), отдельного порта или аплинка (Uplink).
Для начала настройки Netflow нужно зайти в свойства коммутатора vDS (он должен быть версии 5.0.0 или выше):
Здесь мы указываем IP-адрес коллектора, куда будут отправляться данные, его порт, а также единый IP-адрес коммутатора vDS, чтобы хосты не представлялись отдельными коммутаторами для коллектора.
Включить мониторинг Netflow можно в свойствах группы портов на vDS в разделе Monitoring:
Далее в эту группу портов включаем одну из виртуальных машин:
Теперь можно использовать один из продуктов для сбора и анализа трафика Netflow, например, Manage Engine Netflow Analyzer. Пример статистики, которую собирает этот продукт по протоколам (в данном случае большинство трафика - http):
Netflow можно использовать для различных целей мониторинга, например, в инфраструктуре VMware View, где присутствуют сотни виртуальных машин, можно сгруппировать трафик по группам и смотреть, сколько трафика выжирается видеосервисами (Youtube, к примеру), так как это может сильно влиять на производительность сети в целом:
Применений Neflow на самом деле уйма, поэтому его поддержка в VMware vSphere 5 может оказаться вам очень полезной.
Читать далее... - читать дальше и комментировать | |
На проходящих сейчас по всему миру мероприятиях VMware Partner Exchange On Tour (PEX) сотрудники VMware все больше рассказывают о возможностях новой версии платформы виртуализации серверов VMware vSphere 5.1. Во-первых, стало известно, что vSphere 5.1 будет анонсирована на предстоящем VMworld, который пройдет в Сан-Франциско с 27 по 30 августа этого года.
Во-вторых, во всяких твиттерах появилось описание некоторых новых возможностей VMware vSphere 5.1, которые мы увидим осенью этого года, а именно:
- Поддержка технологии кластеров непрерывной доступности Fault Tolerance для виртуальных машин с несколькими виртуальными процессорами (vCPU).
- Загрузка хостов через адаптеры Fiber Channel over Ethernet (FCoE).
- Поддержка виртуализованных контроллеров домена Active Directory. Windows Server 8, который исполняется в виртуальной машине, на самом деле в курсе, что он работает в ВМ. Это означает, что создание и удаление снапшота такой машины не приведет к проблемам с AD, возникающих с номером последовательного обновления (Update Sequence Number, USN) контроллера. Ранее при восстановлении из снапшота из-за проблем с USN могла остановиться репликация данных каталога. Теперь Microsoft добавила технологию Generation ID, которая позволяет виртуальному контроллеру домена знать, последняя ли версия каталога им используется. За счет этого решаются проблемы с репликацией при откате к снапшоту, а также появляется возможность клонирования виртуальных машин с контроллерами домена. Соответственно, такую возможность и будет поддерживать vSphere 5.1.
Что касается технологии Fault Tolerance для ВМ с несколькими vCPU, то, как пишут наши коллеги на vMind.ru, эта технология будет требовать соединения 10 GigE для работы механизма "SMP Protocol", который придет на смену технологии vLockstep. При этом работать она сможет вообще без общего хранилища для виртуальных машин, которые могут быть разнесены по разным датасторам и хостам:
Безусловно, это не все новые возможности, которые следует ожидать в VMware vSphere 5.1, поэтому мы будем держать вас в курсе новых подробностей по мере их поступления.
Читать далее... - читать дальше и комментировать | |
Вы уже, наверняка, читали про новые возможности VMware View 5.1, а на днях обновился калькулятор VDI Flash Calculator до версии 2.8, предназначенный для расчета вычислительных мощностей и хранилищ, поддерживающий новые функции платформы виртуализации настольных ПК.
Среди новых возможностей калькулятора VDI:
- Поддержка VMware View 5.1
- Поддержка функции VMware View CBRC для системного диска (Content Based Read Cache) - предполагается уменьшение интенсивности ввода-вывода на чтение на 65%
- Поддержка связанных клонов на томах NFS для кластеров vSphere, состоящих из более чем 8-ми хостов
- Поддержка платформ с высокой плотностью размещения виртуальных ПК
- Поддержка разрешения экрана 2560×1600
- Небольшие изменения в интерфейсе
Ну и небольшое обзорное видео работы с калькулятором:
Читать далее... - читать дальше и комментировать | |
Если вы являетесь разработчиком и администраторов скриптов PowerCLI / PowerShell для автоматизации операций в виртуальной инфраструктуре VMware vSphere, вам, наверняка, часто приходится хардкодить логин и пароль для соединения с сервером vCenter или вводить их в интерактивном режиме. Это не очень безопасно (мало ли кто увидит ваш скрипт на экране), да и вообще, не очень удобно.
Специально для этого в PowerCLI есть хранилище, называемое Credential Store, в которое можно помещать логин и пароль от сервера, с которым вы соединяетесь из скрипта.
Делается это следующим командлетом:
New-VICredentialStoreItem -Host 192.168.1.10 -User 'user' -Password 'password'
Таким образом для этого хоста вы помещаете креды "user" с паролем "password" в шифрованное хранилище Credential Store, которое находится в следующем файле:
%APPDATA%\VMware\credstore\vicredentials.xml
Теперь при соединении с vCenter из скрипта, просто пишете:
Connect-VIServer 192.168.1.10
В этом случае, при отсутствии указания логина и пароля, PowerCLI заглядывает в хранилище и смотрит, нет ли там кредов для этого хоста, и если они есть, то подставляет их. Все просто.
Чтобы посмотреть креды из хранилища, нужно просто вызвать следующий командлет:
Get-VICredentialStoreItem -User 'user' -Host 192.168.1.10 -File 'credentials.xml'
Ну а для удаления кредов пишем вот так (для удаления всех логинов и паролей от хоста):
Remove-VICredentialStoreItem -Host 192.168.1.10 -Confirm
Или так для удаления кредов указанного пользователя в подсети хостов:
Remove-VICredentialStoreItem -User 'admin' -Host '192.168.*' -File 'credentials.xml' -Confirm
Такой способ хранения логинов и паролей для скриптов действует для конкретного пользователя, так как они хранятся в Credential Store в зашифрованном виде и могут быть расшифрованы только под ним. То есть, если злоумышленник украдет виртуальную машину с этими скриптами, но не сможет залогиниться под этим пользователем, получить эти пароли он не сможет, при условии использования Windows file encryption (EFS) для файла хранилища.
Есть также и альтернативный метод хранения кредов для скриптов в произвольном файле.
Читать далее... - читать дальше и комментировать | |
Интересная штука обнаружилась среди средств управления и мониторинга инфраструктуры VMware vSphere - Cloud Resource Meter от компании 6fusion, которая специализируется на утилитах для облачных сред. Это такая штука, которая реализована в виде виртуального модуля (Virtual Appliance), позволяющая оценить облачную инфраструктуру vSphere "в попугаях", то есть в специальных единицах Workload Allocation Cube (WAC), потребляемых за час. Убеждают, что алгоритм этого WAC - не хухры-мухры, а patent pending.
Этот WAC - это шестимерная сущность, представляющая собой эталонную совокупность ресурсов, потребляемых виртуальной машиной в облаке, а именно:
Вот в количестве таких шестигранных кубиков вы и увидите каждую из виртуальных машин своего (или провайдерского) датацентра в реальном времени. Предполагается, что такая модель позволит наиболее адекватно обсчитать вычислительные мощности своего ЦОД (chargeback), вести учет и планировать вычислительные мощности. Облачные провайдеры и менеджеры корпоративных датацентров могут устанавливать параметры и цену такого "вака", что позволит понимать, сколько ресурсов есть в наличии и сколько будет стоить разместить то или иное приложение в облаке.
Для каждой машины ведется исторический учет потребляемых "вакочасов":
Авторы этой программулины утверждают, что алгоритм этих "ваков" был разработан еще в 2004 году для профилирования приложений под ESX 1.0, так что может стоит и посмотреть, что они с тех пор сделали, тем более, что есть бесплатная версия продукта Cloud Resource Meter. На данный момент он, правда, находится в бете, но поддерживает vSphere 4.1 и 5.0. Читать далее... - читать дальше и комментировать | |
Интересное исследование "Trends around Desktop
Virtualization for Small and
Mid-sized Organizations" опубликовала компания Spiceworks, касающееся больной темы - виртуализации настольных ПК (VDI) в секторе среднего и малого бизнеса. Не секрет, что в России "VDI в среднем и малом бизнесе" звучит как оксюморон, как по причине угнетения СМБ со стороны государства (и, как следствие, бедность и невозможность больших инвестиций в ИТ), так и по причинам сложностей понимания выгод концепции, трудностей администрирования (кадры), а также неочевидной экономии на стоимости владения. Поэтому посмотрим хотя бы, что там наисследовали западные коллеги.
Несмотря на то, что это исследование - очередная заказуха VMware, некоторые картинки из него интересны. Проблема безопасности является самой актуальной (у нас такой проблемой, наверняка, были бы деньги):
Аргумент про то, что обновление на Windows 7 лучше совместить с внедрением VDI не всегда катит для СМБ - они обновляются очень быстро по сравнению с Enterprise (те 39%, что не думают об обновлении - они и есть):
60% опрошенных уже пробовали или планируют попробовать VDI-решения в этом году (у нас эта цифра в разы меньше):
Большинство хочет развертывать VDI-инфраструктуру у себя. Таки сервис-провайдерам доверяют всего 12%:
Ну и, наконец, финальная картинка, бьющая Citrix по голове:
Citrix и Kaviza (которая сейчас тоже Citrix) занимают всего 30% базы инсталляций, а VMware - 53%. Эти цифры, естественно, нельзя прямо мапить на рынок, т.к. у Citrix продукт дороже, а также есть и другие факторы. Однако, надо отметить, что VMware очень плотно вливается в рынок VDI, из которого (мое личное мнение) она выдавит Citrix, если последняя не примет каких-то кардинальных мер. Читать далее... - читать дальше и комментировать | |
Ни для кого не скрет, что государственные организации очень часто и очень много работают с персональными данными (ПДн). Не секрет также, что многие госы уже внедрили виртуальную инфраструктуру VMware vSphere, где есть виртуальные машины, которые эти данные хранят и обрабатывают, что требует соответствующих мер и технических средств защиты, сертифицированных ФСТЭК. К сожалению, сама платформа VMware vSphere имеет недостаток, который я называю "Lack of ФСТЭК", то есть отсутствие своевременно обновляемых сертификатов ФСТЭК на продукт (сейчас актуален сертификат на vSphere 4.1, и нет информации, когда будет сертифицирована пятерка).
Поэтому, когда есть персональные данные и инфраструктура vSphere, просто необходимо использовать единственный имеющийся сейчас на рынке сертифицированный ФСТЭК продукт vGate R2, который позволяет автоматически настроить среду VMware vSphere в соответствии с требованиями общепринятых и отраслевых (специально для России) стандартов, а также защитить инфраструктуру от НСД.
У vGate R2 есть два издания - для коммерческих организаций и специальное - для госструктур с гостайной.
Ниже приведена выдержка из описания кейса внедрения vGate R2 для ТФОМС Приморского края, где была необходима сертифицированная защита среды VMware vSphere:
Перед IT–специалистами и сотрудниками отдела информационной безопасности Фонда была поставлена задача обеспечить в 2011 году защиту информационных массивов персональных данных застрахованных граждан, эксплуатируемых в Фонде по классу информационной безопасности К1.
...
Для выполнения задач защиты системы обработки персональных данных были выбраны продукты vGate и Secret Net 6.5 разработки компании «Код Безопасности».
Реализация проекта по развертыванию ПО vGate осуществлялась на вновь создаваемом ресурсе в виде изолированной аппаратной платформы и развернутой на этой платформе виртуальной инфраструктуры на базе технологии VMware.
Связь с защищенным сегментом осуществляется через аппаратный терминальный клиент, обеспечивающий двухфакторный контроль доступа в защищенную среду центра обработки персональных данных.
Начальник отдела автоматизированной обработки информации ГУ ТФОМС ПК Воробьев П.Б.отметил, что в результате развертывания программного решения vGate для защиты виртуальной инфраструктуры центра обработки персональных данных были решены следующие задачи:
- обеспечена защита персональных данных, хранящихся и обрабатываемых в виртуальной среде (ЗСОПДн) от утечек через каналы, специфичные для виртуальной инфраструктуры (контроль виртуальных устройств, обеспечение целостности и доверенной загрузки виртуальных машин и контроль доступа к элементам виртуальной инфраструктуры);
- реализовано разделение объектов виртуальной инфраструктуры на логические группы и сферы администрирования с помощью функций мандатного и ролевого управления доступом;
- установлен контроль над изменениями настроек безопасности на основе утвержденных корпоративных политик безопасности;
- сконфигурирован и запущен в работу АРМ администратора системы безопасности;
- реализована регистрация попыток доступа в инфраструктуру, также возможность создания отчетов о состоянии виртуальной инфраструктуры и контроля целостности периметра;
- работа с персональными данными в ГУ ТФОМС ПК приведена в соответствие с требованиями законодательства РФ в области защиты информации.
Полностью текст кейса можно прочитать тут.
Читать далее... - читать дальше и комментировать | |
Компания Citrix Systems на проходящей в Сан-Франциско конференции Citrix Synergy 2012 сделала несколько важных заявлений, относящихся к продуктовой линейке виртуализации настольных ПК, и о других продуктах компании.
Итак, список основных новостей от Citrix:
- Продукт GoToAssist теперь доступен для Android-устройств и полностью бесплатно.
- Продукт GoToMeeting с поддержкой технологии HD Faces теперь доступен для iPad
- Поддержка тонкого клиента Wyse Xenith 2 (40% выше производительность сессий, безопасность, HD-графика, оптимизация при работе в WAN).
- Продукт VDI-in-a-Box теперь можно обновить лицензией до XenDesktop.
- Запущен проект Citrix AppDNA 6.1 (подробнее здесь).
- Компания VirtualComputer, выпускающая единственного конкурента клиентского гипервизора CItrix XenClient - продукт NxTop, приобретена компанией Citrix. Теперь нет конкурентов:)
- Продукт XenClient Enterprise Edition будет выпущен во втором квартале 2012 года и будет входить в издание XenDesktop Platinum.
- Анонсировано технологическое превью Project Aruba - расширения VDI-in-a-Box, которое позволяет упростить процедуры развертывания, администрирования и доставки виртуальных ПК средствами технологии vDisk и других. Виртуальные ПК, доставляемые таким образом, будут доступны как от сервис-провайдеров (Citrix Service Provider, CSP), так и на площадках заказчиков в частных облаках.
- Компания Podio приобретена компанией Citrix. Это платформа совместной проектной работы с поддержкой ПО для совещаний Citrix GoToMeeting (кстати, бесплатно на 5 пользователей) и сервиса хранения ShareFile от Citrix.
- Анонсирован ShareFile with StorageZones - возможность контроля хранения данных в зависимости от их типа в частном или публичном облаке. Сам сервис ShareFile может быть развернут как внутри инфраструктуры компании, так и в публичном облаке сервис-провайдера. Поддерживается он из клиента Citrix Receiver и по функциям напоминает Dropbox, а также Project Octopus от VMware.
- Также клиент Citrix Receiver с поддержкой возможности Follow-Me Data будет доступен в июле этого года.
- Анонсированы новые функции Cloud Gateway 2 - средства федерации SaaS-приложений и облаков Citrix в едином фронтенде (см. VMware Horizon). Новые возможности включают в себя средства доступа через Receiver к интрасети без браузера, унифицированный безопасный фронтенд для корпоративных Web, SaaS и Windows-приложений, а также средство iJacket, предоставляющее контейнеры для устройств с различными форм-факторами.
- Компонент CloudBridge (бэкенд Cloud Gateway для соединения со своим датацентром или облачным провайдером) будет доступен в июне этого года.
- Технология XenDesktop Flexcast теперь поддерживает функцию Remote PC.
- Представлены новые улучшения протокола HDX для CAD-приложений.
- Представлена платформа Citrix CloudPlatform, основанная на продукте Apache CloudStack, которая доступна уже сегодня.
- Представлен Project Avalon = CloudStack + XenApp/XenDesktop + оркестрация сервисов в "облачном стиле". О том, что это такое, можно прочитать вот тут.
Теперь несколько скриншотов. Citrix ShareFile, как и DropBox, монтирует папку из облака в Windows:
Концепция Follow-Me Data:
Архитектура Project Avalon:
В общем, компания Citrix все больше фокусируется на облаках и доставке сервисов пользователю, но все дальше уходит от серверной виртуализации, которая, по-сути, осталась уже в прошлом. Читать далее... - читать дальше и комментировать | |
Как известно, многие консольные команды старой сервисной консоли VMware ESX (например, esxcfg-*) в ESXi 5.0 были заменены командами утилиты esxcli, с помощью которой можно контролировать весьма широкий спектр настроек, не все из которых дублируются графическим интерфейсом vSphere Client. В списке ниже приведены некоторые полезные команды esxcli в ESXi 5.0, которыми можно воспользоваться в локальной консоли (DCUI) или по SSH для получения полезной информации как о самом хост-сервере, так и об окружении в целом.
1. Список nfs-монтирований на хосте:
# esxcli storage nfs list
2. Список установленных vib-пакетов:
# esxcli software vib list
3. Информация о памяти на хосте ESXi, включая объем RAM:
# esxcli hardware memory get
4. Информация о количестве процессоров на хосте ESXi:
# esxcli hardware cpu list
5. Список iSCSI-адаптеров и их имена:
# esxli iscsi adapter list
6. Список сетевых адаптеров:
# esxcli network nic list
7. Информация об IP-интерфейсах хоста:
# esxcli network ip interface list
8. Информация о настройках DNS:
# esxcli network ip dns search list
# esxcli network ip dns server list
9. Состояние активных соединений (аналог netstat):
# esxcli network ip connection list
10. Вывод ARP-таблицы:
# network neighbors list
11. Состояние фаервола ESXi и активные разрешения для портов и сервисов:
# esxcli network firewall get
# esxcli network firewall ruleset list
12. Информация о томах VMFS, подключенных к хосту:
# esxcli storage vmfs extent list
13. Мапинг VMFS-томов к устройствам:
# esxcli storage filesystem
list
14. Текущая версия ESXi:
# esxcli system version list
15. Вывод информации о путях и устройствах FC:
# esxcli storage core path list
# esxcli storage core device list
16. Список плагинов NMP, загруженных в систему:
# esxcli storage core plugin list
17. Рескан HBA-адаптеров:
# esxcli storage core adapter rescan
18. Получить список ВМ с их World ID и убить их по этому ID (помогает от зависших и не отвечающих в vSphere Client ВМ):
# esxcli vm process list (получаем ID)
# esxcli vm process kill --type=[soft,hard,force] --world-id=WorldID (убиваем разными способами)
19. Узнать и изменить приветственное сообщение ESXi:
# esxcli system welcomemsg get
# esxcli system welcomemsg set
20. Поискать что-нибудь в Advanced Settings хоста:
# esxcli system settings advanced list | grep <var>
21. Текущее аппаратное время хоста:
# esxcli hardware clock get
22. Порядок загрузки с устройств:
# esxcli hardware bootdevice list
23. Список PCI-устройств:
# esxcli hardware pci list
24. Рескан iSCSI-адаптеров (выполняем две команды последовательно):
# esxcli iscsi adapter discovery rediscover -A <adapter_name>
# esxcli storage core adapter rescan [-A <adapter_name> | -all]
25. Список виртуальных коммутаторов и портгрупп:
# esxcli network vswitch standard list
Из основного вроде все. Если что-то еще используете - пиши плз в каменты. Полный список того, что можно сделать с esxcli, приведен в документе "Command-Line Management in vSphere 5.0
for Service Console Users".
Читать далее... - читать дальше и комментировать | |
Другие посты
Архив новостей
|  |
RSS
