Новости Статьи VMware Veeam StarWind vGate! Microsoft ИТ-ГРАД Citrix 5nine События Релизы Пресса Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Виртуализация vSphere, Hyper-V, XenServer и Red Hat

Более 3040 заметок о виртуализации и виртуальных машинах VMware, Microsoft, Citrix, Red Hat

VM Guru / Search

Как установить время и дату на сервере VMware ESXi.


Многие начинающие администраторы VMware vSphere задаются вопросом, как правильно установить время на хосте VMware ESXi. Те из них, кто привык делать это в ОС Linux, могут попробовать выполнить команду:

~ # date -s

Однако будет вот такой результат:

date: option requires an argument -- s  
BusyBox v1.19.0 (2012-02-29 14:20:08 PST) multi-call binary.  
Usage: date [OPTIONS] [+FMT] [TIME]  
Display time (using +FMT), or set time  

[-s,--set] TIME Set time to TIME
-u,--utc Work in UTC (don't convert to local time)
-R,--rfc-2822 Output RFC-2822 compliant date string
-I[SPEC] Output ISO-8601 compliant date string
SPEC='date' (default) for date only,
'hours', 'minutes', or 'seconds' for date and
time to the indicated precision
-r,--reference FILE Display last modification time of FILE
-d,--date TIME Display TIME, not 'now'
-D FMT Use FMT for -d TIME conversion  

Recognized TIME formats:
hh:mm[:ss]
[YYYY.]MM.DD-hh:mm[:ss]
YYYY-MM-DD hh:mm[:ss]
[[[[[YY]YY]MM]DD]hh]mm[.ss]  
~ # date -s 2014-07-12 12:00:00
date: Setting date not supported; use <esxcli system time set>

Обратим внимание на последнюю строчку, которая говорит нам о том, что команда date не поддерживается для установки даты и времени, вместо нее нужно использовать утилиту esxcli. Выполняем указанную команду:

~ # esxcli system time set
You must specify one of year, month, day, hour, minute or second

Вызовем помощь:

~ # esxcli system time set --help
Usage: esxcli system time set [cmd options]  

Description:
set
Set the system clock time. Any missing parameters will default to the current time  

Cmd options:
-d|--day=<long> Day
-H|--hour=<long> Hour
-m|--min=<long> Minute
-M|--month=<long> Month
-s|--sec=<long> Second
-y|--year=<long> Year

Теперь все стало ясно: чтобы установить, например, октябрь месяц, вызываем команду с параметром "-M 10", то есть:

~ # esxcli system time set -M 10

Проверяем, что октябрь установился:

~ # date
Mon Oct 12 10:43:52 UTC 2014

Аналогично устанавливаем год, день, часы и минуты, используя параметры -y, -d, -H, -m, соответственно.

Ну а проверить можно не только с помощью date, но и через esxcli, заменив set на get:

~ # esxcli system time get
2014-07-12T10:59:14Z


Таги: VMware, ESXi, vSphere, Обучение, Troubleshooting

Как сбросить время пробной лицензии VMware vSphere (Reset ESXi trial).


Как вы знаете, платформу VMware vSphere можно использовать бесплатно в полнофункциональном режиме в течение 60 дней. Однако, зачастую, этого времени оказывается недостаточно, и многие пользователи хотят сбросить триальную лицензию VMware ESXi, чтобы использовать продукт еще некоторое время до покупки.

Ниже приведен способ, как обновить триал VMware vSphere снова до 60 дней. Общая процедура такова:

  • Отсоединяем хост ESXi от vCenter
  • Заходим на ESXi через DCUI или по SSH
  • Удаляем файлы /etc/vmware/vmware.lic и /etc/vmware/license.cfg
  • Перезагружаем сервер
  • Присоединяем хост к vCenter

После этого вы получите вот такую картинку - хост затриалится еще на 60 дней:

Команды удаления указанных файлов и перезагрузки следующие:

rm -f /etc/vmware/vmware.lic /etc/vmware/license.cfg
reboot

Для VMware vSphere 5.1 и 5.5 эти файлы надо удалять после каждой перезагрузки. Делается это так:

rm -f /etc/vmware/vmware.lic /etc/vmware/license.cfg
reboot ; while true ; do
rm -f /etc/vmware/vmware.lic /etc/vmware/license.cfg
done

Для ESXi 5.1 есть альтернативный метод без перезагрузки:

rm -r /etc/vmware/license.cfg
cp /etc/vmware/.#license.cfg /etc/vmware/license.cfg
/etc/init.d/vpxa restart

Для ESXi 5.0 это тоже делается без ребута:

rm -f /etc/vmware/vmware.lic /etc/vmware/license.cfg
services.sh restart

Ну а если у вас вдруг истек триал, а вы не успели прописать лицензию на хост, то сделать это очень просто. Надо открыть файл /etc/vmware/vmware.lic (зайдя по SSH):

~# vi /etc/vmware/vmware.lic

и прописать туда ваш ключик, после чего все должно заработать. Перезагрузка, вроде, не требуется.

Для vCenter тоже есть способ сброса триала, но не факт, что он сейчас работает:

  • Создаем новый DSN к локальной базе SQL Express, где хранятся данные vCenter
  • Удаляем vCenter
  • Ставим vCenter заново, указав созданный DSN и убедившись, что не выбран режим overwrite

Таги: VMware, vSphere, ESXi, Обучение, Trial

VMware vSphere Virtual Volumes (VVols) - использование различных vSphere API для операций клонирования виртуальных машин.


Как мы писали недавно, в новой версии платформы VMware vSphere 6, которая сейчас находится в стадии публичной беты, появились возможности использования томов VVols (о которых мы писали здесь). Сейчас эта функциональность также находится в бете и доступна для загрузки вот тут

Концепция VVol (она же VM Volumes) увеличивает уровень гранулярности работы хост-сервера с хранилищем за счет непосредственных операций с виртуальной машиной, минуя сущности "LUN->том VMFS->Datastore". Тома VVol является неким аналогом существующих сегодня LUN, но с меньшим уровнем гранулярности операций по сравнению с томами VMFS (последние, как правило, создаются из одного LUN). Таким образом, ВМ находится на одном VVol как всадник на лошади.

Чтобы виртуальные машины можно было создавать на томах VVols и производить с ними различные операции, нужно чтобы дисковый массив поддерживал такой интерфейс как vSphere APIs for Storage Awareness (VASA). Через этот API возможна передача функций, обычно выполняемых хостом ESXi, на сторону аппаратного хранилища. Кроме того, есть также интерфейс vSphere Storage API – Array Integration (VAAI), который также используется для offloading'а операций на сторону массива, особенно когда дело касается операций миграции и клонирования ВМ.

Давайте посмотрим, как эти два API (VASA и VAAI) работают с хранилищем при операциях клонирования виртуальных машин, которые часто нужны в инфраструктуре виртуальных ПК на базе VMware Horizon View.

Сценарий 1 - клонирование ВМ в рамках одного контейнера VVol

В этом случае через API VASA вызывается функция cloneVirtualVolume, которая полностью передает на сторону дискового массива операцию клонирования ВМ:

Сценарий 2 - клонирование ВМ в рамках разных VVol

В этом случае все зависит от того, на каких хранилищах находятся данные VVol. Если VVol-a и VVol-b находятся на двух массивах одного вендора, настроенных единообразно, и управляются одним VASA Provider, то в этом случае используется API VASA и вызывается функция cloneVirtualVolume.

Если же VVol-a и VVol-b находятся на одном массиве и настроены по-разному, либо хранилища VVol-a и VVol-b находятся на двух массивах разных вендоров или моделей, то операция через VASA API может не пройти. Тогда происходит переключение на VAAI API, который использует датамувер ESXi (vmkernel data mover) и примитивы VAAI для клонирования виртуальной машины. При этом в случае неудачи передачи операций клонирования на сторону массива датамувер может начать перемещать данные через хост ESXi (подробнее - тут):

Конечно же, предпочтительнее делать все через VASA API - такая операция пройдет быстрее, поскольку в ней не будет задействован хост ESXi. Поэтому тут важна унификация конфигурации хранилищ и дисковых массивов в инфраструктуре. Ну и надо, конечно же, смотреть, чтобы закупаемые массивы в полной мере поддерживали VASA и VAAI.

Сценарий 3 - клонирование ВМ с тома VMFS на VVol

Если получается так, что ВМ надо склонировать с тома VMFS на хранилище VVol, то тут будет работать только операция XCOPY / WRITE_SAME интерфейса VAAI.

При этом работает это только для операции в направлении VMFS->VVol, при обратном клонировании этот API использован не будет.

Узнать больше о томах VVol и позадавать вопросы на эту тему вы можете на специальной странице Virtual Volumes beta community.


Таги: VMware, vSphere, VVol, VAAI, VASA, ESXi, Storage, Hardware, VMachines

Как расширить локальный том VMFS в VMware ESXi.


Как многие из вас знают, в платформе виртуализации VMware vSphere есть множество удобных средств работы с хранилищами, включая средства позволяющие расширить том VMFS прямо из GUI клиента vSphere Client - достаточно лишь сделать Rescan HBA-адаптеров. Однако если необходимо расширить локальный том (Local VMFS), то тут встроенных средств уже нет, и все нужно аккуратно делать самому, как это описано в KB 2002461. Приведем здесь этот процесс, проиллюстрировав его скриншотами.


Таги: VMware, VMFS, Storage, Обучение, vSphere, ESXi

Куда делся сетевой адаптер (vNIC) виртуальной машины на VMware vSphere?


Бывает такое, что пользователь системы жалуется администратору виртуальной инфраструктуры VMware vSphere, что у него пропал сетевой адаптер в виртуальной машине, и она больше недоступна из внешней сети. Администратор смотрит в лог виртуальной машины (vmware-##.log) и видит там вот такое:

Mar 15 03:13:37.463: vmx| Powering off Ethernet1 
Mar 15 03:13:37.463: vmx| Hot removal done.

Это, как вы уже догадались, означает, что кто-то тыкнул на иконку "Safely Remove Hardware" в гостевой ОС и выбрал там сетевой адаптер ВМ:

Либо это было сделано случайно в vSphere Client или Web Client. Поправить это легко - надо отключить функции Hot Add для виртуальной машины.

Для этого:

  • Соединяемся с хостом ESXi/ESX напрямую или через vCenter Server посредством vSphere Client.
  • Выключаем виртуальную машину.
  • Выбираем для нее Edit Settings и переходим на вкладку Options.
  • Выбираем General > Configuration Parameters > Add Row.
  • Добавляем строчку с именем devices.hotplug и значением false.
  • Включаем виртуальную машину.

После этого при попытке удаления устройства работающей виртуальной машины будет выдано такое сообщение

Если же вы не хотите запрещать Hot Add для всех устройств, а хотите просто спрятать возможность удаления сетевой карты из Safely Remove Hardware, то нужно сделать следующее:

  • Запустить редактор реестра как Local System. Для этого можно использовать утилиту psexec Tool.
  • Выполняем psexec -i -s regedit.exe.
  • Идем в ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum ищем наш драйвер NIC (в его названии есть VMXNET3, E1000 и т.п.).
  • Установите значение ключа Capabilities на 4 единицы ниже.

Например, вот тут мы видим значение ключа 16:

Устанавливаем его на 4 меньше, то есть в значение 12:

После этого сетевой адаптер исчезнет из безопасного удаления устройств:


Таги: VMware, vSphere, Troubleshooting, ESXi, VMachines, vNetwork

Обновления от VMware: vCenter Server 5.5 Update 1b, патч ESXi Update 1 для решения проблем NFS-хранилищ и OpenSSL, а также vCloud Director 5.5.1.2.


На прошедшей неделе компания VMware вплотную занялась патчингом и фиксингом своих продуктов, закрывая те проблемные места, которые накопились за прошедшие пару-тройку месяцев. Прежде всего, было выпущено обновление ESXi550-201406401-SG, которое решает сразу две проблемы на VMware vSphere 5.5 Update 1.

Во-первых, мы уже писали о том, что  в VMware vSphere 5.5 Update 1 был баг - если использовать NFS-хранилища, то они периодически отваливаются, переходя в состояние APD (All paths down). Это касается и VSA-хранилищ. В логах при этом наблюдается что-то вроде такого:

2014-04-01T14:35:08.074Z: [APDCorrelator] 9413898746us: [vob.storage.apd.start] Device or filesystem with identifier [12345678-abcdefg0] has entered the All Paths Down state.
2014-04-01T14:35:08.075Z: [APDCorrelator] 9414268686us: [esx.problem.storage.apd.start] Device or filesystem with identifier [12345678-abcdefg0] has entered the All Paths Down state.
2014-04-01T14:36:55.274Z: No correlator for vob.vmfs.nfs.server.disconnect
2014-04-01T14:36:55.274Z: [vmfsCorrelator] 9521467867us: [esx.problem.vmfs.nfs.server.disconnect] 192.168.1.1/NFS-DS1 12345678-abcdefg0-0000-000000000000 NFS-DS1
2014-04-01T14:37:28.081Z: [APDCorrelator] 9553899639us: [vob.storage.apd.timeout] Device or filesystem with identifier [12345678-abcdefg0] has entered the All Paths Down Timeout state after being in the All Paths Down state for 140 seconds. I/Os will now be fast failed.
2014-04-01T14:37:28.081Z: [APDCorrelator] 9554275221us: [esx.problem.storage.apd.timeout] Device or filesystem with identifier [12345678-abcdefg0] has entered the All Paths Down Timeout state after being in the All Paths Down state for 140 seconds. I/Os will now be fast failed.

В выпущенном обновлении эта ошибка была исправлена.

Во-вторых, была также исправлена ошибка безопасности в OpenSSL, которая может оказаться даже серьезнее, чем исправленный ранее баг OpenSSL Heartbleed. В ESXi существует вероятность атаки типа MiM (Man in the Middle), о которой подробнее рассказано вот тут. Этот баг в приведенном выше обновлении был также зафикшен. Кстати, в своем блоге компания VMware объявила о том, что ее команда безопасности расследует новые возможные уязвимости OpenSSL, и вот тут приведены результаты ее работы.

Чтобы скачать патч, идем на VMware Patch Portal, выбираем там продукт "ESXi Embedded & Installable", версию релиза 5.5.0 и дату - 10 июня. Получаем ссылку на патч:

Применить этот патч можно и не скачивая его с сайта VMware, а просто с помощью следующей последовательности команд:

# открываем фаервол для http

esxcli network firewall ruleset set -e true -r httpClient

# устанавливаем образ ESXi-5.5.0-20140604001-standard из хранилища VMware Online depot

esxcli software profile update -d https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml -p ESXi-5.5.0-20140604001-standard

# перезагружаем хост ESXi

reboot

Также на днях компания VMware выпустила обновления продукта vCenter Server 5.5 Update 1b:

и vCloud Director 5.5.1.2:

Оба этих исправления прежде всего несут в себе фиксы в плане безопасности протокола OpenSSL, однако там есть и другие мелкие улучшения. Рекомендуется их установить.

Надо отметить, что VMware vCenter Server Appliance не подвержен багу OpenSSL, поэтому и исправлений для него нет.


Таги: VMware, vSphere, Security, Bug, Bugs, ESXi, vCenter, vCloud, Director

Вышла финальная версия VMware vSphere Hardening Guide 5.5 Update 1.


Спустя полгода с момента выпуска прошлой версии основного руководства по обеспечению безопасности виртуальной инфраструктуры, компания VMware обновила версию этого документа до vSphere Hardening Guide 5.5 Update 1. Надо отметить, что руководство по безопасности вышло аж через 3 месяца после выпуска самой vSphere 5.5 Update 1, что как бы не очень хорошо, так как многие пользователи уже используют U1 в производственной среде, и руководство им пригодилось бы раньше. Ну да ладно, бывало нужно было ждать и дольше.

Доступен также лог изменений с момента прошлого документа:

В новой версии руководства есть следующие важные изменения:

  • enable-VGA-Only-Mode - эта рекомендация должна быть применена для виртуальных серверов, которым не нужен графический режим (обычно он используется для VDI-инфраструктуры). То есть для веб-серверов, серверов Windows Core и т.п. нужно этот режим включить, чтобы уменьшить поверхность возможной атаки.
  • disable-non-essential-3D-features - аналогично, отключаем 3D-графику для виртуальных машин, которым это не нужно.
  • use-unique-roles - если у вас несколько сервисных аккаунтов, то им не нужно назначать одну роль на всех, а нужно создавать для каждого отдельную с необходимым набором привилегий для решения нужной задачи.
  • change-sso-admin-password - это рекомендация сменить пароль для аккаунта administrator@vsphere.local, когда вы используете виртуальный модуль VMware vCSA (готовая ВМ с vCenter). Для обычного vCenter этот пароль просят сменить при установке. Удивительно, но этой рекомендации раньше не было.

Ну и кроме всего прочего, было пофикшены различные ошибки (например, значения в некоторых ячейках были обрезаны), а некоторые рекомендации переместились в другие категории.


Таги: VMware, vSphere, Security, ESXi, Enterprise

Интеграция кластера хранилищ VMware Virtual SAN и кластера отказоустойчивости VMware HA в составе vSphere.


Как многие знают, с выходом средства для создания отказоустойчивых кластеров хранилищ VMware Virtual SAN, строящихся на базе локальных дисков серверов ESXi, стало известно, что этот механизм интегрирован со средством серверной отказоустойчивости VMware HA.

"Интегрирован" - означает, что любая нештатная ситуация, случившаяся с хостами ESXi должна быть обработана на стороне обоих механизмов, а также решение этой проблемы находится в компетенции поддержки VMware. И правда - ведь отказавший хост ESXi нарушает целостность обоих кластеров, поскольку предоставляет и ресурсы хранилищ, и вычислительные ресурсы.

При этом, например, в случае каких-нибудь сбоев в сети может произойти "разделение" кластеров на сегменты, что может повлечь неоднозначность в их поведении, поскольку они используют разные сети для поддержания кластера (хождения хартбитов).

Например, на картинке представлено разделение кластеров VMware HA и Virtual SAN на два частично пересекающихся сегмента:

Это, конечно же, плохо. Поэтому в VMware vSphere 5.5 были сделаны изменения, которые автоматически переносят сеть хартбитов кластера VMware HA в подсеть VMware Virtual SAN. Это позволяет в случае разделения сети иметь два непересекающихся в плане обоих технологий сегмента:

Вот тут и возникает 3 основных вопроса:

  • Какие хранилища нужно использовать в качестве datastore heartbeat?
  • Как адрес в случае изоляции хоста (isolation address) нужно использовать, чтобы надежно отличать изоляцию хоста от разделения сети на сегменты (network partitioning)?
  • Какие действия в случае изоляции хостов ESXi от остальной сети (isolation responses) нужно использовать?

Ну а в статье на блогах VMware даются вот такие ответы:

1. В качестве хранилищ, использующих datastore heartbeat в данной конфигурации, предлагается использовать датасторы, прицепленные к хостам ESXi, не входящим в кластер Virtual SAN. Объясняется это тем, что в случае разделения сети VSAN, механизм VMware HA сможет координировать восстановление виртуальных машин на хостах через эти хранилища.

2. По поводу isolation address есть следующие рекомендации:

  • При совместном использовании Virtual SAN и vSphere HA настройте такой isolation address, который позволит определить рабочее состояние хоста в случае отключения его от сети (сетей) VSAN. Например, можно использовать шлюз VSAN и несколько дополнительных адресов, которые задаются через расширенную настройку das.isolationAddressX (подробнее об этом - тут).
  • Настройте HA так, чтобы не использовать дефолтный шлюз management network (если эта не та же сеть, что и Virtual SAN network). Делается это через настройку das.useDefaultIsolationAddress=false.
  • Ну и общая рекомендация - если вы понимаете, как может быть разделен кластер с точки зрения сети, то найдите такие адреса, которые будут доступны с любого хоста при этом сценарии.

3. Ну и самое главное - действие isolation response, которое необходимо выполнить в случае, когда хост посчитал себя изолированным от других. На эту тему уже много чего писалось, но VMware объединила это вот в такие таблички:

 Тип виртуальной машины Хост имеет доступ к сети VSAN?  Виртуальные машины имеют доступ к своей сети VM Network?  Рекомендация для Isolation Responce  Причина 
Не-VSAN машина (не хранится на хранилищах Virtual SAN) Да Да Leave Powered On ВМ работает нормально - зачем что-то делать?
Не-VSAN машина Да Нет Leave Powered On Подходит для большинства сценариев. Если же доступ машины к сети очень критичен и не критично состояние ее памяти - надо ставить Power Off, чтобы она рестартовала на других хостах (координация восстановления будет через сеть VSAN). Дефолтно же лучше оставить Leave Powered On.
VSAN и не-VSAN машина Нет Да Leave Powered On
или
Power Off
См. таблицу ниже
VSAN и не-VSAN машина Нет Нет Leave Powered On
или
Power Off
См. таблицу ниже

А теперь, собственно, таблица ниже, которая объясняет от чего зависят последние 2 пункта:

Наиболее вероятна ситуация, когда в случае изоляции хоста, все остальные также изолированы? Будут ли хосты иметь доступ к heartbeat datastores, если будут изолированы? Важно ли сохранить память виртуальной машины при сбое? Рекомендованная isolation policy (responce) Причина
Нет Да Да Leave Powered On Важно состояние памяти ВМ. Так как есть доступ к хартбит-хранилищам, то ВМ не стартует на других хостах
Нет Да Нет Power Off Надо выключить ВМ, так как есть вероятность того, что ее вторая копия стартанет в другом сегменте разделенной сети.
Да Нет Да Leave Powered On Нет смысла выключать ВМ, так как хост-мастер операций не сможет инициировать ее восстановление, так как все хосты друг от друга изолированы.

Логика тут в принципе понятна, но в каждой конкретной ситуации может быть масса тонкостей касательно различных сценариев разделения и сбоев в сети, так что эти таблички лишь определяют направление мысли, а не дают готового рецепта.


Таги: VMware, Virtual SAN, HA, VSAN, FDM, Обучение, vSphere ESXi, vNetwork

Нужны ли лицензии на виртуальный VMware ESXi?


Мы довольно часто пишем о "вложенной" виртуализации, которая позволяет запускать гипервизор VMware ESXi в виртуальной машине поверх ESXi, установленного уже на физическом сервере (nested virtualization). Для таких виртуальных ESXi есть даже свои VMware Tools. Однако, отметим сразу, что такое использование виртуализации официально не поддерживается со стороны VMware (в производственной среде), хотя и активно применяется в частном порядке ее сотрудниками, партнерами и заказчиками.

Так вот у многих администраторов есть закономерный вопрос - а надо ли лицензировать такие виртуальные ESXi? Ведь они все равно, кроме как для тестов, ни на что не годятся. Ответ прост - лицензировать надо. Об этом прямо написано в KB 2009916:

Customers running nested ESXi/ESX will need to obtain additional licenses for the nested ESXi/ESX.  
VMware does not support running nested ESXi/ESX servers in production environments. This includes, but is not limited to:
  • VMware ESXi/ESX running in VMware Workstation or VMware Fusion
  • VMware ESXi/ESX running in VMware ESXi/ESX
  • VMware ESXi/ESX running in other third-party hypervisor solutions

Для тех, кто не хочет платить или хочет заплатить поменьше, есть 2 варианта:

  • Постоянно переустанавливать ESXi в составе vSphere с триалом на 60 дней.
  • Использовать бесплатный vSphere Hypervisor (он же Free ESXi) - но без vCenter.
  • Использовать виртуальный ESXi, но с одним vCPU и, как следствие, платить только за одну лицензию. При этом можно поставить несколько виртуальных ядер на этот vCPU, и производительность будет почти та же, что и при нескольких процессорах. Как раз для этих целей VMware и был придуман параметр cpuid.coresPerSocket.

Таги: VMware, vSphere, Nested, ESXi, VMachines, Licensing

Мониторинг отказоустойчивого кластера VMware Virtual SAN в графической консоли - VSAN Observer.


Тем из вас, кто развернул средство для создания отказоустойчивых кластеров VMware Virtual SAN, может потребоваться мониторинг состояния кластера в разрезе использования различных вычислительных ресурсов на хостах ESXi, а также виртуальными машинами.

Для этого есть специальная утилита с графическим интерфейсом VSAN Observer, которая позволяет через веб-интерфейс наблюдать за кластером VSAN. По умолчанию на сервере VMware vCenter она отключена.

Чтобы включить ее, делаем следующее:

1. Если вы используете VMware vCenter Virtual Appliance, то нужно запустить Ruby-консоль следующей командой:

rvc username@localhost

Здесь вводим логин и пароль администратора vCenter.

Если вы используете vCenter Server для Windows, то эту консоль можно запустить следующим bat-файлом (логин-пароль аналогичны предыдущему пункту):

%PROGRAMFILES%\VMware\Infrastructure\VirtualCenter Server\support\rvc\rvc.bat

2. Используем команды cd и ls, чтобы перейти в рабочий каталог VSAN:

cd localhost

cd VSAN

3. Запускаем веб-сервер VSAN Observer командой:

vsan.observer ~/computers/VSAN --run-webserver --force

4. После этого запускаем консоль VSAN Observer, перейдя по ссылке:

http://<vCenter Server>:8010

На первой вкладке мы видим дэшборд с различными характеристиками хост-серверов VMware ESXi, входящих в состав кластера Virtual SAN:

На вкладке VSAN Disks (per-host) мы видим уже графики на уровне отдельных физических дисков хостов:

На вкладке VSAN Disks (deep-dive) мы смотрим детальные параметры дисков на уровне отдельного хоста ESXi, включая кэширующий SSD-диск и HDD-диски с данными.

Каждый график можно развернуть отдельно, просто нажав на него:

На вкладке PCPU можно отслеживать параметры загрузки процессоров хост-серверов, обслуживающих кластер VSAN:

То же самое, но касательно памяти:

На вкладке Distribution можно смотреть информацию относительно баланса кластера - равномерно ли загружены его ресурсы:

Вкладка DOM Owner похожа на первую вкладку - говорят она для техподдержки VMware:

А вот вкладка VMs - полезная штука. Тут можно смотреть за производительностью на уровне отдельных виртуальных дисков конкретных ВМ, использующих ресурсы хранения кластера VSAN.

Также тут можно узнать, на каких хостах находятся реплики виртуальных дисков VMDK конкретной ВМ:

Ну а если вы хотите использовать VSAN Observer на сервере VMware vCenter под Windows, то команда ниже позволит вам добавить соответствующее правило в его сетевой экран:

netsh advfirewall firewall add rule name = "VMware RVC VSAN Observer" dir = in protocol = tcp action = allow localport = 8010 remoteip = localsubnet profile = DOMAIN


Таги: VMware, VSAN, Monitoring, Observer, Performance, ESXi, HA

Запуск вложенных (nested) виртуальных мащин Microsoft Hyper-V на платформе Hyper-V.


Некоторое время назад мы писали о том, как запускать вложенный гипервизор и виртуальные машины (nested VMs) на платформе VMware vSphere. В статье по ссылке показано, что можно запустить как вложенную платформу VMware ESXi, так и вложенный сервер с ролью Hyper-V, при этом можно запускать виртуальные машины в этих ВМ.

А как обстоят дела с вложением Hyper-V в Hyper-V? При попытке поставить роль Hyper-V в виртуальной машине Windows Server 2012 R2 вы получите вот такие сообщения об ошибках:

Hyper-V cannot be installed: A hypervisor is already running.

Если попробуем включить роль через PowerShell получим аналогичную ошибку:

Install-WindowsFeature –Name Hyper-V -ComputerName <computer_name> -IncludeManagementTools -Restart

Но саму роль Hyper-V в виртуальной машине на Windows Server включить можно. Делается это средствами утилиты по обслуживанию образов DISM.exe. Если вы используете Windows 8 как гипервизор, то потребуется скачать еще и пакет Windows Assessment and Deployment Kit (ADK) for Windows 8.

Выполняем следующие команды в консоли:

DISM /Online /Enable-Feature /FeatureName: Microsoft-Hyper-V
DISM /Online /Enable-Feature /FeatureName: Microsoft-Hyper-V-Management-Clients

Далее роль встанет, и можно запустить консоль управления виртуальными машинами.

Но при попытке запустить виртуальную машину будет выведена ошибка:

VM failed to start. Failed to start the virtual machine because one of the Hyper-V components is not running.

Для этой проблемы пока решения нет. Виртуальную машину вы не сможете запустить на Hyper-V никак. Хотя на VMware vSphere 5.x все будет прекрасно работать.

Здесь же вы только сможете сделать такие вложенные ВМ узлами Failover Cluster для целей тестирования или снятия скриншотов:

Все это происходит из-за того, что Microsoft не хочет предоставлять виртуальным машинам средства эмуляции техник аппаратной виртуализации Intel VT и AMD-V, хотя многие пользователи и спрашивают об этом. По мнению сотрудников Microsoft, которых можно встретить на форумах technet, "это не нужно".


Таги: Hyper-V, Nested, VMachines, ESXi, Microsoft, Windows, Server

Бесплатный онлайн-курс "VMware Virtual SAN Fundamentals [V5.5] ".


Мы уже много писали о решении VMware для создания кластеров хранилищ - технологии Virtual SAN, которая позволяет построить отказоустойчивую архитектуру хранения на базе локальных дисков серверов VMware ESXi.

На днях компания VMware выпустила очень полезный, а глвное бесплатный, онлайн-курс VMware Virtual SAN Fundamentals [V5.5], посвященный базовым принципам работы продукта и его администрирования.

Курс состоит из четырех модулей:

Module 1: Introduction to Virtual SAN

  • Software-Defined Storage
  • The Benefits of Virtual SAN
  • Advantages of Virtual SAN over Traditional Storage and VSA.’

Module 2: Software-Defined Data Center

  • Use Cases
  • Virtual Desktop Infrastructure (VDI)
  • Test and development
  • Disaster recovery
  • Management cluster storage
  • DMZ
  • Remote office/branch office
  • POC Pre-Qualification Checklist

Module 3: Virtual SAN Architecture

  • Virtual SAN Architecture
  • Virtual SAN Objects and Components
  • Virtual SAN prerequisites
  • Virtual SAN cluster sizing requirements

Module 4: Configuring Virtual SAN (Optional)

  • Enable Virtual SAN on a cluster
  • Create disk group
  • Storage policies
  • Expand Virtual SAN cluster

Таги: VMware, vSphere, Обучение, ESXi, Virtual SAN, VSAN

OpenSSL HeartBleed и VMware vSphere - вышли патчи 5.5 Update 1a и 5.5c.


Пару недель назад мы писали об уязвимости OpenSSL HeartBleed, которая коснулась виртуальной инфраструктуры VMware vSphere, а также других продуктов компании VMware. Напомним, что эта уязвимость позволяла злоумышленнику получить доступ к памяти сервера, где могут храниться логины/пароли и другая информация пользователей.

На прошлой неделе компания VMware выпустила фиксы для этого бага в виде обновлений VMware vSphere 5.5 Update 1a и VMware vSphere 5.5c, подробнее о которых написано в специальной статье KB 2076665.

Но тут, как часто бывает, вышла оказия. Нашелся еще один баг в VMware vSphere 5.5 Update 1 - оказывается, если для этого билда использовать NFS-хранилища, то они периодически отваливаются, то есть переходят в состояние APD (All paths down). Это касается и VSA-хранилищ. В логах при этом наблюдается что-то вроде такого:

2014-04-01T14:35:08.074Z: [APDCorrelator] 9413898746us: [vob.storage.apd.start] Device or filesystem with identifier [12345678-abcdefg0] has entered the All Paths Down state.
2014-04-01T14:35:08.075Z: [APDCorrelator] 9414268686us: [esx.problem.storage.apd.start] Device or filesystem with identifier [12345678-abcdefg0] has entered the All Paths Down state.
2014-04-01T14:36:55.274Z: No correlator for vob.vmfs.nfs.server.disconnect
2014-04-01T14:36:55.274Z: [vmfsCorrelator] 9521467867us: [esx.problem.vmfs.nfs.server.disconnect] 192.168.1.1/NFS-DS1 12345678-abcdefg0-0000-000000000000 NFS-DS1
2014-04-01T14:37:28.081Z: [APDCorrelator] 9553899639us: [vob.storage.apd.timeout] Device or filesystem with identifier [12345678-abcdefg0] has entered the All Paths Down Timeout state after being in the All Paths Down state for 140 seconds. I/Os will now be fast failed.
2014-04-01T14:37:28.081Z: [APDCorrelator] 9554275221us: [esx.problem.storage.apd.timeout] Device or filesystem with identifier [12345678-abcdefg0] has entered the All Paths Down Timeout state after being in the All Paths Down state for 140 seconds. I/Os will now be fast failed.

Решения для этой проблемы пока нет, поэтому рекомендуется просто откатиться на VMware vSphere 5.5 (без Update 1), если вы используете NFS-хранилища или модуль VSA.

Так вот, поэтому vSphere 5.5 Update 1 и просто vSphere 5.5 надо обновлять разными патчами для устранения уязвимости OpenSSL HeartBleed (чтобы на 5.5 не накатилась проблема с APD):

VMware ESXi 5.5, Patch Release ESXi550-201404001
Это патч только для фикса хостов ESXi 5.5 Update 1

VMware ESXi 5.5, Patch Release ESXi550-201404020
А этот патч для фикса хостов разных версий 5.5 за исключением ESXi 5.5 Update 1, а именно:
ESXi 5.5.0 hosts
ESXi 5.5.0 hosts patched with ESXi550-201312101-SG bulletin
ESXi 5.5.0 hosts patched with ESXi550-201312401-BG bulletin
ESXi 5.5.0 hosts patched with ESXi550-201403101-SG bulletin
ESXi 5.5.0 hosts patched with ESXi-5.5.0-20131201001s-standard image profile
ESXi 5.5.0 hosts patched with ESXi-5.5.0-20131201001s-no-tools image profile
ESXi 5.5.0 hosts patched with ESXi-5.5.0-20131204001-standard image profile
ESXi 5.5.0 hosts patched with ESXi-5.5.0-20131204001-no-tools image profile
ESXi 5.5.0 hosts patched with ESXi-5.5.0-20140301001s-standard image profile
ESXi 5.5.0 hosts patched with ESXi-5.5.0-20140301001s-no-tools image profile

Для серверов vCenter есть также соответствующие патчи:

VMware рекомендует сначала обновить серверы vCenter, а потом уже обновлять хосты ESXi. Сама процедура обновления описана в KB 2076692.

После обновления, на хостах ESXi надо перегенерить сертификаты и сменить пароли root. Делается это так:

cd /etc/vmware/ssl
/sbin/generate-certificates
chmod +t rui.crt
chmod +t rui.key
passwd root

Ну и надо отметить, что для всех остальных продуктов VMware также вышли фиксы уязвимости OpenSSL HeartBleed. Информация о них доступна по этой ссылке: http://www.vmware.com/security/advisories/VMSA-2014-0004.html.


Таги: VMware, Security, vSphere, ESXi, vCenter, Bug, Bugs, NFS, Storage

Анонсирован VMware Horizon 6 - обновление View, Workspace и конкуренция с Citrix.


В конце прошлой недели компания VMware сделала анонс долгожданного мажорного обновления своих продуктов для виртуализации ПК предприятия - VMware Horizon 6. С момента релиза VMware Horizon View 5.3 прошло всего 5 месяцев, а компания VMware вновь идет на штурм рынка VDI, делая очень серьезную заявку на победу над Citrix. Итак, давайте разбираться, что к чему.


Таги: VMware, Horizon, View, Updtae, ESXi, vSphere, Mirage, Workspace, VDI

Уязвимость OpenSSL HeartBleed и серверы VMware vSphere - таки да, есть.


На днях ИТ-сообщество переполошилось из-за очень неприятного факта - уязвимости OpenSSL HeartBleed, которая была обнаружена в версии защищенного протокола OpenSSL 1.0.1 и 1.0.2-beta. Уязвимость получилась из-за того, что отсутствует необходимая проверка границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS.

Это позволяет злоумышленнику получить доступ к оперативной памяти сервера, где хранятся, в том числе, сами секретные ключи, имена и пароли пользователей, а также много чего еще. После того, как нехороший товарищ получил, что хотел, обнаружить факт его проникновения в систему невозможно. За один такт можно получить сегмент в 64 КБ памяти, но делать это такими кусочками можно сколь угодно долго, постоянно обновляя соединение.

Как пишет Хабр, 1 января 2012 года, Robin Seggelmann отправил, а steve проверил commit, который добавлял HeartBeat в OpenSSL. Именно этот коммит и привнес уязвимость, которую назвали Heartbleed. То есть, пару лет любой желающий мог вылавливать данные из памяти где-то 2/3 всех защищенных серверов мира. Эта версия OpenSSL используется в веб-серверах Nginx и Apache, в почтовых серверах, IM-системах, VPN, а также еще очень-очень много где. Сертификаты скомпрометированы, логины/пароли, возможно, утекли к посторонним людям. Кошмар, бардак, ядерная война.

Например, уязвимость есть вот в этих Linux-дистрибутивах:

  • Debian Wheezy (стабильная), OpenSSL 1.0.1e-2+deb7u4)
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11)
  • CentOS 6.5, OpenSSL 1.0.1e-15)
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c) и 5.4 (OpenSSL 1.0.1c)
  • FreeBSD 8.4 (OpenSSL 1.0.1e) и 9.1 (OpenSSL 1.0.1c)
  • NetBSD 5.0.2 (OpenSSL 1.0.1e)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c)

Ну и, конечно же, серверы VMware ESXi 5.5 (build 1331820) и ESXi 5.5 Update 1 (build 1623387) также имеют эту уязвимость. Проверить это просто - выполняем команду:

# vmware -vl

VMware ESXi 5.5.0 build-1331820
VMware ESXi 5.5.0 GA

# openssl version -a

OpenSSL 1.0.1e 11 Feb 2013
built on: Tue Feb 26 16:34:26 PST 2013

Видим, что здесь версия 1.0.1e, которая подвержена уязвимости.

А вот для пользователей VMware ESXi 5.1 бонус - уязвимости тут нет, так как используется другой бранч OpenSSL (0.9.8y):

# vmware -vl

VMware ESXi 5.1.0 build-1612806
VMware ESXi 5.1.0 Update 2

# openssl version -a

OpenSSL 0.9.8y 5 Feb 2013
built on: Wed Mar 20 20:44:08 PDT 2013

Есть даже вот такая табличка с VMware Communities, где показано, какие компоненты и каких версий подвержены уязвимости (выделенные цветом - подвержены):


Product Build OpenSSL Version
ESXi 5.1 U2 VMware ESXi 5.1.0 build-1612806 OpenSSL 0.9.8y 5 Feb 2013
ESXi 5.5 GA (no U1) VMware ESXi 5.5.0 build-1331820 OpenSSL 1.0.1e 11 Feb 2013
vCenter 5.1 U1 VMware vCenter Server 5.1.0 Build 1235232 OpenSSL 0.9.8t 18 Jan 2012
vCenter 5.1 U2 <unknown> OpenSSL 0.9.8y 5 Feb 2013
vCenter 5.5 GA <unknown> OpenSSL 1.0.1e 11 Feb 2013
OpenSSL 0.9.8y 5 Feb 2013
vMA 5.0 virtual appliance vMA 5.0.0 BUILD-724898 OpenSSL 0.9.8j-fips 07 Jan 2009
vMA 5.1 virtual appliance vMA 5.1.0 BUILD-1062361

OpenSSL 1.0.0c 2 Dec 2010

Фикса бага пока нет - но он ожидается в ближайшие дни (возможно, на момент прочтения вами этой заметки он уже выйдет). За развитием ситуации можно также следить тут.

Подробное описание уязвимости можно прочитать на специальном сайте: http://heartbleed.com/.

Проверить свой публичный сайт на наличие уязвимой версии протокола можно вот тут: http://filippo.io/Heartbleed/.


Таги: VMware, vSphere, Security, Bug, Bugs, ESXi, vCenter

VMware HA не перезапускает виртуальные машины при выключении/рестарте хоста ESXi через DCUI.


Интересную особенность тут обнаружил один из читателей Дукана Эппинга: оказывается в VMware vSphere 5.5 Update 1 при перезапуске/выключении хоста VMware ESXi через консоль DCUI рестарта его виртуальных машин посредством механизма VMware HA не происходит.

Ну то есть, если выключение ESXi делать по клавише <F12> в консоли сервера:

Действительно, в этом случае в логе FDM можно увидеть вот такую запись:

2014-04-04T11:41:54.882Z [688C2B70 info 'Invt' opID=SWI-24c018b] [VmStateChange::SavePowerChange] 
vm /vmfs/volumes/4ece24c4-3f1ca80e-9cd8-984be1047b14/New Virtual Machine/New Virtual Machine.vmx
curPwrState=unknown curPowerOnCount=0 newPwrState=powered off clnPwrOff=true hostReporting=host-113

Это означает, что VMware vSphere считает, что виртуальные машины были выключены корректно (администратором/хостом), а значит их перезапуск механизмом VMware HA не требуется (параметр clnPwrOff=true).

Совсем другая картина, если мы делаем ребут или выключение VMware ESXi из VMware vSphere Client или vSphere Web Client:

В этом случае в логе FDM мы обнаружим что-то вроде такого:

2014-04-04T12:12:06.515Z [68040B70 info 'Invt' opID=SWI-1aad525b] [VmStateChange::SavePowerChange] 
vm /vmfs/volumes/4ece24c4-3f1ca80e-9cd8-984be1047b14/New Virtual Machine/New Virtual Machine.vmx
curPwrState=unknown curPowerOnCount=0 newPwrState=powered on clnPwrOff=false hostReporting=host-113

Здесь уже мы видим, что clnPwrOff=false, а значит vSphere полагает, что что-то пошло не так и VMware HA перезапустит виртуальные машины "отказавшего" хоста.

Это поведение актуально для VMware vSphere 5.5 Update 1, но пользователи в комментариях к статье Дункана отмечают, что подобное поведение наблюдается и для vSphere 5.0. Поэтому будет не лишним знать об этом всем тем, кто после настройки отказоустойчивого кластера VMware HA тестирует его работоспособность путем перезагрузки хостов ESXi.


Таги: VMware, vSphere, HA, VMachines, ESXi, DCUI, Troubleshooting

Пример использования кластера VMware Virtual SAN для резервной инфраструктуры vSphere (+Replication / SRM).


Недавно компания VMware начала серию статей про совместимость ее решения для организации кластеров хранилищ Virtual SAN с различными продуктами (например, с vCloud Automation Center и решением для резервного копирования vSphere Data Protection). Но многих пользователей интересует юзкейс использования VSAN для катастрофоустойчивой инфраструктуры, управляемой VMware Site Recovery Manager. А именно, с точки зрения экономии, наиболее интересным вариантом является создание резервной инфраструктуры на базе хранилищ локальных дисков серверов VMware ESXi, бэкэнд которых обеспечивается кластером хранилищ VSAN:

Такая схема полностью поддерживается со стороны VMware, как для решения vSphere Replication, обеспечивающего репликацию виртуальных машин на резервный сайт и его VSAN-хранилища, так и для vCenter Site Recovery Manager, обеспечивающего оркестрацию процесса.

Естественно, на данный момент поддерживается совместимость SRM+VSAN только на базе технологии асинхронной репликации vSphere Replication, поэтому такой сценарий не подойдет тем, кто хочет обеспечить RPO=0 для сервисов виртуальных машин в случае массового сбоя или катастрофы на основной площадке. Но для сценариев с RPO=15 минут такая схема вполне подойдет.

Зато такая схема не требует больших вложений в резервную инфраструктуру - не нужно покупать дорогостоящие FC-хранилища, SAN-коммутаторы и прочее. Для организации такой схемы резервирования можно использовать как только механизм vSphere Replication (но тогда потребуются регулярные ручные операции + ручное сопровождение в случае сбоя), так и автоматизировать процесс с помощью vCenter SRM.

При этом SRM может обеспечить следующие возможности:

  • Автоматизированный Failover и Failback (нужно только нажать кнопку).
  • Управление процессом восстановления из консоли vCenter.
  • Возможность запланированной миграции сервисов на резервную площадку (при этом основную площадку можно сделать резервной).
  • Несколько точек для восстановления в случае порчи данных (например, надо откатиться на день назад).
  • Возможность протестировать процесс восстановления, не затрагивая продакшен-среду.

На тему всего этого компания VMware сделала отличное поясняющее видео, в котором показан процесс переезда с традиционной SAN-инфраструктуры на новую площадку, где хранилища построены на базе технологии VMware Virtual SAN:


Таги: VMware, Virtual SAN, SRM, Video, VSAN, ESXi, vSphere, DR, Enterprise

Режим высокой производительности для требовательных виртуальных машин в VMware vSphere 5.5 (Latency Sensitivity).


Не все администраторы VMware vSphere знают о том, что в версии vSphere 5.5, компания VMware сделала специальную настройку для виртуальных машин - Latency Sensitivity. Она позволяет снизить издержки на виртуализацию для виртуальной машины в случае, когда требуется ее производительность близкая к нативной (то есть почти без потерь на нужды слоя виртуализации).

Найти ее можно в vSphere Web Client, если выбрать нужную ВМ, перейти на вкладку Manage, далее выбрать Settings->VM Options и в разделе Advanced Settings перейти на опцию Latency Sensitivity:

Там можно выбрать значения Low, High, Medium и Normal, однако значения Medium и Normal в vSphere 5.5 являются экспериментальными, поэтому пока можно использовать только Low (по умолчанию) и High (режим высокой производительности для чувствительных нагрузок).

Детально о том, что конкретно делает этот режим, можно почитать в документе "Deploying Extremely Latency-Sensitive Applications in VMware vSphere 5.5", мы же здесь приведем основные моменты.

Итак, если вы ставите Latency Sensivity для виртуальной машины в значение High, происходит следующее:

Виртуальная машина получает эксклюзивный доступ к физическим ресурсам хоста

  • Планировщик CPU хоста ESXi определяет возможность того, может ли быть предоставлен эксклюзивный доступ виртуального процессора vCPU к физическому процессору (ядру) сервера pCPU, учитывая реальное состояние процессора (нагруженность, over-commit и прочее). При возможности происходит резервирование pCPU для виртуального процессора на 100%. В этом случае никакие другие vCPU и трэды не могут быть исполнены на этом pCPU (включая VMkernel I/O threads).
  • Возможность latency-sensitivity требует от пользователя установки резервирования памяти (Memory Reservation), чтобы выделенная виртуальной машине память не была ненароком отдана другой машине средствами Memory Ballooning. Это позволит дать гарантию, что машина всегда будет иметь в своем распоряжении четко выделенный сегмент физической оперативной памяти хоста ESXi, даже в случае недостатка ресурсов на хосте.

Обход слоя виртуализации

  • Как только машина получила эксклюзивный доступ к pCPU, ее виртуальный процессор может напрямую взаимодействовать с его ресурсами в обход планировщика VMkernel. Это ликвидирует затраты на переключение между VMkernel и монитором виртуальных машин (VMM), однако переключения между исполнением кода гостевой ОС и VMM по-прежнему остаются (но это делается очень быстро за счет технологий аппаратной виртуализации, которые есть сейчас в любом процессоре).

Тюнинг механизмов виртуализации на хосте

  • Когда в качестве виртуального сетевого адаптера (VMNIC) виртуальной машины используется устройство VMXNET3, то функция Interrupt coalescing и поддержка LRO отключаются, чтобы уменьшить время отклика и джиттер. Если виртуальной машине не нужны такие функции, как vMotion, NetIOC и Fault tolerance, то можно и нужно использовать механизмы проброса сетевого устройства напрямую в виртуальную машину (pass-through) через механизм Single-root I/O virtualization (SR-IOV). Поддержка этого механизма появилась еще в VMware vSphere 5.1, но была существенно доработана в версии 5.5.

Вкратце это все, но больше новых подробностей о требовательных ко времени отклика виртуальных машинах можно почерпнуть из приведенного выше документа.


Таги: VMware, vSphere, Performance, ESXi, VMachines

StarWind VSA Builder - быстрый способ развернуть виртуальную машину с ПО StarWind iSCSI SAN V8 на сервере VMware ESXi.


Как знают все те, кто интересуется решением для создания отказоустойчивых хранилищ StarWind iSCSI SAN, совсем недавно вышла обновленная версия StarWind V8 RC, которая пришла на смену StarWind V8 Beta 3.

Совсем скоро появится релизная восьмая версия продукта, в которой будет масса нововведений, в том числе обновленное средство для деплоя ПО StarWind на серверы VMware ESXi - StarWind VSA Builder.

При установке этот компонент называется VSAN Deployment Tools:

Для начала процесса развертывания ПО StarWind нужно нажать на иконку Deploy VSAN в Management Console:

Указываем параметры сервера VMware ESXi:

Указываем путь к ISO-образу с установкой Windows Server или скачиваем его:

Далее указываем исошник к инсталляции StarWind или также скачиваем:

После чего указываем хранилище хоста VMware ESXi, где будет размещена виртуальная машина:

Далее указываем параметры виртуального диска StarWind - то есть, непосредственного хранилища виртуальных машин на диске полученной машины:

Ну и после всего этого начнется развертывание виртуальной машины с ПО StarWind внутри:

По окончанию процесса установки, вы сможете открыть в полученной ВМ StarWind Management Console и управлять виртуальными хранилищами, создать отказоустойчивый кластер и многое другое. Саму эту виртуальную машину можно использовать как шаблон для развертывания новых узлов кластера StarWind.

Скачать StarWind iSCSI SAN V8 Release Candidate можно по этой ссылке.


Таги: StarWind, ESXi, iSCSI, SAN, VSAN, Virtual Appliance

Настройка доступа пользователей из трастовых доменов к VMware vSphere / ESXi.


Как многие знают, в VMware vSphere 5.5 был полностью переписан движок сервисов аутентификации Single-Sign-On (SSO), так как раньше VMware использовала стороннее решение. Теперь же нет старой базы RSA, а контроллеры доменов Active Directory не нужно указывать напрямую. Механизм аутентификации стал проще, но при этом эффективнее.

Итак, например, у вас такая задача - есть домен, в который вы заводите серверы VMware ESXi и vCenter, и администраторы которого будут рулить виртуальной инфраструктурой. Но у вас есть и второй трастовый домен, пользователей которого вы бы также хотели наделять полномочиями по управлению своей частью инфраструктуры. Тут надо отметить, что полноценная поддержка односторонних и двусторонних AD-трастов появилась только в vSphere 5.5, поэтому в более ранних версиях платформы сделать этого по-нормальному не получится.

Итак, как мы помним, завести серверы VMware ESXi в домен AD можно в раздеде Configuration-> Authentication Services

Тут можно добавить основной домен, но в строчке Trusted Domain Controllers мы увидим пустоту, так как настраивать это нужно не через "толстый" vSphere Client, который скоро перестанет поддерживаться, а через "тонкий" vSphere Web Client, в котором возможности добавления источников аутентификации для сервера SSO весьма обширны.

Итак:

  • Открываем Sphere Web Client по ссылке https://<адрес сервера vCenter>:9443/vsphere-client
  • Заходим обязательно как administrator@vsphere.local. Именно под этим пользователем - обычный админ не прокатит - раздел SSO будет скрыт.
  • Идем в раздел Administration > Single Sign-On > Configuration

Если этого раздела в vSphere Web Client вы не видите, значит вы зашли не под administrator@vsphere.local.

Далее идем в раздел Identity Sources и там нажимаем "+":

Добавляем новый источник:

Добавляем источник именно как "Active Directory as a LDAP Server", так как основной источник Active Directory (первый вариант) может быть добавлен только один.

Вот пример заполнения данных по домену:

Тут не заполнены только обязательные поля "Base DN for users" и "Base DN for groups". Если вы хотите искать пользователей во всем каталоге домена, то укажите в обоих этих полях просто подобное значение (из примера):

DC=virten,DC=local

Далее нужно протестировать соединение (Test Connection).

После того, как новый домен будет добавлен как Identity Source, его можно будет увидеть при добавлении любого разрешения на вкладке Permissions:

Вот так все и просто. Добавляете пользователя и даете ему права на различные объекты виртуальной инфраструктуры VMware vSphere.


Таги: VMware, ESXi, Active Directory, vSphere, Authentication, Обучение

VMware VSAN Policies - политики для отказоустойчивого кластера хранилищ VMware vSphere.


Как многие уже слышали, совсем недавно вышла первая версия продукта VMware VSAN, который был выпущен одновременно с релизом обновленной платформы VMware vSphere 5.5 Update 1. Многие уже принялись тестировать это решение, которое (что похвально) теперь работает производительнее своей же бета-версии и в то же время линейно масштабируется по количеству узлов ESXi с точки зрения производительности...


Таги: VMware, VSAN, Storage, Обучение, VMDK, VMachines, HA, vSphere, ESXi

Как вернуть SSD-накопитель, который был создан как устройство vFlash, хосту VMware ESXi.


Достаточно давно мы писали о технологии VMware vFlash (теперь она называется vSphere Flash Read Cache), которая пришла на смену технологии Swap-to-SSD - она позволяет использовать локальные SSD-диски хостов VMware ESXi для задач кэширования. Напомним, что Flash Read Cache позволяет использовать кэширование данных только на чтение для дисков VMDK виртуальных машин, работает она на уровне гипервизора и существенно улучшает производительность виртуальных машин, которые интенсивно используют подсистему ввода-вывода для операций на чтение.

Очевидно, что SSD-кэш, который по производительности находится между оперативной памятью и обычными дисками, существенно повышает быстродействие в системах, где периодически наблюдается недостаток ресурсов RAM. Все это дело работает в кластере до 32 хостов ESXi.

Однако, иногда вам может понадобиться вернуть SSD-накопитель хосту ESXi, чтобы использовать его для других задач. Можно попробовать отключить использование ресурсов vFlash для всех виртуальных машин хоста, затем пойти в раздел "Virtual Flash Resource Management" и выбрать опцию "Remove All" - но это не сработает. Появятся следующие ошибки:

Host’s virtual flash resource is inaccessible.
The object or item referred to could not be found.

Чтобы вернуть диск SSD снова в строй понадобится удалить специальный раздел - vFlash File System partition. Для этого нужно сначала его найти. Выполняем команду:

ls /vmfs/devices/disks

Тут мы видим нашу SSD-партицию (видим в середине буквы "SSD" - не ошибитесь - нам нужен раздел без ":1"):

disk ID “t10.ATA_____M42DCT032M4SSD3__________________________00000000121903600F1F”

Сносим эту партицию с помощью утилиты partedutil, используя найденный Disk ID:

partedutil delete "/vmfs/devices/disks/t10.ATA_____M42DCT032M4SSD3__________________________00000000121903600F1F" 1

Что-то вроде этого:

После чего мы видим, что диск SSD освободился и его можно использовать на хосте VMware ESXi:

Источник.


Таги: VMware, ESXi, SSD, Storage, vFlash, Blogs

Обновился документ "Security of the VMware vSphere Hypervisor" - безопасность ESXi.


Те из вас, кто интересуется безопасностью виртуальной инфраструктуры VMware vSphere, наверняка знают такое нужное руководство, как "VMware vSphere Hardening Guide", которое предоставляет рекомендации и практичные советы по комплексной защите виртуальной инфраструктуры, включая хосты, виртуальные машины, сервер vCenter и т.п.

Однако этот документ - еще не все, что есть полезного на тему безопасности от VMware (кстати, централизованно все ресурсы находятся в VMware Security Center). Недавно обновился документ "Security of the VMware vSphere Hypervisor" (25 страниц), который описывает инфраструктуру безопасности непосредственно хоста ESXi на уровне ядра и интерфейсов.

Содержание документа:

  • Secure Virtual Machine Isolation in Virtualization
    • Virtualization Extensions
    • Instruction Isolation
    • Memory Isolation
    • Memory Protection
    • Device Isolation
      • Device Access to Hardware
      • I/O Remapping
    • Resource Provisioning, Shares, and Limits
      • Provisioning
      • Shares
      • Limits
  • Network Isolation
    • ESXi Networks
    • Virtual Machine Networks
    • Virtual Networking Layer
      • Virtual Switches
      • Virtual Switch VLANs
      • Virtual Ports
      • Virtual Network Adapters
      • Virtual Switch Isolation
      • Virtual Switch Correctness
  • Virtualized Storage
    • Linked Clones
    • Raw Device Mapping
    • I/O Path
    • SAN Security
    • iSCSI Security
    • VMFS
    • NFS Security
  • Secure Management
    • ESXi Is Not Linux
    • Administrative Interfaces
    • DCUI
    • Host Agent
    • VMware vSphere ESXi Shell
    • Network Access to Administrative Interfaces
    • SSL Certificates
    • Management Interface Firewall
    • Security of Management Protocols
    • Administrative User Access
    • Limit Root Access
    • Lockdown Mode
  • Platform Integrity Protection
    • Secure Software Packaging
    • Software Assurance and Integrity Protection
  • VMware Secure Development Life Cycle

Документ отличает высокий технический уровень, который позволяет понять процессы, происходящие в недрах ESXi. Вот так, например, выглядит схема прохождения инструкций процессора на различных уровнях:

А вот так - использование физической и виртуальной памяти хостов виртуальными машинами:

Ну и вообще в документе немало интересного.


Таги: VMware, ESXi, Security, Whitepaper, Update

Как перезапустить Management Network на VMware ESXi из командной строки.


Многим администраторам виртуальной инфраструктуры VMware vSphere зачастую приходится перезапускать Management Network после различных операций с хостом VMware ESXi (например, чтобы обновить аренду IP-адреса у DHCP-сервера).

Делается это из консоли сервера ESXi (DCUI) в пункте меню "Restart Management Network":

Напомним, что доступ к графическому интерфейсу консоли сервера (DCUI) можно получить и по протоколу SSH, выполнив команду:

# dcui

Однако многие хотели бы рестартовать сеть ESXi консольной командой ESXCLI, которую можно выполнить, например, из vSphere Management Assistant. Для этого нужно просто отключить и включить сетевой интерфейс VMkernel на хосте. Делается это через пространство имен esxcli network.

При этом, поскольку вы подключены к ESXi через этот интерфейс, то нужно, чтобы две команды (отключение и включение) были выполнены обязательно вместе. Делается это добавлением точки с запятой (";") между командами.

Итак, узнаем имя интерфейса командой:

esxcli network ip interface ipv4 get

Далее отключаем и включаем интерфейс vmk0, что соответствует функции Restart Management Network в графическом интерфейсе хоста:

esxcli network ip interface set -e false -i vmk0; esxcli network ip interface set -e true -i vmk0


Таги: VMware, ESXi, vNetwork, Networking, VMachines, Blogs

Что находится внутри VMware Tools в VMware vSphere 5.5 + параметры их установки.


Интересную статью об установке VMware Tools недавно написал Андрэас. Приведем здесь основные моменты. Итак, во время установки VMware Tools в Windows-машине на VMware vSphere мы видим следующие компоненты:

Для многих организаций важно, какое именно ПО устанавливается на сервер или рабочую станцию, чтобы можно было не устанавливать ненужные сервисы и компоненты, увеличивающие площадь атаки для злоумышленника.

Кроме этого, интересно, конечно же, взглянуть на то, что находится внутри MSI-пакета setup.exe (или setup64.exe для 64-битных систем), который находится в установочном образе VMware Tools ISO, а также узнать о параметрах его установки.

Итак, берем утилиту Microsoft Orca editor из состава Windows Installer Development Tools, открываем наш MSI-пакет и переходим на вкладку Features. Там мы видим следующее дерево компонентов (то, что выделено жирным - отсутствует в GUI):

  • Toolbox (Toolbox)
    • Perfmon (WMI Performance Logging) - не устанавливается для Workstation/Fusion.
    • Unity (Support for Unity feature) - поддержка функций Unity - только для Workstation/Fusion.
    • Plugins
      • TrayIcon (Display the Tray Icon) - иконка тулзов в трее, можно отключить, если поставить свойство MSI-пакета NO_TRAYICON=1.
  • Drivers (VMware Device Drivers)
    • PVSCSI (Paravirtual SCSI) - драйвер паравиртуализованного виртуального диска, недоступен если ОС Windows 2000 или более старая.
    • MemCtl (Memory Control Driver) - драйвер управления памятью для поддержки технологии Memory Ballooning.
    • Mouse (PS2 Mouse Driver) - драйвер мыши PS2 (legacy).
    • MouseUSB (USB Mouse Driver) - драйвер мыши USB.
    • SVGA (SVGA Driver) - видеодрайвер.
    • Audio (Audio Driver) - аудиодрайвер, устанавливается по умолчанию, не ставится для Windows XP-32bit, Windows 2000 и более ранних ОС.
    • VMXNet (VMXNet NIC Driver) - драйвер виртуального сетевого адаптера первого поколения, устанавливается по умолчанию для ОС Windows 2000/XP/2003/2008/2008R2.
    • VMXNet3 (VMXNet3 NIC Driver) - драйвер последнего поколения виртуального сетевого адаптера, устанавливается по умолчанию, не ставится для Windows 2000 и более ранних.
    • VSS (Volume Shadow Copy Services Support) - поддержка механизма VSS (в том числе для систем резервного копирования). Устанавливается для Windows 2003/Vista и более поздних. Не устанавливается, если хотя бы один из сервисов ComSysApp или MSDTC отключен.
    • VMCI (VMCI Driver)
      • VShield (vShield Drivers) - не отмечен по умолчанию, ставится только если машина работает на ESXi в Windows XP SP2+/2003 SP1+  или более поздних версиях.
      • Hgfs (Shared Folders) - компонент общих папок между хостом и гостевой ОС для VMware Fusion/Workstation (для них устанавливается по умолчанию, для ESXi по умолчанию отключен).
    • BootCamp (Mac BootCamp Support - VMware Fusion only) - устанавливается только для VMware Fusion/Workstation, начиная с Windows XP.
    • Buslogic (SCSI Driver) - устанавливается только для Windows 2000 и 32-битных версиях XP/2003. В других случах не ставится.
    • Sync (Filesystem Sync Driver) - устанавливается только на ESXi и только для Windows 2000 и 32-битных версиях XP/2003. Необходим для систем резервного копирования для "заморозки" файловой системы во время снятия бэкапа, чтобы он получился консистентным. На более поздних ОС уже работает VSS-компонент.
    • WYSE (Wyse Multimedia Support) - поддержка терминалов WYSE. Не устанавливается по умолчанию, доступно только на Windows XP и 2003.
  • Common
    • Microsoft_x86_Dll

Как можно заметить, устанавливаются или нет некоторые компоненты при установке VMware Tools зависит от того, какая версия Windows используется, ну и, конечно, где устанавливается пакет - на VMware ESXi или на настольной платформе VMware Workstation/Fusion.

В документации по VMware Tools рассказано о том, как можно добавлять или исключать компоненты из установки, а также устанавливать тулзы в silent-режиме (то есть, без GUI) и без перезагрузки гостевой ОС.

Например, вот такая команда установщика установит VMware Tools в тихом режиме для Windows-на ESXi, при этом у вас не будет ненужных компонентов, а также иконки VMware Tools в трее:

setup[64].exe /s /v /qn ADDLOCAL=All REMOVE=Hgfs,WYSE,Audio,BootCamp,Unity,VShield,TrayIcon

А эта команда сделает то же самое, но еще и предупредит перезагрузку, а также запишет лог установки в специальный файл (это все одна строчка):

setup[64].exe /s /v /qn /l*v "%TEMP%\vmmsi.log" REBOOT=R ADDLOCAL=All REMOVE=Hgfs,WYSE,Audio,BootCamp,Unity,VShield,TrayIcon

Такая команда обновит VMware Tools с момента прошлой установки:

setup[64].exe /s /v /qn REINSTALLMODE=vomus ADDLOCAL=All REMOVE=Hgfs,WYSE,Audio,BootCamp,Unity,VShield,TrayIcon

Более подробно о параметрах установки VMware Tools можно прочитать в KB 2000399.

Если же вы хотите проверить, какие компоненты VMware Tools установлены, то для этого есть скрипт WiListPrd.vbs, вывод которого выглядит следующим образом:

> cscript WiListPrd.vbs "VMware Tools" f


Таги: VMware, Tools, VMachines, ESXi, vSphere, Fusion, Workstation

Как защитить служебные виртуальные модули (Virtual Appliances) в виртуальной инфраструктуре VMware vSphere.


Как многие из вас знают, в виртуальной инфраструктуре VMware vSphere некоторое количество программного обеспечения распространяется в виде виртуальных модулей (Virtual Appliances), представляющих собой готовые виртуальные машины с необходимыми сервисами внутри.

К ним, например, относятся следующие вспомогательные модули от самой VMware:

  • vCenter Server Virtual Appliance 5.5 (VCVA) - главный сервер управления виртуальной инфраструктурой vSphere на базе ОС SUSE Linux.
  • vCenter Orchestrator 5.5 (vCOva) - средство автоматизации операций для виртуальных машин и хост-серверов.
  • vCenter Operations Manager 5.7.1 (vCOPs) - средство комплексного мониторинга и анализа виртуальной среды.
  • vCenter Infrastructure Navigator 2.0 (VIN) - решение для автоматического обнаружения и визуализации компонентов приложений и зависимостей инфраструктуры.
  • vCloud Automation Center Virtual Appliance 6.0 (vCACva) -  средство управления облачной инфраструктурой предприятия (SaaS, PaaS, IaaS) за счет единого решения, построенного поверх VMware vCloud Director.
  • vCenter Management Assistant (vMA) - вынесенная "сервисная консоль" за пределы хост-серверов ESXi в отдельный виртуальный модуль, с которого удобно выполнять консольные команды RCLI (например, мониторинга - resxtop), а также хранить и запускать различные скрипты. 
  • VMware Log Insight - централизованное средство сбора и анализа логов, о нем мы уже писали тут.
  • Horizon Workspace Manager 1.5 (наша статья тут) -  средство автоматизации инфраструктуры виртуальных и физических ПК.
  • vCloud Connector 2.5.1 (vCC) - средство миграции виртуальных машин на платформе VMware vSphere из частного облака предприятия в публичное хостинг-провайдера и обратно.

Все эти модули (а также и модули от сторонних производителей), будучи неотъемлемыми компонентами виртуальной среды, нуждаются в защите. Чтобы облегчить эту задачу пользователям, компания VMware выпустила документ "Hardened Virtual Appliance Operations Guide", в котором на 16 страницах вкратце рассказывают о том, как нужно защищать эти виртуальные модули в следующих контекстах:

  • Root password - поставить нормальный пароль (сменить дефолтный!).
  • Password Expiry - поставить нормальную политику устаревания паролей.
  • Выполнить скрипт повышенной безопасности для параноиков (Dodscript.sh - сделан для Минобороны США). Там же написано про то, как поменять Security Banner (то есть скрин логина в консоль ESXi, на котором вывешено предупреждение об ответственности за несанкционированный доступ).
  • Secure Shell, Administrative Accounts, and Console Access - использовать защищенный доступ к консоли виртуальных модулей.
  • Time Sourcing and Synchronization - применять синхронизацию времени с доверенным источником.
  • Log Forwarding – Syslog-ng and Auditd - перенаправлять собираемые логи на отдельный защищенный сервер.
  • Boot Loader (Grub) Password - поставить пароль на загрузчик, исключающий также загрузку в Single user mode.
  • Отключить сервисы NFS и NIS.

Начинание это, безусловно, является хорошим шагом со стороны VMware в плане обеспечения безопасности виртуальных модулей и инфраструктуры в целом. Но как-то маловато 16 страниц, вы не находите?


Таги: VMware, Virtual Appliance, Security, ESXi, vSphere, Whitepaper

Вышел VMware vCenter Server 5.1 Update 2 и VMware ESXi 5.1 Update 2.


Для тех из вас, кто по причине отсутствия купленной подписки, лени или еще какой другой, использует старую версию платформы виртуализации VMware vSphere 5.1, компания VMware выпустила обновление VMware vCenter Server 5.1 Update 2.

Что нового в Update 2:

  • vCenter Server 5.1 теперь поддерживается на платформе Windows Server 2012 R2.
  • Возможность кастомизации нескольких дополнительных гостевых ОС через vCenter:
    • Windows 8.1
    • RHEL 6.4
    • Windows Server 2012 R2
    • SLES 11 Service Pack 3
  • Добавлена поддержка СУБД Microsoft SQL Server 2012 Service Pack 1.
  • Обновление протокола OpenSSL до версии openssl-0.9.8y.
  • Исправления ошибок, которые можно найти вот тут.

Скачать VMware vCenter Server 5.1 Update 2 можно по этой ссылке.

Кроме этого, вышел также и VMware ESXi 5.1 Update 2, где почти ничего не изменилось:

  • Появилась поддержка новых гостевых ОС (их список есть в VMware Compatibility Guide).
  • Было исправлено несколько ошибок, список которых приведен вот тут.

Скачать VMware ESXi 5.1 Update 2 можно по этой ссылке.


Таги: VMware, vSphere, Update, ESXi, vCenter

Вышел VMware ESXi 5.5.0 Driver Rollup 1.


Несколько недель назад компания VMware выпустила обновление ESXi 5.5.0 Driver Rollup 1, представляющее собой ISO-образ с самим ESXi 5.5 и дополнительными драйверами. Этот образ подходит только для чистой установки на хост и не поддерживает режим обновления (Upgrade).

VMware ESXi 5.5.0 Driver Rollup 1 содержит в себе драйверы IOVP certified drivers (IOVP  - I/O Vendor Partner Program), то есть драйверы от производителей, которые добавились или обновились с момента выхода ESXi 5.5.

Обновлены были драйверы оборудования следующих производителей:

  • Broadcom
  • Cisco
  • Emulex
  • Fusion-io
  • HP
  • Hitachi
  • Intel
  • LSI Corporation
  • QLogic
  • Virident Systems

Release Notes для ESXi 5.5.0 Driver Rollup 1 доступны по этой ссылке.


Таги: VMware, ESXi, Update, Hardware, vSphere

Как кластер VMware Virtual SAN (VSAN) обслуживает запросы на чтение блоков.


Мы уже немало писали про кластеры хранилищ VMware Virtual SAN (последнее - тут и тут), а сегодня рассмотрим механизм работы запросов на чтение блоков, который описал в своем блоге Duncan Epping.

Итак, схема кластера VMware Virtual SAN:

Здесь мы видим такую картину - виртуальная машина находится на хосте ESXi-01, а ее блоки размером 1 МБ размещаются на хранилищах разных хостов. При этом блоком 1 владеет ESXi-01, а блоком 2 - ESXi-03. Хост ESXi-02 не принимает участия в обработке запросов ввода-вывода.

Схема работы запроса на чтение проста - сначала проверяется наличие блока в кэше на чтение (Read cache), и если там блока не оказывается, то проверяется Write buffer на хранилище SSD (если блок еще не успел записаться на HDD) и непосредственно сам HDD-диск. В данном случае блок 1 нашелся на SSD-диске в кэше на чтение.

Второй же блок обслуживается хостом ESXi-03, но его не оказалось в кэше на чтение, и он читается с HDD-диска. Тут надо отметить, что кластер Virtual SAN помещает блоки в кэш на чтение только на тех хостах, которые активно обслуживают этот блок и владеют им, а те хосты, которые просто хранят копию данных - в Read cache таких блоков не помещают.


Таги: VMware, Virtual SAN, VSAN, Storage, Blogs, vSphere, ESXi

Как добавить свое правило (custom firewall rule) в сетевой экран VMware ESXi и сделать его NTP-сервером.


В небольших инсталляциях виртуальной инфраструктуры VMware vSphere может оказаться оправданным сделать один из серверов VMware ESXi сервером NTP, чтобы с ним синхронизировали свое время другие хосты.

Интересно, что немногие знают о том, что NTP-клиент сервера VMware ESXi 5.x (NTP-демон /sbin/ntpd) работает по-умолчанию не только как клиент, но и отдает время по запросу другим серверам как NTP-сервер. Поэтому достаточно лишь указать адрес хоста ESXi в качестве целевого хоста для синхронизации времени - и все будет работать.

Загвоздка тут одна - по умолчанию фаервол сервера ESXi блокирует входящие NTP-запросы по протоколу UDP на порт 123. Чтобы это исправить, нужно добавить собственное правило в сетевой экран. К сожалению, в Firewall GUI этой возможности не предусмотрено, поэтому придется лезть в конфиг-файл.

Для начала выведем список всех активных правил фаервола ESXi командой:

esxcli network firewall ruleset list

Создаем файл ntpd.xml с конфигурацией сервиса NTP со следующим содержимым (подробнее о процессе - тут):

<!-- Firewall configuration information for NTP Daemon -->
<ConfigRoot>
  <service>
      <id>NTP Daemon</id>
      <rule id='0000'>
          <direction>inbound</direction>
          <protocol>udp</protocol>
          <porttype>dst</porttype>
          <port>123</port>
      </rule>
      <enabled>false</enabled>
      <required>false</required>
  </service>
</ConfigRoot>

Далее кладем этот файл в папку на хосте ESXi /etc/vmware/firewall/ntpd.xml и выполняем команду:

esxcli network firewall refresh

После этого мы увидим новое правило в конфигурации сетевого экрана ESXi (в командной строке его можно проверить командой list, приведенной выше):

Однако, к сожалению, пользовательская конфигурация фаервола ESXi не сохраняется при перезагрузке хоста, о чем написано в KB 2007381. Поэтому можно просто положить ntpd.xml на общее хранилище и добавить в /etc/rc.local команду по копированию ntpd.xml в нужную папку хоста и комнду рефреша правил фаервола. Однако это ненадежно, поскольку зависит от доступности общего хранилища.

Поэтому, все-таки, лучше сделать это правило постоянным с помощью процедуры, описанной у Андреаса, заметка которого и стала основой этой статьи. Для этого нужно будет создать и установить VIB-пакет (как сделать это для любого случая описано в той же KB 2007381).

Ну а используя готовый пакет от Андреаса, можно установить созданный им VIB для добавления правила в фаервол для NTP-сервера:

esxcli software acceptance set --level CommunitySupported
esxcli software vib install -v http://files.v-front.de/fwenable-ntpd-1.2.0.x86_64.vib

Все это работает как для ESXi 5.0/5.1, так и для ESXi 5.5.


Таги: VMware, ESXi, Security, Firewall, Blogs, NTP, vSphere

1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15    >   >>
Поиск по сайту:
Реклама


Advertisement


Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

24/07/2014:  Вебинар "Использование публичных облаков в ритейле"
03/09/2014:  VMware RoadShow Tour 2014 Алматы
04/09/2014:  VMware RoadShow Tour 2014 Санкт-Петербург

Быстрый переход:
VMware StarWind Microsoft Gartner IT-Grad Oracle VDI 5nine Veeam Citrix Red Hat Symantec NetApp Linux Hyper-V Amazon Softline Offtopic IBM Security Code Cisco NVIDIA vGate Google Parallels VMTurbo EMC VSI HP Security Windows vCenter VMachines Storage Cloud Webinar View VKernel Events Hardware Windows 7 Caravan Apple Xen Hyper9 Nicira Blogs Sun VMC Xtravirt Novell vSphere IntelVT Сравнение VirtualIron XenServer VirtualBox CitrixXen ESXi ESX ThinApp VMFS Books Enterprise P2V VMworld USB iSCSI Virtual SAN SMB vCSA NSX Workstation Calculator Horizon Manager Бесплатно XenDesktop RHEV Log Insight Azure Backup AWS VSAN Labs Update IaaS XenClient vCHS V2V HA vExpert Client PowerCLI Beta VCP Visio Server SAN SaaS Tools Support XenApp Virtual Appliance MAP ONE Converter vCloud DaaS VSA Certification Desktop SRM Networking vNetwork Monitoring VPLEX UCS Video Poster VSPP SDRS Demo PCoIP Обучение Mobile SC VMM vMotion VDI-in-a-Box RDM Deduplication Operations Reporter RVTools Whitepaper vShield DRS ACE Performance Cloud Computing VMDK Fusion Network Go nworks iPad XCP Data Recovery Partners Sizing Licensing VMotion Snapshot FlexPod VMsafe Enteprise Monitor Fault Tolerance KVM vStorage Essentials Live Migration SCVMM TCO Studio AMD-V VirtualCenter NFS ThinPrint Troubleshooting Replication Chargeback Heartbeat Web Client Upgrade Android MSCS esxtop Connector Director SSH Ports Bug Memory Logs SVMotion Storage DRS CLI Bugs Snapshots Composer PowerShell DPM Mac
Интересные плакаты:

Постер о VMware vSphere 5.1 CLI:

Постер о vSphere 5.1 PowerCLI

Постер VMware vCloud Networking:

Порты и соединения VMware vSphere 5:

Управление памятью в VMware vSphere 5:

Составляющие решения VMware vCloud:

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Проектирование инфраструктуры виртуализации VMware vSphere 4.

Как поднять программный iSCSI Target на Windows 2003 Server для ESX

Отличия VMware ESXi 4 free (бесплатного), ESXi 4 и ESX 4 в составе VMware vSphere.

Новые возможности VMware vSphere 5.0 - официально.

Бесплатные программы для VMware ESX / ESXi в среде Virtual Infrastructure / vSphere (часть 2).

Windows 7 в виртуальной машине VMware Workstation 6.5.2 и Virtual XP Mode.

Недорогая конфигурация сервера VMware ESX/ESXi

Как запустить VMware vSphere Client под Windows 7 для управления ESX или ESXi.

Все ресурсы о виртуализации:
Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Купить:

VMware vSphere 5.5


Veeam Backup 7


Полезные ресурсы:


Видео компании VMware

Видео про Citrix Xen

Видео о виртуализации Microsoft

Утилиты для виртуальных машин Microsoft.

Книги на английском языке

Блоги на английском языке

Блоги на русском языке

Агрегация статей в твиттере VMC:


Copyright VM Guru 2006 - 2014, Александр Самойленко. Правила перепечатки материалов.