Новости Статьи VMware Veeam StarWind vGate! Microsoft ИТ-ГРАД Citrix 5nine События Релизы Пресса Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Виртуализация vSphere, Hyper-V, XenServer и Red Hat

Более 2920 заметок о виртуализации и виртуальных машинах VMware, Microsoft, Citrix, Red Hat

VM Guru / Search

OpenSSL HeartBleed и VMware vSphere - вышли патчи 5.5 Update 1a и 5.5c.


Пару недель назад мы писали об уязвимости OpenSSL HeartBleed, которая коснулась виртуальной инфраструктуры VMware vSphere, а также других продуктов компании VMware. Напомним, что эта уязвимость позволяла злоумышленнику получить доступ к памяти сервера, где могут храниться логины/пароли и другая информация пользователей.

На прошлой неделе компания VMware выпустила фиксы для этого бага в виде обновлений VMware vSphere 5.5 Update 1a и VMware vSphere 5.5c, подробнее о которых написано в специальной статье KB 2076665.

Но тут, как часто бывает, вышла оказия. Нашелся еще один баг в VMware vSphere 5.5 Update 1 - оказывается, если для этого билда использовать NFS-хранилища, то они периодически отваливаются, то есть переходят в состояние APD (All paths down). Это касается и VSA-хранилищ. В логах при этом наблюдается что-то вроде такого:

2014-04-01T14:35:08.074Z: [APDCorrelator] 9413898746us: [vob.storage.apd.start] Device or filesystem with identifier [12345678-abcdefg0] has entered the All Paths Down state.
2014-04-01T14:35:08.075Z: [APDCorrelator] 9414268686us: [esx.problem.storage.apd.start] Device or filesystem with identifier [12345678-abcdefg0] has entered the All Paths Down state.
2014-04-01T14:36:55.274Z: No correlator for vob.vmfs.nfs.server.disconnect
2014-04-01T14:36:55.274Z: [vmfsCorrelator] 9521467867us: [esx.problem.vmfs.nfs.server.disconnect] 192.168.1.1/NFS-DS1 12345678-abcdefg0-0000-000000000000 NFS-DS1
2014-04-01T14:37:28.081Z: [APDCorrelator] 9553899639us: [vob.storage.apd.timeout] Device or filesystem with identifier [12345678-abcdefg0] has entered the All Paths Down Timeout state after being in the All Paths Down state for 140 seconds. I/Os will now be fast failed.
2014-04-01T14:37:28.081Z: [APDCorrelator] 9554275221us: [esx.problem.storage.apd.timeout] Device or filesystem with identifier [12345678-abcdefg0] has entered the All Paths Down Timeout state after being in the All Paths Down state for 140 seconds. I/Os will now be fast failed.

Решения для этой проблемы пока нет, поэтому рекомендуется просто откатиться на VMware vSphere 5.5 (без Update 1), если вы используете NFS-хранилища или модуль VSA.

Так вот, поэтому vSphere 5.5 Update 1 и просто vSphere 5.5 надо обновлять разными патчами для устранения уязвимости OpenSSL HeartBleed (чтобы на 5.5 не накатилась проблема с APD):

VMware ESXi 5.5, Patch Release ESXi550-201404001
Это патч только для фикса хостов ESXi 5.5 Update 1

VMware ESXi 5.5, Patch Release ESXi550-201404020
А этот патч для фикса хостов разных версий 5.5 за исключением ESXi 5.5 Update 1, а именно:
ESXi 5.5.0 hosts
ESXi 5.5.0 hosts patched with ESXi550-201312101-SG bulletin
ESXi 5.5.0 hosts patched with ESXi550-201312401-BG bulletin
ESXi 5.5.0 hosts patched with ESXi550-201403101-SG bulletin
ESXi 5.5.0 hosts patched with ESXi-5.5.0-20131201001s-standard image profile
ESXi 5.5.0 hosts patched with ESXi-5.5.0-20131201001s-no-tools image profile
ESXi 5.5.0 hosts patched with ESXi-5.5.0-20131204001-standard image profile
ESXi 5.5.0 hosts patched with ESXi-5.5.0-20131204001-no-tools image profile
ESXi 5.5.0 hosts patched with ESXi-5.5.0-20140301001s-standard image profile
ESXi 5.5.0 hosts patched with ESXi-5.5.0-20140301001s-no-tools image profile

Для серверов vCenter есть также соответствующие патчи:

VMware рекомендует сначала обновить серверы vCenter, а потом уже обновлять хосты ESXi. Сама процедура обновления описана в KB 2076692.

После обновления, на хостах ESXi надо перегенерить сертификаты и сменить пароли root. Делается это так:

cd /etc/vmware/ssl
/sbin/generate-certificates
chmod +t rui.crt
chmod +t rui.key
passwd root

Ну и надо отметить, что для всех остальных продуктов VMware также вышли фиксы уязвимости OpenSSL HeartBleed. Информация о них доступна по этой ссылке: http://www.vmware.com/security/advisories/VMSA-2014-0004.html.


Таги: VMware, Security, vSphere, ESXi, vCenter, Bug, Bugs, NFS, Storage

Анонсирован VMware Horizon 6 - обновление View, Workspace и конкуренция с Citrix.


В конце прошлой недели компания VMware сделала анонс долгожданного мажорного обновления своих продуктов для виртуализации ПК предприятия - VMware Horizon 6. С момента релиза VMware Horizon View 5.3 прошло всего 5 месяцев, а компания VMware вновь идет на штурм рынка VDI, делая очень серьезную заявку на победу над Citrix. Итак, давайте разбираться, что к чему.


Таги: VMware, Horizon, View, Updtae, ESXi, vSphere, Mirage, Workspace, VDI

Уязвимость OpenSSL HeartBleed и серверы VMware vSphere - таки да, есть.


На днях ИТ-сообщество переполошилось из-за очень неприятного факта - уязвимости OpenSSL HeartBleed, которая была обнаружена в версии защищенного протокола OpenSSL 1.0.1 и 1.0.2-beta. Уязвимость получилась из-за того, что отсутствует необходимая проверка границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS.

Это позволяет злоумышленнику получить доступ к оперативной памяти сервера, где хранятся, в том числе, сами секретные ключи, имена и пароли пользователей, а также много чего еще. После того, как нехороший товарищ получил, что хотел, обнаружить факт его проникновения в систему невозможно. За один такт можно получить сегмент в 64 КБ памяти, но делать это такими кусочками можно сколь угодно долго, постоянно обновляя соединение.

Как пишет Хабр, 1 января 2012 года, Robin Seggelmann отправил, а steve проверил commit, который добавлял HeartBeat в OpenSSL. Именно этот коммит и привнес уязвимость, которую назвали Heartbleed. То есть, пару лет любой желающий мог вылавливать данные из памяти где-то 2/3 всех защищенных серверов мира. Эта версия OpenSSL используется в веб-серверах Nginx и Apache, в почтовых серверах, IM-системах, VPN, а также еще очень-очень много где. Сертификаты скомпрометированы, логины/пароли, возможно, утекли к посторонним людям. Кошмар, бардак, ядерная война.

Например, уязвимость есть вот в этих Linux-дистрибутивах:

  • Debian Wheezy (стабильная), OpenSSL 1.0.1e-2+deb7u4)
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11)
  • CentOS 6.5, OpenSSL 1.0.1e-15)
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c) и 5.4 (OpenSSL 1.0.1c)
  • FreeBSD 8.4 (OpenSSL 1.0.1e) и 9.1 (OpenSSL 1.0.1c)
  • NetBSD 5.0.2 (OpenSSL 1.0.1e)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c)

Ну и, конечно же, серверы VMware ESXi 5.5 (build 1331820) и ESXi 5.5 Update 1 (build 1623387) также имеют эту уязвимость. Проверить это просто - выполняем команду:

# vmware -vl

VMware ESXi 5.5.0 build-1331820
VMware ESXi 5.5.0 GA

# openssl version -a

OpenSSL 1.0.1e 11 Feb 2013
built on: Tue Feb 26 16:34:26 PST 2013

Видим, что здесь версия 1.0.1e, которая подвержена уязвимости.

А вот для пользователей VMware ESXi 5.1 бонус - уязвимости тут нет, так как используется другой бранч OpenSSL (0.9.8y):

# vmware -vl

VMware ESXi 5.1.0 build-1612806
VMware ESXi 5.1.0 Update 2

# openssl version -a

OpenSSL 0.9.8y 5 Feb 2013
built on: Wed Mar 20 20:44:08 PDT 2013

Есть даже вот такая табличка с VMware Communities, где показано, какие компоненты и каких версий подвержены уязвимости (выделенные цветом - подвержены):


Product Build OpenSSL Version
ESXi 5.1 U2 VMware ESXi 5.1.0 build-1612806 OpenSSL 0.9.8y 5 Feb 2013
ESXi 5.5 GA (no U1) VMware ESXi 5.5.0 build-1331820 OpenSSL 1.0.1e 11 Feb 2013
vCenter 5.1 U1 VMware vCenter Server 5.1.0 Build 1235232 OpenSSL 0.9.8t 18 Jan 2012
vCenter 5.1 U2 <unknown> OpenSSL 0.9.8y 5 Feb 2013
vCenter 5.5 GA <unknown> OpenSSL 1.0.1e 11 Feb 2013
OpenSSL 0.9.8y 5 Feb 2013
vMA 5.0 virtual appliance vMA 5.0.0 BUILD-724898 OpenSSL 0.9.8j-fips 07 Jan 2009
vMA 5.1 virtual appliance vMA 5.1.0 BUILD-1062361

OpenSSL 1.0.0c 2 Dec 2010

Фикса бага пока нет - но он ожидается в ближайшие дни (возможно, на момент прочтения вами этой заметки он уже выйдет). За развитием ситуации можно также следить тут.

Подробное описание уязвимости можно прочитать на специальном сайте: http://heartbleed.com/.

Проверить свой публичный сайт на наличие уязвимой версии протокола можно вот тут: http://filippo.io/Heartbleed/.


Таги: VMware, vSphere, Security, Bug, Bugs, ESXi, vCenter

VMware HA не перезапускает виртуальные машины при выключении/рестарте хоста ESXi через DCUI.


Интересную особенность тут обнаружил один из читателей Дукана Эппинга: оказывается в VMware vSphere 5.5 Update 1 при перезапуске/выключении хоста VMware ESXi через консоль DCUI рестарта его виртуальных машин посредством механизма VMware HA не происходит.

Ну то есть, если выключение ESXi делать по клавише <F12> в консоли сервера:

Действительно, в этом случае в логе FDM можно увидеть вот такую запись:

2014-04-04T11:41:54.882Z [688C2B70 info 'Invt' opID=SWI-24c018b] [VmStateChange::SavePowerChange] 
vm /vmfs/volumes/4ece24c4-3f1ca80e-9cd8-984be1047b14/New Virtual Machine/New Virtual Machine.vmx
curPwrState=unknown curPowerOnCount=0 newPwrState=powered off clnPwrOff=true hostReporting=host-113

Это означает, что VMware vSphere считает, что виртуальные машины были выключены корректно (администратором/хостом), а значит их перезапуск механизмом VMware HA не требуется (параметр clnPwrOff=true).

Совсем другая картина, если мы делаем ребут или выключение VMware ESXi из VMware vSphere Client или vSphere Web Client:

В этом случае в логе FDM мы обнаружим что-то вроде такого:

2014-04-04T12:12:06.515Z [68040B70 info 'Invt' opID=SWI-1aad525b] [VmStateChange::SavePowerChange] 
vm /vmfs/volumes/4ece24c4-3f1ca80e-9cd8-984be1047b14/New Virtual Machine/New Virtual Machine.vmx
curPwrState=unknown curPowerOnCount=0 newPwrState=powered on clnPwrOff=false hostReporting=host-113

Здесь уже мы видим, что clnPwrOff=false, а значит vSphere полагает, что что-то пошло не так и VMware HA перезапустит виртуальные машины "отказавшего" хоста.

Это поведение актуально для VMware vSphere 5.5 Update 1, но пользователи в комментариях к статье Дункана отмечают, что подобное поведение наблюдается и для vSphere 5.0. Поэтому будет не лишним знать об этом всем тем, кто после настройки отказоустойчивого кластера VMware HA тестирует его работоспособность путем перезагрузки хостов ESXi.


Таги: VMware, vSphere, HA, VMachines, ESXi, DCUI, Troubleshooting

Пример использования кластера VMware Virtual SAN для резервной инфраструктуры vSphere (+Replication / SRM).


Недавно компания VMware начала серию статей про совместимость ее решения для организации кластеров хранилищ Virtual SAN с различными продуктами (например, с vCloud Automation Center и решением для резервного копирования vSphere Data Protection). Но многих пользователей интересует юзкейс использования VSAN для катастрофоустойчивой инфраструктуры, управляемой VMware Site Recovery Manager. А именно, с точки зрения экономии, наиболее интересным вариантом является создание резервной инфраструктуры на базе хранилищ локальных дисков серверов VMware ESXi, бэкэнд которых обеспечивается кластером хранилищ VSAN:

Такая схема полностью поддерживается со стороны VMware, как для решения vSphere Replication, обеспечивающего репликацию виртуальных машин на резервный сайт и его VSAN-хранилища, так и для vCenter Site Recovery Manager, обеспечивающего оркестрацию процесса.

Естественно, на данный момент поддерживается совместимость SRM+VSAN только на базе технологии асинхронной репликации vSphere Replication, поэтому такой сценарий не подойдет тем, кто хочет обеспечить RPO=0 для сервисов виртуальных машин в случае массового сбоя или катастрофы на основной площадке. Но для сценариев с RPO=15 минут такая схема вполне подойдет.

Зато такая схема не требует больших вложений в резервную инфраструктуру - не нужно покупать дорогостоящие FC-хранилища, SAN-коммутаторы и прочее. Для организации такой схемы резервирования можно использовать как только механизм vSphere Replication (но тогда потребуются регулярные ручные операции + ручное сопровождение в случае сбоя), так и автоматизировать процесс с помощью vCenter SRM.

При этом SRM может обеспечить следующие возможности:

  • Автоматизированный Failover и Failback (нужно только нажать кнопку).
  • Управление процессом восстановления из консоли vCenter.
  • Возможность запланированной миграции сервисов на резервную площадку (при этом основную площадку можно сделать резервной).
  • Несколько точек для восстановления в случае порчи данных (например, надо откатиться на день назад).
  • Возможность протестировать процесс восстановления, не затрагивая продакшен-среду.

На тему всего этого компания VMware сделала отличное поясняющее видео, в котором показан процесс переезда с традиционной SAN-инфраструктуры на новую площадку, где хранилища построены на базе технологии VMware Virtual SAN:


Таги: VMware, Virtual SAN, SRM, Video, VSAN, ESXi, vSphere, DR, Enterprise

Режим высокой производительности для требовательных виртуальных машин в VMware vSphere 5.5 (Latency Sensitivity).


Не все администраторы VMware vSphere знают о том, что в версии vSphere 5.5, компания VMware сделала специальную настройку для виртуальных машин - Latency Sensitivity. Она позволяет снизить издержки на виртуализацию для виртуальной машины в случае, когда требуется ее производительность близкая к нативной (то есть почти без потерь на нужды слоя виртуализации).

Найти ее можно в vSphere Web Client, если выбрать нужную ВМ, перейти на вкладку Manage, далее выбрать Settings->VM Options и в разделе Advanced Settings перейти на опцию Latency Sensitivity:

Там можно выбрать значения Low, High, Medium и Normal, однако значения Medium и Normal в vSphere 5.5 являются экспериментальными, поэтому пока можно использовать только Low (по умолчанию) и High (режим высокой производительности для чувствительных нагрузок).

Детально о том, что конкретно делает этот режим, можно почитать в документе "Deploying Extremely Latency-Sensitive Applications in VMware vSphere 5.5", мы же здесь приведем основные моменты.

Итак, если вы ставите Latency Sensivity для виртуальной машины в значение High, происходит следующее:

Виртуальная машина получает эксклюзивный доступ к физическим ресурсам хоста

  • Планировщик CPU хоста ESXi определяет возможность того, может ли быть предоставлен эксклюзивный доступ виртуального процессора vCPU к физическому процессору (ядру) сервера pCPU, учитывая реальное состояние процессора (нагруженность, over-commit и прочее). При возможности происходит резервирование pCPU для виртуального процессора на 100%. В этом случае никакие другие vCPU и трэды не могут быть исполнены на этом pCPU (включая VMkernel I/O threads).
  • Возможность latency-sensitivity требует от пользователя установки резервирования памяти (Memory Reservation), чтобы выделенная виртуальной машине память не была ненароком отдана другой машине средствами Memory Ballooning. Это позволит дать гарантию, что машина всегда будет иметь в своем распоряжении четко выделенный сегмент физической оперативной памяти хоста ESXi, даже в случае недостатка ресурсов на хосте.

Обход слоя виртуализации

  • Как только машина получила эксклюзивный доступ к pCPU, ее виртуальный процессор может напрямую взаимодействовать с его ресурсами в обход планировщика VMkernel. Это ликвидирует затраты на переключение между VMkernel и монитором виртуальных машин (VMM), однако переключения между исполнением кода гостевой ОС и VMM по-прежнему остаются (но это делается очень быстро за счет технологий аппаратной виртуализации, которые есть сейчас в любом процессоре).

Тюнинг механизмов виртуализации на хосте

  • Когда в качестве виртуального сетевого адаптера (VMNIC) виртуальной машины используется устройство VMXNET3, то функция Interrupt coalescing и поддержка LRO отключаются, чтобы уменьшить время отклика и джиттер. Если виртуальной машине не нужны такие функции, как vMotion, NetIOC и Fault tolerance, то можно и нужно использовать механизмы проброса сетевого устройства напрямую в виртуальную машину (pass-through) через механизм Single-root I/O virtualization (SR-IOV). Поддержка этого механизма появилась еще в VMware vSphere 5.1, но была существенно доработана в версии 5.5.

Вкратце это все, но больше новых подробностей о требовательных ко времени отклика виртуальных машинах можно почерпнуть из приведенного выше документа.


Таги: VMware, vSphere, Performance, ESXi, VMachines

StarWind VSA Builder - быстрый способ развернуть виртуальную машину с ПО StarWind iSCSI SAN V8 на сервере VMware ESXi.


Как знают все те, кто интересуется решением для создания отказоустойчивых хранилищ StarWind iSCSI SAN, совсем недавно вышла обновленная версия StarWind V8 RC, которая пришла на смену StarWind V8 Beta 3.

Совсем скоро появится релизная восьмая версия продукта, в которой будет масса нововведений, в том числе обновленное средство для деплоя ПО StarWind на серверы VMware ESXi - StarWind VSA Builder.

При установке этот компонент называется VSAN Deployment Tools:

Для начала процесса развертывания ПО StarWind нужно нажать на иконку Deploy VSAN в Management Console:

Указываем параметры сервера VMware ESXi:

Указываем путь к ISO-образу с установкой Windows Server или скачиваем его:

Далее указываем исошник к инсталляции StarWind или также скачиваем:

После чего указываем хранилище хоста VMware ESXi, где будет размещена виртуальная машина:

Далее указываем параметры виртуального диска StarWind - то есть, непосредственного хранилища виртуальных машин на диске полученной машины:

Ну и после всего этого начнется развертывание виртуальной машины с ПО StarWind внутри:

По окончанию процесса установки, вы сможете открыть в полученной ВМ StarWind Management Console и управлять виртуальными хранилищами, создать отказоустойчивый кластер и многое другое. Саму эту виртуальную машину можно использовать как шаблон для развертывания новых узлов кластера StarWind.

Скачать StarWind iSCSI SAN V8 Release Candidate можно по этой ссылке.


Таги: StarWind, ESXi, iSCSI, SAN, VSAN, Virtual Appliance

Настройка доступа пользователей из трастовых доменов к VMware vSphere / ESXi.


Как многие знают, в VMware vSphere 5.5 был полностью переписан движок сервисов аутентификации Single-Sign-On (SSO), так как раньше VMware использовала стороннее решение. Теперь же нет старой базы RSA, а контроллеры доменов Active Directory не нужно указывать напрямую. Механизм аутентификации стал проще, но при этом эффективнее.

Итак, например, у вас такая задача - есть домен, в который вы заводите серверы VMware ESXi и vCenter, и администраторы которого будут рулить виртуальной инфраструктурой. Но у вас есть и второй трастовый домен, пользователей которого вы бы также хотели наделять полномочиями по управлению своей частью инфраструктуры. Тут надо отметить, что полноценная поддержка односторонних и двусторонних AD-трастов появилась только в vSphere 5.5, поэтому в более ранних версиях платформы сделать этого по-нормальному не получится.

Итак, как мы помним, завести серверы VMware ESXi в домен AD можно в раздеде Configuration-> Authentication Services

Тут можно добавить основной домен, но в строчке Trusted Domain Controllers мы увидим пустоту, так как настраивать это нужно не через "толстый" vSphere Client, который скоро перестанет поддерживаться, а через "тонкий" vSphere Web Client, в котором возможности добавления источников аутентификации для сервера SSO весьма обширны.

Итак:

  • Открываем Sphere Web Client по ссылке https://<адрес сервера vCenter>:9443/vsphere-client
  • Заходим обязательно как administrator@vsphere.local. Именно под этим пользователем - обычный админ не прокатит - раздел SSO будет скрыт.
  • Идем в раздел Administration > Single Sign-On > Configuration

Если этого раздела в vSphere Web Client вы не видите, значит вы зашли не под administrator@vsphere.local.

Далее идем в раздел Identity Sources и там нажимаем "+":

Добавляем новый источник:

Добавляем источник именно как "Active Directory as a LDAP Server", так как основной источник Active Directory (первый вариант) может быть добавлен только один.

Вот пример заполнения данных по домену:

Тут не заполнены только обязательные поля "Base DN for users" и "Base DN for groups". Если вы хотите искать пользователей во всем каталоге домена, то укажите в обоих этих полях просто подобное значение (из примера):

DC=virten,DC=local

Далее нужно протестировать соединение (Test Connection).

После того, как новый домен будет добавлен как Identity Source, его можно будет увидеть при добавлении любого разрешения на вкладке Permissions:

Вот так все и просто. Добавляете пользователя и даете ему права на различные объекты виртуальной инфраструктуры VMware vSphere.


Таги: VMware, ESXi, Active Directory, vSphere, Authentication, Обучение

VMware VSAN Policies - политики для отказоустойчивого кластера хранилищ VMware vSphere.


Как многие уже слышали, совсем недавно вышла первая версия продукта VMware VSAN, который был выпущен одновременно с релизом обновленной платформы VMware vSphere 5.5 Update 1. Многие уже принялись тестировать это решение, которое (что похвально) теперь работает производительнее своей же бета-версии и в то же время линейно масштабируется по количеству узлов ESXi с точки зрения производительности...


Таги: VMware, VSAN, Storage, Обучение, VMDK, VMachines, HA, vSphere, ESXi

Как вернуть SSD-накопитель, который был создан как устройство vFlash, хосту VMware ESXi.


Достаточно давно мы писали о технологии VMware vFlash (теперь она называется vSphere Flash Read Cache), которая пришла на смену технологии Swap-to-SSD - она позволяет использовать локальные SSD-диски хостов VMware ESXi для задач кэширования. Напомним, что Flash Read Cache позволяет использовать кэширование данных только на чтение для дисков VMDK виртуальных машин, работает она на уровне гипервизора и существенно улучшает производительность виртуальных машин, которые интенсивно используют подсистему ввода-вывода для операций на чтение.

Очевидно, что SSD-кэш, который по производительности находится между оперативной памятью и обычными дисками, существенно повышает быстродействие в системах, где периодически наблюдается недостаток ресурсов RAM. Все это дело работает в кластере до 32 хостов ESXi.

Однако, иногда вам может понадобиться вернуть SSD-накопитель хосту ESXi, чтобы использовать его для других задач. Можно попробовать отключить использование ресурсов vFlash для всех виртуальных машин хоста, затем пойти в раздел "Virtual Flash Resource Management" и выбрать опцию "Remove All" - но это не сработает. Появятся следующие ошибки:

Host’s virtual flash resource is inaccessible.
The object or item referred to could not be found.

Чтобы вернуть диск SSD снова в строй понадобится удалить специальный раздел - vFlash File System partition. Для этого нужно сначала его найти. Выполняем команду:

ls /vmfs/devices/disks

Тут мы видим нашу SSD-партицию (видим в середине буквы "SSD" - не ошибитесь - нам нужен раздел без ":1"):

disk ID “t10.ATA_____M42DCT032M4SSD3__________________________00000000121903600F1F”

Сносим эту партицию с помощью утилиты partedutil, используя найденный Disk ID:

partedutil delete "/vmfs/devices/disks/t10.ATA_____M42DCT032M4SSD3__________________________00000000121903600F1F" 1

Что-то вроде этого:

После чего мы видим, что диск SSD освободился и его можно использовать на хосте VMware ESXi:

Источник.


Таги: VMware, ESXi, SSD, Storage, vFlash, Blogs

Обновился документ "Security of the VMware vSphere Hypervisor" - безопасность ESXi.


Те из вас, кто интересуется безопасностью виртуальной инфраструктуры VMware vSphere, наверняка знают такое нужное руководство, как "VMware vSphere Hardening Guide", которое предоставляет рекомендации и практичные советы по комплексной защите виртуальной инфраструктуры, включая хосты, виртуальные машины, сервер vCenter и т.п.

Однако этот документ - еще не все, что есть полезного на тему безопасности от VMware (кстати, централизованно все ресурсы находятся в VMware Security Center). Недавно обновился документ "Security of the VMware vSphere Hypervisor" (25 страниц), который описывает инфраструктуру безопасности непосредственно хоста ESXi на уровне ядра и интерфейсов.

Содержание документа:

  • Secure Virtual Machine Isolation in Virtualization
    • Virtualization Extensions
    • Instruction Isolation
    • Memory Isolation
    • Memory Protection
    • Device Isolation
      • Device Access to Hardware
      • I/O Remapping
    • Resource Provisioning, Shares, and Limits
      • Provisioning
      • Shares
      • Limits
  • Network Isolation
    • ESXi Networks
    • Virtual Machine Networks
    • Virtual Networking Layer
      • Virtual Switches
      • Virtual Switch VLANs
      • Virtual Ports
      • Virtual Network Adapters
      • Virtual Switch Isolation
      • Virtual Switch Correctness
  • Virtualized Storage
    • Linked Clones
    • Raw Device Mapping
    • I/O Path
    • SAN Security
    • iSCSI Security
    • VMFS
    • NFS Security
  • Secure Management
    • ESXi Is Not Linux
    • Administrative Interfaces
    • DCUI
    • Host Agent
    • VMware vSphere ESXi Shell
    • Network Access to Administrative Interfaces
    • SSL Certificates
    • Management Interface Firewall
    • Security of Management Protocols
    • Administrative User Access
    • Limit Root Access
    • Lockdown Mode
  • Platform Integrity Protection
    • Secure Software Packaging
    • Software Assurance and Integrity Protection
  • VMware Secure Development Life Cycle

Документ отличает высокий технический уровень, который позволяет понять процессы, происходящие в недрах ESXi. Вот так, например, выглядит схема прохождения инструкций процессора на различных уровнях:

А вот так - использование физической и виртуальной памяти хостов виртуальными машинами:

Ну и вообще в документе немало интересного.


Таги: VMware, ESXi, Security, Whitepaper, Update

Как перезапустить Management Network на VMware ESXi из командной строки.


Многим администраторам виртуальной инфраструктуры VMware vSphere зачастую приходится перезапускать Management Network после различных операций с хостом VMware ESXi (например, чтобы обновить аренду IP-адреса у DHCP-сервера).

Делается это из консоли сервера ESXi (DCUI) в пункте меню "Restart Management Network":

Напомним, что доступ к графическому интерфейсу консоли сервера (DCUI) можно получить и по протоколу SSH, выполнив команду:

# dcui

Однако многие хотели бы рестартовать сеть ESXi консольной командой ESXCLI, которую можно выполнить, например, из vSphere Management Assistant. Для этого нужно просто отключить и включить сетевой интерфейс VMkernel на хосте. Делается это через пространство имен esxcli network.

При этом, поскольку вы подключены к ESXi через этот интерфейс, то нужно, чтобы две команды (отключение и включение) были выполнены обязательно вместе. Делается это добавлением точки с запятой (";") между командами.

Итак, узнаем имя интерфейса командой:

esxcli network ip interface ipv4 get

Далее отключаем и включаем интерфейс vmk0, что соответствует функции Restart Management Network в графическом интерфейсе хоста:

esxcli network ip interface set -e false -i vmk0; esxcli network ip interface set -e true -i vmk0


Таги: VMware, ESXi, vNetwork, Networking, VMachines, Blogs

Что находится внутри VMware Tools в VMware vSphere 5.5 + параметры их установки.


Интересную статью об установке VMware Tools недавно написал Андрэас. Приведем здесь основные моменты. Итак, во время установки VMware Tools в Windows-машине на VMware vSphere мы видим следующие компоненты:

Для многих организаций важно, какое именно ПО устанавливается на сервер или рабочую станцию, чтобы можно было не устанавливать ненужные сервисы и компоненты, увеличивающие площадь атаки для злоумышленника.

Кроме этого, интересно, конечно же, взглянуть на то, что находится внутри MSI-пакета setup.exe (или setup64.exe для 64-битных систем), который находится в установочном образе VMware Tools ISO, а также узнать о параметрах его установки.

Итак, берем утилиту Microsoft Orca editor из состава Windows Installer Development Tools, открываем наш MSI-пакет и переходим на вкладку Features. Там мы видим следующее дерево компонентов (то, что выделено жирным - отсутствует в GUI):

  • Toolbox (Toolbox)
    • Perfmon (WMI Performance Logging) - не устанавливается для Workstation/Fusion.
    • Unity (Support for Unity feature) - поддержка функций Unity - только для Workstation/Fusion.
    • Plugins
      • TrayIcon (Display the Tray Icon) - иконка тулзов в трее, можно отключить, если поставить свойство MSI-пакета NO_TRAYICON=1.
  • Drivers (VMware Device Drivers)
    • PVSCSI (Paravirtual SCSI) - драйвер паравиртуализованного виртуального диска, недоступен если ОС Windows 2000 или более старая.
    • MemCtl (Memory Control Driver) - драйвер управления памятью для поддержки технологии Memory Ballooning.
    • Mouse (PS2 Mouse Driver) - драйвер мыши PS2 (legacy).
    • MouseUSB (USB Mouse Driver) - драйвер мыши USB.
    • SVGA (SVGA Driver) - видеодрайвер.
    • Audio (Audio Driver) - аудиодрайвер, устанавливается по умолчанию, не ставится для Windows XP-32bit, Windows 2000 и более ранних ОС.
    • VMXNet (VMXNet NIC Driver) - драйвер виртуального сетевого адаптера первого поколения, устанавливается по умолчанию для ОС Windows 2000/XP/2003/2008/2008R2.
    • VMXNet3 (VMXNet3 NIC Driver) - драйвер последнего поколения виртуального сетевого адаптера, устанавливается по умолчанию, не ставится для Windows 2000 и более ранних.
    • VSS (Volume Shadow Copy Services Support) - поддержка механизма VSS (в том числе для систем резервного копирования). Устанавливается для Windows 2003/Vista и более поздних. Не устанавливается, если хотя бы один из сервисов ComSysApp или MSDTC отключен.
    • VMCI (VMCI Driver)
      • VShield (vShield Drivers) - не отмечен по умолчанию, ставится только если машина работает на ESXi в Windows XP SP2+/2003 SP1+  или более поздних версиях.
      • Hgfs (Shared Folders) - компонент общих папок между хостом и гостевой ОС для VMware Fusion/Workstation (для них устанавливается по умолчанию, для ESXi по умолчанию отключен).
    • BootCamp (Mac BootCamp Support - VMware Fusion only) - устанавливается только для VMware Fusion/Workstation, начиная с Windows XP.
    • Buslogic (SCSI Driver) - устанавливается только для Windows 2000 и 32-битных версиях XP/2003. В других случах не ставится.
    • Sync (Filesystem Sync Driver) - устанавливается только на ESXi и только для Windows 2000 и 32-битных версиях XP/2003. Необходим для систем резервного копирования для "заморозки" файловой системы во время снятия бэкапа, чтобы он получился консистентным. На более поздних ОС уже работает VSS-компонент.
    • WYSE (Wyse Multimedia Support) - поддержка терминалов WYSE. Не устанавливается по умолчанию, доступно только на Windows XP и 2003.
  • Common
    • Microsoft_x86_Dll

Как можно заметить, устанавливаются или нет некоторые компоненты при установке VMware Tools зависит от того, какая версия Windows используется, ну и, конечно, где устанавливается пакет - на VMware ESXi или на настольной платформе VMware Workstation/Fusion.

В документации по VMware Tools рассказано о том, как можно добавлять или исключать компоненты из установки, а также устанавливать тулзы в silent-режиме (то есть, без GUI) и без перезагрузки гостевой ОС.

Например, вот такая команда установщика установит VMware Tools в тихом режиме для Windows-на ESXi, при этом у вас не будет ненужных компонентов, а также иконки VMware Tools в трее:

setup[64].exe /s /v /qn ADDLOCAL=All REMOVE=Hgfs,WYSE,Audio,BootCamp,Unity,VShield,TrayIcon

А эта команда сделает то же самое, но еще и предупредит перезагрузку, а также запишет лог установки в специальный файл (это все одна строчка):

setup[64].exe /s /v /qn /l*v "%TEMP%\vmmsi.log" REBOOT=R ADDLOCAL=All REMOVE=Hgfs,WYSE,Audio,BootCamp,Unity,VShield,TrayIcon

Такая команда обновит VMware Tools с момента прошлой установки:

setup[64].exe /s /v /qn REINSTALLMODE=vomus ADDLOCAL=All REMOVE=Hgfs,WYSE,Audio,BootCamp,Unity,VShield,TrayIcon

Более подробно о параметрах установки VMware Tools можно прочитать в KB 2000399.

Если же вы хотите проверить, какие компоненты VMware Tools установлены, то для этого есть скрипт WiListPrd.vbs, вывод которого выглядит следующим образом:

> cscript WiListPrd.vbs "VMware Tools" f


Таги: VMware, Tools, VMachines, ESXi, vSphere, Fusion, Workstation

Как защитить служебные виртуальные модули (Virtual Appliances) в виртуальной инфраструктуре VMware vSphere.


Как многие из вас знают, в виртуальной инфраструктуре VMware vSphere некоторое количество программного обеспечения распространяется в виде виртуальных модулей (Virtual Appliances), представляющих собой готовые виртуальные машины с необходимыми сервисами внутри.

К ним, например, относятся следующие вспомогательные модули от самой VMware:

  • vCenter Server Virtual Appliance 5.5 (VCVA) - главный сервер управления виртуальной инфраструктурой vSphere на базе ОС SUSE Linux.
  • vCenter Orchestrator 5.5 (vCOva) - средство автоматизации операций для виртуальных машин и хост-серверов.
  • vCenter Operations Manager 5.7.1 (vCOPs) - средство комплексного мониторинга и анализа виртуальной среды.
  • vCenter Infrastructure Navigator 2.0 (VIN) - решение для автоматического обнаружения и визуализации компонентов приложений и зависимостей инфраструктуры.
  • vCloud Automation Center Virtual Appliance 6.0 (vCACva) -  средство управления облачной инфраструктурой предприятия (SaaS, PaaS, IaaS) за счет единого решения, построенного поверх VMware vCloud Director.
  • vCenter Management Assistant (vMA) - вынесенная "сервисная консоль" за пределы хост-серверов ESXi в отдельный виртуальный модуль, с которого удобно выполнять консольные команды RCLI (например, мониторинга - resxtop), а также хранить и запускать различные скрипты. 
  • VMware Log Insight - централизованное средство сбора и анализа логов, о нем мы уже писали тут.
  • Horizon Workspace Manager 1.5 (наша статья тут) -  средство автоматизации инфраструктуры виртуальных и физических ПК.
  • vCloud Connector 2.5.1 (vCC) - средство миграции виртуальных машин на платформе VMware vSphere из частного облака предприятия в публичное хостинг-провайдера и обратно.

Все эти модули (а также и модули от сторонних производителей), будучи неотъемлемыми компонентами виртуальной среды, нуждаются в защите. Чтобы облегчить эту задачу пользователям, компания VMware выпустила документ "Hardened Virtual Appliance Operations Guide", в котором на 16 страницах вкратце рассказывают о том, как нужно защищать эти виртуальные модули в следующих контекстах:

  • Root password - поставить нормальный пароль (сменить дефолтный!).
  • Password Expiry - поставить нормальную политику устаревания паролей.
  • Выполнить скрипт повышенной безопасности для параноиков (Dodscript.sh - сделан для Минобороны США). Там же написано про то, как поменять Security Banner (то есть скрин логина в консоль ESXi, на котором вывешено предупреждение об ответственности за несанкционированный доступ).
  • Secure Shell, Administrative Accounts, and Console Access - использовать защищенный доступ к консоли виртуальных модулей.
  • Time Sourcing and Synchronization - применять синхронизацию времени с доверенным источником.
  • Log Forwarding – Syslog-ng and Auditd - перенаправлять собираемые логи на отдельный защищенный сервер.
  • Boot Loader (Grub) Password - поставить пароль на загрузчик, исключающий также загрузку в Single user mode.
  • Отключить сервисы NFS и NIS.

Начинание это, безусловно, является хорошим шагом со стороны VMware в плане обеспечения безопасности виртуальных модулей и инфраструктуры в целом. Но как-то маловато 16 страниц, вы не находите?


Таги: VMware, Virtual Appliance, Security, ESXi, vSphere, Whitepaper

Вышел VMware vCenter Server 5.1 Update 2 и VMware ESXi 5.1 Update 2.


Для тех из вас, кто по причине отсутствия купленной подписки, лени или еще какой другой, использует старую версию платформы виртуализации VMware vSphere 5.1, компания VMware выпустила обновление VMware vCenter Server 5.1 Update 2.

Что нового в Update 2:

  • vCenter Server 5.1 теперь поддерживается на платформе Windows Server 2012 R2.
  • Возможность кастомизации нескольких дополнительных гостевых ОС через vCenter:
    • Windows 8.1
    • RHEL 6.4
    • Windows Server 2012 R2
    • SLES 11 Service Pack 3
  • Добавлена поддержка СУБД Microsoft SQL Server 2012 Service Pack 1.
  • Обновление протокола OpenSSL до версии openssl-0.9.8y.
  • Исправления ошибок, которые можно найти вот тут.

Скачать VMware vCenter Server 5.1 Update 2 можно по этой ссылке.

Кроме этого, вышел также и VMware ESXi 5.1 Update 2, где почти ничего не изменилось:

  • Появилась поддержка новых гостевых ОС (их список есть в VMware Compatibility Guide).
  • Было исправлено несколько ошибок, список которых приведен вот тут.

Скачать VMware ESXi 5.1 Update 2 можно по этой ссылке.


Таги: VMware, vSphere, Update, ESXi, vCenter

Вышел VMware ESXi 5.5.0 Driver Rollup 1.


Несколько недель назад компания VMware выпустила обновление ESXi 5.5.0 Driver Rollup 1, представляющее собой ISO-образ с самим ESXi 5.5 и дополнительными драйверами. Этот образ подходит только для чистой установки на хост и не поддерживает режим обновления (Upgrade).

VMware ESXi 5.5.0 Driver Rollup 1 содержит в себе драйверы IOVP certified drivers (IOVP  - I/O Vendor Partner Program), то есть драйверы от производителей, которые добавились или обновились с момента выхода ESXi 5.5.

Обновлены были драйверы оборудования следующих производителей:

  • Broadcom
  • Cisco
  • Emulex
  • Fusion-io
  • HP
  • Hitachi
  • Intel
  • LSI Corporation
  • QLogic
  • Virident Systems

Release Notes для ESXi 5.5.0 Driver Rollup 1 доступны по этой ссылке.


Таги: VMware, ESXi, Update, Hardware, vSphere

Как кластер VMware Virtual SAN (VSAN) обслуживает запросы на чтение блоков.


Мы уже немало писали про кластеры хранилищ VMware Virtual SAN (последнее - тут и тут), а сегодня рассмотрим механизм работы запросов на чтение блоков, который описал в своем блоге Duncan Epping.

Итак, схема кластера VMware Virtual SAN:

Здесь мы видим такую картину - виртуальная машина находится на хосте ESXi-01, а ее блоки размером 1 МБ размещаются на хранилищах разных хостов. При этом блоком 1 владеет ESXi-01, а блоком 2 - ESXi-03. Хост ESXi-02 не принимает участия в обработке запросов ввода-вывода.

Схема работы запроса на чтение проста - сначала проверяется наличие блока в кэше на чтение (Read cache), и если там блока не оказывается, то проверяется Write buffer на хранилище SSD (если блок еще не успел записаться на HDD) и непосредственно сам HDD-диск. В данном случае блок 1 нашелся на SSD-диске в кэше на чтение.

Второй же блок обслуживается хостом ESXi-03, но его не оказалось в кэше на чтение, и он читается с HDD-диска. Тут надо отметить, что кластер Virtual SAN помещает блоки в кэш на чтение только на тех хостах, которые активно обслуживают этот блок и владеют им, а те хосты, которые просто хранят копию данных - в Read cache таких блоков не помещают.


Таги: VMware, Virtual SAN, VSAN, Storage, Blogs, vSphere, ESXi

Как добавить свое правило (custom firewall rule) в сетевой экран VMware ESXi и сделать его NTP-сервером.


В небольших инсталляциях виртуальной инфраструктуры VMware vSphere может оказаться оправданным сделать один из серверов VMware ESXi сервером NTP, чтобы с ним синхронизировали свое время другие хосты.

Интересно, что немногие знают о том, что NTP-клиент сервера VMware ESXi 5.x (NTP-демон /sbin/ntpd) работает по-умолчанию не только как клиент, но и отдает время по запросу другим серверам как NTP-сервер. Поэтому достаточно лишь указать адрес хоста ESXi в качестве целевого хоста для синхронизации времени - и все будет работать.

Загвоздка тут одна - по умолчанию фаервол сервера ESXi блокирует входящие NTP-запросы по протоколу UDP на порт 123. Чтобы это исправить, нужно добавить собственное правило в сетевой экран. К сожалению, в Firewall GUI этой возможности не предусмотрено, поэтому придется лезть в конфиг-файл.

Для начала выведем список всех активных правил фаервола ESXi командой:

esxcli network firewall ruleset list

Создаем файл ntpd.xml с конфигурацией сервиса NTP со следующим содержимым (подробнее о процессе - тут):

<!-- Firewall configuration information for NTP Daemon -->
<ConfigRoot>
  <service>
      <id>NTP Daemon</id>
      <rule id='0000'>
          <direction>inbound</direction>
          <protocol>udp</protocol>
          <porttype>dst</porttype>
          <port>123</port>
      </rule>
      <enabled>false</enabled>
      <required>false</required>
  </service>
</ConfigRoot>

Далее кладем этот файл в папку на хосте ESXi /etc/vmware/firewall/ntpd.xml и выполняем команду:

esxcli network firewall refresh

После этого мы увидим новое правило в конфигурации сетевого экрана ESXi (в командной строке его можно проверить командой list, приведенной выше):

Однако, к сожалению, пользовательская конфигурация фаервола ESXi не сохраняется при перезагрузке хоста, о чем написано в KB 2007381. Поэтому можно просто положить ntpd.xml на общее хранилище и добавить в /etc/rc.local команду по копированию ntpd.xml в нужную папку хоста и комнду рефреша правил фаервола. Однако это ненадежно, поскольку зависит от доступности общего хранилища.

Поэтому, все-таки, лучше сделать это правило постоянным с помощью процедуры, описанной у Андреаса, заметка которого и стала основой этой статьи. Для этого нужно будет создать и установить VIB-пакет (как сделать это для любого случая описано в той же KB 2007381).

Ну а используя готовый пакет от Андреаса, можно установить созданный им VIB для добавления правила в фаервол для NTP-сервера:

esxcli software acceptance set --level CommunitySupported
esxcli software vib install -v http://files.v-front.de/fwenable-ntpd-1.2.0.x86_64.vib

Все это работает как для ESXi 5.0/5.1, так и для ESXi 5.5.


Таги: VMware, ESXi, Security, Firewall, Blogs, NTP, vSphere

Как ведет себя кластер VMware Virtual SAN (VSAN) в случае сбоев дисков или хоста VMware vSphere / ESXi.


Мы уже много писали о технологии VMware Virtual SAN (VSAN), которая позволяет создать отказоустойчивый кластер хранилищ для виртуальных машин на основе комбинации SSD+HDD локальных дисков серверов VMware ESXi. Не так давно вышла обновленная бетаэтого решения, кроме того мы не так давно писали о производительности VSAN тут.

В этой заметке (на базе статьи Дункана) мы поговорим о том, как кластер VSAN обрабатывает сбои различного типа, и как происходит восстановление работоспособности виртуальной машины без ее простоя.

Итак, в нормальном режиме функционирования, при значении параметра FailuresToTolerate равном 1, который означает, какое количество отказов хостов может пережить кластер хранилищ, реплика одного VMDK будет размещена на дисках еще одного из хостов кластера:

Тут можно заметить 5 особенностей кластера VMware VSAN:

  • Виртуальный диск VMDK и его реплика всегда находятся на разных хост-серверах VMware vSphere.
  • ВМ не обязательно должна исполняться на том хосте ESXi, на дисках которого находятся ее хранилища.
  • Компонент witness находится на третьем по отоношению к виртуальному диску и его реплике хосте, чтобы создать определенность на случай разделения сети VSAN (где окажется 2 компонента из набора "vmdk-реплика-witness" - тот сегмент и будет определяющим).
  • Сеть VSAN используется для операций ввода-вывода и определения доступности.
  • Реплика VMDK-диска вместе с основной копией образуют RAID-1 массив, который увеличивает производительность операций чтения в виртуальной машине, так как для чтения используются оба хранилища.

Кроме того, вследствие особенностей реализации кластера VSAN, надо понимать, что команды ввода-вывода не применяются к диску данных виртуальной машины, пока не пришло подтверждение об их записи на реплике. Но подтверждение приходит не от HDD-диска, где находятся данные ВМ (это было бы очень медленно), а от SSD-диска, который используется как энергонезависимый Write Buffer для команд ввода вывода. Таким образом, этот буфер (и данные, само собой) зеркалирован в рамках дисковой группы на другом хосте ESXi.

Теперь рассмотрим различные виды сбоев в кластере VSAN.

1. Ломается диск дисковой группы, где исполняется виртуальная машина.

Выглядит это так:

В этом случае такой диск сразу же помечается как "degraded", а команды ввода-вывода перенаправляются на другой хост-сервер VMware ESXi. При этом виртуальная машина этого не замечает, так как переключается на работу с SSD-буфером/кэшем и HDD-дисками другого хоста мгновенно (данные на момент сбоя были синхронизированы, ничего не потерялось).

Одновременно с этим сразу же начинается процесс построения реплики на другом хосте ESXi в рамках его дисковой группы, при этом проверяется, достаточно ли там свободных дисковых ресурсов. Если их недостаточно, то механизм VSAN будет ожидать. Как только вы добавите диски/дисковые группы на хостах - сразу же начнется процесс построения реплики (до его окончания машина будет помечена как "degraded").

Тут надо отметить, что в degraded-состоянии скорость записи данных останется прежней, простоя не будет, а вот скорость чтения упадет до построения новой реплики, поскольку второй копии данных пока нет.

2. Отказывает хост VMware ESXi целиком.

В этом случае запускать процесс восстановления сразу же, конечно, не нужно - мало ли что могло случиться с хостом, например, его случайно перезагрузили, или временно пропало сетевое соединение.

В этом случае происходит ожидание в течение 60 минут, и если отказавший хост ESXi не оживет, то начнется процесс создания реплики виртуального диска VMDK на другом хосте. Это время можно изменить в расширенной настройке кластера VSAN.ClomRepairDelay, но пока не известно будет ли это поддерживаться со стороны VMware.

3. Отказ SSD-диска в дисковой группе.

В кластере VMware Virtual SAN поддерживается 1 SSD-диск и до 7 HDD-дисков в одной дисковой группе. Всего на один хост VMware ESXi поддерживается до 5 дисковых групп.

В данном случае Failure Domain - это вся дисковая группа, включающая в себя SSD-диск, который используется для двух типов операций:

  • Read Cache (70% емкости) - безопасное кэширование операций на чтение. На SSD-диске хранятся наиболее часто используемые блоки, что уменьшает I/O read latency для ВМ.
  • Write Buffering (30% емкости) - когда приложение внутри гостевой ОС пытается записать данные, оно получает подтверждение записи тогда, когда данные фактически записаны на SSD (не на HDD), таким образом твердотельный накопитель используется как буфер на запись, что небезопасно при внезапном пропадании питания или отказе хоста. Поэтому данные этого буфера дублируются на других хостах кластера и их SSD-дисках.

Таким образом, при отказе SSD-диска, виртуальная машина начинает использовать реплику на уровне всей дисковой группы на другом хосте VMware ESXi. Вот почему выгодно делать две дисковых группы 3HDD+1SSD, чем одну  6HDD+1SSD.

Вот, в общем-то, и все. Более подробно об использовании SSD-дисков, их производительности и ресурсе можно прочитать вот в этой статье.


Таги: VMware, VSAN, HA, Performance, Storage, ESXi, vSphere

Как добавлять и сравнивать данные о производительности VMware ESXi, полученные средствами ESXTOP, с помощью Windows Perfmon.


Мы очень много писали о том, как с помощью утилиты esxtop можно собирать с хостов VMware ESXi данные о производительности и различные метрики (например, тут и тут). Данные, полученные с помощью этой утилиты, очень часто помогают разобраться в источнике проблем в части вычислительных ресурсов, хранилищ и сетевого взаимодействия.

В этой заметке мы поговорим немного о визуализации данных esxtop. Не так давно мы писали об утилите VisualEsxtop, которая как раз тем самым и занимается - строит графики по наборам данных. Но недавно мы наткнулись на простой способ, позволяющий с помощью Windows Perfmon сравнивать наборы данных esxtop с разных хостов ESXi.

1. Итак, сначала нужно собрать данные с хоста ESXi в пакетном режиме в файл .csv. Например:

esxtop -b -d 10 -n 360 > esxtopresults.csv

Здесь:

  • -b - означает пакетный режим работы утилиты.
  • -d (delay) - промежуток между срезами сбора данных.
  • -n - число число таких срезов (сэмплов).

В данном случае будет собрано 360 сэмплов данных с промежутком в 10 секунд, то есть сбор займет 1 час.

Можно сжать результаты, чтобы экономить место на хосте, командой:

esxtop -b -d 10 -n 360 | gzip > esxtopresults.csv.gz

2. Загружаем данные в Windows Perfmon, выбрав источник - наш файл csv:

Визуализируем нужные счетчики:

3. Пробуем добавить еще один csv с другого хоста ESXi (с которым мы хотим сравнить данные первого хоста), но нам говорят, что так нельзя - можно такие файлы смотреть только по одному:

Не беда - сохраняем данные как бинарный файл с расширением *.blg, выбрав нужные счетчики:

Дальше просто удаляем этот файл из источников данных Perfmon, добавляем второй csv-файл и так же сохраняем его как *.blg.

Ну а дальше оба этих файла добавляем по одному - и все работает:

Добавляем сохраненные счетчики:

И данные с обоих хостов показываются на одном графике:

Источник заметки: www.viktorious.nl.


Таги: VMware, ESXi, esxtop, perfmon, Windows, Performance, vSphere

Полный обзор новых возможностей vGate R2 версии 2.6 - демо-версия уже доступна.


Не так давно мы уже писали про новые возможности технического релиза vGate R2 версии 2.6 - продукта, предназначенного для защиты виртуальных инфраструктур VMware. Там мы описали основные новые фичи решения, которое уже, кстати, доступно для загрузки в демо-версии, а в этой статье рассмотрим их подробнее, приведем несколько скриншотов и комментариев.


Таги: vGate, Security, Update, Security Code, VMware, ESXi, vSphere, vCenter, View

Как правильно клонировать виртуальную машину с VMware ESXi внутри.


Многие администраторы и разработчики для своих целей используют VMware ESXi, работающий в виртуальной машине (так называемый Nested ESXi). Туда даже можно ставить свои VMware Tools.

При этом, когда требуется использовать виртуальные ESXi, как правило, их требуется несколько штук. Есть три способа получить их:

  • Поставить заново и настроить - самый надежный, но долгий.
  • Использовать процедуру автоматической установки и настройки Kickstart. Но тут надо знать, как это делается.
  • Склонировать существующий экземпляр ESXi - самое простое решение, но сделать это нужно правильно.

Вильям Лам описал третий вариант процедуры подготовки ESXi к клонированию, после проведения которой можно развертывать эти инстансы легко и просто. В результате у новых ESXi будут свои MoRef ID, UUID, BIOS UUID и MAC-адреса.

Итак, что нужно сделать:

1. Смена MAC-адреса VMkernel при смене MAC-адреса сетевого интерфейса VM Network.

Если развертывать новый ESXi с новым MAC-адресом Virtual machine network, то необходимо также поменять MAC-адрес VMkernel. Для этого есть настройка FollowHardwareMac, которая позволяет делать это автоматически.

Для этого выполняем команду консоли ESXCLI:

esxcli system settings advanced set -o /Net/FollowHardwareMac -i 1

2. Удаляем упоминание об UUID из esx.conf.

Запись о системном UUID сервера ESXi хранится в основном конфигурационном файле esx.conf (/etc/vmware/esx.conf). Нужно удалить строчку с упоминанием этого UUID - и тогда он сгенерируется при следующей загрузке.

После этого можно выключать ВМ с виртуальным VMware ESXi и клонировать ее. При загрузке новой ВМ, естественно, нужно поменять IP-адрес и прочую сетевую идентификацию.

В комментариях к заметке Вильяма пишут, что такой способ можно использовать для клонирования LUN, содержащего образ для загрузки ESXi по SAN.


Таги: VMware, ESXi, VMachines, Nested, vSphere, Blogs

Сайзинг кластеров хранилищ VMware VSAN в VMware vSphere и их отказоустойчивость.


Как многие знают, в VMware vSphere 5.5 появились возможности Virtual SAN, которые позволяют создать кластер хранилищ для виртуальных машин на основе комбинации SSD+HDD локальных дисков серверов VMware ESXi. Не так давно вышла обновленная бета этого решения, кроме того мы не так давно писали о производительности VSAN тут и тут.

Сегодня же мы поговорим о том, как нужно сайзить хранилища Virtual SAN в VMware vSphere, а также немного затронем тему отказоустойчивости. Более детальную информацию можно найти в VMware Virtual SAN Design & Sizing Guide, а ниже мы расскажем о подходе к планированию хранилищ VSAN вкратце.

Объекты и компоненты Virtual SAN

Начнем с простого ограничения по объектам (objects) и компонентам (components), которое есть в VSAN. Виртуальные машины, развернутые на vsanDatastore, могут иметь 4 типа объектов:

  • Домашняя директория виртуальной машины Virtual Machine ("namespace directory").
  • Объект файла подкачки - swap object (для включенной ВМ).
  • Виртуальный диск VMDK.
  • Дельта-диски для снапшотов. Каждый дельта-диск - это отдельный объект.

Каждый объект, в зависимости от типа RAID, рождает некоторое количество компонентов. Например, один VMDK, размещенный на двух томах страйпа (RAID 0) рождает два объекта. Более подробно об этом написано вот тут.

Так вот, ограничения тут следующие:

  • Максимальное число компонентов на 1 хост ESXi: 3000.
  • Максимальное число компонентов для одного объекта: 64 (это включает в себя тома страйпов и также реплики VMDK с других хостов).

На практике эти ограничения вряд ли актуальны, однако о них следует знать.

Сколько дисков потребуется для Virtual SAN

Во второй бета-версии VSAN (и, скорее всего, так будет в релизной версии) поддерживается 1 SSD-диск и до 7 HDD-дисков в одной дисковой группе. Всего на один хост VMware ESXi поддерживается до 5 дисковых групп. Таким образом, на хосте поддерживается до 5 SSD-дисков и до 35 HDD-дисков. Надо убедиться, что контроллеры хоста поддерживают необходимое количество дисков, а кроме того нужно проверить список совместимости VSAN HCL, который постоянно пополняется.

Также надо учитывать, что кластер хранилищ Virtual SAN поддерживает расширение как путем добавления новых дисков, так и посредством добавления новых хостов в кластер. На данный момент VMware поддерживает кластер хранилищ максимум из 8 узлов, что суммарно дает емкость в дисках в количестве 40 SSD (1*5*8) и 280 HDD (7*5*8).

Сколько дисковой емкости нужно для Virtual SAN (HDD-диски)

Необходимая емкость под размещение VMDK зависит от используемого параметра FailuresToTolerate (по умолчанию 1), который означает, какое количество отказов хостов может пережить кластер хранилищ. Если установлено значение 1, то реплика одного VMDK будет размещена на дисках еще одного из хостов кластера:

Тут можно сказать о том, как работает отказоустойчивость кластера Virtual SAN. Если отказывает хост, на котором нет виртуальной машины, а есть только VMDK или реплика, то виртуальная машина продолжает работу с основной или резервной копией хранилища. В этом случае начнется процесс реконструкции реплики, но не сразу - а через 60 минут, чтобы дать время на перезагрузки хоста (то есть если произошел не отказ, а плановая или внеплановая перезагрузка), а также на короткие окна обслуживания.

А вот если ломается хост, где исполняется ВМ - начинается процедура восстановления машины средствами VMware HA, который перезапускает ее на другом хосте, взаимодействуя при этом с Virtual SAN.

Более подробно этот процесс рассмотрен вот в этой статье и вот в этом видео:

Однако вернемся к требующейся нам емкости хранилищ. Итак, если мы поняли, что значит политика FailuresToTolerate (FTT), то требуемый объем хранилища для кластера Virtual SAN равняется:

Capacity = VMDK Size * (FTT + 1)

Что, в принципе, и так было очевидно.

Сколько дисковой емкости нужно для Virtual SAN (SSD-диски)

Теперь перейдем к SSD-дискам в кластере VSAN, которые, как известно, используются для вспомогательных целей и не хранят в себе данных виртуальных машин. А именно, вот для чего они нужны (более подробно об этом тут):

  • Read Cache - безопасное кэширование операций на чтение. На SSD-диске хранятся наиболее часто используемые блоки, что уменьшает I/O read latency для ВМ.
  • Write Buffering - когда приложение внутри гостевой ОС пытается записать данные, оно получает подтверждение записи тогда, когда данные фактически записаны на SSD (не на HDD), таким образом твердотельный накопитель используется как буфер на запись, что небезопасно при внезапном пропадании питания или отказе хоста. Поэтому данные этого буфера дублируются на других хостах кластера и их SSD-дисках.

Так каковы же рекомендации VMware? Очень просты - под SSD кэш и буфер неплохо бы выделять 10% от емкости HDD-дисков хоста. Ну и не забываем про значение FailuresToTolerate (FTT), которое в соответствующее число раз увеличивает требования к емкости SSD.

Таким образом, необходимая емкость SSD-хранилищ равна:

Capacity = (VMDK Size * 0.1) * (FTT + 1)

Ну и напоследок рекомендуем отличнейший список статей на тему VMware Virtual SAN:


Таги: VMware, Virtual SAN, VSAN, vSphere, ESXi, Storage, Sizing, Blogs

VMware Tools для виртуального VMware ESXi - очередная полезность на VMware Labs.


То, о чем думали многие экспериментаторы и разработчики, но боялись попросить - на сайте проекта VMware Labs появились VMware Tools для виртуального VMware ESXi. Они поддерживают VMware vSphere версий 5.0, 5.1 и 5.5. 

Как многим стало понятно, это пакет ПО, предназначенный для установки в консоли сервера ESXi, когда он установлен в виртуальной машине, запущенной на уже физической платформе с ESXi (по аналогии с VMware Tools для виртуальных машин).

Вот какие возможности есть в VMware Tools for Nested ESXi:

  • Предоставляет в консоли vSphere Client информацию о виртуальной машине с Nested ESXi (IP-адрес, имя хоста и прочее).
  • Позволяет виртуальному ESXi быть правильно перезапущенным или выключенным (restart и shut down, соответственно) при операциях через vSphere Client (толстый клиент) или vSphere API.
  • Возможность выполнения скриптов во время изменения хостом ESXi состояний питания (включение, выключение и т.п.).
  • Поддержка Guest Operations API (бывший VIX API) для операций внутри ВМ (т.е. в консоли вложенного ESXi).

Порядок установки:

  • Вариант 1 - скачиваем VIB-пакет, кладем его на датастор и ставим:

esxcli system maintenanceMode set -e true  esxcli software vib install -v /vmfs/volumes/[VMFS-VOLUME-NAME]/esx-tools-for-esxi-9.7.0-0.0.00000.i386.vib -f

esxcli system shutdown reboot -r "Installed VMware Tools" - See more at: http://www.virtuallyghetto.com/2013/11/w00t-vmware-tools-for-nested

esxi.html#sthash.f89qps1O.dpuf

  • Вариант 2 - устанавливаем VIB прямо с сайта VMware:

esxcli network firewall ruleset set -e true -r httpClient 

esxcli software vib install -v http://download3.vmware.com/software/vmw-tools/esxi_tools_for_guests/esx-tools-for-esxi-9.7.0-0.0.00000.i386.vib -f

Далее нужно перезагрузить виртуальный VMware ESXi.

Чтобы удалить эти VMware Tools, используйте команду:

esxcli software vib remove -n esx-tools-for-esxi


Таги: VMware, Tools, ESXi, Nested, VMachines, Blogs, Labs

Как заставить работать неподдерживаемый SATA AHCI Controller сервера с VMware ESXi 5.5.


С выходом обновленной версии платформы виртуализации VMware vSphere 5.5 компания VMware ввела новую модель Native Device Driver Architecture, которая позволяет использовать нативные драйверы для VMkernel вместо драйверов под Linux.

Однако, помимо этого нововведения, VMware также убрала и неофициальную поддержку многих SATA-контроллеров, которые раньше и не заявлялись как работающие, но вполне нормально функционировали на whitebox-конфигурациях (например, контроллеры ASMedia и Marvell). Теперь многие SATA-контроллеры в ESXi 5.5 просто не работают.

Но не все так плохо. Поскольку поддержка старой модели драйверов еще осталась (неизвестно будет ли она в следующей версии ESXi, но скорее всего будет, так как не все партнеры успеют перейти на новую модель), то можно заставить работать некоторые неподдерживаемые контроллеры SATA AHCI, поскольку сам драйвер AHCI остался в виде модуля VMkernel (ahci). Andreas Peetz не только написал хорошую статью о том, как это сделать, но и сделал кастомные VIB-пакеты для добавления поддержки некоторых SATA-контроллеров AHCI.

Суть такая - автор раньше думал, что команда vmkload_mod ahci заставляет ESXi загружать драйверы для всех обнаруженных PCI-устройств, то оказалось, что она конфигурирует только устройства, которые есть в файле /etc/vmware/driver.map.d/ahci.map. А там неподдерживаемых девайсов не появляется. Поэтому надо сделать отдельный map-файл и добавить ссылки соответствующих устройств (их PCI ID) на драйвер AHCI.

Андреас сделал VIB-пакет позволяющий добавить поддержку ESXi следующих SATA-контроллеров:

  • ASMedia Technology Inc. ASM1061 SATA IDE Controller (1b21:0611)
  • ASMedia Technology Inc. ASM1062 Serial ATA Controller (1b21:0612)
  • Marvell Technology Group Ltd. 88SE9123 PCIe SATA 6.0 Gb/s controller (1b4b:9123)
  • Marvell Technology Group Ltd. 88SE9172 SATA 6Gb/s Controller (1b4b:9172)

В каментах Андреас принимает заявки на добавление поддержки нужных SATA-контроллеров, так что если их в приведенном выше списке - пишите ему и он добавит.

Процедура добавления поддержки контроллеров такова. Добавляем возможность использования кастомных драйверов на ESXi:

esxcli software acceptance set --level=CommunitySupported

Разрешаем использование http на хосте в фаерволе:

esxcli network firewall ruleset set -e true -r httpClient

Устанавливаем VIB-пакет:

esxcli software vib install -v https://esxi-customizer.googlecode.com/files/sata-xahci-1.0-1.x86_64.vib

Пакет sata-xahci предоставляется как в виде VIB-файла, так и в виде Offline Bundle. Включить драйверы в состав установщика ESXi можно с помощью инструментов ESXi-Customizer или ESXi-Customizer-PS.


Таги: VMware, Storage, ESXi, Hardware, vSphere, Unsupported

Компания VMware показала нового Вову - виртуальный модуль vSphere OpenStack Virtual Appliance (VOVA).


Те из вас, кто интересуется облачными технологиями, наверняка знают инициативу OpenStack, которая представляет собой комплекс проектов свободного программного обеспечения, предназначенного для построения облачной инфраструктуры.

Open Stack - это не продукт, не платформа и не фреймворк. Это некий набор "кирпичиков", с помощью которых может строиться инфраструктура облака, в том числе гетерогенная:

OpenStack называют еще облачной операционной системой, хотя, строго говоря, она таковой не является. Эту инициативу в той или иной степени поддерживают 150 компаний (это активных, а пассивных намного больше), хотя большинство архитектур OpenStack используют в качестве ОС Ubuntu (в 80% случаев), а в качестве гипервизора KVM.

Но поскольку основной целью OpenStack провозглашается открытость и вендоронезависимость при построении частного или публичного облака, то вы можете использовать в качестве гипервизора, например, VMware ESXi, а в качестве хранилищ Microsoft Windows Server 2012 R2, используя при этом компоненты OpenStack, предназначенные для комплексного управления облачными сервисами (многие из них, кстати ориентированы на средства самообслуживания пользователей, которые сами могут запрашивать себе ресурсы облака). В этом смысле средства OpenStack чем-то похожи на решение vCloud Director от компании VMware.

Еще летом 2013 года компания VMware объявила о скором запуске виртуального модуля vSphere OpenStack Virtual Appliance (VOVA), который позволит наладить интеграцию с такими компонентами OpenStack, как Nova (контроллер вычислительных ресурсов) and Cinder (облачные блочные хранилища).

А совсем недавно VMware объявила о новой версии vSphere OpenStack Virtual Appliance (VOVA), которое можно использовать для дистрибутива Mirantis OpenStack (компании Mirantis).

Однако, скажем сразу, что этот модуль не является официальным решением VMware, это просто способ показать, как именно можно интегрировать компоненты VMware vSphere в архитектуру OpenStack.

Вот что можно делать с помощью VOVA:

  • В качестве OpenStack Compute service (Nova) использовать VMware vCenter Server
  • В качестве OpenStack Networking service (Neutron) использовать VMware NSX (пока недоступно в текущей версии)
  • В качестве OpenStack Block Storage service (Cinder) использовать виртуальные диски формата VMware VMDK
  • Возможность совместимости с дистрибутивом OpenStack Havana в будущих релизах

Видеодемонстрация решения vSphere OpenStack Virtual Appliance:

Для тех, кто дочитал до конца, бонус - лабораторная работа, где можно самостоятельно потыкать Вову и ознакомиться с архитектурой OpenStack: http://labs.hol.vmware.com/HOL/#lab/698.

Ну и постоянная ссылка на инициативы VMware для OpenStack - http://www.vmware.com/go/openstack.


Таги: VMware, VOVA, OpenStack, ESXi, vSphere, Cloud, Cloud Computing

Процедура обновления компонентов решения vGate R2 от Кода Безопасности.


Продолжаем вас знакомить с продуктом vGate R2, предназначенным для защиты виртуальных сред VMware vSphere. Напомним, что он позволяет производить автоматическую настройку конфигурации безопасности хост-серверов VMware ESX / ESXi средствами политик, защищать инфраструктуру от несанкционированного доступа, а также имеет все необходимые сертификаты ФСТЭК (включая сертификаты на vSphere 5.1).


Таги: vGate, VMware, Update, Security, ESX, ESXi

Документы: что такое VMware vSphere Flash Read Cache (vFlash) и официальный FAQ.


Мы уже писали про распределенный кэш на SSD-накопителях локальных дисков серверов ESXi, который имел рабочее название vFlash, а затем превратился в полноценную функцию VMware vSphere Flash Read Cache платформы VMware vSphere 5.5.

Сегодня мы хотим обратить внимание на два интересных документа, которые раскрывают подробности использования этой технологии.

Напомним, что Flash Read Cache позволяет использовать кэширование данных только на чтение для дисков VMDK виртуальных машин, работает она на уровне гипервизора и существенно улучшает производительность виртуальных машин, которые интенсивно используют подсистему ввода-вывода для операций на чтение. Очевидно, что SSD-кэш, который по производительности находится между оперативной памятью и обычными дисками, существенно повышает быстродействие в системах, где периодически наблюдается недостаток ресурсов RAM. Все это дело работает в кластере до 32 хостов ESXi.

Итак, первый документ о том как работает технология Flash Read Cache - "What’s New in VMware vSphere Flash Read Cache":

В этом документе описано, как работает инфраструктура vFlash в рамках виртуальной инфраструктуры vSphere, для каких целей можно использовать данную технологию, требования, а также шаги по установке и настройке этого механизма.

Второй документ - это официальный FAQ VMware по технологии Flash Read Cache - "VMware vSphere Flash Read Cache 1.0 FAQ". Так как она появилась впервые, и не все технические особенности ясны администраторам, в документе даны ответы аж на 67 вопросов.

Интересные факты из этого FAQ:

  • В качестве интерфейсов накопителей поддерживаются SATA, SAS и PCI Express.
  • До 8 устройств vFlash на один хост ESXi и до 4 ТБ емкости на устройство (до 400 ГБ на один VMDK). На один контейнер VFFS (то есть на хост) поддерживается до 32 ТБ.
  • В качестве хранилищ ВМ механизмом поддерживаются тома VMFS/NFS/vRDM (pRDM не поддерживается).
  • Настраивается только через Web Client.
  • При изменении настроек vFlash все кэши для дисков сбрасываются.
  • Thin provisioning не поддерживается технологией vFlash.
  • При миграции виртуальной машины средствами vMotion можно использовать 2 политики: Always migrate the cache contents (copy) - кэш копируется вместе с ВМ и Do not migrate the cache contents (drop) - кэш очищается. Техники VMware HA / SVMotion также полностью поддерживается.
  • Механизм VMware DRS при миграции не затрагивает машины с включенным Virtual Flash Read Cache.
  • Операции, которые очищают кэш ВМ: suspend, изменение конфигурации, удаление, перезапуск машины или хоста, восстановление из снапшота. Операции, которые не очищают кэш: снятие снапшота, клонирование, миграция vMotion, fast suspend/resume.
  • В vCenter есть 3 специальных метрики для мониторинга vFlash (IOPS, Latency и объем кэша).
  • Кэшем vFlash можно управлять через ESX CLI: get –m <module> -c <cache file name>
  • Файлы кэша vFlash находятся в следующей директории на хосте: /vmfs/volumes/vffs/vflash

Информацию об официально поддерживаемых механизмом VMware vSphere Flash Read Cache устройствах можно найти по этой ссылке: http://www.vmware.com/resources/compatibility/search.php?deviceCategory=vfrc


Таги: VMware, vSphere, vFlash, ESXi, Storage, Performance, Whitepaper

Вышла финальная версия руководства по безопасности VMware vSphere 5.5 Hardening Guide.


Не так давно мы писали о том, что компания VMware обкатывает бета-версию своего руководства по обеспечению безопасности виртуальной среды, а вчера этот документ VMware vSphere 5.5 Hardening Guide был выпущен в окончательной редакции. Если говорить об изменениях по сравнению с бета-версией, то в основном были сделаны добавления в части vSphere Web Client.

Традиционно в документе, который представляет собой Excel-файл с несколькими вкладками, присутствуют следующие разделы:

  • Virtual Machines
  • ESXi hosts
  • Virtual Network
  • vCenter Server (а также различные БД и клиенты)
  • vCenter Web Client
  • vCenter SSO Server
  • vCenter Virtual Appliance (VCSA) и различные аспекты его использования
  • vCenter Update Manager
  • vSphere Management Assistant (vMA)
  • различные аддоны

По поводу большинства рекомендаций есть необходимые команды CLI или PowerCLI, которые приведут компоненты VMware vSphere в желаемое состояние. Рекомендуется обращать внимание на колонку Negative Functional Impact, которая описывает возможные негативные последствия для инфраструктуры.

Кроме того, некоторые параметры разделены по "профилям риска":

  • Risk Profile 1 - для суперзащищенных систем (обработка гостайны, информация особой важности). Надо учитывать, что применение этих рекомендаций может повлечь за собой то, что некоторые функции платформы перестанут работать.
  • Risk Profile 2 - рекомендации среднего уровня защиты, которые необходимо применять при работе с чувствительными данными.
  • Risk Profile 3 - то, что должны (по-хорошему) применять все.

Также, по традиции, есть и лог изменений с предыдущей версии:

Некоторые вещи были изменены совсем недавно, поэтому многим будет интересно этот док посмотреть.

Скоро VMware vSphere 5.5 Hardening Guide появится вот на этой странице, где собираются все версии руководств Security Hardening Guides (там пока есть доки для vCloud Director и Configuration Manager).

Прямые ссылки на скачивание:

Также порекомендуем здесь комплексное средство для обеспечения безопасности виртуальной инфраструктуры vGate R2, которое (помимо всего прочего) позволит применить необходимые политики Security Hardening Guide и обеспечить защиту от НСД.


Таги: VMware, vSphere, Security, Whitepaper, ESXi, vCenter, VSA, Update

Новая архитектура драйверов в VMware ESXi 5.5 - Native Device Driver Architecture.


Немногие знают, что с выходом обновленной платформы виртуализации VMware vSphere 5.5 компания VMware поменяла архитектуру драйверов, которые использует гипервизор для взаимодействия с аппаратным обеспечением. Теперь эта архитектура называется Native Device Driver Architecture, и она позволяет использовать нативные драйверы для VMkernel вместо драйверов под Linux.

William Lam написал хороший пост на эту тему. Изложим здесь его основные моменты вкратце.

Раньше VMware ESX / ESXi использовал архитектуру драйверов Linux, но поскольку ядро гипервизора VMkernel - это не Linux, то VMware пришлось сделать модуль vmklinux, который находится между VMkernel и драйверами:

Эта архитектура позволяет драйверам "Linux-происхождения" общаться с VMkernel через API, предоставляемый vmklinux.

Однако очевидно, что у такой архитектуры есть множество недостатков:

  • Дополнительный уровень трансляции команд добавляет багоемкости и потерь производительности.
  • Необходима совместимость драйверов с ядром Linux, хотя требуется-то всего лишь совместимость с VMkernel.
  • Ограниченность функциональности драйвера - он может сделать для VMkernel не больше, чем может сделать для Linux.

Ввиду всего этого в VMware ESXi 5.5 и была введена новая архитектура, в которой отсутствует ненужная прослойка:

Теперь VMware предоставляет своим партнерам средство разработки Native Driver Development Kit (NDDK), которое позволяет производителям аппаратного обеспечения делать нативные драйверы для VMware ESXi / VMkernel как для отдельной ОС. Доступна эта возможность только партнерам уровня TAP (Technology Alliance Partner).

С одной стороны это все выглядит позитивно, если бы не одно но. Если раньше Linux-драйверы, которые выпускались под лицензией GPL, были доступны как open source, то и исходные коды драйверов для ESXi (в соответствии с лицензией GPL) были также доступны публично.

Поэтому независимые разработчики могли использовать их для разработки собственных и доработки существующих драйверов к устройствам, официально неподдерживаемым VMware ESXi (для так называемого "Whitebox-железа").

Теперь же VMware не планирует выпускать драйверы как Open Source, что сильно ограничит возможности по поддержке аппаратных компонентов и платформ, отсутствующих в списке совместимости HCL.

Платформа виртуализации VMware vSphere 5.5 на данный момент поддерживает как legacy-модель драйверов, так и Native Device Driver Architecture в целях обратной совместимости. Однако рано или поздно VMware откажется от поддержки Linux-драйверов, и многим пользователям такое не понравится.

Поэтому VMware просто обязана предоставить всем разработчикам свободный доступ к NDDK, а не только TAP-партнерам, чтобы сохранить хорошую репутацию в такой ситуации.

И вот еще хороший пост про исключение драйверов Realtec из ESXi 5.5.


Таги: VMware, ESXi, Hardware, NDDK, vSphere

1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15    >   >>
Поиск по сайту:
Реклама





Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

25/04/2014:  Вебинар "VMware: новости для партнеров"
15/05/2014:  Диспут-клуб "Сеть для облака: SDN и NFV"
22/05/2014:  VMware vForum 2014 – Москва

Быстрый переход:
IT-Grad Microsoft VMware Softline StarWind Veeam Red Hat Amazon IBM Offtopic NetApp Citrix Oracle 5nine VDI Security Code Cisco NVIDIA vGate Google Parallels VMTurbo EMC VSI HP Security Windows Gartner vCenter VMachines Hyper-V Storage Cloud Webinar View VKernel Events Hardware Windows 7 Caravan Apple Xen Hyper9 Nicira Blogs Sun VMC Xtravirt Novell vSphere IntelVT Сравнение VirtualIron XenServer VirtualBox CitrixXen ESXi ESX ThinApp VMFS Books Enterprise P2V Symantec iSCSI Horizon Azure V2V Backup HA Virtual SAN RHEV vExpert Log Insight Client VSAN PowerCLI Beta VCP Visio Server SAN Workstation Labs XenDesktop SaaS Tools Manager Calculator Support XenApp Virtual Appliance vCHS vCSA MAP ONE AWS Converter Update vCloud DaaS VMworld VSA Certification Desktop SRM IaaS Networking vNetwork Monitoring VPLEX XenClient UCS SMB Video Poster VSPP SDRS Demo PCoIP Обучение Mobile SC VMM vMotion VDI-in-a-Box RDM Бесплатно Deduplication Operations Reporter RVTools Whitepaper vShield DRS ACE Performance Cloud Computing VMDK Fusion Network Go nworks iPad XCP Data Recovery Sizing Licensing VMotion Snapshot FlexPod VMsafe Enteprise Monitor Fault Tolerance KVM vStorage Essentials Live Migration SCVMM TCO Studio AMD-V VirtualCenter NFS ThinPrint Troubleshooting Upgrade Android Web Client MSCS esxtop Connector Replication Director SSH Ports Bug Memory Logs Linux USB SVMotion Storage DRS CLI Bugs Snapshots Composer PowerShell DPM Mac Heartbeat
Интересные плакаты:

Постер о VMware vSphere 5.1 CLI:

Постер о vSphere 5.1 PowerCLI

Постер VMware vCloud Networking:

Порты и соединения VMware vSphere 5:

Управление памятью в VMware vSphere 5:

Составляющие решения VMware vCloud:

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Проектирование инфраструктуры виртуализации VMware vSphere 4.

Как поднять программный iSCSI Target на Windows 2003 Server для ESX

Отличия VMware ESXi 4 free (бесплатного), ESXi 4 и ESX 4 в составе VMware vSphere.

Бесплатные программы для VMware ESX / ESXi в среде Virtual Infrastructure / vSphere (часть 2).

Новые возможности VMware vSphere 5.0 - официально.

Windows 7 в виртуальной машине VMware Workstation 6.5.2 и Virtual XP Mode.

Недорогая конфигурация сервера VMware ESX/ESXi

Как запустить VMware vSphere Client под Windows 7 для управления ESX или ESXi.

Все ресурсы о виртуализации:
Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Купить:

VMware vSphere 5


Veeam Backup 5


Полезные ресурсы:


Видео компании VMware

Видео про Citrix Xen

Видео о виртуализации Microsoft

Утилиты для виртуальных машин Microsoft.

Книги на английском языке

Блоги на английском языке

Блоги на русском языке

Агрегация статей в твиттере VMC:


Copyright VM Guru 2006 - 2014, Александр Самойленко. Правила перепечатки материалов.