Как известно, компания VMware уже довольно давно выпускает руководство по обеспечению информационной безопасности VMware vSphere Security Hardening Guide (тут и тут), содержащее список потенциальных угроз ИБ и их возможное влияние на инфраструктуру виртуализации. Также доступен Security Hardening Guide для VMware View и vCloud Director.
Виртуальные машины (настройки, устройства, интерфейсы, VMware Tools)
Хосты VMware ESXi (доступ к управлению, логи, хранилища)
Сетевое взаимодействие (включая распределенный коммутатор dvSwitch)
Сервер управления vCenter (доступ к управляющим компонентам и т.п.)
На данный момент руководство доступно в виде xlsx-табличек:
Основная страница обсуждения документа находится здесь.
Кроме того, вчера же появился и документ "vSphere Hardening Guide: 4.1 and 5.0 comparison", отражающий основные отличия руководства для версий 4.1 и 5.0. Там хорошо видно, какие новые фичи vSphere 5 покрывает новая версия документа:
Соответственно, можно ожидать скорого появления обновленных версий продуктов vGate R2 и vGate Compliance Checker, позволяющих проверить соответствия вашей инфраструктуры нормам данного руководящего документа и настроить виртуальную инфраструктуру VMware vSphere в соответствии с ними средствами политик.
Компания VMware в базе знаний опубликовала интересный плакат "VMware vSphere 5 Memory Management and Monitoring diagram", раскрывающий детали работы платформы VMware vSphere 5 с оперативной памятью серверов. Плакат доступен как PDF из KB 2017642:
Основные техники оптимизации памяти хостов ESXi, объясняемые на плакате:
Есть также интересная картинка с объяснением параметров вывода esxtop, касающихся памяти (кликабельно):
Пишут, что администраторы VMware vSphere скачивают его, распечатывают в формате A2 и смотрят на него время от времени, как на новые ворота. Таги: VMware, vSphere, Memory, ESX, esxtop, VMachines, Whitepaper, Diagram
Схема очень проста - StarWind iSCSI можно использовать как для продуктивного хранилища, так и для хранилища резервных копий:
В документе рассматривается вариант использования отказоустойчивого iSCSI-хранилища StarWind в производственной среде, где применяются такие возможности StarWind как:
Снапшоты хранилищ
Дедупликация
Отказоустойчивая конфигурация из двух серверов хранения, обеспечивающая непрерывную работу виртуальных машин в случае отказа одного из них
На сайте проекта VMware Labs, о котором мы не раз писали, появился новый технический журнал для администраторов платформы виртуализации VMware vSphere и других продуктов - VMware Technical Journal. Первый номер насчитывает 80 страниц:
Предполагается, что это издание, освещающее основные активности R&D-подразделения VMware, будет выходить на регулярной основе и представлять все основные новинки и продукты, над которыми работает VMware, с технической стороны. Вот темы первого номера:
Безопасность является одной из главных (если не самой) проблем при внедрении технологий виртуализации. Как знают пользователи VMware vSphere 4.1, у компании VMware есть основной документ для обеспечения безопасности своими силами VMware Security Hardening Guide (а есть еще продукт vGate R2 для автоматизированного обеспечения безопасности в соответствии с этим документом). Для vSphere 5.0, к сожалению, такое руководство отсутствует.
Платформа XenServer компании Citrix долгое время вообще обходилась без подобного руководства. Существуют лишь следующие документы, которые носят общий характер:
Теперь же российская компания Positive Technologies, специализирующаяся в сфере информационной безопасности, разработала для платформы Citrix XenServer 5.6 более практичный и полезный документ под названием "Citrix XenServer 5.6 Free/Advanced Hardening Guide (Public Beta)". Документ этот на русском языке.
Соответственно, пользователям Citrix XenServer его просто необходимо хотя бы просмотреть. Так как документ будет проходить бета-тестирование до 30 апреля, автор принимает комментарии и поправки по адресу: KErmakov (at) ptsecurity.ru.
На сайте VMware появился интересный документ "Introducing the VMware
Accelerate Transformation
Assessment Scale", который раскрывает подробности новой инициативы VMware по выработке подхода к количественной и качественной оценке облачных инфраструктур (имеются в виду частные облака). Все это будет оцениваться в виде метрик Key Performance Indicators (KPI).
У VMware есть так называемая "Accelerate team", которая будет этим делом заниматься. Сам фреймворк для оценки облаков в рамках предлагаемых услуг будет называться ATA Scale и будет сфокусирован на показателях частных облаков ITaaS без привязки к их финансовым характеристикам, т.е. без оценки вляния зрелости облака на бизнес компании.
Услуги будут разделяться на 3 корневые группы (всего 14 видов услуг):
Diagnostic Offerings
Transformative Efforts
Strategic Engagements
Анализ показателей будет производиться на основе следующей модели:
Execution – текущие значения метрик KPI (например, процент виртуализованных серверов)
Maturity – насколько продвинута организация облака (например, автоматизированность различных процессов)
Momentum – каков планируемый временной прогресс для трансформирования облака (например год)
Индикаторы KPI оцениваются в следующих категориях:
Business Alignment
Process and Systems Management
Application Modernization
Infrastructure
Потом из этого всего получается вот такая картинка:
Обратите внимание, что зелененьким обозначен процент достижений до "абсолютно идеального облака" по версии VMware (хотелось бы взглянуть на эту модель). В общем штука интересная и может найти свое применение в инфраструктурах крупных организаций, которые стремятся к облакам. Ведь основная идея ATA - стимулировать прогресс, ну и, как водится, сделать неплохой oversell своих продуктов.
Мы уже не раз писали о продукте номер 1 - vGate R2, который является лидером на рынке защиты виртуальных инфраструктур за счет средств автоматической настройки виртуальной среды VMware vSphere и механизмов защиты от несанкционированного доступа. Как мы также сообщали, технический релиз продукта vGate R2 с поддержкой VMware vSphere 5 уже выпущен и передан на инспекционный контроль в ФСТЭК России.
Сегодня мы хотим обратить внимание еще на 2 документа от производителя vGate R2, компании Код Безопасности, раскрывающих особенности применения данного средства защиты в ЦОД коммерческих и государственных организаций:
Усиленная аутентификация администраторов виртуальной инфраструктуры и администраторов информационной безопасности.
Защита средств управления виртуальной инфраструктурой от НСД.
Защита ESX-серверов от НСД.
Мандатное управление доступом.
Контроль целостности конфигурации виртуальных машин и доверенная загрузка.
Контроль доступа администраторов ВИ к данным виртуальных машин.
Регистрация событий, связанных с информационной безопасностью.
Контроль целостности и доверенная загрузка ESX-серверов.
Контроль целостности и защита от НСД компонентов СЗИ.
Централизованное управление и мониторинг.
Среди основных возможностей новой версии продукта:
Полная поддержка VMware vSphere 5
Новый интерфейс просмотра отчетов. Для построения отчетов больше не требуется наличие SQL-сервера, устанавливаемого ранее отдельно.
Поддержка новых стандартов и лучших практик в политиках и шаблонах (VMware Security Hardening 4.1, PCI DSS 2.0, CIS VMware ESX Server Benchmark 4).
Поддержка распределенного коммутатора (Distributed vSwitch) Cisco Nexus 1000v.
Поддержка 64-битных систем в качестве платформы для vGate Server.
Улучшение юзабилити, пользовательного интерфейса и масштабируемости.
Поддержка альтернативного метода лицензирования на базе платы за виртуальную машину за месяц (по модели SaaS).
Получить более подробную информацию о продукте vGate R2 и загрузить его пробную версию бесплатно можно по этой ссылке, а презентации с обзором решения как всегда доступны здесь.
Продолжаем втягивать вас в процесс ознакомления с решением номер 1 StarWind Enterprise iSCSI для создания отказоустойчивых хранилищ виртуальных машин Microsoft Hyper-V и VMware vSphere. На этот раз несколько новостей о продукте StarWind Native SAN for Hyper-V (с резервным копированием StarWind Hyper-V backup Plug-in), который позволяет используя всего 2 сервера, сделать кластер из серверов Hyper-V и сделать хранилища прямо на этих серверах, которые продолжат непрерывно работать в случае отказа любого из них.
Во-первых, приходите сегодня на вебинар Толи Вильчинского, который быстро и четко говорит по-английски, но (наверняка) сможет ответить на ваши вопросы по-русски:
Мы уже писали о том, что VMware выпустила плакат для администраторов VMware vSphere 5 по интерфейсу управления инфраструктурой виртуализации PowerCLI через PowerShell, а сегодня очередная порция плакатов с обновленной версией по PowerCLI.
Постер VMware ESXi 5 Reference - основные процедуры администрирования хостов ESXi и виртуальных машин из командной строки.
В последнее время все больше пользователей виртуализуют критичные базы данных под управлением СУБД Oracle в виртуальных машинах VMware vSphere. При этом есть миф о том, что Oracle не поддерживает свои СУБД в виртуальных машинах, и, если что-то случится, то получить техническую поддержку будет невозможно. Это не так.
Техническая поддержка Oracle для ВМ на VMware vSphere
На самом деле у Oracle есть документ "MyOracleSupport Document ID #249212" в котором прописаны принципы работы с техподдержкой при работе СУБД в ВМ VMware vSphere:
Вкратце их можно изложить так:
1. Действительно, Oracle не сертифицирует работу своих СУБД в виртуальных машинах VMware.
2. Если у вас возникает проблема с БД Oracle в виртуальной машине VMware, то Oracle смотрит, есть ли подобная проблема для физической системы, либо вы можете продемонстрировать, что проблема повторяется на физической машине, а не только в ВМ. Если проблема относится именно к виртуальной машине и не проявляется на физической системе, либо решение от техподдержки Oracle работает только для физического сервера - вас направляют к техподдержке VMware. Однако отметим, что VMware заявляет, что подобных проблем в ее практике еще не было.
Теперь, что касается самой VMware - у них есть отдельная политика технической поддержки "Oracle Support Policy". В ней, в частности, написано, что VMware принимает запросы на техподдержку касательно ВМ Oracle, работающих на vSphere, после чего взаимодействует со службой техподдержки Oracle через TSANet для поиска причины проблемы и решения. Тут важно, что за такие кейсы отвечает сама VMware.
1. Виртуальные машины с СУБД Oracle могут работать на хостах VMware ESX/ESXi, у которых либо все физические процессоры (ядра), либо их часть лицензированы под Oracle. Оптимально, конечно, лицензировать весь хост, однако если это дорого, можно лицензировать и несколько процессоров, после чего привязать конкретные виртуальные машины к физическим процессорам хоста, используя vSphere Client:
Либо используя vSphere Web Client:
Однако, как вы можете прочитать в документе от VMware (см. комментарии к заметке), компания Oracle не признает такого разделения лицензий по процессорам на хосте, хотя сама VMware этим очень недовольна. Поэтому вам придется лицензировать все процессоры хоста, при этом вы там сможете запустить столько экземпляров Oracle, сколько потребуется.
Возможно, эта ситуация в будущем изменится, и можно будет лицензировать отдельные процессоры хоста.
2. Если вы хотите, чтобы виртуальная машина с Oracle перемещалась на другой хост, то все процессоры исходного и целевого хостов должны быть лицензированы Oracle.
3. Что касается кластеров VMware HA/DRS, то тут нужно быть внимательным. Оптимальное решение - это создать отдельный кластер для ВМ с Oracle и лицензировать все процессоры всех хостов в нем, если у вас достаточно виртуальных машин, нагрузки и денег для такой задачи. Если недостаточно - можно лицензировать часть хостов (но, опять-таки, целиком), после чего выставить для них DRS Host Affinity Rules таким образом, чтобы виртуальные машины с Oracle всегда оставались на лицензированных хостах:
Для получения более полной информации о лицензировании Oracle в виртуальной среде VMware vSphere читайте приведенный выше документ.
У VMware появилась полезная презентация на русском языке по решению наиболее часто встречающихся проблем в работе решения VMware View и виртуальных ПК.
Освещаются такие компоненты решения, как VMware Security Server, PCoIP, Composer и другие.
Презентация из серии материалов по решению проблем, которые готовит служба технической поддержки VMware.
Мы уже не раз писали о продукте номер 1 для создания отказоустойчивых хранилищ iSCSI для виртуальных машин - StarWind Native SAN for Hyper-V (см. тут и тут). Напомним, что он позволяет, используя всего 2 сервера с установленной ролью Hyper-V сделать отказоустойчивый кластер как хранилищ, так и серверов, сэкономив 50% бюджета.
Сегодня хотим обратить ваше внимание на несколько документов по продукту StarWind Native SAN for Hyper-V, которые помогут детальнее ознакомиться с данным решением:
This white paper describes in details the benefits of the recently released StarWind revolutionary product called StarWind Native SAN for Hyper-V. The document highlights the might of server virtualization consolidated with the shared storage.
This white paper outlines advantages of server virtualization and gives detailed description of features and benefits provided by the shared storage. The document describes how to build a cost-effective, reliable and powerful storage infrastructure using the StarWind iSCSI SAN solution and lists the hardware prerequisites. The white paper also gives the step-by-step instruction of how to connect vSphere to ISCSI SAN.
This white paper mentions the advantages of virtualization and gives a short description of the components that help your system avoid downtime and stay 100% up and running. The document provides practical recommendations of how to build the replicated environment in order to ensure 100% uptime of your storage infrastructure.
This white paper provides an overview of how a SAN can help overcome limited IT budgets, being effective and inexpensive solution for educational institutions.
Хорошая новость от Veeam - теперь любой VCP, MVP, VCI, vExpert и просто участник какого-нибудь захолустного VMware User Group может получить бесплатную лицензию на Veeam Backup and Replication 6 на 2 процессора для тестирования дома и на работе. Однако помните, что выданные NFR-лицензии нельзя использовать в производственной среде (а можно только для тестирования и обучения).
Но 2 сокета - это как-то мало. Поставьте к этой статье NN лайков, и, возможно, Veeam увеличит количество выдаваемых сокетов (мы пообщаемся на эту тему, если вас будет много).
Вторая интересная новость: вышел отчет "Virtualization Data Protection 2011" от Veeam. Отчет представляет собой исследование 500 крупных компаний на предмет того, как они защищают данные в виртуальных средах.
Там есть интересная инфографика, как, например, стоимость часа простоя критической системы в разных странах (че-то вообще дофига):
Продолжаем разговор о решении номер 1 для создания отказоустойчивых хранилищ StarWind Enterprise HA, которое наиболее оптимально подходит как раз для малого и среднего бизнеса, где не хочется тратить деньги на дорогостоящее хранилище и его обслуживание. Берете просто 2 сервера, на нем поднимаете виртуальные машины и там же отказоусточивое хранилище (при отказе работает без простоя ВМ). На Hyper-V делается это с помощью StarWind Native SAN for Microsoft Hyper-V, а для VMware можно сделать так на StarWind 5.7.
Второй - это статья "Кластер Hyper-V 2008 R2 на коленке", где чувак взял и поднял кластер Hyper-V R2 с Live Migration на базе iSCSI-хранилища StarWind, используя обычные ПК.
В общем, почитайте, СМБ-шники.
Таги: StarWind, HA, SMB, Whitepaper, vSphere, ESXi, Microsoft, Hyper-V
В сентябре компания VMware проводила серию вебинаров, в которых раскрывались вопросы лицензирования многих продуктов (vSphere, SRM, vCenter Operations, vCloud, vShield, vFabric и прочих), а также особенности их работы. Ниже представлены данные презентации, изучить которые будет интересно пользователям, особенно учитывая то, что многие продукты из новой линейки VMware (например, vCenter Operations или семейство vFabric) пользователям в России практически неизвестны.
Внимание! Все цены приведенные в презентациях ниже являются рекомендованными розничными ценами для Северной Америки. Для России эти цены существенно выше в связи с особенностями ценовой политики компании VMware.
1. Особенности лицензирования инфраструктурных решений VMware.
Презентация на русском языке по лицензированию инфраструктурных решений, включая VMware vSphere 5, SRM 5 и vCenter Operations.
2. Реальность управления виртуальной инфраструктурой VMware vCenter Operations.
Презентация Александра Пыльнева, консультанта по решениям VMware, на тему мониторинга инфраструктуры VMware vCenter Operations Standard.
Особенности управления виртуальной инфраструктурой
Как обойти эти проблемы стандартными средствами управления
Недостатки традиционного подхода
Недостатки средств управления традиционными средами
Зачем нужен vCenter Operations?
Обзор возможностей vCenter Operations
Подробный технический обзор vCenter Operations
3. Создание публичного облака (VMware vCloud).
Презентация Родиона Тульского, ведущего консультанта по решениям VMware, по вопросам создания публичного облака на платформе vCloud и других продуктов VMware (Chargeback, Service Manager, vShield).
Что такое внешнее облако и его особенности?
Как построить внешнее облако на основе технологий VMware. Концепция.
Как построить внешнее облако на основе технологий VMware. Подробный технический обзор продуктов.
4. Особенности лицензирования облачных решений vCloud, vFabric, vShield.
Презентация Родиона Тульского, ведущего консультанта по решениям VMware, об особенностях лицензирования продуктов vCloud, vFabric, vShield, Chargeback.
Мы уже писали о новой версии платформы для виртуализации настольных ПК предприятия VMware View 5, которая имеет множество новых улучшений, позволяющих говорить о возможности внедрения решения в промышленных масштабах.
Как известно, при использовании виртуальных ПК существенно увеличивается риск утери или порчи данных пользовательской инфраструктуры, поскольку теперь десктопы централизованы в ЦОД и появляются различные SPOF-точки отказа (например, система хранения данных). Кроме того, возрастает риск утери десктопа вследствие неправильных кофигураций серверной инфраструктуры или дискового массива. В связи с этим важным оказывается вопрос резервного копирования виртуальных ПК, которому никто, почему-то, не уделяет значения. А вопрос действительно важный, и сложных моментов там хватает: конфигурация View Connection Server, View Composer, бэкапы связанных клонов и прочее.
Компания VMware выпустила очень нужный документ "VMware View Backup Best Practices", который рекомендуется почитать всем тем, кто планирует внедрение решения VMware View или его масштабирование из существующего пилота:
Сначала нам описывают инфраструктуру VMware View с точки зрения компонентов, которые нуждаются в резерировании:
Потом показывают структуру хранилищ:
Потом говорят о том, для каких компонентов необходимо производить резервное копирование.
Основные компоненты (помимо виртуальных машин):
View Connection Server
View Composer (если развернут)
vCenter server и хосты ESX/ESXi
Служба Active Directory
Если говорить о базах данных, то их вот сколько:
Хранилище View Connection Server AD-LDS
БД View Composer для событий (Events - если развернута)
БД vCenter server
Какие еще компоненты могут быть, которые нужно резервировать:
Репозиторий ThinApp, сконфигурированный на общей шаре
Хост View Transfer Server для офлайн-десктопов
База данных
View Error Log
В резервном копировании не нуждается Security Server (он не хранит изменяющихся данных), реплики View Connection Server и сторонние серверы управления VDI-инфраструктурой.
Резервное копирование виртуальных ПК на платформе vSphere. Производится аналогично бэкапу ВМ и конфигураций хостов для серверных нагрузок (лучше всего использовать Veeam Backup and Replication)
Резервное копирование хранилища View Connection Server AD-LDS
Бэкап базы данных View Composer
Бэкап базы vCenter
Для резервирования хранилища AD-LDS на Connection Server используется утилита vdmexport:
Этот файл ldf будет содержать конфигурацию LDAP для View.
Для базы данных View Composer можно использовать встроенные средства бэкапа SQL Server (сначала останавливаем службу View Composer Service).
Лучше если и Connection Server и Composer+vCenter будут в виртуальных машинах - тогда их проще будет восстанавливать вместе с базами (если они не внешние). Как бэкапить базу данных VMware vCenter должен знать любой администратор, обслуживающий vSphere как платформу.
Последовательность восстановления инфраструктуры View выглядит так:
Восстанавливаем базу vCenter
Восстанавливаем базу Composer (если база восстанавливается к по-новой установленному эксземпляру Composer, нужно прочитать
http://www.vmware.com/pdf/view45_admin_guide.pdf на странице 26 для настройки контейнера RSA-ключа)
Восстанавливаем хранилище View Connection Server AD-LDS на новой или старой инсталляции:
Stateful virtual desktops (данные сохраняются после выхода)
Stateless virtual desktop (данные не сохраняются после выхода)
Для связанных клонов все непросто - их можно бэкапить, например, с помощью Veeam Backup, однако восстанавливаются они только как индивидуальные десктопы. То есть их нужно сначала восстановить как ВМ на VMware vSphere, а потом назначить в VMware View как dedicated-десктоп.
Stateful-виртуальные ПК предлагается бэкапить и восстанавливать как обычные виртуальные ПК, а Stateless - в резервном копировании не нуждаются, поскольку там никаких критичных данные нет, такой десктоп может быть развернут по требованию из базового образа, а приложения в нем публикуются, например, с помощью ThinApp (но User Data-диск бэкапить необходимо, если он используется).
Также в документе приводятся основные рекомендации по частоте резервного копирования компонентов VMware View:
Вообще вся эта тема с резервным копированием виртуальных ПК VMware View кажется очень муторной. Пора бы уже какому-нибудь вендору выпустить специализированное решение для этой задачи. А как вы с ней справляетесь в своей инфраструктуре?
Пост в рамках заказанной вами рубрики "Что почитать?". Компания VMware на прошедшей неделе выпустила несколько очень нужных, полезных, а главное интересных для чтения документов. Вот они:
Документ описывает лучшие практики по переходу на VMware vSphere 5 с предыдущих версий, включая хост-серверы VMware ESXi, сервер vCenter и его базу данных. См. также нашу серию статей о миграции на vSphere 5.
В документе описаны основные рабочие процессы по управлению сервером виртуализации VMware ESXi 5, включая интерфейс vCLI, PowerCLI, управление через SSH и многое другое. Документ будет полезен многим, особенно пользователям бесплатного ESXi и изданий Essentials.
Самый нужный документ для тех, кто планирует внедрение инфраструктуры виртуальных ПК VMware View 5 в условиях высокой нагрузки на канал. В документе рассматривается тонкая настройка протокола PCoIP с помощью групповых политик, все с картинками - просто и понятно. Например, выставление maximum frame rate в 15 и maximum initial image quality в диапазоне 70-80 уменьшает требование к каналу в 2-4 раза при сохранении приличного качества картинки при просмотре видео.
Этот документ уже сфокусирован на производительности решения VMware View 5 в целом. Приведены примеры тестирования решения для различных настроек протокола PCoIP и других компонентов.
Продолжение обзора новой документации не заставит себя долго ждать.
В прошлой заметке мы уже писали о защите персональных данных с помощью продукта vGate R2, который позволяет настроить вашу инфраструктуру vSphere в соответствии с целым набором стандартов и требований (в том числе, российских - ФЗ 152, СТО БР ИББС и многих других), а также обеспечить защиту от НСД. В этом смысле продукт vGate R2 просто незаменим и не имеет аналогов на рынке (учитывая специфику российских регуляторов в сфере ИБ).
Сегодня я хочу обратить внимание еще на две статьи Маши Сидоровой о защите персональных данных и соответствии требованиям PCI DSS:
Несмотря на то, что статьи рекламные, в них есть много полезной информации о том, зачем вообще нужно интересоваться проблемами ИБ своей инфраструктуры VMware vSphere.
Ну и из новенького - еще одна брошюра по vGate-S R2 о требованиях законодательства в этой сфере:
В августе сотрудники российского офиса компании VMware проводили серию вебинаров на русском языке, посвященных продуктам vSphere 5, SRM 5, vCloud 1.5 и vShield 5.
Материалы для заказчиков весьма полезные, поэтому я перезалил их на slideshare под своим аккаунтом, надеюсь VMware не обидится. Оригинальные версии презентаций и записи Webex можно скачать по этой ссылке. ARF-плеер (для записей Webex) можно скачать по этой ссылке.
Новые возможности VMware vCenter Site Recovery Manager v5.0
Докладчик: Александр Пыльнев, консультант по решениям, VMware
Безопасное облако на основе vCloud 1.5 и vShield 5
Докладчик: Родион Тульский, консультант по решениям, VMware
Фундамент для облака. Что нового в vSphere 5. Часть 1
Докладчик: Родион Тульский, консультант по решениям, VMware
Фундамент для облака. Что нового в vSphere 5. Часть 2:
Докладчик: Александр Пыльнев, консультант по решениям, VMware
Режим SplitRx mode, который позволяет увеличить производительность сетевого взаимодействия для некоторых нагрузок
Функция VMX swap, которая уменьшает резервирование памяти для ВМ
Миграция vMotion по нескольким сетевым адаптерам (vmknics)
В документы присутствуют следующие темы:
Выбор оборудования для развертывания vSphere
Управление электропитанием
Настройка ESXi 5 для улучшения производительности
Настройка гостевой ОС для улучшения производительности
Настройка vCenter 5 и его базы данных для улучшения производительности
Производительность vMotion и Storage vMotion
Производительность Distributed Resource Scheduler (DRS) и Distributed Power Management (DPM)
Компоненты High Availability (HA), Fault Tolerance (FT) и VMware vCenter Update Manager
Документ обязателен к прочтению администраторам средних и крупных инфраструктур VMware vSphere 5. Кроме того, напомним о следующих новых документах о производительности платформы:
1 миллион операций ввода-вывода в секунду на хост ESXi (этого в лаборатории добивались еще год назад при экспериментах в лабораториях VMware, тогда это держалось в секрете)
300 000 IOPS на одну виртуальную машину на хосте
Контроллеры Paravirtual SCSI (PVSCSI) эффективнее используют CPU, чем LSI Logic SAS
Ну и надо отметить, что задержки на одну операцию ввода-вывода меняются слабо с увеличением числа виртуальных машин.
Мы уже много писали о различных технических аспектах новой версии серверной платформы виртуализации VMware vSphere 5 и особенностях лицензирования, но в этой статье постараемся сделать суммарный обзор функциональности различных изданий продукта, краткое описание состава пакетов ПО (Acceleration Kits и Essentials), а также детально рассмотреть особенности лицензирования.
Сергей Халяпин из компании Citrix делится интересной новостью - теперь у пользователей XenDesktop, XenServer и других продуктов компании есть возможность скачать документацию на русском языке. Делается это на странице http://edocs.citrix.com, где нужно выбрать язык - русский.
В настоящий момент переведена часть документации из XenApp 6, XenDesktop 4, Web Interface 5.2, Provisioning Server 5.6, Licensing Server 11.6.1.
Раздел будет пополнятся новыми документами на русском языке. В частности, Сергей привел ссылки еще на парочку документов (они должны быть доступны уже в понедельник-вторник):
В последнее время появилось несколько интересных вещей, касающихся решения по виртуализации корпоративных ПК предприятия VMware View. Во-первых, обновился документ "PC-over-IP Protocol Virtual Desktop Network Design Checklist", в котором описаны основные лучшие практики по использованию протокола PCoIP для доступа к виртуальным десктопам. По-сути, это обязательный для прочтения документ для тех, кто использует доступ к ПК по протоколу PCoIP. Там очень много практических рекомендаций:
Во-вторых, появился клиент VMware View для настольной ОС Ubuntu с поддержкой протокола PCoIP. Клиент неофициальный - основные моменты по его установке и использованию описаны в статье "VMware View PCoIP on Ubuntu How to".
В-третьих, появилось интересное видео о перенаправлении пользовательских папок в виртуальных ПК VMware View:
В-четвертых, интересное и завораживающее видео "VMware View GPU assisted Virtual Desktop":
Я уже, наверное, набил вам оскомину, но снова повторюсь - в версии VMware vSphere 5, которая выйдет в августе-сентябре (в подтверждение этому - посмотрите на книжку на Amazon, которая выходит 7 сентября), уже не будет платформы виртуализации VMware ESX. Останется только "тонкая" платформа VMware ESXi. Поэтому всем организациям необходимо планировать миграцию с ESX на ESXi. Об этом у нас есть серия постов:
В нем нам рассказывают о том, как нужно управлять виртуальной инфраструктурой VMware vSphere на базе VMware ESXi, и какие методики используются в сравнении с моделью управления на классическом ESX:
Для готовящихся к миграции и имеющих различные скрипты и агентов в сервисной консоли серверов ESX - читать обязательно.
Мы уже рассказывали о том, как известный профессионал в сфере виртуализации Eric Siebert начал писать свою книгу о лучших практиках резервного копирования виртуальных машин VMware vSphere. Сейчас на сайте Veeam появился документ "Top 10 Best Practices for VMware Data Protection", который именно об этом рассказывает, и который можно скачать бесплатно и без регистрации.
Документ рассказывает о довольно-таки простых, но важных вещах (все из которых реализованы в продукте Veeam Backup and Replication 5):
Не делайте резервные копии на уровне гостевой ОС - в среде виртуализации это делают на уровне образа виртуальной машины. Это не нагружает гостевую ОС, можно делать резервное копирование напрямую в SAN и можно таким образом бэкапить что угодно.
Используйте VMware vStorage API - эта технология (и, в частности, ее инструмент Changed Block Tracking) - в разы ускоряют создание инкрементальных резервных копий.
Обязательно используйте поддержку VSS для создания целостных бэкапов - Veeam Backup умеет работать с VSS в гостевых ОС.
Следите за использованием вычислительных и дисковых ресурсов - помните, что, с одной стороны, ваше решение по резервному копированию должно обеспечивать максимальную эффективность в отношении хранилища резервных копий - дедупликация, компрессия, возможность сохранять отдельные диски, возможность импорта изолированных бэкапов, а, с другой стороны, бэкап сервер должен иметь достаточные вычислительные мощности для обработки заданий и достаточную ширину канала резервного копирования.
Используйте репликацию для критичных систем - реплика создается в режиме Near-CDP, что позволяет добиться минимальных потерь в случае аварии и наименьшего времени восстановления работоспособности системы (показатели RPO и RTO).
Проверяйте целостность ваших резервных копий - с технологией SureBackup теперь это просто, а сама процедура автоматизирована. Теперь можно проверять абсолютно все бэкапы.
Используйте новые методики восстановления - отдельные файлы из образа можно восстанавливать в работающую ВМ уже давно, но теперь появилась возможность восстанавливать объекты Active Directory, SQL и Exchange - это действительно удобно и иногда по-настоящему (функция U-AIR).
О чем нам рассказывает данный документ в плане безопасности платформы VMware vSphere 4.1:
Защита хост-серверов виртуализации VMware ESX / ESXi 4.1
Безопасность виртуальной машины как контейнера для гостевой ОС (то есть не рассматривается защита ОС в виртуальной машине и приложений)
Правильная конфигурация виртуальной инфраструктуры в целом: средства управления, сети хранения данных, виртуальные коммутаторы (но не сеть между ВМ)
Защита VMware vCenter Server, его базы данных, а также vSphere Client
Защита сервера VMware Update Manager (как главного средства своевременного наката обновлений, в том числе в плане безопасности)
Есть полезные рекомендации, а есть весьма пространные. Очень удобно, что они разбиты на блоки, в пределах которого разъясняется суть угрозы, пример воздействия на инфраструктуру и область применения (Enterprise, DMZ и Specialized Security Limited Functionality (SSLF)). Вот пример полезной рекомендации:
Напоминаем также, что в настоящее время идет публичное обсуждение данного руководства для продукта VMware View - VMware View Security Hardening.
P.S. Не забываем про скрипт VMware vSphere Security Hardening Report Check, который позволяет проверить вашу виртуальную инфраструктуру на соответствие VMware vSphere 4.x Security Hardening Guide.
После выпуска черновой версии VMware vSphere 4.1 Security Hardening, содержащей в себе рекомендации по обеспечению безопасности серверной виртуальной инфраструктуры, компания VMware выпустила черновик очередного документа по безопасности VMware View Security Hardening, в котором приведены лучшие практики для инфраструктуры виртуальных ПК.
Основные разделы:
Лучшие практики по использованию продукта vShield Endpoint (об этом мы писали тут и тут)
Безопасность серверов
VMware View Connection Server и Security Server
Безопасность гостевых ОС – Windows 7
Политики использования PowerShell
Использование клиента View with
Local Mode (как он работает - вот тут)
Работа в режиме
Kiosk Mode (публичный доступ к инфраструктуре виртуальных ПК)
Основные общие практики по сопровождению инфраструктуры View (приложения, сертификаты, сетевая безопасность, роли)
В нем раскрываются технические детали работы антивирусных решений с технологией vShield Endpoint и Security VM (вспомогательная виртуальная машина на хосте ESX, осуществляющая сканирование всех ВМ на нем).
Как мы уже писали, в VMware vSphere 4.1 появилась технолония Storage IO Control (SIOC, подробности здесь), которая позволяет настраивать приоритеты доступа виртуальных машин к хранилищам не в рамках одного хоста VMware ESX / ESXi, а в рамках всего кластера.
и какие рекомендации по настройкам Latency можно использовать при борьбе виртуальных машин за ресурсы ввода-вывода, в зависимости от типов хранилищ:
Второй документ называется "Managing Performance Variance of Applications Using Storage I/O Control". Он содержит результаты тестирования SIOC в условиях, когда нужно выделить виртуальную машину как критичную с точки зрения ввода-вывода (отмечена звездочкой). Взяли требовательную к нагрузкам задачу (DVD Store).
Измерили эталонную производительность когда работает только критичная ВМ (левый столбик - принят за единицу, SIOC Off), измерили среднуюю производительность (когда все машины работают параллельно и у каждой Shares установлено в 1000, SIOC Off), а потом стали варьировать Shares для критичной виртуальной машины (при включении SIOC On) смотря на то, как растет ее производительность в рамках кластера:
Видим, что SIOC при распределении приоритета ввода-вывода между хостами работает. В этом же документе есть еще тесты, посмотрите.
Какими же новыми способами нам предлагают использовать технологию SureBackup в продукте Veeam Backup and Replication 5.0 для резервного копирования виртуальных машин и репликации:
1. Тестирование безопасности виртуальных машин.
Запускаем виртуальную машину прямо из резервной копии в рамках тестовой лаборатории и делаем penetration test:
Преимущество - на надо насиловать работающую продуктивную систему.
2. Служебные операции с производственными базами данных.
Зачастую, с базой данных нужно произвести некоторые операции, которые не затрагивают операции записи в базу. Их не обязательно делать на продуктивной системе, поскольку это снижает производительность работающей информационной системы. Можно использовать мгновенно запускаемую резервную копию для изменения модели данных или проводить анализ данных (data mining).
3. Тестирование изменений в скриптах PowerCLI.
Например, правила написания скриптов PowerCLI 4.1 заметно отличаются от PowerCLI 4.0, что требует переработки скриптов и их тестирование. А ведь тестировать на продуктивной системе - это моветон. Поэтому делать это можно в изолированной тестовой лаборатории Veeam Backup and Replication 5.
4. Тестирование больших объектов GPO.
В больших организациях системные администраторы часто занимаются разработкой и тестированием новых политик GPO, которые еще неизвестно как лягут на продуктивные системы. Veeam Backup and Replication и его тестовые лаборатории помогут вас в этом и позволят не затронуть продуктивные системы.
5. Тестирование многомашинных приложений.
Это, по-сути, классика Lab Management'а. С помощью виртуальных изолированных лабораторий вы сможете проверять патчи, апгрейды и любые другие изменения в составе многомашинного приложения в независимой от продуктива тестовой среде.
Как видно, это всего лишь некоторые типовые сценарии применения технологии SureBackup в Veeam Backup and Replication 5.0. Всего возможностей, которые он открывает - очень много. Так что, вперед - тестируйте, покупайте, тем более, что продукт пока продается по старым ценам (смешным для средств резервного копирования).
RSS
