Актуальной задачей подразделения ИТ является обеспечение сохранности данных и непрерывности сервисов. Вирусы, атаки на инфраструктуру, аварии стали ежедневной реальностью, к которой нужно быть всегда готовым. Для виртуальной среды эта задача решается, в том числе, путем создания резервных копий виртуальных машин. Есть несколько способов резервирования, обзор которых мы предлагаем как новичкам в администрировании, так и профессионалам. Протестируйте 5nine Manager Datacenter...
Некоторые из вас (особенно администраторы VMware Horizon 7.5) знают, что в последней версии VMware vSphere 6.7 появилась возможность приостанавливать виртуальные машины, использующие vGPU, с высвобождением ресурсов графического адаптера под другие задачи. Ранее ресурсы графической карты возвращались платформе только при выключении виртуальной машины.
На эту тему VMware записала небольшое видео с демонстрацией данной возможности:
Для демо используются два 2 пула ресурсов: первый - под два виртуальных десктопа VMware Horizon, а второй - под две машины, использующие ресурсы vGPU для расчета моделей с помощью библиотеки машинного обучения TensorFlow.
Все 4 машины настраивают на использование политики, которая привязана к адаптеру NVIDIA Tesla P40 и позволяет использовать до половины ресурсов видеокарты. Сначала включают 2 виртуальных ПК Horizon, которые съедают всю карту, поэтому остальные две машины включить не удается. Но затем десктопы приостанавливают (Suspend), после чего машины с TensorFlow становится возможно запустить. Ну и в заключение тушат одну из машин TensorFlow, после чего успешно запускают один из виртуальных ПК Horizon (Resume).
Производитель графических адаптеров NVIDIA также записала небольшое демо своей технологии GRID для vSphere 6.7:
Здесь рассматривается несколько другой кейс. Десктоп с AutoCAD внутри ставят на паузу, после чего его обслуживают администраторы датацентра, не боясь того, что пользователь не сохранил свои данные в САПР. Затем после обслуживания десктоп запускают - и пользователь спокойно продолжает работу.
В общем, это нововведение весьма удобная и полезная штука.
Многие пользователи кластера отказоустойчивости хранилищ VMware vSAN замечали, что в настройках служб кластера есть такая опция "Erase disks before use", которая доступна при шифровании хранилища (vSAN Encryption).
Эта настройка позволяет очистить диск перед использованием шифрования на нем, чтобы соблюсти требования к безопасности хранения и обслуживания данных, например, NIST 800-88 Revision 1, определение "Clear":
Clear applies logical techniques to sanitize data in all user-addressable storage locations for protection against simple non-invasive data recovery techniques; typically applied through the standard Read and Write commands to the storage device, such as by rewriting with a new value or using a menu option to reset the device to the factory state (where rewriting is not supported).
В приложении A приведенного выше документа есть такая таблица (приведены только 2 строки из нее):
Media Type
Media Types
Guidance for Clear Operations
SCSI Hard Disk Drives
Parallel SCSI, SAS, FC, UAS, and SCSI Express
Overwrite media by using organizationally approved and validated overwriting technologies/methods/tools. The Clear procedure should consist of at least one pass of writes with a fixed data value, such as all zeros. Multiple passes or more complex values may optionally be used.
SCSI Solid State Drives (SSSDs)
Parallel SCSI, SAS, FC, UAS, and SCSI Express
Overwrite media by using organizationally approved and tested overwriting technologies/methods/tools. The Clear procedure should consist of at least one pass of writes with a fixed data value, such as all zeros. Multiple passes or more complex values may alternatively be used.
Note: It is important to note that overwrite on flash-based media may significantly reduce the effective lifetime of the media and it may not sanitize the data in unmapped physical media (i.e., the old data may still remain on the media).
Чтобы соблюсти эти гайдлайны, кластер vSAN может вычищать предыдущие данные добавляемого диска перед первым использованием. Но при этом блоки заполняются не нулями или однотипными значениями - ведь это может вызвать сбой механизмов дедупликации и компрессии, поэтому в блоки записываются просто случайные данные.
Ставя галку "Erase disks before use" надо понимать, что процесс заполнения блоков случайными значениями занимает значительное время, которое зависит от типа используемого хранилища и инфраструктуры хранения в целом.
Также важно помнить, что включение vSAN Encryption влечет за собой шифрование только новых создаваемых дисковых объектов и не применяется к существующим на хранилище блокам (то есть их потенциально можно считать с диска, расшифровка их не потребуется). Таким образом, использование vSAN Encryption с настройкой "Erase disks before use" имеет смысл только при добавлении устройств, где ранее существовали данные.
Поэтому:
Включайте опцию "Erase disks before use", когда:
Включаете vSAN Encryption для существующуего vSAN кластера, в котором требуется вычистить свободные блоки.
Добавляете хост, который имел ранее данные на локальных дисках, в кластер vSAN.
Выполняете операцию rekey для инициации процедуры deep rekey (запрос нового KEK и новых уникальных DEKs для каждого устройства vSAN).
Не обязательно включать "Erase disks before use", когда:
Включаете vSAN Encryption для полностью нового кластера vSAN, в котором ранее не было данных на добавляемых дисках.
Добавляете в кластер vSAN хост, у которого на локальных дисках не было чувствительных данных.
Выполняете операцию rekey для инициации процедуры shallow rekey (только запрос нового KEK).
Еще в настольной платформе виртуализации VMware Fusion 10 для Mac OS, вышедшей осенью прошлого года, появился программный интерфейс REST API, который позволяет управлять как самой платформой, так и виртуальными машинами, исполняемыми на ней. Совсем недавно, когда вышла версия VMware Workstation 2018 Tech Preview, в которой также появился новый REST API полностью идентичный таковому в VMware Fusion. Однако для Workstation он пока работает только для хостовой ОС Windows.
REST API позволяет управлять различными функциями виртуальных машин, например их inventory, питанием, клонированием, сетевым взаимодействием, получением IP и MAC-адресов, а также другими аспектами их функционирования. Все это позволяет проводить автоматизированные тесты в виртуальных машинах, когда их требуется клонировать и настраивать, а затем уничтожать по окончании теста. Эти функции пока доступны только для Windows.
Давайте посмотрим, как это работает. Сначала сконфигурируем доступ к REST API, задав логин и пароль для авторизации:
Чтобы настроить Credentials к REST API на машине с Workstation, нужно перейти в папку C:\Program Files (x86)\VMware\VMware Workstation и запустить там: vmrest.exe --config
На VMware Fusion нужно пойти в /Applications/VMware Fusion.app/Contents/Public и запустить там: ./vmrest -C
На Workstation вас попросят задать пользователя и пароль:
C:\Program Files (x86)\VMware\VMware Workstation>vmrest --config
VMware Workstation REST API
Copyright (C) 2018 VMware Inc.
All Rights Reserved
vmrest 1.1.0 build-8888902
Username:alex
New password:
Retype new password:
Processing...
Credential updated successfully
На Fusion это будет выглядеть вот так:
MacBook-Pro-alex:Public alex$ ./vmrest -C
VMware Fusion REST API
Copyright (C) 2015-2017 VMware Inc.
All Rights Reserved
vmrest 1.0.0 build 6754183
Username:alex
New password:
Retype new password:
Processing...
Credential updated successfully
После этого можно запускать REST API:
На Fusion это делается командой ./vmrest
На Workstation надо просто запустить vmrest.exe
После этого у вас на рабочей станции запустится веб-сервер, через который вы сможете получить доступ к REST API как через браузер, так и через сторонние REST-клиенты или системы, которые вы хотите интегрировать с Workstation или Fusion. На Workstation для доступа к веб-серверу на дефолтном порту используйте адрес:
http:\\127.0.0.1:8697
На Fusion ссылка аналогичная (можно писать 127.0.0.1 вместо localhost):
http:\\localhost:8697
Далее для обеих платформ процедура выглядит абсолютно одинаково, поэтому дальше мы не будем уточнять, где это исполняется.
Первое что вы увидите - это REST API Explorer, запущенный в интерфейсе Swagger, в котором показаны доступные для использования функции по работе с хостом и виртуальными машинами:
Тут вам не понадобится использовать Curl, PowerShell, Postman или другие инструменты, чтобы протестировать основные функции API.
Здесь все просто:
Host Networks Management - здесь можно посмотреть все виртуальные сети на хосте, а добавить, изменить или удалить форвардинг портов.
Maintenance - можно задать режим работы демона (можно его выключить для перехода в режим обслуживания).
VM Management - управление виртуальными машинами (получение их списка и информации о ВМ, задание их настроек, клонирование ВМ и удаление).
VM Network Adapters Management - управление сетевыми адаптерами ВМ (получение списка сетевых адаптеров и IP-адресов ВМ, а также создание, обновление или удаление сетевых адаптеров ВМ).
VM Power Management - получение состояния ВМ и управление ее питанием.
VM Shared Folders Management - монтирование, размонтирование или изменение конфигурации общих папок на хосте.
После запуска веб-интерфейса, нужно сначала авторизоваться, нажав Authorize в правом верхнем углу и введя логин и пароль, которые мы задали в самом начале:
Далее можно нажать на Show/Hide для некоторых пунктов и посмотреть доступные операции:
Обратите внимание на цветовое кодирование, оно поможет вам понимать, чем вы занимаетесь при тестировании API:
Методы GET будут подсвечены синим цветом - это абсолютно безопасно, так как они только читают данные.
Желтым цветом будут подсвечены методы PUT - это изменение каких-либо настроек.
Зеленые методы POST - это создание новых сущностей (например, сетевых адаптеров) или выполнение операций (например, клонирование ВМ).
Красные методы DELETE - удаление сущностей.
Каждую операцию можно раскрыть подробнее, нажав на соответствующую строчку. Например, раскроем GET /vms для VM Management:
Здесь объясняется модель данных JSON-массива, в которой ожидается прием параметров.
Если посмотреть ниже, то мы найдем кнопку TRY IT OUT!, по нажатию на которую мы получим ответ в блоке Responce Body, где будет ID виртуальных машин и путь к ним в хостовой системе:
В данном случае код ответа (Responce Code) был 200, но бывают и другие коды ответа, обратите на них внимание:
Давайте попробуем уже метод не чтения, а метод PUT (обновление настроек). Например, для PUT /vms/{id}. Здесь мы видим, что можно поменять число процессоров ВМ и объем выделенной памяти:
Если вы кликните справа на Example Value, то значение примера подставится в окошко parameters и вам останется лишь поменять числовые значения. После того, как вы измените параметры и нажмете try it out, в поле Responce body должна отобразиться новая конфигурация ВМ.
Также можно, например, создать сетевой адаптер для виртуальной машины с помощью метода POST:
Ну и затем удалить его с помощью метода DELETE (обратите внимание, что Responce code в этом случае будет 204, а не 200):
Кстати, имейте в виду, что удаление ВМ в данном случае произойдет без подтверждения, так что будьте осторожны.
Ну а дальше вы можете получить доступ к REST API Workstation или Fusion через любой REST-клиент, например, через PowerShell или Postman, но самый простой метод - это использовать curl. Как это сделать, вы можете прочитать вот в этой статье Вильяма Лама.
На сайте проекта VMware Labs появилась еще одна интересная штука - SaaS-решение vAssist. С помощью этого сервиса можно создавать и тренировать модели через интерфейс Natural Language Processing (NLP), которые могут обрабатывать пользовательские запросы на "человеческом" языке и предлагать различные действия для реакции на эти запросы (через API-вызовы или стандартные функции продукта). Это позволяет запрограммировать ботов, которые могут отвечать на различные запросы/обращения пользователей и администраторов, которые возникают в виртуальной инфраструктуре VMware vSphere. Например, с помощью этого сервиса был натренирован движок запросов к vRealize Automation.
С помощью vAssist пользователи могут спрашивать о доступности для них тех или иных сервисов и запрашивать их развертывание с помощью естественного языка. Также в сервисе доступен REST API для создания внешних интеграций с различными решениями.
Возможности vAssist:
Движок NLU Engine для задания запросов и сущностей
Настраиваемая воронка NLU pipeline
Движок диалогов ML based Conversation Engine, который настраивается путем создания правил
Приватность всех передаваемых данных
Масштабируемый механизм со средствами устойчивости к сбоям
Интерфейс REST API для интеграции с различными каналами и платформами
Воспользоваться сервисом vAssist можно по этой ссылке.
На днях компания VMware выпустила обновление своего пакета для гостевых систем VMware Tools 10.3.0. Напомним, что о прошлом обновлении VMware Tools 10.2.5 мы писали тут.
Главное нововведение тулзов версии 10.3 - это закрытая уязвимость HGFS Out-Of-Bounds Read, которая могла привести к повышению привилегий злоумышленника в гостевой ОС виртуальной машины (для этого должны быть включены сервисы File sharing на ВМ с Windows на борту). Более подробную информацию об этой уязвимости можно найти в статье CVE-2018-6969.
Также в VMware Tools 10.3.0 появились следующие новые возможности:
Интеграция с механизмом VMware AppDefense (о том, что это такое, мы писали вот тут).
Обновления в драйвере OpenGL - были сделаны оптимизации Vertex buffer object (VBO) и
Display list drawing.
В драйвере VMXNET3 для Windows появилась поддержка Receive data ring.
Для Shared Folders в Linux появился клиент на базе FUSE (необходима версия ядра 3.10 и выше).
Компилятор для VMware Tools 10.3.0 for Windows был обновлен до Microsoft Visual Studio 2015.
Компания VMware на сайте проекта VMware Labs опубликовала полезную утилиту SDDC Certificate Tool. Она позволяет автоматизировать процесс замены сертификатов SSL в различных продуктах VMware, который всегда был очень геморройным. Теперь, будем надеяться, за счет этой утилиты он превратится в нечто более дружественное.
Для замены сертификатов поддерживаются следующие решения:
Продукт
Минимальная версия
Максимальная версия
Platform Services Controller
6.0 U2
6.7
vCenter Server
6.0 U2
6.7
NSX-V
6.2.4
6.4.1
vRealize Log Insight
3.6
4.6
vRealize Operations Manager
6.3
6.7
vRealize Automation
7.4
7.4
vRealize Business for Cloud
7.1
7.4
Наверное вы заметили, что в списке нет ESXi - это обусловлено тем, что для замены сертификатов требуется эвакуация всех виртуальных машин с хоста, что может занять очень значительное время, поэтому поддержки пока такой нет (но, может быть, появится).
Надо отметить, что это довольно большой набор продуктов для первой версии, охватывающий практически всю линейку решений для управления, мониторинга и автоматизации датацентров (именно поэтому в названии утилиты есть SDDC - Software-Defined Data Center).
Помимо настройки сертификатов, утилита позволяет перенастроить трасты между компонентами по окончании процесса настройки. Утилита работает из командной строки (вам понадобится Linux-сервер с Java 1.8+) и автоматизирует многие шаги, которые ранее нужно было выполнять вручную с помощью Certificate Generation Utility (CertGen). На входе она принимает JSON-конфигурацию, в которой описывается требуемое множество поддерживаемых продуктов VMware.
Приятно, что в составе утилиты уже имеются множество пре-чеков перед заменой сертификатов - определение срока действия, валидация цепочки и прочее, а также сверка введенных параметров (например, число узлов vSAN) с фактическими. Для использования SDDC Certificate Tool подойдет PhotonOS, которую можно скачать отсюда.
Небольшая демка по использованию утилиты (кстати, напомним, что она на данный момент в статусе технологического превью):
Скачать в виде rpm-пакета можно по этой ссылке. Детальные инструкции по использованию утилиты находятся тут.
Вслед за открытием филиала группа компаний «ИТ-ГРАД» запустила новую облачную площадку в Республике Беларусь. Облачная инфраструктура провайдера разместилась в beCloud – республиканском центре обработки данных, обладающем сертификацией Uptime Institute по уровню надежности Tier III, а также сертификатом PCI DSS. Собственная инфраструктура компании построена с использованием лучших в своем классе решений, не имеет единой точки отказа, что позволяет гарантировать высокий коэффициент доступности услуг.
«Запуск новой облачной платформы дает возможность белорусским заказчикам получить качественный сервис корпоративного уровня. Десятилетний опыт работы, отлаженные бизнес-процессы, надежность используемых решений и технологий – все это позволяет размещать в нашем облаке самые требовательные приложения», – комментирует Сергей Чуканов, директор по развитию «ИТ-ГРАД».
Открывшаяся площадка является первой площадкой «ИТ-ГРАД» в Беларуси и пятой по счету наряду с уже имеющимися в Москве, Санкт-Петербурге, Хельсинки и Алматы. При этом ключевым сервисом является IaaS – инфраструктура как сервис. Параллельно с этим «ИТ-ГРАД» готов предложить белорусским заказчикам дополнительные услуги – облачное резервное копирование, мониторинг, администрирование инфраструктуры, построение гибридного облака, облачную площадку для аварийного восстановления (DRS), хостинг корпоративных учетных систем, корпоративную почту и другие виды сервиса.
Отметим, что в основе облачной инфраструктуры «ИТ-ГРАД» лежит эталонная архитектура FlexPod – совместная разработка NetApp и Cisco, что позволяет объединять сетевое оборудование, серверы и системы хранения данных в единое целое. Такой подход обеспечивает гибкость и масштабируемость инфраструктуры, а использование SSD-дисков гарантирует высокую производительность.
На днях компания VMware выпустила обновление решения VMware Lifecycle Manager 1.3, которое предназначено для для автоматизации установки, конфигурации, апгрейда/патчинга, управления изменениями, исправления конфигурации и мониторинга состояния компонентов vRealize Suite.
Давайте посмотрим, что нового появилось в этом продукте:
1. Поддержка vRealize Network Insight.
Она включает в себя:
Поддержку версий 3.7 / 3.8
Возможность указания размера инсталляции (Small, Medium или Large)
Установку через мастер configuration wizard
Экспорт существующих конфигураций окружения в формат JSON в целях воссоздания реплицированной копии окружения
Отдельную лицензию для vRealize Network Insight
2. Улучшения управления контентом с поддержкой vSphere.
Теперь доступно управление шаблонами виртуальных машин и спецификациями по кастомизации гостевых ОС (Customization specifications)
Появилась интеграция с vSphere Content library (нужна версия vSphere 6.0+)
Возможность ролевого доступа (RBAC) к тэгам контента (content tags)
3. Возможность пре-чека при апгрейде продукта.
Запуск валидации на соответствие требованиям апгрейда
Возможность просмотра ошибок, предпятствующих апгрейду, и выгрузка их в форме отчета
4. Прочие улучшения.
Поддержка глобальной конфигурации NTP, а также на уровне отдельных серверов
Группировка компонентов продуктов vRealize в мастере создания окружения
Контент-пак для решения Log insight, что позволяет производить мониторинг инстанса Lifecycle Manager
Поддержка новых версий vRealize Suite через саппорт-паки (support pack), что позволяет не обновлять целиком LCM при выходе новых версий vRealize Suite
Скачать VMware Lifecycle Manager 1.3 можно по этой ссылке. Документация доступна тут, а Release Notes - здесь.
На сайте проекта VMware Labs появилась очередная полезность - утилита VMware Policy Builder, которая позволяет сконфигурировать политики Windows 10 для мобильных устройств Mobile Device Management (MDM) через механизм Configuration Service Providers (CSPs).
Эта утилита доступна онлайн, после логина с аккаунтом My VMware из облака вам будет доступен набор политик, которые можно настроить:
В результате конфигурации политик в графическом интерфейсе, будет доступен вывод SyncML, динамически формируемый в правой панели, который можно скопировать для публикации в решении Workspace ONE Unified Endpoint Management в целях настройки мобильных устройств корпоративной инфраструктуры.
Утилита позволяет избежать ошибок при ручном формировании и редактировании SyncML в решении Workspace ONE UEM. Вот как это работает для UEM при добавлении SyncML в кастомные настройки профиля Windows ПК:
Воспользоваться утилитой VMware Policy Builder можно по этой ссылке.
Некоторые из вас знают, что у VMware есть лицензия VMware vCenter Server Foundation, которая позволяет подцепить к серверу vCenter до 4 хостов VMware ESXi. Такая лицензия стоит дешевле обычного vCenter и позволяет построить растянутый кластер (stretched cluster) из четырех хостов ESXi, например, на уровне основного датацентра и филиала (это обеспечивает отказоустойчивость HA на уровне каждой площадки):
Проблема здесь возникает тогда, когда вы пытаетесь добавить виртуальный модуль Witness Virtual Appliance на один из хостов. Так как Witness VM - это виртуальный хост ESXi, то несмотря на то, что он не исполняет виртуальных машин, сервер vCenter считает его пятым хостом и отказывается добавлять его.
Решение проблемы описано в Release Notes для VMware vCenter Server 6.5 Update 2 (см. пункт в самом низу) - нужно просто с самого начала импортировать Witness VM в inventory сервера vCenter (при добавлении первым он не будет съедать лицензию), после чего уже добавить 4 хоста ESXi, которые в этом случае подцепятся без проблем.
RSS
