Новости Статьи VMware Veeam StarWind Microsoft ИТ-ГРАД Citrix Symantec 5nine События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Виртуализация vSphere, Hyper-V, XenServer и Red Hat

Более 4800 заметок о виртуализации и виртуальных машинах VMware, Microsoft, Citrix, Red Hat

VM Guru | Ссылка дня: Платформа VMware vSphere 6.7 Update 2 доступна для загрузки

Подробно о дисковых группах VMware vSAN - что это такое и как работает.


Мы много пишем о решении для организации отказоустойчивых хранилищ на базе хостов ESXi - платформе VMware vSAN. Сегодня мы расскажем о дисковых группах на основе вот этого поста на блогах VMware.

Архитектура vSAN включает в себя два яруса - кэш (cache tier) и пространство постоянного хранения (capacity tier). Такая структура дает возможность достичь максимальной производительности по вводу-выводу, которая абсолютно необходима в кластере хранилищ на базе хостов.

Чтобы управлять отношениями устройств кэша и дисков хранения, решение vSAN использует дисковые группы:

У дисковых групп есть следующие особенности:

  • Каждый хост, который дает емкость кластеру vSAN, должен содержать как минимум одну дисковую группу.
  • Дисковая группа содержит как минимум одно устройство для кэша и от 1 до 7 устройств хранения.
  • Каждый хост ESXi в кластере vSAN может иметь до 5 групп, а каждая группа - до 7 устройств хранения. То есть на хосте может быть до 35 устройств хранения, чего вполне достаточно для подавляющего большинства вариантов использования.
  • Неважно, используете ли вы гибридную конфигурацию (SSD и HDD диски) или All-Flash, устройство кэширования должно быть Flash-устройством.
  • В гибридной конфигурации устройства кэша на 70% используются как кэш на чтение (read cache) и на 30% как кэш на запись (write buffer).
  • В конфигурации All-Flash 100% устройства кэша выделено под write buffer.

Write buffer и capacity tier

В принципе, всем понятно, что гибридная конфигурация хостов ESXi в кластере vSAN более дешевая (HDD стоит меньше SSD), но менее производительная, чем All-Flash. Но когда-то наступит время, и все будет All-Flash (в них, кстати, еще и нет нужды организовывать кэш на чтение, так как все читается с SSD с той же скоростью). Поэтому и выделяется 100% под write buffer.

При этом если операция чтения в All-Flash хосте находит блок в кэше - то он читается именно оттуда, чтобы не искать его в capacity tier. Максимальный размер write buffer на одном хосте ESXi - 600 ГБ.

Для гибридных конфигураций 70% емкости кэша выделяется под кэш на чтение, чтобы быстро получать данные с производительных SSD-устройств, при этом vSAN старается поддерживать коэффициент попадания в кэш на чтение (cache hit rate) на уровне 90%.

Write buffer (он же write-back buffer) подтверждает запись на устройство хранения еще до актуальной записи блоков на сapacity tier. Такой подход дает время и возможность организовать операции записи наиболее эффективно и записать их на сapacity tier уже пачкой и более эффективно. Это дает существенный выигрыш в производительности.

SSD-устройства бывают разных классов, в зависимости от их выносливости (среднее число операций записи до его отказа). Все понятно, что для кэширования нужно использовать устройства высоких классов (они дорогие), так как перезапись там идет постоянно, а для хранения - можно использовать недорогие SSD-диски.

Вот сравнительная таблица этих классов (колонка TBW - это terabytes written, то есть перезапись скольких ТБ они переживут):

Помните, что нужно всегда сверяться с VMware Compatibility Guide, когда выбираете устройства PCIe flash, SSD или NVMe.

vSAN содержит в себе несколько алгоритмов, которые учитывают, как часто write buffer сбрасывает данные на сapacity tier. Они учитывают такие параметры, как емкость устройств, их близость к кэшу по времени записи, число входящих операций ввода-вывода, очереди, использование дискового устройства и прочее.

Организация дисковых групп

При планировании хостов ESXi в кластере vSAN можно делать на нем одну или более дисковых групп. Несколько дисковых групп использовать предпочтительнее. Давайте рассмотрим пример:

  • Одна дисковая группа с одним кэшем и 6 устройств хранения в ней.
  • Две дисковых группы с двумя устройствами кэша, в каждой по 3 устройства хранения.

Если в первом случае ломается SSD-устройство кэша, то в офлайн уходит вся дисковая группа из 6 дисков, а во втором случае поломка одного девайса приведет к выходу из строя только трех дисков.

Надо понимать, что этот кейс не имеет прямого отношения к доступности данных виртуальных машин, которая определяется политикой FTT (Failures to tolerate) - о ней мы подробно рассказывали тут, а также политиками хранилищ SPBM. Между тем, размер домена отказа (failure domain) во втором случае меньше, а значит и создает меньше рисков для функционирования кластера. Также восстановление и ребилд данных на три диска займет в два раза меньше времени, чем на шесть.

Кстати, некоторые думают, что в случае отказа дисковой группы, кластер vSAN будет ждать 60 минут (настройка Object Repair Timer) до начала восстановления данных на другие диски согласно политике FTT (ребилд), но это неверно. Если вы посмотрите наш пост тут, то поймете, что 60 минут vSAN ждет в случае APD (All Paths Down - например, временное выпадение из сети), а вот в случае PDL (Physical Device Loss) восстановление данных на другие дисковые группы начнется немедленно.

С точки зрения производительности, иметь 2 дисковые группы также выгоднее, чем одну, особенно если разнести их по разным контроллерам хранилищ (storage controllers). Ну и это более гибко в обслуживании и размещении данных на физических устройствах (например, замена диска во втором примере пройдет быстрее).

Работа операций ввода-вывода (I/O)

Как уже было сказано, в гибридной конфигурации есть кэши на чтение и на запись, а в All-Flash - только на запись:

При этом хост ESXi работает так, чтобы операции чтения с дисков попадали в кэш на чтение в 90% случаев. Остальные 10% операций чтения затрагивают HDD-диски и вытаскивают блоки с них. Но и тут применяются оптимизации - например, одновременно с вытаскиванием запрошенного блока, vSAN подтягивает в кэш еще 1 МБ данных вокруг него, чтобы последовательное чтение проходило быстрее.

Для All-Flash конфигурации кэш на чтение не нужен - все данные вытаскиваются с примерно одинаковой скоростью, зато все 100% кэша используются под write buffer, что дает преимущество в скорости обработки большого входящего потока операций ввода-вывода.

Ну и напоследок отметим, что vSAN при записи на флэш-диски распределяет операции записи равномерно между ячейками независимо от размера диска. Это позволяет диску изнашиваться равномерно и иметь бОльшую наработку на отказ.


Таги: VMware, vSAN, Storage, VMachines, Performance

А что нового в VMware vSphere Platinum 6.7 Update 2?


Все из вас в курсе, что не так давно компания VMware выпустила обновление своей флагманской платформы виртуализации VMware vSphere 6.7 Update 2. Ну и все, наверняка, помнят, что, начиная с VMware vSphere 6.7, появилось издание Platinum, которое включает в себя функциональность продукта AppDefense (также вот тут мы рассказывали о решении VMware Service-Defined Firewall на его основе).

Суть технологии AppDefense заключается в том, что она изучает нормальное поведение операционной системы и приложений при обычных условиях, а в случае выявления отклонений от этого состояния, оповещает об этом администратора и автоматически предпринимает некоторые шаги по защите окружения.

Сегодня мы расскажем о том, что нового появилось в vSphere Platinum 6.7 Update 2.

1. Диаграммы обнаружения процессов (Process Burndown Charts).

AppDefense постоянно находится в режиме обнаружения новых процессов и их взаимодействий в виртуальном датацентре (Discovery mode). Данная диаграмма показывает все новые обнаруженные взаимодействия, и если их не становится больше - то пора переводить приложение в защищаемый режим (Protected mode).

2. Статус репутации сервисов (Process Reputation Status).

Эта диаграмма показывает, какая часть сервисов опознана AppDefense как доверенная, а также сколько еще есть неизвестных сервисов и сервисов, которые не вошли в статус доверенных (Untrusted).

3. Статус проверок целостности (Integrity Check Status).

На этой диаграмме видны проверки целостности компонентов гостевой ОС Windows, что позволяет быть спокойным относительно вносимых в среду изменений со стороны стороннего ПО.

4. Улучшения механизма событий мониторинга и адаптивной механики допустимого поведения сервисов.

AppDefense постоянно учится, работая в датацентре - и этот движок был существенно улучшен, особенно в части допустимого поведения сервисов. Также теперь в отображении происходящих событий дается больше информации.

5. Диаграммы топологии (в статусе Beta).

Этот давно запрашиваемый пользователями функционал AppDefense позволяет наглядно отследить и визуализировать, какие сервисы с какими взаимодействуют и по каким портам. Это позволяет абстрагироваться от уровня хостов и гипервизоров, сосредоточившись на понимании взаимодействия сервисов в датацентре.

6. Интеграция VMware Tools и AppDefense.

Теперь модули AppDefense поставляются для гостевых ОС вместе с VMware Tools (по аналогии с модулями NSX introspection). Это позволяет также и создавать шаблоны виртуальных машин с уже интегрированными модулями AppDefense.

7. Улучшения vSphere Plugin.

AppDefense Plugin for vSphere Platinum 6.7 Update 2 получил много улучшений в части рабочего процесса по инсталляции в кластере, а также по апгрейду виртуального модуля AppDefense.

8. Прочие улучшения.

Здесь можно отметить следующие:

  • Поддержка новых механизмов современных ОС упрощает использование VBS (Virtualization-Based Security), виртуальных устройств TPMs, шифрования уровня ВМ, безопасной загрузки и других возможностей по обеспечению безопасности. После обновления со старых систем, например Windows Server 2008 R2, эти возможности включатся автоматически.
  • Улучшения Update Manager и Host Profiles в части процесса обновлений хостов ESXi.
  • Новые возможности для аудита и камплаенса - история паролей, лимит по повторному использованию паролей, улучшенный SSO, логирование всех событий vCenter и прочее. События можно отправить в сторонние системы, такие как vRealize Log Insight или другую SIEM-систему.
  • Улучшенный API по замене сертификатов ESXi, также можно сгенерировать запрос на создание сертификата средствами vCenter.
  • Новые возможности планировщика CPU помогают бороться с уязвимостями типа L1TF.

Скачать VMware vSphere Platinum 6.7 Update 2 можно по этой ссылке.


Таги: VMware, vSphere, Update

Как обновить информацию от VMware Tools о сетевых настройках гостевой ОС (пригодится для Instant Clone).


Вильям Лам написал интересную заметку про обновление информации о сетевой идентификации гостевой ОС, которую выдает VMware Tools. Она показывается на вкладке Summary клиента vSphere Client или VMware Workstation:

По умолчанию эта информация обновляется каждые 30 секунд на базе данных, предоставляемых пакетом VMware Tools из гостевой ОС. Однако если вы используете технологию создания мгновенных клонов (Instant Clone) и массово создаете виртуальные машины, то вам может потребоваться увидеть эту информацию пораньше.

Здесь есть 2 пути:

1. Принудительно обновить настройки из гостевой ОС следующими командами:

  • Windows - C:\Program Files\VMware\VMware Tools\VMwareToolboxCmd.exe info update network
  • Linux - /usr/bin/vmware-toolbox-cmd info update network
  • Mac OS - /Library/Application\ Support/VMware\ Tools/vmware-tools-cli info update network

2. Изменить интервал, по которому обновляются данные со стороны гостевой ОС (это может создать дополнительную нагрузку из-за частых обновлений). По умолчанию это 30 секунд.

Для этого в vmx-файл виртуальной машины нужно добавить следующую строчку (но не факт, что это работает сейчас):

vnet.pollInterval = XX


Таги: VMware, Tools, VMachines, vSphere, ESXi

Для чего нужна настройка Dedicated failover hosts в кластере VMware HA?


Некоторые администраторы VMware vSphere задаются вопросом, а для чего же нужна опция Dedicated failover hosts при настройке механизма Admission Control в кластере VMware HA:

Очень просто - это так называемые Spare Hosts, то есть запасные и всегда свободные хосты ESXi, которые берут на себя нагрузку по размещению виртуальных машин только в случае сбоев других серверов, обрабатываемых механизмом VMware HA.

Эти хосты в обычной жизни будут простаивать, и, если на них не удастся запустить виртуальные машины в случае сбоя, VMware HA все равно перезапустит эти ВМ на других хостах ESXi. Также эти хосты не будут браться в расчет механизмом VMware DRS, то есть он не будет мигрировать туда виртуальные машины, даже на период обслуживания других хостов (Maintenance mode).

Так для чего же такая настройка вообще существует, если выгоднее держать просто больше запаса емкости на хостах кластера HA, но использовать все серверы в нем? Вариантов может быть 2:

  • Совокупные затраты на Failover-хосты ниже, чем на создание запаса емкости на оставшихся серверах кластера (такое бывает крайне редко).
  • Вам нужно точно знать, где окажутся виртуальные машины после сбоя. Это актуально для некоторых лицензионных ограничений, касающихся лицензий на определенные серверы, как это сделано, например, у Oracle.

Оба этих варианта очень маловероятны, поэтому, как правило, настройку Dedicated failover hosts использовать вообще не нужно.


Таги: VMware, HA, VMachines, ESXi, vSphere

Сколько хостов VMware ESXi нужно для кластера VMware vSAN?


Если вы только планируете попробовать решение для создания отказоустойчивых кластеров хранилищ VMware vSAN на базе хостов ESXi, то для вас может оказаться полезной вот эта заметка. Приведем ее суть вкратце.

Когда вы планируете кластер vSAN, вам нужно определиться с политикой FTT (Failures to Tolerate) - она определяет, какое количество отказов хостов может пережить кластер хранилищ. Если установлено значение 1 (по умолчанию), то реплика одного VMDK будет размещена на дисках еще одного из хостов кластера.

Также при создании SPBM-политики хранилищ vSAN вы определяете уровень RAID (1, 5 или 6), в который виртуально будут собираться хосты ESXi на уровне дисковых объектов:

Иногда этот уровень RAID также называется FTM (Failure Tolerance Method).

vSAN - это объектное хранилище, где объекты состоят из компонентов. В состав компонентов входят реплики (Replicas - они содержат данные) и Witness (там находятся метаданные, чтобы избежать ситуации split-brain в кластере).

Есть три типа объектов на хранилище vSAN:

  • VM Home (домашняя директория)
  • VM Swap (файлы подкачки)
  • VM Disk (диски с данными)

На хостах ESXi при этом размещаются компоненты для каждого из объектов в соответствии с заданной политикой SPBM:

FTM, то есть способ размещения данных на хостах ESXi, как мы сказали выше, может быть:

  • RAID-1 (Mirroring, то есть зеркалирование объектов на хостах).
  • RAID-5/6 (оно же Erasure Coding - алгоритм кодирования с коррекцией ошибок).

Таким образом, в зависимости от FTT вам понадобится следующее минимальное количество хостов ESXi для RAID-1:

FTT Число реплик Компоненты Witness Минимальное число хостов
0 1 0 1
1 2 1 3
2 3 2 5
3 4 3 7

Для RAID-5/6 вам потребуется вот такое минимальное число хостов ESXi:

FTT Алгоритм Erasure coding Схема избыточности Минимальное число хостов
0 Нет Без избыточности 1
1 RAID-5 3D+1P 4
2 RAID-6 4D+2P 6
3 Не применимо Не применимо Не применимо

При этом вы должны учитывать, что по-хорошему нужно добавить еще один запасной хост ESXi в кластер, так как при отказе одного из хостов при значениях из таблиц выше, вы потенциально попадаете в ситуацию, где отказ еще одного хоста может привести к потере данных. Особенно это нужно сделать, когда вы понимаете, что при отказе хоста ESXi ввести в строй новый займет продолжительное время.


Таги: VMware, vSAN, HA, Storage, SPBM

Новое на VMware Labs - MyVMware CLI.


На сайте проекта VMware Labs появилось очередное обновление - утилита/интерфейс MyVMware CLI, который позволяет взаимодействовать с порталом My VMware (my.vmware.com) посредством командной строки.

Основное назначение утилиты - предоставить администраторам интерфейс для загрузки дистрибутивов различных продуктов VMware.

С помощью MyVMware CLI можно скачать любой продукт VMware, любой версии, а также загружать различные файлы. Надо понимать, что к возможностям загрузки дистрибутивов с помощью данного средства будут применяться ограничения, действующие для используемого аккаунта My VMware (поэтому выведите список всех доступных продуктов командой vmw-cli list).

MyVMware CLI протестирована и работает на Linux или MacOS. Установить интерфейс можно с помощью NodeJS (через NPM) командой:

npm install vmw-cli --global

Также MyVMware CLI можно развернуть на платформе Docker:

docker run -t --rm -e VMWUSER='<username>' -e VMWPASS='<password>' -v ${PWD}:/files apnex/vmw-cli <cmd>

MyVMware CLI доступен из репозитория GitHub, где вы также можете увидеть примеры использования различных команд по листингу и загрузке продуктов VMware. Более подробно об использовании утилиты можно почитать здесь.


Таги: VMware, Labs, CLI, vSphere

Что нового в VMware vCenter 6.7 Update 2 - еще несколько подробностей.


Недавно компания VMware выпустила новую версию платформы виртуализации VMware vSphere 6.7 Update 2. Довольно много новых возможностей появилось в функциональности управляющего сервера VMware vCenter 6.7 Update 2. Давайте посмотрим, что именно с картинками и анимированными гифками:


Таги: VMware, vCenter, Update, vSphere

Как восстановить пароль к VMware vRealize Operations Manager 7.0, и что лучше сделать до того, как вы его забыли.


Некоторые администраторы решения vRealize Operations сталкиваются с трудностями восстановления админского пароля к консоли Operations Manager. В этом случае большинство использует функции сброса пароля root к виртуальному модулю, хотя у Operations Manager 7.0 есть простая процедура password recovery, правда подготовиться к ней нужно заранее.

Просто откройте vRealize Operations Manager Administration и перейдите в раздел Administrator Settings:

Как мы видим, здесь можно задать опцию восстановления пароля администратора, просто указав его почту (отправку письма со ссылкой на восстановление пароля можно протестировать).

Как только вы зададите эти настройки, у вас появится опция "Forgot password" на экране логина:

Когда вы нажмете эту ссылку, вам будет отправлено письмо на заданный ранее email со ссылкой на сброс пароля:

Перейдя по ней, вы сможете сразу установить новый пароль, не зная старого.

Ну вы поняли да, что настроить способ восстановления пароля нужно еще до того, как вы его забыли :)


Таги: VMware, vRealize, Operations, Security

Нативная поддержка кластеров Microsoft SQL Server в среде VMware vSAN (пока только в облаке vCloud on AWS).


С момента последних обновлений, инфраструктура отказоустойчивых хранилищ VMware vSAN теперь нативно поддерживает кластеры Microsoft SQL Server. На данный момент эта поддержка реализована только в облачной IaaS-инфраструктуре VMware Cloud on AWS версии 1.6, но скоро она появится и в онпремизной инфраструктуре VMware vSphere.

Суть поддержки заключается в том, что теперь облачный vSAN работает с командами SCSI-3 Persistent Reservation (SCSI3-PR), которые обеспечивают доступ к общим дискам на физическом уровне абстракции.

Таким образом, пользователи SQL Server не нуждаются в перепроектировании их Availability Groups, а могут просто перенести свои кластеры БД в облако.

Чтобы построить SQL Server Cluster нужно расшарить общий диск между его узлам таким образом, чтобы каждый из узлов мог управлять устройством на физическом уровне. Этот подход описан в документе о SCSI-3 Persistent Reservation (SCSI3-PR).

Для включения поддержки SCSI3-PR для выбранного виртуального диска машины нужно:

  • Выставить режим диска в Independent – Persistent.
  • Виртуальный диск должен быть привязан к SCSI-контроллеру, для которого параметр SCSI Bus Sharing выставлен в Physical.
  • Для управления устройством Shared Disk и его Persistent Reservations имеет смысл создать отдельную политику хранилищ в целях лучшей управляемости.

На данный момент для такой инфраструктуры поддерживаются кластеры SQL Server Clusters 2012 и более свежие, работающие на платформе Windows Server 2012 и более свежей. С точки зрения лимитов, поддерживается до 8 узлов SQL Server на кластер и до 64 устройств на узел.

Когда вы используете общий диск, поскольку узлы должны иметь к нему прямой доступ как бы на физическом уровне, вы не сможете использовать такие технологии, как vMotion, снапшоты, клонирование ВМ и прочие.

Вот как создается общий диск с описанными настройками:

Далее такой диск нужно подключить ко всем узлам SQL Server кластера:

Во время настройки, кстати, вам может оказаться полезным документ "Microsoft SQL Server Workloads and VMware Cloud on AWS: Design, Migration, and Configuration".

После того, как диск подцеплен ко всем узлам, можно валидировать кластер, перед тем, как создавать Cluster Management Point:

После завершения создания кластера закончите настройку инфраструктуры SQL Server как обычно.


Таги: VMware, vCloud, vSAN, AWS, Storage, Microsoft, SQL, HA

На каком чипсете материнской платы работают виртуальные машины VMware vSphere?


Интересный пост Дэвида Пасека про чипсет материнской платы виртуального аппаратного обеспечения виртуальных машин на платформе VMware vSphere. Оказывается, все ВМ, независимо от версии виртуального "железа" (включая Virtual Hardware Version 14 в vSphere 6.7 Update 1), используют одну и ту же виртуальную материнскую плату на базе Intel 440BX, которая в свойствах системы называется "440BX Desktop Reference Platform" (скриншот из гостевой ОС Windows 10):

Примечательно, что этот чипсет был выпущен в апреле 1998 года - в том же году, когда была основана VMware, а через год был выпущен первый продукт компании VMware Workstation. И вот с тех пор чипсет виртуальной материнской платы не менялся! Видимо, незачем вносить туда серьезные изменения, от него ничего особо в работе виртуальной машины не зависит.

Кстати, изнутри гостевой ОС виртуальной машины можно поймать модель материнской платы следующей командой:

Get-WMIObject win32_baseboard | Select-Object Product

Это же позволит вам определить, что, например, ваш сценарий или программа работает в ВМ.

В Linux, возможно, сработает эта команда:

# dmidecode | grep -C 3 'Base Board'


Таги: VMware, VMachines, Hardware, vSphere

Что нового в обновлении архитектуры VMware Cloud Foundation 3.7?


В конце прошлого года мы писали о серьезном обновлении VMware Cloud Foundation 3.0 - облачной архитектуры VMware, в которую входит большинство основных продуктов для развертывания, исполнения, мониторинга и поддержки виртуальной инфраструктуры в онпремизном датацентре. С тех пор уже успела выйти VCF 3.5, а на днях было выпущено обновление этой архитектуры VMware Cloud Foundation 3.7.

Архитектура VCF включает в себя компоненты VMware vRealize Suite, VMware vSphere Integrated Containers, VMware Integrated OpenStack, VMware Horizon, NSX и другие, работающие в онпремизной, облачной или гибридной инфраструктуре предприятия, которые желательно развертывать все вместе, но можно какие-то и опустить. Все это находится под управлением решения VMware SDDC Manager.

Давайте посмотрим, что нового появилось в VCF 3.7:

  • Архитектура VMware Cloud Foundation на платформе VxRail

Эта возможность включает в себя средства интегрированного управления жизненным циклом всего решения в рамках аппаратной архитектуры Dell EMC VxRail. Интеграция происходит за счет специального плагина к vCenter, который связывается с VxRail Manager.

  • Автоматизированное развертывание vRealize Suite Lifecycle Manager (vRSLCM)

Теперь vRSLCM можно развернуть независимо от остальных компонентов и рабочих процессов под управлением SDDC Manager (и его теперь можно развернуть в любое время).

Это в будущем позволит просто накатывать обновления vRealize Operations и vRealize Automation через интеграцию между vRSLCM и SDDC Manager.

  • Автоматическое развертывание и управление инфраструктурой виртуальных ПК и приложений Horizon.

Эта возможность позволяет автоматизировать создание, масштабирование и удаление доменов Horizon workload domains через SDDC Manager. Сущность Horizon Domain используется, чтобы накатить инфраструктуру виртуальных десктопов поверх обычных доменов серверной виртуальной инфраструктуры в рамках распределенной архитектуры Horizon PODs.

Далее VI Domains можно конвертировать в VDI Domains:

  • Общий виртуальный модуль Cloud Builder для VMware Validated Design and VMware Cloud Foundation.

Теперь решение Cloud Builder можно использовать для развертывания обеих этих платформ.

Вот какие версии продуктов и решений VMware были включены в VCF 3.7:

Полный список обновлений VCF 3.7 приведен в Release Notes.


Таги: VMware, vCloud, VCF, Update, Cloud

Встреча VMUG Russia


Мы возрождаем традицию регулярных встреч группы пользователей решений VMware — VMUG Russia. Все как вы любите: лучшие докладчики, сложные и интересные темы, обмен опытом и много общения.
Таги: VMware, VMUG, Events

Основные рекомендации по исполнению нагрузок Microsoft SQL Server в кластере хранилищ VMware vSAN.


Недавно мы писали о нативной поддержке Microsoft SQL Server в кластерах хранилищ VMware vSAN, а сегодня раскроем эту тему еще несколько глубже. Недавно VMware опубликовала полезный материал, содержащий основные рекомендации по исполнению нагрузок SQL Server в кластерах хранилищ VMware vSAN.

Надо понимать, что важно не только настроить серверы SQL, но и саму среду vSAN, в зависимости от характера ваших нагрузок (какие-то базы данных требуют высокой производительности, какие-то большой дисковой емкости и т.п.).

Давайте посмотрим, что это за базовые рекомендации:

1. Общие рекомендации.

  • Включайте дополнительный хост ESXi к результатам сайзинга по схеме n+1 на случай отказа диска, дисковой группы или всего хоста в целом.
  • Имейте хороший запас по пропускной способности сети для трафика vSAN, рекомендуется использовать 10G сеть с выделенной полосой для трафика синхронизации. Для All-Flash vSAN это обязательное требование. И не забывайте о резервировании каналов.
  • Имейте как минимум 2 дисковых группы на хост - это может увеличить полосу пропускания во многих случаях, а также обеспечивает лучшую отказоустойчивость.
  • Службы vSAN на уровне кластера:
    • vSAN Performance service (включен по умолчанию в vSAN 6.7) предоставляет метрики производительности в сторонние системы, такие как vRealize Operations, что позволяет эффективно мониторить и решать проблемы.
    • Вы можете использовать шифрование data at rest (FIPS 140-2 compliant), это не влияет на производительность по IOPS, но дает нагрузку на CPU, поэтому лучше использовать процессоры с поддержкой возможности AES-NI. Для end-to-end шифрования используйте туннели IPSEC. Если нужно зашифровать только отдельную БД, используйте SQL Server native encryption.
    • vSAN 6.7 поддерживает SCSI-3 persistent reservations для общих дисков при использовании SQL Server FCI. Для этого на уровне кластера надо включить службу vSAN iSCSI Target.

Настройте политики SPBM для данных SQL Server:

  • Политика Failures to tolerate (FTT): убедитесь, что выставлено как минимум значение 1, не используйте опцию "No data redundancy".
  • Политика Number of disk stripes per object: используйте значение по умолчанию (1) и подумайте о разделении данных между разными дисками VMDK, привязанными к разным контроллерам vSCSI.
  • Политика IOPS limit per object: vSAN 6.2 и более поздние версии имеют возможности QoS, которые могут ограничить IOPS, потребляемые дисковым объектам. Не используйте эту политику для задач, требовательных к нагрузкам. Эта фича используется, как правило, для операций резервного копирования и восстановления, чтобы предотвратить забитие полосы пропускания этими задачами.

2. Рекомендации для нагрузок Tier-1 (высоконагруженные OLTP-базы).

Как правило, такие нагрузки по вводу-выводу включают запросы с множественным позиционированием точек записи в базе данных, активность по сбросу грязных страниц кэша на диск, а также запись транзакционного лога. Размер операции ввода-вывода небольшой - в диапазоне 8K - 64K. Можно использовать бенчмарки TPC-E для воспроизведения паттернов OLTP-подобных нагрузок.

  • Рассмотрите возможность использования All-flash vSAN.
  • Используйте как минимум диски SAS SSD (а не SATA SSD) - у них больше глубина очереди. Также подумайте о технологии NVMe.
  • Отключайте дедупликацию и компрессию данных, которые включены в vSAN по умолчанию. Лучше использовать компрессию таблиц на уровне базы данных.
  • Для object space reservation установите "Thick provisioning" для всех VMDK с данными SQL Server и логами. Это позволит не натолкнуться на проблему нехватки места при использовании тонких дисков. Также в опциях SQL Server лучше установить настройку Perform maintenance tasks, чтобы инициализировать файлы с данными сразу же. Также выделите сразу место под лог БД, чтобы не натолкнуться на недостаток места в гостевой ОС, либо установите настройку его роста в ГБ, а не в процентах.
  • Не используйте IOPS limit for object.
  • Используйте RAID-1 mirroring и как минимум FTT=1 для для VMDK-дисков с данными и логом.
  • Если вы используете дополнительные методы отказоустойчивости, такие как Always On Availability Groups, то вам может потребоваться увеличить FTT. Делайте это не только с точки зрения доступности, но и с точки зрения производительности. Вы можете комбинировать отказоустойчивость Availability Groups на уровне приложения с отказоустойчивостью на уровне дисковой подсистемы.
  • Если вам требуется доступность SQL между площадками, можно использовать архитектуру растянутых кластеров (vSAN Stretched Cluster).
  • Подумайте о коммутаторах для трафика vSAN. Оптимально использовать кластеры all-NVMe vSAN, тогда операции ввода вывода будут быстро передаваться между дисковыми устройствами без участия физических контроллеров. Также лучше использовать 10G-коммутаторы Enterprise-уровня с большими размерами буфера (non-shared), чтобы обеспечить работу с плотным потоком ввода-вывода.

2. Рекомендации для нагрузок Tier-2 (высоконагруженные OLTP-базы).

Это нагрузки от которых не требуется экстремальной производительности, поэтому они должны быть эффективными с точки зрения стоимости. Тут актуальны следующие рекомендации:

Для гибридной среды vSAN (микс HDD+SSD) рекомендуется следующее:

  • Используйте несколько дисковых групп для увеличения пропускной способности.
  • Имейте как минимум 10% от емкости данных для пространства кэширования на SSD. Также рекомендуется использовать объем SSD-емкости как минимум в два раза больший, чем рабочий набор данных (working data set).
  • Используйте, по возможности, устройства SAS SSD вместо SATA SSD.

Если вы используете конфигурацию All-flash vSAN, то:

  • Используйте дедупликацию и компрессию, если у приложений нет высоких требований по операциям записи.
  • Если хотите экономить место и не требуется большой производительности, то используйте конфигурацию RAID 5/6 erasure coding, но для транзакционных логов используйте VMDK-диски, размещенные на RAID 1.
  • Для object space reservation установите "Thick provisioning" для всех VMDK с данными SQL Server и логами.

3. Нагрузки типа Data Warehouse и серверов отчетов (Reporting).

Для таких нагрузок характерен большой размер операции ввода-вывода, так как происходит запрос большого объема данных из БД. Критичной метрикой здесь является не IOPS, а пропускная способность (MB/s). Для генерации таких нагрузок могут быть использованы бенчмарки TPC-H.

Тут приводятся следующие рекомендации:

  • Для конфигураций All-flash лучше использовать NVMe SSD для хранилищ данных, это даст хорошую производительность по большим операциям чтения.
  • Для конфигураций All-flash в целях экономии места используйте RAID 5/6 для VMDK с данными БД.
  • Преаллоцируйте пространство для логов SQL Server, чтобы не натолкнуться на проблему нехватки места.
  • Не используйте IOPS limit for object, это может ограничить полосу пропускания.
  • Лучше использовать 10G-коммутаторы Enterprise-уровня с большими размерами буфера (non-shared), чтобы обеспечить работу с плотным потоком ввода-вывода и выдать хорошую пропускную способность.

Таги: VMware, vSAN, Microsoft, SQL, Performance

Как попробовать инфраструктуру VMware в облаке Amazon - VMware Cloud on AWS Evaluation Guide.


Как вы знаете, уже довольно давно компании Amazon и VMware совместно продвигают публичное облако VMware Cloud on AWS, где можно взять в аренду виртуальные машины. Недавно компания VMware выпустила документ VMware Cloud on AWS Evaluation Guide, который позволит вам понять процедуру развертывания и начать тестирование виртуальной инфраструктуры в облаке VMConAWS.

В документе представлен обзор функциональности платформы, ее основные возможности и основные шаги по ее первоначальной конфигурации. Также рассматривается опциональный вариант сопряжения облачного SDDC (Software-Defined Data Center) и онпремизной виртуальной инфраструктуры с настройкой средств катастрофоустойчивости.

Вы также научитесь строить и конфигурировать сети software defined networks в гибридном облаке, настраивать сетевые экраны, развертывать сервисы DNS, VPN, отчетности и многое другое. Лучше всего использовать данное руководство с функциональностью сервиса Get Started в облаке VMConAWS (оно под него и заточено). Для построения гибридной облачной среды вам потребуется как минимум один хост ESXi на платформе vSphere 6.0 Update 3 или более поздней в своем датацентре.

Необычно и печально то, что сервис VMware Cloud on AWS не предоставляет бесплатного триала (у всех остальных он есть), поэтому нужно быть готовым сразу платить.

Есть еще 3 полезные ссылки, помимо данного Evaluation Guide: FeaturesUse Cases и FAQ. Также всем бесплатно доступна лабораторная работа Hands-On Lab for VMware Cloud on AWS.

Кстати, вот полезный PowerCLI сценарий, который позволит вам скачать документацию по VMware Cloud on AWS, которая публично доступна вот тут:

$url = "https://docs.vmware.com/en/VMware-Cloud-on-AWS/services/vmc-on-aws-networking-security.pdf",
"https://docs.vmware.com/en/VMware-Cloud-on-AWS/services/vmc-aws-operations.pdf", 
"https://docs.vmware.com/en/VMware-Cloud-on-AWS/services/vmc-on-aws-getting-started.pdf", 
"https://docs.vmware.com/en/VMware-Cloud-on-AWS/services/vmc-aws-manage-vms.pdf",
"https://docs.vmware.com/en/VMware-Cloud-on-AWS/services/vmc-aws-manage-data-center.pdf"

$url | ForEach-Object {Invoke-WebRequest -Uri $_ -OutFile ($_ | Split-Path -Leaf)}


Таги: VMware, vCloud, Amazon, VMConAWS, ESXi, vSphere, IaaS

Весенняя серия вебинаров от VMware 2019.


Компания VMware решила вновь заняться просветительской работой в российском сегменте и с марта запустила весеннюю серию вебинаров на русском языке. Но в апреле-мае осталось еще много интересных событий:

Тема вебинара Дата и время
Из администратора инфраструктуры виртуализации в Site Reliability Engineer: vSphere и Kubernetes – сравнение архитектур и почему вместе лучше 18 апреля в 11:00 мск
Виртуальные сети и безопасность для контейнеров на базе NSX Data Center 23 апреля в 11:00 мск
Современные технологии: VMware & Blockchain 25 апреля в 11:00 мск
Построение удаленного рабочего места и управление им 14 мая в 11:00 мск
Что нового в базовой виртуализации ЦОД 16 мая в 11:00 мск
Современная и компактная филиальная инфраструктура из vSphere, vSAN, NSX и VeloCloud 21 мая в 11:00 мск
VMware SD-WAN by VeloCloud: архитектура, основные компоненты, сценарии использования 28 мая в 11:00 мск
VMware Cloud Services (CAS, VMC) 30 мая в 11:00 мск

Вебинары предназначены для ИТ-специалистов, особенно для администраторов сетевой и серверной инфраструктуры, а также в области информационной безопасности.

На данный момент уже прошли следующие мероприятия:

Тенденция BYOD: плюсы и ... плюсы 19 марта в 11:00 
Гиперконвергентная инфраструктура как фундамент программно-определяемого ЦОДа 21 марта в 11:00 
Технологии VMware для построения частного облака 26 марта в 11:00 
Безопасность рабочего места 28 марта в 11:00
Виртуальная Облачная Сеть (Virtual Cloud Network). Основные компоненты и сценарии использования 2 апреля в 11:00
Построение удобного, адаптивного и безопасного гибридного облака на платформе VMware Cloud Foundation 4 апреля в 11:00
Мониторинг программного ЦОДа 9 апреля в 11:00
Построение катастрофоустойчивого ЦОД для непрерывной работы вашего бизнеса 11 апреля в 11:00

Регистрация на вебинары находится по этой ссылке. Приходите!


Таги: VMware, Events, Webinars, vSphere

Новые релизы VMware: vRealize Automation 7.6, vRealize Lifecycle Manager 2.1 и vRealize Network Insight 4.1.


Недавно компания VMware провела серию релизов своих продуктов, главным из которых было обновление платформы виртуализации VMware vSphere 6.7 Update 2. Но помимо этого, VMware обновила еще 3 своих решения из линейки по оптимизации операций датацентров:

  • vRealize Automation 7.6
  • vRealize Lifecycle Manager 2.1
  • vRealize Network Insight 4.1

Давайте посмотрим, что в этих продуктах появилось нового:

1. vRealize Automation 7.6.

В этом релизе VMware сделала упор на интеграцию архитектуры SDDC с платформой Cloud Management Platform (CMP):

  • Появилась интеграция с решением NSX - пользователи могут теперь настроить одновременно NSX-T и NSX-V для различных кластеров сети на одном сервере vCenter. Также будет добавлена поддержка on-demand private networking.
  • Улучшилось управление рабочими процессами в vRealize Orchestrator - теперь появились такие функции в них, как Design, Run, Content Management и Troubleshooting. Также будет добавлена поддержка нескольких клиентов (multi-tenancy) для пользователей, которые хотят позволить использовать vRO в изолированных окружениях.

Скачать vRealize Automation 7.6 скоро можно будет по этой ссылке.

2. vRealize Lifecycle Manager 2.1.

В этом обновлении было уделено внимание функциям жизненного цикла продуктов в гибридном облаке, особенно в составе пакета решений vRealize Suite. В vRealize Suite Lifecycle Manager появились следующие новые возможности:

  • Установка шаблонов VMware Validated Designs
  • Более гранулярные настройки развертывания
  • Возможность Multi-content capture
  • Управление жизненным циклом продукта VMware Identity Manager.
  • Улучшения пользовательского интерфейса.

Скачать vRealize Lifecycle Manager 2.1 пока нельзя, скоро он будет доступен.

3. vRealize Network Insight 4.1.

Здесь появились следующие новые возможности:

  • Планирование и решение проблем на базе приложений. vRNI 4.1 берет определения приложений из ServiceNow (либо их может задать пользователь с помощью регулярных выражений). Далее эти приложения появляются на соответствующих дэшбордах мониторинга.
  • Возможность мониторинга окружений VMware Enterprise PKS и Kubernetes. В решение vRNI были добавлены функции для управления безопасностью и конфигурации сетевого взаимодействия для приложений на PKS и Kubernetes.
  • Улучшенная видимость происходящих событий в датацентре с точки зрения сети. Теперь на таймлайн изменения конфигураций безопасности и сетевых настроек, включая окружения NSX, были добавлены и метки пользователей (то есть не только, что изменено, но и кто изменил). Также была добавлена поддержка балансировщиков F5 и отслеживание их физического пути трафика.

Скачать vRealize Network Insight 4.1 скоро можно будет по этой ссылке.


Таги: VMware, vRealize, Automation, Lifecycle, Security, Update, vRNI, vRA, SDDC

Стал доступен Google Cloud Plug-in for VMware vRealize Automation.


Недавно компания VMware выпустила плагин Google Cloud Plug-in for VMware vRealize Automation, который позволяет реализовать нативную интеграцию публичного облака Google Cloud и решения для автоматизации операций в облаке vRealize Automation.

Это решение является продолжением уже объявленной VMware в июле прошлого года интеграции с облаком Google средствами плагина Google Cloud plug-in for VMware vRealize Orchestrator (vRO). vRO представляет собой встроенный движок vRealize Automation для оркестрации рабочих процессов в облаке, соответственно, плагин для vRealize Automation позволяет настроить управление рабочими процессами в облаке Google Cloud в дополнение к уже имеющимся процедурам автоматизации в онпремизной инфраструктуре.

С момента превью плагина для vRO команда Google Cloud добавила следующие новые возможности и улучшения в плагин:

  • Поддержка новых сервисов: Google Kubernetes Engine, Cloud SQL, Cloud Spanner, Cloud Pub/Sub, Cloud Key Management Service, Cloud Filestore (Beta), IAM Service Accounts.
  • Улучшенные рабочие процессы для работы с облачными ВМ: установка пароля Windows, исполнение SSH-команд, запрос вывода последовательного порта, восстановление из снапшота и другое.

Также для функций плагина к vRO были сделаны следующие улучшения:

  • Поддержка настройки http-прокси при создании соединения.
  • Рабочие процессы для упрощения импорта ресурсов XaaS Custom Resources и описаний архитектуры Blueprints в инфраструктуру vRealize Automation.
  • Дефолтные опции для рабочего процесса по созданию ВМ.
  • Просмотр оценочной стоимости платы за ВМ в месяц.
  • Рабочий процесс для сбора ошибок и написания письма в поддержку.
  • Улучшенная обработка синхронизации соединений для кластеров vRO.
  • Премиальная поддержка для функций Health Check.
  • Доработанная пользовательская документация и шаблоны сценариев vRO.

Обзор функций плагина Google Cloud Plug-in for VMware vRealize Automation представлен в видео ниже:

Информация о плагине доступна в блоге Google и VMware. Скачать его можно по этой ссылке.


Таги: VMware, vRealize, Google, Cloud, IaaS, Plugin, Automation

Новое на VMware Labs: синхронизация назначения прав доступа App Volumes Entitlement Sync.


Полтора года назад мы писали о PowerCLI-сценарии, который решает проблему того, что права доступа пользователей (Entitlements) не синхронизированы при резервировании серверов App Volumes Managers и баз данных SQL Server на запасной площадке, что влечет за собой проблемы доступа при переключении в случае сбоя.

При этом данный скрипт не реплицировал данные томов AppStacks, которые можно перенести обычным копированием (также можно автоматизировать этот процесс за счет настройки Storage Groups, как это описано в документе "App Volumes Deployment Considerations").

На днях на сайте проекта VMware Labs появилась GUI-обертка к данному процессу, которая называется App Volumes Entitlement Sync. С помощью нее можно прочитать, сравнить и синхронизировать права доступа к объектам между экземплярами App Volumes на географически разделенных площадках:

После аутентификации на обеих площадках вы сможете выбрать права доступа, которые надо сравнить или синхронизировать:

Перед выполнением синхронизации вам покажут, что именно будет сделано на обеих площадках:

По результатам синхронизации заполняется лог:

Процесс работы с утилитой показан в видео ниже:

Скачать App Volumes Entitlement Sync можно по этой ссылке. Документация доступна тут.


Таги: VMware, App Volumes, DR, Security, VDI, Labs

На VMware Labs обновилась утилита HCIBench до версии 2.0 - что нового?


На сайте проекта VMware Labs обновилась полезная утилита HCIBench до версии 2.0, которая позволяет провести комплексный тест производительности отказоустойчивых кластеров хранилищ Virtual SAN, а также других конфигураций виртуальной инфраструктуры. Напомним, что об этой утилите мы писали больше двух лет назад вот тут.

Проект HCIbecnh ("Hyper-converged Infrastructure Benchmark") является оберткой для известного open source теста VDbench, он позволяет организовать автоматизированное тестирование гиперконвергентного кластера (HCI-кластера). Гиперконвергентный кластер - это когда все его вычислительные ресурсы, системы хранения и сети виртуализованы и собраны в единую интегрированную сущность и управляются из одной точки.

Целью такого тестирования может быть, например, необходимость убедиться, что развернутая инфраструктура обеспечивает достаточную производительность для планируемой на нее нагрузки.

Суть работы HCIbench проста - пользователь задает параметры работы скрипта, а утилита дает команду Vdbench, какие действия необходимо выполнить в кластере хранилищ.

Давайте посмотрим, что нового появилось во второй версии HCIBench:

  • В качестве генератора рабочей нагрузки добавлена модель fio (Flexible I/O).
  • Для мониторинга рабочих нагрузок в реальном времени используется решение Grafana.
  • Пользовательский интерфейс теперь сделан на визуальном фреймворке Clarity, как и другие продукты VMware (например, vSphere Client на базе HTML5).
  • Пользователь может выбрать от одного до четырех вариантов использования при выборе метода easy-run.
  • Множество исправлений ошибок.

Вот так выглядит новый UI на Grafana в части мониторинга в реальном времени:

А вот так выглядит интерфейс конфигурации продукта на базе Clarity:

Скачать HCIBench 2.0 можно по этой ссылке.


Таги: VMware, Labs, HCIBench, Update, Monitoring, vSphere, vSAN, HCI

В какой enclosure и слоте находится диск VMware vSAN, какого он типа и емкости?


Часто администраторы виртуальной инфраструктуры VMware vSphere и отказоустойчивых кластеров VMware vSAN задаются вопросом, а как найти тот или иной диск vSAN в физическом сервере?

Иногда такую информацию можно получить с помощью следующей команды:

esxcli storage core device physical get -d <device id>

Вывод будет выглядеть следующим образом:

Исполнять эту команду для каждого из дисков достаточно проблематично, особенно учитывая, что нужно еще предварительно получить id устройства.

Также эту информацию можно посмотреть в разделе Cluster > Configure > vSAN > Disk Management, выбрав режим показа дисков "By Disk Vendors":

Но это тоже неудобно, хотелось бы такую информацию получать через PowerCLI. Информацию о дисковых устройствах можно получить с помощью командлета Get-ScsiLun, который выдает адаптер, к которому подключен диск, а также является ли он SSD-устройством, подходит ли для vSAN и другое. Но, к сожалению, он не дает данных об enclosure для этого диска, поэтому дополнительно нужно воспользоваться командлетом Get-EsxCli, который добавит эту информацию.

Таким образом, VMware предлагает использовать вот такой сценарий PowerCLI, который выведет информацию о физических устройствах, их нахождении в enclosure и слоте, а также типе дисков и их емкости:

Сам сценарий доступен по этой ссылке: https://code.vmware.com/samples/5539 (кстати, обратите внимание, что на портале VMware Code можно найти еще много чего интересного).


Таги: VMware, vSAN, PowerCLI, vSphere, VMachines, Hardware

Еженедельные видео от VMware Russia - подписывайтесь на канал.


Интересную новость прислал Андрей Коновалов - в российском офисе VMware коллеги запустили новую инициативу на российском канале, где публикуются короткие (до 10 минут) обзорные и обучающие видео о продуктах и технологиях VMware.

Проект называется "VMware по средам". Сейчас ребята записывают серию роликов о VMware PKS, а также планируют публиковать ролики по различным интересным темам - VMware Skyline, Workspace ONE и другим. Таким образом, вместо привычного маркетингового потока сознания, на канале VMware Russia имеют шанс быть освещенными интересные технические темы.

Сейчас пока на канале 3 плейлиста, но каждую неделю будет появляться что-то новое:

Подписывайтесь на канал или следите за обновлениями тут.


Таги: VMware, Video, vSphere

Что нового в анонсированном VMware vRealize Operations 7.5?


На днях компания VMware (помимо анонса серверной платформы vSphere 6.7 Update 2) анонсировала и скорую доступность продукта VMware vRealize Operations 7.5, предназначенного для комплексного управления и мониторинга виртуальной инфраструктуры. Напомним, что о прошлой версии этого решения - vROPs 7.0 - мы писали вот тут. Давайте посмотрим, что нового появилось в vROPs версии 7.5.

1. Улучшения механики оптимизации производительности.

Основное улучшение в этой категории заключается в новом механизме по оптимизации инфраструктуры отказоустойчивых кластеров хранилищ vSAN. Движок vROPs теперь предлагает оптимизации с учетом знаний о процессах синхронизации/ресинхронизации, мониторинга свободного пространства и действующих политиках хранилищ.

После анализа кластеров vSAN администратор может выбрать ручной режим оптимизации, запланировать ее на конкретное время, либо запустить оптимизацию в автоматическом режиме и смотреть, какие именно операции выполняются в фоновом режиме.

2. Улучшения механизма управления емкостями датацентра.

Здесь произошел возврат к модели выделенных ресурсов (allocation) взамен модели потребляемых ресурсов (demand). Последняя оказалась эффективной только для небольших инфраструктур, а планирование больших датацентров лучше делать по номинальным значениям аппаратных запросов ВМ.

При этом для администратора на дэшборде Capacity параметры Allocation и Demand приведены рядом:

Помимо этого, для виртуальных машин можно задавать кастомные профили, чтобы более точно рассчитывать емкости в различных сценариях (см. выше).

Еще одна полезная функция vROPs 7.5 - возможность обнаруживать бесхозные VMDK-диски, болтающиеся отдельно от виртуальных машин. У этих дисков, по крайней мере, можно вернуть выделенное место с нулевыми блоками в сторону дискового массива, что даст вам еще некоторое количество свободного места.

Также в этой категории фичей особо можно отметить комплексную и глубокую "what-if" аналитику, которая позволяет планировать, в том числе, гиперконвергентную инфраструктуру, а также миграции рабочих нагрузок в облака AWS, Azure и другие:

Особо нужно отметить возможность сравнения стоимости содержания онпремизной инфраструктуры в собственном датацентре с облачными инфраструктурами Amazon, Google и другими в виде карточек:

3. Функции интеллектуального исправления конфигураций виртуальной инфраструктуры.

Здесь появилась важная новая возможность - мониторинг ОС и приложений внутри виртуальных машин. Это дает много новых инструментов для изучения поведения и производительности инфраструктуры со стороны приложений.

vROPs автоматически обнаруживает приложения в вашей виртуальной инфраструктуре и добавляет их к себе в консоль. Далее администратор может решить - стоит ли их мониторить здесь в vROPs или нужно передать их на сторону решения Wavefront от VMware, заточенного под эти задачи.

Оба этих метода мониторинга используют агенты Telegraf для сбора метрик и отчетности:

В vROPs 7.5 появилось новое представление - виджет отношений объектов. Он показывает высокоуровневую связь приложения с компонентами датацентра. В рамках этого представления можно понять, связана ли проблема с самим приложением, или она вызвана нижележащими компонентами инфраструктуры. В рамках одного представления поддерживается до 10 000 объектов:

Также теперь появилась возможность построить графики корреляции метрик различного характера для этих объектов, чтобы выявить корень проблемы низкой производительности на различных уровнях:

Ну и последняя, но очень важная новая фича в этой категории - двунаправленная интеграция с ServiceNow, что позволяет встроить vROPs и его метрики в рабочие процессы системы ServiceNow.

4. Интегрированный комплаенс.

Это новое направление функционала vROPs. Оно подразумевает выполнение процедур по обеспечению соответствия таким отраслевым стандартам, как PCI, HIPAA, DISA, ISO, CIS и FISMA. Помимо готовых шаблонов, вы сможете использовать кастомные наборы политик, для которых можно проводить приведение инфраструктуры в соответствие и мониторинг отклонений от заданного уровня. Для всего этого уже из коробки есть готовые рабочие процессы (Workflows) и интеграция с решением VMware vRealize Orchestrator.

 

Также надо отметить, что vROPs без проблем может мониторить облачную инфраструктуру VMware Cloud on AWS - для него это всего лишь еще один экземпляр окружения vCenter.

На данный момент продукт VMware vRealize Operations 7.5 еще недоступен для загрузки, новости можно отслеживать на его основной странице.


Таги: VMware, vROPs, Update, Operations, vSphere, Enterprise, Monitoring, vSAN

Анонсирована платформа VMware vSphere 6.7 Update 2 - много новых возможностей.


На днях компания VMware анонсировала доступность новой версии своей флагманской платформы виртуализации VMware vSphere 6.7 Update 2. Напомним, что предыдущее обновление VMware vSphere 6.7 Update 1 вышло в августе прошлого года.

Давайте посмотрим, что с тех появилось нового:

1. Новое издание VMware vSphere ROBO Enterprise.

Теперь в издании для ROBO-сценариев (Remote or Branch Offices) появились следующие возможности уровня Enterprise:

DRS в режиме обслуживания (Maintenance Mode):

  • Доступно только для vSphere ROBO Enterprise.
  • Может быть использовано для автоматического перемещения ВМ между хостами (и обратно по окончании процесса). Для этого автоматически создаются правила VM-Host affinity (отслеживается, куда машины уехали перед миграцией, потом запомненные правила применяются - и машины приезжают обратно, где и были изначально).
  • Применяются обычные требования vMotion.
  • Никакого визуального механизма настройки DRS нет.

Шифрование машин (VM Encryption):

  • Шифрование домашней директории и файлов VMDK.
  • Требуется инфраструктура KMS.
  • Полностью безразлично к гостевой ОС.
  • Управляется через GUI или PowerCLI.

2. Обновление архитектуры vCenter Server.

Утилита PSC Converge tool теперь доступна в графическом интерфейсе. Об этом средстве мы писали вот тут, оно позволяет смигрировать внешний сервер Platform Services Controller (PSC) на простой в управлении embedded PSC.

Она дает следующие возможности:

  • Конвертация топологии external PSC в Embedded через GUI.
  • Можно выполнить шаги по выводу внешнего PSC из эксплуатации (Decomission).

  • Все это доступно в разделе System Configuration тонкого клиента vSphere Client (на базе HTML5).
  • Можно посмотреть текущую топологию PSC и vCenter в графическом или табличном виде.
  • В следующих релизах будет невозможно развернуть внешний PSC, поэтому с него надо уходить.

3. Улучшения резервного копирования и восстановления vCenter Server.

Здесь появилось 2 главных улучшения:

  • Новые протоколы, посредством которых вы можете сделать бэкап vCSA - NFS v3 и SMB.
  • Нотификации и алармы на успешное и неуспешное завершение задач РК. Эти алармы можно настроить подобно обычным алармам vSphere (послать email, SNMP trap или выполнить сценарий в случае успеха или неудачи).

4. Новые алармы и категории для vSphere Health.

  • Опция acknowledgement (заглушить) для алармов vSphere health (как и для обычных алармов).
  • Новые категории теперь включают в себя:
    • Online Availability
    • Compute
    • Network
    • Storage
  • Эти новые категории позволяют более органично охватывать проблемы сервера vCenter и упрощать управление им.

5. Улучшения Content Library.

  • Функции синхронизации шаблонов VM Template (VMTX).
  • Шаблоны виртуальных машин теперь можно синхронизировать в автоматическом режиме, как между приватными облаками с серверами vCenter, так и с публичным облаком VMware Cloud on AWS.

6. Улучшения vSphere Client.

  • В vSphere Client появилась возможность "code capture" (о ней мы писали вот тут). Теперь она позволяет вести запись пользовательских действий, которые были сделаны в рамках текущей сессии через vCenter API, и генерация соответствующего скрипта. Далее его можно использовать для автоматизации задач в инфраструктуре vSphere.
  • Функции API Explorer (доступны в разделе "Developer Center") - простая утилита по поиску в API, которая позволяет найти основные API-вызовы, включая примеры и возможность их тестирования.
7. Улучшения vSphere Update Manager.
  • Улучшения пользовательского интерфейса, включая функции attach, compliance check и remediation (все можно делать на одном экране).
  • Теперь можно привязать и сделать remediate для нескольких бейслайнов в рамках одной операции.
  • Во время remediation можно отключать removable-девайсы от виртуальных машин, включать Quickboot и пропускать проверки vSAN HealthCheck.

8. Улучшения VMware Tools.

  • Для Windows Server 2016 тулзы теперь обновляются через Windows update, а значит, что их обновления включены в общий цикл апдейта системы.
  • Версия VMware tools for Linux (в формате .TAR) больше не развивается, начиная с VMware Tools 10.3.10, так как OpenVM Tools доступны через любой package update manager.

9. Фикс Host Profiles.

Теперь при применении профиля хоста к ESXi не удаляется интерфейс VMK0, как это было раньше.

10. Улучшения безопасности.

  • Windows Server 2019 и RHEL 8 теперь полностью поддерживаются в vSphere 6.7 Update 2.
  • Можно применять лимиты для Password History и Reuse.
  • Теперь логируются дополнительные события SSO.
  • Улучшения ESXi certification API.
  • Генерация запроса vCenter Server CSR доступна через GUI клиента.
  • vSphere 6.7 Update 2 лучше обрабатывает уязвимости CPU за счет нового планировщика.
  • Доступна сертификация NIAP.

11. Улучшения производительности.

  • Поддержка 40 & 100Gb Ethernet и RDMA
  • Новая версия Virtual Hardware 15 (VM Compatibility):
    • До 256 vCPU на виртуальную машину
    • До 6 ТБ RAM на ВМ
    • Поддержка SAP HANA

На момент написания статьи обновление VMware vSphere 6.7 Update 2 было еще недоступно. Мы обновим пост, когда обновление можно будет скачать.


Таги: VMware, vSphere, Update, ESXi, vCenter, Tools, Security, VMachines

Новое на VMware Labs - Identity Manager Migration/Backup Tool


На сайте проекта VMware Labs появилась новая утилита, которая будет полезна пользователям пакета решений Workspace ONE, куда входит продукт Identity Manager. Утилита Identity Manager Migration/Backup Tool позволяет администраторам автоматизировать процесс экспорта и импорта приложений и их прав доступа при переносе от одного экземпляра Identity Manager к другому.

Утилита использует Identity Manager API для операций экспорта, импорта, удаления и применения прав доступа (entitlements), которые переносятся с помощью XML-файла. Утилита работает как с онпремизным, так и с SaaS-продуктом VMware Identity Manager (в случае SaaS потребуется административный доступ на уровне клиента - Tenant).

Как видно из названия, утилиту можно использовать как для миграции приложений и прав доступа, так и для целей резервного копирования на случай отказа основного экземпляра Identity Manager.

В этом продукте есть 2 всего вкладки - для экспорта данных из одного IM и для импорта на другом.

Вот как это работает:

 

Скачать Identity Manager Migration/Backup Tool можно по этой ссылке.
Таги: VMware, Workspace ONE, Backup, Labs, Identity Manager

Набор сценариев vDocumentation для создания отчета о различных аспектах инфраструктуры VMware vSphere через PowerCLI.


Интересный проект доступен на GitHub - набор скриптов vDocumentation, который позволяет через PowerCLI сгенерировать отчетность в форматах CSV или XLS, посвященную различным сторонам виртуальной инфраструктуры (сеть, хосты, кластеры vSAN и т.п.). Демо этого средства было представлено на VMworld 2017:

Проект vDocumentation на текущий момент содержит 8 сценариев, каждый из который позволяет подготовить соответствующий отчет:

  • Get-ESXInventory - генерация всех аппаратных параметров хостов ESXi и их конфигураций.
  • Get-ESXIODevice - документирование конфигурации карт HBA, NIC и других PCIe-устройств, включая PCI ID, MAC, версии микрокода и драйверов.
  • Get-ESXNetworking - конфигурация сетевого окружения, включая детали сетевых адаптеров, коммутаторов vSwitches, параметры VMKernel и прочее.
  • Get-ESXStorage - параметры инфраструктуры хранилищ, включая детали iSCSI, FibreChannel, параметры датасторов и механизма доступа по нескольким путям (Multipathing).
  • Get-ESXPatching - информация об установленных обновлениях, времени их выхода и ссылки на соответствующие статьи KB.
  • Get-vSANInfo - документирование кластеров vSAN.
  • Get-ESXSpeculativeExecution - статус серверов ESXi в отношении уязвимостей Spectre и Meltdown.
  • Get-VMSpeculativeExecution - статус виртуальных машин в отношении уязвимостей Spectre и Meltdown.

Например, вот отчет о статусе хостов ESXi в отношении уязвимостей Spectre и Meltdown:

По умолчанию данные выводятся в терминал, но можно их перенаправить с CSV или XLS файлы.

Загрузить сценарии vDocumentation можно по этой ссылке.


Таги: VMware, vSphere, Documentation, Utilities, Бесплатно, PowerCLI

Новый постер - "VMware Cloud on AWS - Quick Reference".


Компания VMware недавно выпустила интересный постер, посвященный облачной IaaS-инфраструктуре, предоставляемой в партнерстве с Amazon - VMware Cloud on AWS - Quick Reference.

Постер дает информацию о различных типах соединений, которые доступны в облаке VMConAWS:

Плакат разделен на 5 секций, заголовки у которых кликабельны - по ссылкам находится детальная информация по соответствующей теме (кроме секции Firewall Rules, где кликабельны подзаголовки).

Содержимое разделов:

  1. Infrastructure Overview - высокоуровневая диаграмма, показывающая отношения между онпремизным датацентром, инфраструктурой VMware Cloud on AWS SDDC и нативными сервисами AWS.
  2. HCX Enterprise Network - детальная диаграмма, раскрывающая суть компонентов HCX, соединения, потоки и порты, используемые между онпремизным датацентром и облаком VMware Cloud on AWS.
  3. Direct Connect Topology - эта секция показывает компоненты и общую топологию использования технологии AWS Direct Connect (DX) для организации соединения между онпремизным датацентром и облаком VMware Cloud on AWS.
  4. NSX-T AWS Connected VPC - эта диаграмма показывает, каким образом организуется коммуникация между виртуальным частным облаком VMware Cloud on AWS VPC (Virtual Private Cloud) и пользовательским соединением VPC, в случае если используются родные сервисы AWS.
  5. Firewall Rules - последняя секция включает список самых часто используемых правил сетевого экрана, используемых между онпремизным датацентром и облаком VMware Cloud on AWS для компонентов Management Gateway, HCX и Site Recovery.

Постер VMware Cloud on AWS - Quick Reference доступен по этой короткой ссылке. Напомним также, что все постеры VMware находятся здесь.


Таги: VMware, vCloud, Poster, IaaS, AWS, VMConAWS, Cloud

Что нового появилось в клиентах VMware Horizon View Clients версии 5.0?


Некоторое время назад мы писали о релизе новой версии решения для виртуализации настольных ПК VMware Horizon 7.8. В рамках этой серии релизов была также выпущена и обновленная версия продукта VMware Unified Access Gateway (UAG) 3.5.

Многие знают, что одновременно с релизом VDI-платформы Horizon View также обновляются и все клиенты к ней, поэтому давайте посмотрим, какой новый функционал у них появился.

VMware Horizon Client 5.0 for iOS

  • Новый дизайн пользовательского интерфейса - элементы стали более современными.
  • Перенаправление встроенной камеры (Camera redirection with Real-Time Audio Video, RTAV) в десктоп пользователя. Кроме того, можно выбирать разрешение внешней и фронтальной камер.
  • Поворот экрана в режиме презентации для iOS.
  • Синхронизация DPI для соединения (отключено по умолчанию). Эта настройка задается в групповых политиках и требует Horizon Agent 7.8.
  • Изменения доменной безопасности. Сначала пользователь вводит свой полный логин с доменом в текстовое поле (domain\username или username@domain.com), после чего ему показывают селект с выбором домена, либо его может вообще не быть, либо там будет значение *DefaultDomain*. Более подробно об этом рассказано в VMware Horizon Client for iOS Installation and Setup Guide.

VMware Horizon Client 5.0 for Android

  • Новый дизайн пользовательского интерфейса - элементы стали более современными.
  • Синхронизация DPI для соединения (отключено по умолчанию). Эта настройка задается в групповых политиках и требует Horizon Agent 7.8.
  • Изменения доменной безопасности. Сначала пользователь вводит свой полный логин с доменом в текстовое поле (domain\username или username@domain.com), после чего ему показывают селект с выбором домена, либо его может вообще не быть, либо там будет значение *DefaultDomain*. Более подробно об этом рассказано в VMware Horizon Client for Android Installation and Setup Guide.

VMware Horizon Client 5.0 for Windows

  • Новый дизайн пользовательского интерфейса - элементы стали более современными.
  • Настройка синхронизации состояний клавиш Num Lock, Scroll Lock и Caps Lock с клиентской системы к удаленному десктопу.
  • Синхронизация DPI для соединения (отключено по умолчанию). Эта настройка задается в групповых политиках и требует Horizon Agent 7.8.
  • Кастомизация сообщений об ошибках Horizon Client - администратор может настроить футер диалогового окна об ошибке, чтобы дать пользователю свои инструкции о том, что делать.
  • Кастомизация меню Horizon Client - теперь администратор может прятать элементы контекстного меню, тулбара, иконки в трее и прочих объектов через групповую политику.
  • Можно заставить пользователя ввести учетные данные, даже если у него стоит настройка Logon as current user. Более подробно об этом рассказано в документе Horizon 7.8 Administration, где описана настройка Accept logon as current user. Также виртуальный десктоп пользователя может стартовать автоматически, когда клиентская система выходит из спящего режима.
  • Изменения доменной безопасности. Сначала пользователь вводит свой полный логин с доменом в текстовое поле (domain\username или username@domain.com), после чего ему показывают селект с выбором домена, либо его может вообще не быть, либо там будет значение *DefaultDomain*. Более подробно об этом рассказано вVMware Horizon Client for Windows Installation and Setup Guide.
  • Улучшенная поддержка нескольких мониторов - теперь их может быть до 6 штук для десктопов и опубликованных приложений.

VMware Horizon Client 5.0 for Mac

  • Новый дизайн пользовательского интерфейса - элементы стали более современными.
  • Синхронизация DPI для соединения (отключено по умолчанию). Эта настройка задается в групповых политиках и требует Horizon Agent 7.8.
  • Поддержка режима Dark Mode операционной системы Mac OS.
  • Поддержка аутентификации с помощью карт Gemalto .NET.
  • Изменения доменной безопасности. Сначала пользователь вводит свой полный логин с доменом в текстовое поле (domain\username или username@domain.com), после чего ему показывают селект с выбором домена, либо его может вообще не быть, либо там будет значение *DefaultDomain*. Более подробно об этом рассказано вVMware Horizon Client for Mac Installation and Setup Guide.

VMware Horizon Client 5.0 for Linux

  • Поддержка клиентской ОС Red Hat Enterprise Linux (RHEL) 64-bit 7.6.
  • Новый дизайн пользовательского интерфейса - элементы стали более современными.
  • Синхронизация DPI для соединения (отключено по умолчанию). Эта настройка задается в групповых политиках и требует Horizon Agent 7.8.
  • Изменения доменной безопасности. Сначала пользователь вводит свой полный логин с доменом в текстовое поле (domain\username или username@domain.com), после чего ему показывают селект с выбором домена, либо его может вообще не быть, либо там будет значение *DefaultDomain*. Более подробно об этом рассказано в VMware Horizon Client for Linux Installation and Setup Guide.
  • Перенаправление SANE-compliant сканеров в виртуальный десктоп. Пользователь может контролировать их через интерфейс виртуального ПК. Возможность требует Horizon Agent 7.8.
  • Возможность запуска нескольких десктопов и/или приложений в рамках одной клиентской сессии через командную строку. Для этого используется параметр -useExisting.
  • Улучшенная поддержка нескольких мониторов. Виртуальные десктопы автоматически адаптируются к изменению клиентской конфигурации мониторов в рамках активной сессии. Например, если у вас 3 монитора, и вы отключите один из них - View Client и виртуальный десктоп автоматически подхватят двухмониторную конфигурацию.

VMware Horizon Client 5.0 for Chrome

  • Новый дизайн пользовательского интерфейса - элементы стали более современными.
  • Синхронизация DPI для соединения (отключено по умолчанию). Эта настройка задается в групповых политиках и требует Horizon Agent 7.8.
  • Изменения доменной безопасности. Сначала пользователь вводит свой полный логин с доменом в текстовое поле (domain\username или username@domain.com), после чего ему показывают селект с выбором домена, либо его может вообще не быть, либо там будет значение *DefaultDomain*. Более подробно об этом рассказано в VMware Horizon Client for Chrome Installation and Setup Guide.
  • Передача файлов в опубликованное приложение - теперь это можно сделать из клиентской системы.
  • Поддержка интернационализации интерфейса клиента (русский язык недоступен).

Напомним, что все клиенты VMware Horizon Clients 5.0 можно скачать под одной ссылке.


Таги: VMware, Horizon, Client, Update, VDI

Новая онлайн-утилита VMware vRealize Operations Sizing Tool для подбора конфигурации узлов.


У компании VMware вышла полезная многим администраторам решения vRealize Operations (vROPs) онлайн-утилита для сайзинга управляющей инфраструктуры - vRealize Operations Sizing Tool. Она будет полезна администраторам и консультантам, которые планируют развертывание инфраструктуры vROPs и подбирают для этого оборудование и необходимые мощности.

В случае прикидочного расчета нужно просто выбрать версию vRealize Operations Manager и указать тип сайзинга Basic:

Это даст обобщенные требования к оборудованию при минимальном вводе данных. В basic-режиме вы просто задаете параметры своей виртуальной инфраструктуры, условия хранения данных на серверах vROPs и планируемый рост инфраструктуры:

Также параметр High Availability удвоит число необходимых узлов за счет введения резервных.

Итогом будут рекомендации по числу и конфигурации узлов, которые будут обслуживать сервисы мониторинга vROPs (для этого надо нажать на ссылку View Recommendations):

Полученный отчет можно выгрузить в PDF-формат. Кстати, если нажмете на вкладку Environment, то можно будет скорректировать данные, не начиная процесс с начала.

Если же вы выберете режим Advanced для более точного сайзинга, то в самом начале у вас запросят несколько больше данных о вашей виртуальной инфраструктуре:

После параметров объектов vCenter вы сможете задать имеющиеся или планируемые Management Packs от сторонних производителей или самой VMware (и число отслеживаемых объектов в них):

Если же у вас уже есть инфраструктура vRealize Operations, то vRealize Operations Sizing Tool - это хорошее средство, чтобы проверить, что вы правильно подобрали конфигурацию узлов под vROPs.

Для этого надо пойти в раздел Administration > History > Audit > System Audit и там посмотреть итоговое настроенное число объектов (Objects) и метрик (Metrics):

После этого вы можете вбить это число в разделе Other Data Sources и получить расчет параметров сервера, который более-менее должен сходиться с вашей конфигурацией узлов:


Таги: VMware, vRealize, Operations, Tools, Sizing, Hardware, vROPs

Обновление утилиты RVTools 3.11 для конфигурации виртуальной инфраструктуры VMware vSphere.


В марте прошлого года мы писали о выпуске пакета RVTools 3.10, предназначенного для помощи администраторам при выполнении рутинных операций с виртуальной инфраструктурой VMware vSphere в различных аспектах. Спустя год, в начале марта этого года, вышло обновление этого средства - RVTools 3.11 (а точнее, его версия 3.11.6).

Давайте посмотрим, что нового в RVTools 3.11:

  • Теперь для управления используется обновленный VMware vSphere Management SDK 6.7U1.
  • Windows Authentication Framework (Waffle) больше не используется.
  • Библиотека NPOI .NET больше не используется для генерации отчетов в Excel. Вместо этого используются компоненты OpenXML и ClosedXML.
  • Как следствие прошлого пункта - улучшения производительности при экспорте данных в Excel.
  • Добавлены параметры -ExcludeCustomAnnotations и –DBColumnNames в интерфейс CLI.
  • На вкладке vInfo добавлены новые колонки: дата создания ВМ, Primary IP, контрольная сумма vmx-файла, папки с логами ВМ, ее снапшотами и suspend-файлами.
  • На вкладке dvSwitch добавлены новые колонки: имя LACP, его режим и алгоритм балансировки.
  • На вкладке vNIC добавлена колонка с именем порта аплинка.
  • На вкладке vNetwork добавлена колонка Network Adapter DirectPath I/O.
  • На вкладке vHost появились колонки Serial number и BIOS vendor.
  • При экспорте в Excel шапка таблицы теперь закреплена.
  • Первая колонка "Select" убрана из таблиц экспорта для vFloppy, vCD и vTools.
  • Добавлен новый экзешник для слияния нескольких файлов xlsx для серверов vCenter в один большой:
    • RVToolsMergeExcelFiles.exe -input c:\temp\AA.xlsx;c:\temp\BB.xlsx -output
      c:\temp\AABB.xlsx -template c:\temp\mytemplate.xlsx -verbose –overwrite
  • Сценарий примера RVToolsBatchMultipleVCs.ps1 изменился, он теперь как раз использует утилиту RVToolsMergeExcelFiles из предыдущего пункта для слияния файлов.
  • Исправлены ошибки:
    • Проблема с SSO
    • Команды ExportvSC+VMK2csv и ExportdvPort2csv теперь работают
    • На вкладке vNIC теперь отображается вся информация для Switch/dvSwitch
    • При экспорте учитывается значение Latency Sensitivity
    • Улучшено обновление данных при изменении настроек
    • Файлы VMDK из Content Libraries теперь не отображаются как "зомби-файлы"

Скачать утилиту RVTools 3.11 можно совершенно бесплатно по этой ссылке. Документация доступна здесь.


Таги: VMware, vSphere, RVTools, Update, Бесплатно, Tools

VMware объявила о выпуске первого VMware Service-defined Firewall - попробуем разобраться, что это.


Совсем недавно мы писали о новых возможностях решения VMware NSX-T 2.4, которое предназначено для сетевой виртуализации и агрегации виртуальных сетей датацентров, работающих на базе гибридной среды гипервизоров и контейнеров приложений.

Также у VMware есть продукт vRealize Network Insight, который позволяет системным и сетевым администраторам, а также администраторам информационной безопасности, следить за сетевым взаимодействием в рамках виртуальной инфраструктуры и предпринимать действия по ее защите.

Ну и, конечно же, многие из вас помнят решение AppDefense, анонсированное на VMworld 2017. Оно реализует новую модель защиты приложений в виртуализованных и облачных средах. Суть технологии AppDefense заключается в том, что она изучает нормальное поведение операционной системы и приложений при обычных условиях, а в случае выявления отклонений от этого состояния, оповещает об этом администратора и автоматически предпринимает некоторые шаги по защите окружения.

Использовав наработки этих трех продуктов за последние годы, компания VMware на днях анонсировала новое решение - первый в отрасли Service-defined Firewall.

Это решение основано на подходе по микросегментации приложений с точки зрения защиты виртуальной среды (см. service insertion и guest introspection), что подразумевает анализ сетевой активности на уровне приложения, при этом мониторинг ведется извне гостевой ОС на уровне гипервизора (данные берутся из NSX или напрямую с серверов ESXi), что позволяет исключить манипуляции средствами обнаружения вторжений, которые могут быть выполнены программным обеспечением внутри ОС.

Но главная штука VMware Service-defined Firewall - это возможность создания политик на уровне приложений/микросервисов, а не сетевых компонентов (серверов/ОС/портов). Это существенно упрощает ввод в эксплуатацию новых сервисов с точки зрения организации их защиты, а также обслуживания при перемещении виртуальных машин внутри датацентра и между ЦОДами.

Традиционная защита ИТ-инфраструктуры строится на базе обеспечения безопасности приложений, находящимися за сетевыми экранами, то есть защищается только сетевой периметр. При этом часто вектор атаки расположен внутри инфраструктуры, где вредоносное ПО сначала изучает ее состав и структуру, а потом начинает распространяться в датацентре, используя его уязвимые места.

VMware Service-defined Firewall позволит использовать новый подход к защите сетевой инфраструктуры предприятия за счет анализа приложений внутри периметра ЦОД (internal network firewalling), где наблюдение за сервисами происходит на уровне гипервизора и на седьмом уровне модели OSI (L7 packet inspection), без агентов в гостевых ОС, при этом используется модель Zero Trust (то есть изначально нет доверия ни одному компоненту в сети, считается, что атака может прийти откуда угодно, через любое сетевое соединение).

Суть защиты заключается в наблюдении за всеми приложениями датацентра, определении их "хорошего" поведения и далее детектировании отклонений от их повседневной активности, что влечет за собой оповещение администратора, который уже предпринимает действия по устранению угроз. При этом VMware Service-defined Firewall сам способен сгенерировать нужные политики для защиты приложений.

Такая модель обладает неоспоримым преимуществом перед системами с агентами, где вредоносное ПО может получить контроль над этими агентами. Также еще один плюс VMware Service-defined Firewall - это чисто программная реализация. В современном мире программно-аппаратные сетевые экраны сложно масштабируются, а также есть проблемы с управлением ими, так как приложение в виртуальной инфраструктуре может перемещаться между серверами и даже между датацентрами.

Для анализа подозрительных активностей используется Application Verification Cloud, который собирает информацию из миллионов виртуальных машин по всему миру и использует методы машинного обучения для определения нормального поведения микросервисов и их вариаций, а также выявления отклонений от нормальных показателей.

Что интересного можно почитать на тему VMware Service-defined Firewall:

Видео про возможности NSX-T 2.4, которые будут использованы в Service-defined Firewall:

Service-defined Firewall в действии и консоль AppDefense:


Таги: VMware, Security, Networking, NSX, vRNI, AppDefense, ESXi, vSphere

1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 47 | 48 | 49 | 50 | 51 | 52 | 53 | 54 | 55 | 56 | 57 | 58 | 59 | 60 | 61 | 62 | 63 | 64 | 65 | 66 | 67 | 68 | 69 | 70 | 71 | 72 | 73 | 74 | 75 | 76 | 77 | 78 | 79 | 80 | 81 | 82 | 83 | 84 | 85 | 86 | 87 | 88 | 89 | 90 | 91 | 92    >   >>
Реклама







Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

29/05/2019:  IT&SECURITY FORUM 2019
05/06/2019:  IT Management Forum 2019
06/06/2019:  VeeamON Forum 2019

Быстрый переход:
VMware StarWind IT-Grad Veeam PowerCLI Offtopic Gartner Citrix VSAN 5nine Hardware VeeamON Nutanix vSphere RVTools Enterprise Security Code Cisco vGate Microsoft Cloud SDRS Parallels IaaS HP VMFS VM Guru Oracle Red Hat Azure KVM VeeamOn 1cloud Docker Storage NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo vRealize VirtualBox Symantec Softline EMC Login VSI Xen Teradici Amazon NetApp VDI Linux Hyper-V IBM Google VSI Security Windows vCenter VMachines Webinar View VKernel Events Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs Sun VMC Xtravirt Novell IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V vSAN HCI Labs App Volumes Tools Video vROPs Workspace ONE Backup Horizon VMUG vCloud NSX vRNI HA Update Manager VCP VVols Workstation Update UEM DR Networking Cache Storage DRS VMworld Workspace DRS Fusion Lifecycle Visio SRM Log Insight Operations Manager SDDC Virtual Appliance OpenStack Forum PowerShell LSFS Client vCSA Datacenter Intel Agent esxtop Book Photon Cloud Computing SSD Comparison Blast Performance Nested AWS XenDesktop VSA vNetwork SSO Host Client VMDK VTL iSCSI Whitepaper Appliance VUM V2V Support Обучение Web Client Mobile Automation Replication Desktop Fault Tolerance Vanguard SaaS Connector Event Free SQL Sponsorship Finance FT Containers Converter XenApp Snapshots vGPU Auto Deploy SMB RDM Mirage XenClient MP SC VMM Certification VDP Partners PCoIP RHEV vMA Award Network USB Licensing Logs Server Demo vCHS Calculator Бесплатно vExpert Beta SAN Exchange MAP ONE DaaS Monitoring VPLEX UCS SDK Poster VSPP Receiver vMotion VDI-in-a-Box Deduplication Reporter vShield ACE Go nworks iPad XCP Data Recovery Documentation Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V VirtualCenter NFS ThinPrint CLI Helpdesk Troubleshooting VIC Upgrade VDS Bug Migration Director Stencils Memory API Android Graphics Diagram Air Plugin DPM SIOC Flex Mac Open Source SSH VAAI Chargeback Heartbeat MSCS Ports SVMotion Bugs Composer
Интересные плакаты:

Постер VMware vSphere PowerCLI 6.3:

Постер VMware ESXi 5.1:

Постер VMware Hands-on Labs 2015:

Постер VMware Platform Services Controller 6.0:

Постер VMware vCloud Networking:

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Постер VMware vCenter Server Appliance:

Порты и соединения VMware vSphere 6:

Порты и соединения VMware Horizon 7:

Порты и соединения VMware NSX:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

Постер Veeam Backup & Replication v8 for VMware:

Постер Microsoft Windows Server 2012 Hyper-V R2:

 

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

Сравнение Oracle VirtualBox и VMware Workstation.

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Как использовать возможности VMware vSphere Management Assistant (vMA).

Проектирование инфраструктуры виртуализации VMware vSphere 4.

Как поднять программный iSCSI Target на Windows 2003 Server для ESX

Работа с дисками виртуальных машин VMware.

Бесплатные программы для VMware ESX / ESXi в среде Virtual Infrastructure / vSphere (часть 2).

Новые возможности VMware vSphere 5.0 - официально.

Все ресурсы о виртуализации:
Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Купить:

VMware vSphere 6.5


Veeam Backup 9.5


Полезные ресурсы:


Видео компании VMware

Видео про Citrix Xen

Видео о виртуализации Microsoft

Утилиты для виртуальных машин Microsoft.

Книги на английском языке

Блоги на английском языке

Блоги на русском языке

Агрегация статей в твиттере VMC:


Copyright VM Guru 2006 - 2019, Александр Самойленко. Правила перепечатки материалов.