Уязвимость/vulnerability VMware Tools HGFS. Установка isolation.tools.hgfs.disable с PowerCLI.

Posted Leave a commentPosted in PowerCLI, Виртуализация VMware

На днях VMware выпустила VMware Tools 10.3.0 и VMware Security Advisory VMSA-2018-0017.

И эти два события взаимосвязаны – новые VMware Tools 10.3.0 устраняют уязвимость чтения в HGFS, связанную с локальным раскрытием информации.

Проект Common Vulnerabilities and Exposures (cve.mitre.org) присвоил  этой проблеме идентификатор CVE-2018-6969.

Проблема связана только с VMware host guest file system (HGFS), т.е. для эксплуатации этой проблемы необходимо, чтобы для ВМ общий доступ к файлам был включен. А включен он по умолчанию.

Следует отметить рекомендацию VMware: “В средах высокой безопасности вы можете отключить некоторые компоненты, чтобы минимизировать риск того, что злоумышленник может использовать гостевую файловую систему хоста (HGFS) для передачи файлов внутри гостевой операционной системы” Disable VMware Shared Folders Sharing Host Files to the Virtual Machine.

Т.е. для устранения уязвимости нужно либо обновить VMware Tools до версии 10.3.0, либо отключить HGFS, установив значение параметра isolation.tools.hgfs.disable в TRUE (при выключенной ВМ). (далее…)

Получение версии VMFS и размера блока через PowerCLI.

Posted Leave a commentPosted in PowerCLI, Виртуализация VMware

Прежде всего – для чего нам вообще нужно знать что-либо о версии VMFS?

На мой взгляд хотя бы потому, что в версии VMFS 6 есть функция  Automatic UNMAP – возврат дискового пространства виртуальной машины (ее VMDK) на сторону дискового массива средствами VAAI (vStorage API for Array Integration). Работает UNMAP только для “тонких” (Thin Provisioned) LUN, на которых размещаются тома VMFS.

Файловая система VMFS 6 была введена в VMware vSphere 6.5. VMFS версии 5 в версию 6 автоматически не апгрейдится при обновлении ESXi 6.0 до 6.5. Datastore необходимо пересоздать заново.

В графическом интерфейсе версию VMFS можно узнать в разделе Datastore (далее…)

vSAN Witness Appliance for vSAN 6.7. Размещение, версия, CPU.

Posted Leave a commentPosted in vSAN, Виртуализация VMware

В статьях 2-node vSAN cluster. Witness Appliance Failure и Архитектура 2-node vSAN 6.6. Лицензирование vSAN ROBO я рассказал о vSAN Witness Appliance.

На днях Jase McCarty опубликовал статью Understanding the vSAN Witness Appliance – Cluster Membership, Versioning, and Hosting, в которой поделился фактами о vSAN Witness Appliance, которые я либо не рассматривал, либо на которых не акцентировал внимание. Ну что же, исправим это упущение.

vSAN Witness Host не может служить для размещения виртуальных машин, поэтому не является частью кластера vSphere. Но он участвует в кластере vSAN как свидетель. В этой связи настоятельно рекомендуется чтобы версия у него была такой же, как и у узлов (хостов) vSAN.  (далее…)

Добавление witness appliance к vCenter Foundation и vSphere Essentials.

Posted Leave a commentPosted in vSAN, Виртуализация VMware

У VMware есть такие лицензии, как vSphere Essentials (Essentials и vSphere Essentials Plus) и vCenter Foundation. Особенность этих лицензий в том, что они позволяют управлять ограниченным количеством хостов ESXi.

vSphere Essentials и vSphere Essentials Plus. Эти два бандла применимы только к инфраструктуре, состоящей максимум из трех хостов.

vCenter Server Foundation поддерживал только три хоста. А с версии vSphere 6.5 Update 1 – количество хостов было увеличено до 4-х.

Очень часто эти лицензии упоминаются в контексте vSAN for ROBO. И не менее часто авторы высказывали сожаление по поводу того, что хотя witness appliance и не является полноценным хостом, т.е. на нем нельзя размещать вирутальные машины, но, тем не менее, с точки зрения лицензирования виртуальный ESXi считается как полноценный хост.

В этой связи радостной новостью оказался пост Дункана Эппинга: “Adding a fifth (virtual) ESXi host to vCenter Foundation: “К счастью, есть обходной путь. Это довольно просто, и это связано с порядком добавления хостов в vCenter Foundation. Если вы добавляете witness перед физическими узлами, то appliance не учитывается при лицензировании”.

Также Дункан делится ссылкой на официальную документацию VMware vCenter Server 6.5 Update 2 Release Notes:

“Не удается добавить witness virtual machine на сервер vCenter с лицензией Essentials

Когда witness host для stretched cluster (растянутого кластера) это appliance, который находится на виртуальной машине, он неправильно использует лицензию хоста. Эта проблема возникает из-за того, что vCenter Server считает, что witness appliance является физическим узлом. Если ваша лицензия не распространяется на дополнительный хост, вы не можете добавить witness appliance на сервер vCenter.

Обход проблемы: добавьте witness appliance VM в vCenter Server, прежде чем добавлять физические хосты.”

Вариант использования лицензии vSphere Essentials описан мной в статье Архитектура 2-node vSAN 6.6. Лицензирование vSAN ROBO.

Добавление хоста к vSAN Cluster

Posted Leave a commentPosted in vSAN, Виртуализация VMware

Как я писал в прошлой статье Гиперконвергентная инфраструктура. VMware vSAN. “Быстрее, выше, сильнее!”: “С помощью vSAN можно добавить один диск на один хост, заменить существующие диски на устройства большей емкости, добавить или заменить несколько дисков, а также добавить или заменить один или несколько хостов – все без нарушения существующих рабочих нагрузок. Добавление ресурсов выполняется всего несколькими щелчками мыши.” (далее…)

Гиперконвергентная инфраструктура. VMware vSAN. “Быстрее, выше, сильнее!”

Posted Leave a commentPosted in vSAN, Виртуализация VMware

В декабре 2017 года вышла статья Десять лучших гиперконвергентных решений 2017 года, которая начинается словами: “Сегмент гиперконвергентной инфраструктуры продолжает развиваться с головокружительной быстротой.” В статье не могли обойти вниманием и VMware vSAN:

“ПО виртуализации хранения vSAN (Virtual SAN), разработанное компанией VMware, весомо заявило о себе на рынке гиперконвергентной инфраструктуры, и последняя версия vSAN 6.6 включает встроенное, программно-конфигурируемое шифрование долговременно хранимых данных. Улучшения помогают также упростить выбор оборудования, и предложен не мешающий работе инструмент анализа, помогающий отслеживать рабочие нагрузки.” (далее…)

Архитектура 2-node vSAN 6.6. Лицензирование vSAN ROBO.

Posted Leave a commentPosted in vSAN, Виртуализация VMware

В статьях 2-node vSAN cluster. Witness Appliance FailureРежим обслуживания (maintenance) в 2-Node Direct Connect vSAN configuration я затронул вопросы функционирования 2-node VMware vSAN. Сейчас я подробнее остановлюсь на архитектуре 2-node vSAN кластера и лицензировании vSAN for ROBO.

Как я уже писал, vSAN – отличное решение для удаленных офисов и филиалов – Remote Office / Branch Office (ROBO).

(далее…)

Режим обслуживания (maintenance) в 2-Node Direct Connect vSAN configuration.

Posted Leave a commentPosted in vSAN, Виртуализация VMware

В прошлой статье 2-node vSAN cluster. Witness Appliance Failure я упоминал о таком режиме работы 2-node vSAN cluster как 2-node ROBO Direct Connect, позволяющем подключить 2 vSAN-хоста в удаленном офисе напрямую. Если вы используете именно такую схему, то необходимо учитывать один нюанс. При включении режима обслуживания на хосте, который отмечен как “preferred fault domain” (предпочтительный домен ошибок) могут возникнуть проблемы с его доступностью. О чем пишет Дункан Эппинг в своей статье Doing maintenance on a Two-Node (Direct Connect) vSAN configuration. Судя по комментариям эта проблема может и не возникнуть, но лучше подстраховаться. Тем более что решение довольно простое.  При выполнении обслуживания на хосте, который находится в “preferred fault domain” необходимо изменить предпочтительный домен ошибок: Change the Preferred Fault Domain:

  • В кластере vSAN выбрать Fault Domains and Stretched Cluster.
  • Выбрать secondary fault domain и нажать на иконку Mark Fault Domain as preferred  Stretched Cluster
  • Перевести хост в maintenance mode
  • Выполнить обслуживание.

2-node vSAN cluster. Witness Appliance Failure

Posted Leave a commentPosted in vSAN, Виртуализация VMware

В данной статье я рассмотрю роль vSAN Witness Appliance в 2-узловом кластере vSAN.

А чем интересен 2-node vSAN cluster? Прежде всего сферой его применения – он может быть очень эффективным в небольшой компании или филиале: 2-node vSAN for ROBO (remote office/branch office). В версии vSAN 6.5 была реализована  схема 2-node ROBO Direct Connect, позволяющая подключить 2 vSAN-хоста в удаленном офисе напрямую, без необходимости использования 10Gb коммутатора. Достаточно только кросс-сетевого кабеля! Учитывая, что 10Gb сетевое подключение требуется для all-flash конфигурации (и очень рекомендуется для гибридной) ROBO Direct Connect позволяет  значительно сократить затраты для построения производительной инфраструктуры. 

(далее…)

Предупреждение при проверке совместимости контроллера Intel VMD с vSAN

Posted Leave a commentPosted in vSAN, Виртуализация VMware

В статье Проверка совместимости оборудования с vSAN – инструмент vSAN HCL viewer я при тестировании данного инструмента выяснил, что мой контроллер Huawei ES3000 V2 показывал предупреждение vSAN Health check (vSAN Cluster> Monitor> Virtual SAN> Health), поскольку его тестирование на совместимость было проведено инженерами VMware уже после установки мной обновления ESXi.

Как оказалось, это не единичный случай. Согласно https://kb.vmware.com/s/article/55842 vSAN Health check может показывать ложное предупреждение также для контроллеров Intel VMD. В этом случае VMware предлагает игнорировать это предупреждение.

Отсюда можем сделать важный вывод: если вы получили подобное предупреждение, и ваш all.json не загружается автоматом – не ленитесь, обновляйтесь вручную.