Советы — vMind.RU

Борьба с VMware vSphere ESX Agent Manager

В очередной раз схватили две странные проблемы, казалось бы несвязанные между собой:

Перестал работать DRS по причине невозможности создать виртуальные машины vCLS.
Перестало работать обновление хостов с ошибкой «Failed to login to vCenter as extension, Cannot complete login due to an incorrect user name or password».

Изучение БЗ VMware навело на две заметки:

Что-то подсказывало, что корень у причины один!

Подали советуемые команды, которые починили сертификат расширения:

 mkdir /certificate
 /usr/lib/vmware-vmafd/bin/vecs-cli entry getcert --store vpxd-extension --alias vpxd-extension --output /certificate/vpxd-extension.crt
 /usr/lib/vmware-vmafd/bin/vecs-cli entry getkey --store vpxd-extension --alias vpxd-extension --output /certificate/vpxd-extension.key
 python /usr/lib/vmware-vpx/scripts/updateExtensionCertInVC.py -e com.vmware.vim.eam -c /certificate/vpxd-extension.crt -k /certificate/vpxd-extension.key -s vcenter-name.loc -u Administrator@vsphere.local
 service-control --stop vmware-eam
 service-control --start vmware-eam

mkdir /certificate

/usr/lib/vmware-vmafd/bin/vecs-cli entry getcert --store vpxd-extension --alias vpxd-extension --output /certificate/vpxd-extension.crt

/usr/lib/vmware-vmafd/bin/vecs-cli entry getkey --store vpxd-extension --alias vpxd-extension --output /certificate/vpxd-extension.key

python /usr/lib/vmware-vpx/scripts/updateExtensionCertInVC.py -e com.vmware.vim.eam -c /certificate/vpxd-extension.crt -k /certificate/vpxd-extension.key -s vcenter-name.loc -u Administrator@vsphere.local

service-control --stop vmware-eam

service-control --start vmware-eam

Отвал FC HBA Emulex 8/16-Gb/s после обновления VMware ESXi 7.0 update 3

После обновления до актуальной буквы VMware ESXi 7.0 update 3 у нас неожиданно отвались 8-гигабитные FC HBA на базе Emulex LPe12000.

При разборе полётов было выяснено, что в Emulex Drivers for ESXi 7.0 с релиза 14.0.326.12 прекращена поддержка адаптеров LPe12000-series, LPe15000-series и LPe16000-series.

Соответственно, последними версиями с поддержкой данных адаптеров являются lpfc 14.0.169.25-5vmw и lpfc 12.8.614.16.

После понижения драйверов адаптеры появились.

Всегда говори да!

«Обычно люди обращаются за советом, — говорил Атос, — только для того, чтобы не следовать ему, а если кто-нибудь и следует совету, то только для того, чтобы было кого упрекнуть впоследствии.»

Пришло мне в голову дать вам бесплатный совет: соглашайтесь на практически любую движуху. Приведу пару примеров из своего опыта:

2009-й год, я работаю обычным системным администратором на заводе. Windows, Exchange и немножко ДрВеба с Симантеком :).
Тут мне предлагают стать ответственным за администрирование коммутаторов, маршрутизаторов и брандмауэров Cisco. В качестве бонуса еще и немного учат!
Я, конечно же, соглашаюсь. Коллега из соседнего отдела сомневается и отказывается — зачем ему дополнительный головняк?
2011 год, в другом месте мне предлагают взяться за администрирование системы MS Lync Server 2010. Тоже учат, ага…
Там же ближе к 2017 — внедрить систему резервного копирования NetBackup.

Результатом первой возможности стало более глубокое понимание работы сети и сертификат CCNA (хотя, поработав в интернет-провайдере, я осознал — насколько же это были базовые знания). Пару раз помогало тыкать носом сетевиков в их косяки.
Результатом второй и третьей — приличные знания по обеим системам в качестве T-shape специалиста. В результате, в 2020м меня брали на центрального администратора Commvault с хорошим окладом без практического опыта по нему 😉

Я не могу рассказать о текущем стеке, но он не имеет ничего общего с привычным мне VMware/Microsoft. Когда-нибудь я расскажу и эту историю…

Добавление FC-коммутаторов с FabricOS 9.x в Brocade Network Advisor

Disclaimer: все дальнейшие рассуждения и действия не соответствуют политике технической поддержки Broadcom. Любое использование оборудования вне списков совместимости Broadcom может быть использовано только на свой страх и риск. В статье рассматриваются коммутаторы на основе G620 первого и второго поколения. BNA ничего не знает про новую функциональность FabricOS 9.x и не сможет с ней правильно взаимодействовать.

Для управления FC-фабриками мы используем Brocade Network Advisor, который прекратил свой жизненный путь и заменен на SANNav.

К сожалению, SANNav поставляется по подписки и у нас есть проблемы с её приобретением.

Первой проблемой для нас стало то, что последняя версия BNA 14.4.5 перестала интегрироваться с VMware vCenter 7.0. Пришлось интеграцию удалить.

Второй проблемой — отсутствие поддержки Fabric OS 9.x, которая стала базовой для новых и обновленных коммутаторов.

У нас коммутаторы G620 второго поколения отображались в схеме фабрик как имеющие неправильные имя-пароль для подключения. Изменение настроек в разделе snmp коммутаторов и сервера — задание уровня шифрования для пользователя мониторинга в BNA и коммутаторе, включения информера не помогали.

Просмотр текущих настроек snmp:

snmpconfig --show snmpv3

1	snmpconfig --show snmpv3

Изучение настроек BNA выявило, что для сканирования оборудования фабрик используется аккаунт domain\access_bna, то есть коммутаторы должны позволять вход под доменными учётными записями.

Настроили и для новых коммутаторов RADIUS- авторизацию:

aaaconfig --show
aaaconfig --add radius_ip_address -conf radius -p 1645 -t 15 -s secret1234 -a pap -e none
aaaconfig --authspec "radius;local"

aaaconfig --show

aaaconfig --add radius_ip_address -conf radius -p 1645 -t 15 -s secret1234 -a pap -e none

aaaconfig --authspec "radius;local"

После этого коммутатор стал доступен для мониторинга и отобразился в схеме фабрики.

А вот коммутатор в другой фабрике по-прежнему остался недоступным. В консоли BNA выводилась ошибка с фразой:

certificates do not conform to algorithm constraints

1	certificates do not conform to algorithm constraints

Начали выяснять отличия первого коммутатора от второго.
Вспомнили, что на первом ломала и пересоздавали сертификат для подключения по https, а второй избежал этой участи, так как проблема была в браузере — подключаться необходимо из Windows 10 с установленной кодовой страницей профиля пользователя EN-US.

Просмотр сертификатов для https выдается командой:

seccertmgmt show -cert https

1	seccertmgmt show -cert https

Разница видна сразу:

Crypto Algorithm
у первого коммутатора
    Signature Algorithm      sha1WithRSAEncryption
у второго
    Signature Algorithm      sha256WithRSAEncryption

Crypto Algorithm

у первого коммутатора

Signature Algorithm sha1WithRSAEncryption

у второго

Signature Algorithm sha256WithRSAEncryption

Команда генерации сертификата, по найденному лайфхаку, была:

seccertmgmt generate -cert https -type rsa -keysize 2048 -hash sha1 -years 10

1	seccertmgmt generate -cert https -type rsa -keysize 2048 -hash sha1 -years 10

Примечание: не все советы в интернете оказываются полезными. Помните это, читая и данную статью!

Создали новый сертификат с другим алгоритмом, соответствующий второму коммутатору:

seccertmgmt generate -cert https -type rsa -keysize 2048 -hash sha256 -years 10

1	seccertmgmt generate -cert https -type rsa -keysize 2048 -hash sha256 -years 10

После перегенерации сертификата, BNA увидел коммутатор и в этой фабрике.

Veeam Backup&Replication и восстановление дедуплицированных дисков

При попытке восстановить файлы на дедуплицированных томах из виртуальной машины с помощью Veeam BR FLR процесс восстановления зависает.
При запуске восстановления появляется сообщение:

Copying data from deduplicated volumes requires that the console is installed on Windows Server 2012 R2 or later with the data duplication feature enabled.
Restoring files from  deduplicated volumes requires that the mount server associated with the source backup repository uses Windows Server 2012 R2 or later with data deduplication feature enabled.

Copying data from deduplicated volumes requires that the console is installed on Windows Server 2012 R2 or later with the data duplication feature enabled.

Restoring files from deduplicated volumes requires that the mount server associated with the source backup repository uses Windows Server 2012 R2 or later with data deduplication feature enabled.

Это связано с отсутствием компонентов дедупликатора. Добавляем их вручную на сервер Veeam BR:

Import-Module ServerManager
Add-WindowsFeature -name FS-Data-Deduplication

1 2	Import-Module ServerManager Add-WindowsFeature -name FS-Data-Deduplication

Повторно восстанавливаем файлы.

Сохранение активации лицензий ПО при замене оборудования в VMware vSphere 6.7+

Disclaimer: все дальнейшие рассуждения и действия могут нарушать лицензионные соглашения правообладателей. Любое использование нижеследующих рекомендаций должно подтверждаться наличием у вас прав на лицензии. Все действия выполняются на свой страх и риск.

Время от времени серверы устаревают, а на замену им приходит новое оборудование с новыми процессорами.

Для абстрагирования vCPU от физического процессора от оборудования в VMware vSphere много лет развивается технология маскирования флагов процессора:

Обычно, технологии защиты ключей лицензий, разрешенные к использованию в виртуальных средах, используют привязки к:

BIOS/UEFI;
операционной системе;
имени сервера/ПК;
идентификаторам либо серийным номерам жестких дисков;
MAC-адресам сетевых карт;
CPUID, описывающему имя, семейство и модель процессора, доступные SIMD-инструкции.

В соответствии с этим мы можем использовать фиксацию части параметров.

Для фиксации UUID BIOS можно отредактировать VMX-файл:

uuid.bios = <uuidvalue>

1	uuid.bios = <uuidvalue>

Также возможны и более хардкорные модификации BIOS/UEFI. Получить данные можно получить через команду wmic bios.

Для привязки по MAC-адресу мы фиксируем адрес с физического сервера лицензий, либо генерируем его сами до получения лицензий. Адрес можно указать в настройках сетевого адаптера либо прописать в VMX-файле:

Parameter	Value
ethernet`X`.addressType	`static`
ethernet`X`.address	`MAC_address_of_the_virtual_NIC`

В большинстве случаев получается привязать MAC к выключенному адаптеру либо подключенному в пустую виртуальную сеть.

Для сохранения CPUID необходимо собрать следующую информацию:

EVC/поколение ЦПУ виртуальной машины в vSphere.
Поколение(CPU-Z), название, id и модель процессора в операционной системе (wmic cpu get caption, name, processorid; в Linux /proc/cpuinfo).

После этого в конфигурации выключенной виртуальной машины (vHW>=14) устанавливается нужный уровень Per-VM EVC, при необходимости прописываются в VMX-файл прочие параметры маскинга CPUID (*в примере левые параметры):

featMask.vm.cpuid.Intel = “Val:1”
featMask.vm.cpuid.FAMILY = “Val:6”
featMask.vm.cpuid.MODEL = “Val:0x4f”
featMask.vm.cpuid.STEPPING = “Val:0”
featMask.vm.cpuid.NUMLEVELS = “Val:0xd”
cpuid.brandstring = "Intel(R) Xeon(R) CPU E5-2643 v4 @ 3.40GHz"

featMask.vm.cpuid.Intel = “Val:1”

featMask.vm.cpuid.FAMILY = “Val:6”

featMask.vm.cpuid.MODEL = “Val:0x4f”

featMask.vm.cpuid.STEPPING = “Val:0”

featMask.vm.cpuid.NUMLEVELS = “Val:0xd”

cpuid.brandstring = "Intel(R) Xeon(R) CPU E5-2643 v4 @ 3.40GHz"

Примечание. При изменении vHW и/или обновлении ESXi версии BIOS/UEFI могут меняться. Изменение BIOS/UEFI, CPUID происходит по время выключения/включения (powercycle) виртуальной машины.

Всегда делайте копию виртуальной машины и VMX-файла перед правками!!!

Отключение Hyper-V с помощью BCDEDIT

Решил на домашнем компе поэкспериментировать с виртуальной машиной. Для этого включил компонент Hyper-V, компьютер ушёл в перезагрузку и больше не захотел загружаться.

После 2-3 сбросов я смог попасть в безопасный режим и удалить компонент в оснастке, но при следующей же перезагрузке Windows сказала, что доудалять не может и восстановила Hyper-V — и система ушла в цикл.

На просторах Интернета нашёл команду, запрещающую старт Hyper-V (запустить в командной строке от имени администратора):

bcdedit /set hypervisorlaunchtype off

1	bcdedit /set hypervisorlaunchtype off

обратная (если понадобится):

bcdedit /set hypervisorlaunchtype auto

1	bcdedit /set hypervisorlaunchtype auto

Управляем неуправляемым VMware ESXi

Иногда бывает, что ESXi теряет управление — отваливается от vCenter.

Что с этим делать расписано на русском в статье «Хост VMware ESXi в состоянии Not Responding на сервере vCenter — в чем может быть проблема?»

Опытные админы, обычно, идут в консоль и подают 2-3-4 команды:

/etc/init.d/hostd restart
/etc/init.d/vpxa restart
/etc/init.d/rhttpproxy restart

/etc/init.d/hostd restart

/etc/init.d/vpxa restart

/etc/init.d/rhttpproxy restart

либо полный фарш:

services.sh restart

1	services.sh restart

Недавно у нас случилась аналогичная ситуация — отвалилось несколько хранилищ (datastore) и ESXi решил прикурить: vCenter отпал, хостовый веб-клиент отпал, вышеупомянутые команды якобы отрабатывали с нулевым результатом. Хорошо хоть виртуальные машины продолжали работать.

В итоге решили перезагрузить хост. Вот только для этого нужно было погасить виртуальные машины — часть выключили штатно изнутри, но некоторым нужно подать команду shutdown снаружи.

Типовые команды для выключения ВМок описаны в статье «Powering off an unresponsive virtual machine on an ESXi host (1004340)»

Но у нас-то случился клинический случай и ESXi не отрабатывал команд esxcli. Соответственно, пришлось искать более низкоуровневое решение — localcli.

localcli — это набор команд для работы технической поддержки VMware. Команды localcli эквивалентны командам ESXCLI, но обходят hostd. Команды localcli предназначены только для ситуаций, когда hostd недоступен и не может быть перезапущен.

Предупреждение: Использование LOCALCLI официально не поддерживается. Все действия выполняются на свой страх и риск.
Однако команда очень интересна тем, что при использовании специального внутреннего каталога плагинов появляются некоторые недокументированные пространства имен. Вы можете просмотреть эти пространства имен и открыть для себя некоторые интересные функциональные возможности. Просто войдите в ESXi и используйте команду

 localcli --plugin-dir /usr/lib/vmware/esxcli/int/

1	localcli --plugin-dir /usr/lib/vmware/esxcli/int/

результат вывода:

[root@esxi01:~] localcli --plugin-dir /usr/lib/vmware/esxcli/int/
Usage: localcli [disp options] &lt;namespaces&gt; &lt;command&gt;
For help please run localcli --help

Available Namespaces:

boot                operations for system bootstrapping
daemon              Commands for controlling daemons built with Daemon SDK (DSDK).
debug               Options related to VMkernel debugging. These commands should be used at the direction of VMware Support Engineers.
device              Device manager commands
deviceInternal      Device layer internal commands.
esxcli              Commands that operate on the esxcli system itself allowing users to get additional information.
fcoe                VMware FCOE commands.
graphics            VMware graphics commands.
hardware            VMKernel hardware properties and commands for configuring hardware.
hardwareinternal    VMKernel hardware properties and commands for configuring hardware, which are not exposed to end users.
hyperclockinternal  Operations on HyperClock subsystem, a general framework for publishing hypervisor time to virtual machines. The operations are not exposed to the end user.
iscsi               VMware iSCSI commands.
network             Operations that pertain to the maintenance of networking on an ESX host. This includes a wide variety of commands to manipulate virtual networking components (vswitch, portgroup, etc) as well as local host IP, DNS
                    and general host networking settings.
networkinternal     Operations used by partner software, but are not exposed to the end user. These operations must be kept compatible across releases.
nvme                VMware NVMe driver operations.
rdma                Operations that pertain to remote direct memory access (RDMA) protocol stack on an ESX host.
rdmainternal        Operations that pertain to the remote direct memory access (RDMA) protocol stack on an ESX host, but are not exposed to the end user. These operations must be kept compatible across releases.
sched               VMKernel system properties and commands for configuring scheduling related functionality.
software            Manage the ESXi software image and packages
storage             VMware storage commands.
system              VMKernel system properties and commands for configuring properties of the kernel core system and related system services.
systemInternal      Internal VMKernel system properties andcommands for configuring properties of the kernel core system.
user                VMKernel properties and commands for configuring user level functionality.
vm                  A small number of operations that allow a user to Control Virtual Machine operations.
vmci                VMCI commands for internal use
vsan                VMware vSAN commands

Available Commands:

[root@esxi01:~] localcli --plugin-dir /usr/lib/vmware/esxcli/int/

Usage: localcli [disp options] <namespaces> <command>

For help please run localcli --help

Available Namespaces:

boot operations for system bootstrapping

daemon Commands for controlling daemons built with Daemon SDK (DSDK).

debug Options related to VMkernel debugging. These commands should be used at the direction of VMware Support Engineers.

device Device manager commands

deviceInternal Device layer internal commands.

esxcli Commands that operate on the esxcli system itself allowing users to get additional information.

fcoe VMware FCOE commands.

graphics VMware graphics commands.

hardware VMKernel hardware properties and commands for configuring hardware.

hardwareinternal VMKernel hardware properties and commands for configuring hardware, which are not exposed to end users.

hyperclockinternal Operations on HyperClock subsystem, a general framework for publishing hypervisor time to virtual machines. The operations are not exposed to the end user.

iscsi VMware iSCSI commands.

network Operations that pertain to the maintenance of networking on an ESX host. This includes a wide variety of commands to manipulate virtual networking components (vswitch, portgroup, etc) as well as local host IP, DNS

and general host networking settings.

networkinternal Operations used by partner software, but are not exposed to the end user. These operations must be kept compatible across releases.

nvme VMware NVMe driver operations.

rdma Operations that pertain to remote direct memory access (RDMA) protocol stack on an ESX host.

rdmainternal Operations that pertain to the remote direct memory access (RDMA) protocol stack on an ESX host, but are not exposed to the end user. These operations must be kept compatible across releases.

sched VMKernel system properties and commands for configuring scheduling related functionality.

software Manage the ESXi software image and packages

storage VMware storage commands.

system VMKernel system properties and commands for configuring properties of the kernel core system and related system services.

systemInternal Internal VMKernel system properties andcommands for configuring properties of the kernel core system.

user VMKernel properties and commands for configuring user level functionality.

vm A small number of operations that allow a user to Control Virtual Machine operations.

vmci VMCI commands for internal use

vsan VMware vSAN commands

Available Commands:

Осталось написать скрипт массового выключения ВМок. Пока думал как написать решил поискать готовые решения и поисковик выдал примечательную статью о шифровальщиках для VMware vSphere c готовым скриптом New Linux-Based Ransomware Cheerscrypt Targeting ESXi Devices Linked to Leaked Babuk Source Code. В статье косяки с кавычками и апострофами, так что держите верный код:

esxcli vm process kill –type=force –world-id=$(esxcli vm process list|grep "World ID"|awk '{print $3}')

1	esxcli vm process kill –type=force –world-id=$(esxcli vm process list\|grep "World ID"\|awk '{print $3}')

Ну, а для нашей задачи такой жести не надо, но нужны другая команда и обычное выключение:

localcli vm process kill –type=soft –world-id=$(localcli vm process list|grep "World ID"|awk '{print $3}')

1	localcli vm process kill –type=soft –world-id=$(localcli vm process list\|grep "World ID"\|awk '{print $3}')

Если же перед вами стоят другие задачи, но esxcli не работает, то попробуйте использовать доступные пространства имен для localcli.

Раздувание таблиц vPostgres в VMware VCSA

В СУБД PostgreSQL присутствует эффект раздувания таблиц aka table bloat. Он выражается в падении производительности при интенсивном обновлении данных, например, при частых UPDATE, INSERT, DELETE. Данное поведение характерно и для СУБД vPostgres в VMware VCSA.

Для диагностики раздувания необходимо выполнить следующие действия:

Скачать скрипт 51981_check_bloat.sql из БЗ VCSA database storage /storage/db is full or nearly full (51981) (скрипт является копией официального Show database bloat).
Подключиться к БД: /opt/vmware/vpostgres/current/bin/psql -U postgres -d VCDB.
Скопировать и вставить содержимое файла и нажать Enter.
Проанализировать отчёт. Если значение колонок tbloat либо ibloat column больше 25, то запланировать обслуживание БД.

Читать далее «Раздувание таблиц vPostgres в VMware VCSA»

Утилита самообслуживания VMware Lookup Service Doctor

Следующая утилита самообслуживания от VMware — Lookup Service Doctor aka lsdoctor.

В результатах диагностики с помощью Утилита самообслуживания VMware vSphere Diagnostic Tool вы можете получить ссылку на lsdoctor:

REGISTRATION CHECK
SSO Site: default-site
[FAIL] Node: vcenter.domain.local  (VC 7.0 or CGW)
- PROBLEM: SSL Trust Mismatch: Please run python lsdoctor.py --trustfix option on this node.

REGISTRATION CHECK

SSO Site: default-site

[FAIL] Node: vcenter.domain.local (VC 7.0 or CGW)

- PROBLEM: SSL Trust Mismatch: Please run python lsdoctor.py --trustfix option on this node.

Lookup Service Doctor (lsdoctor) — это скрипт, используемый для решения проблем с данными, хранящимися в базе данных PSC, а также с данными, локальными для vCenter (независимо от того, является ли PSC внешним или встроенным). Данный инструмент можно использовать для обнаружения и устранения проблем, которые могут привести к сбоям при изменении топологии (converge, repoint и т.д.), обновлении или сбоям, возникшим в результате технического обслуживания (например, неправильное применение новых SSL-сертификатов).

Прежде чем использовать lsdoctor для внесения каких-либо изменений, убедитесь, что вы сделали надлежащие снимки вашего домена SSO. Это означает, что вы должны одновременно выключить все VC или PSC, которые находятся в домене SSO, затем сделать снимки и снова включить их. Если вам нужно вернуться к одному из этих снимков, выключите все узлы и верните все узлы к снимку. Невыполнение этих шагов приведет к проблемам репликации между базами данных PSC.

Утилита предназначена для использования с vCenter 6.5 и новее. Скачивается из KB Using the ‘lsdoctor’ Tool (80469), тут же размещены подробные инструкции по использованию. Затем распаковывается и заливается на vCenter, запускается справка из папки lsdoctor-master:

python lsdoctor.py --help

1	python lsdoctor.py --help

Выведутся ключи программы:

-p, --pscHaUnconfigure Unconfigure PSCHA on this node. Must be run on each PSC in SSO site.
-s, --stalefix Check for stale 5.x info on a vCenter or PSC. Run on each PSC and VC.
-t, --trustfix Check for SSL trust mismatch. Can be run on any PSC or VC for each SSO site -- Once per SSO site.
-l, --lscheck Print report on problems in the SSO domain
-u, --solutionusers Recreate vSphere solution users - Run on each PSC and VC
-r, --rebuild Rebuild all services for a node.

-p, --pscHaUnconfigure Unconfigure PSCHA on this node. Must be run on each PSC in SSO site.

-s, --stalefix Check for stale 5.x info on a vCenter or PSC. Run on each PSC and VC.

-t, --trustfix Check for SSL trust mismatch. Can be run on any PSC or VC for each SSO site -- Once per SSO site.

-l, --lscheck Print report on problems in the SSO domain

-u, --solutionusers Recreate vSphere solution users - Run on each PSC and VC

-r, --rebuild Rebuild all services for a node.

Предназначение ключей программы: Читать далее «Утилита самообслуживания VMware Lookup Service Doctor»

Вышла версия 1.15 https://flings.vmware.com/vsphere-diagnostic-tool#changelog https://vm-guru.com/news/vmware-vsphere-diagnostic-tool-115

Обзор https://www.anti-malware.ru/reviews/vGate-4-7

Проверьте и нам расскажите.

Добрый вечер. Можно ли пробросив целиком одну видяху (квадру) в один хост на венде10 использовать выходы видеокарты и брать с…

Добавил в текст схему работы. *Без интернета тоже работает.

Все драйверы включены в дистрибутивы ESXi 7.0 и новее. Других драйверов больше не существует - об этом подробно было рассказано…

Скажите пожалуйста для этой материнской платы ga-z270p-d3 есть драйвер для встроенной сетевой. Не могу найти нигде информации. Всем кто откликнется…