VMware – Page 32

Troubleshooting SSOv1

Вот и моя очередь настала написать о полученных с SSO граблях. Ранее об этом уже писал Виктор.

Итак, на исходной – перестал работать доменный вход в vCenter 5.1. Попытка узнать, насколько глубока кроличья нора, привела меня под кат 🙂

Continue reading “Troubleshooting SSOv1”

Худшие практики: virtual machine memory limit

Сегодня о “худшей практике” одной настройки виртуальной машины.

Некоторое время назад обнаружились серверы с большим уровнем IOPS – в районе 1000-1500 операций. Экспресс-диагностика не дала результата, а так как размер дисков машин был очень небольшим, то они были перемещены на локальные SSD, что сняло остроту проблемы.

Сейчас же обнаружились проблемы с терминальными серверами – довольно сильные лаги при большом количестве подключений. Анализ системы показал довольно классическую проблему – наличие baloon. Наличие “пузыря” в памяти насторожило, так как на хосте свободной памяти было с избытком. Ларчик открылся просто при 3 ГБ ОЗУ виртуальной машины стояла волшебная труодминская настройка memory limit 2 ГБ. К пущей радости, история умалчивает кто был этим тру одмином.

После такого открытия я запустил RVTools и проинспектировал все виртуальные машины на наличие лимитов памяти, ну, и на “пузыри” заодно.

Тут-то и всплыли виртуалки с большими IOPS, так как настройки на них были примерно следующие ОЗУ – 1,5 ГБ, лимит – 256 МБ. На одной из машины при ОЗУ 3 ГБ, лимит был 512 МБ, а размер “пузыря” 2 ГБ.

Для чего понадобилось выставлять лимиты остаётся загадкой. Поснимал все лимиты на память, так как для моей конфигурации данный функционал не имеет смысла.

Проблема VMware vSphere 5.5 Single Sign On с вложенными группами Active Directory

Не успела выйти VMware vSphere 5.5, как проблемы снова с нами 🙂

Набивший ранее оскомину VMware SSO v1, переписанный с нуля компанией VMware, по прежнему клюет мозг. Согласно информации из официального блога, SSO v2 не “видит” группы, которые вложены в локальные группы vCenter Server.

Пока решение очень простое – добавлять такие группы руками и ждать обновления.

Перенос Custom Attributes между VMware vCenter

У меня возникла задача переехать в новый vCenter. При планировании работ обратил внимание на потребность переноса полей виртуальных машин Custom Attributes, созданных мной.

В моей инфраструктуре используется два дополнительных поля – Administrator, где указываются основной и дублирующий администратор, поле – Nagios, где указывается имя, под которым сервер занесен в систему мониторинга. Данное поле позволяет осуществлять контроль все ли продуктивные виртуальные машины занесены в Nagios.

В отличии от Notes, созданный вручную Custom Attribute хранится в vCenter и при переходе на чистую базу данных не сохраняется.

Поиск быстро выдал пример скрипта на PowerShell для экспорта-импорта данных полей.

Приведу кусочек кода, немного исправленный и используемый мной.

Экспорт (обратите внимание на указание кодировки для атрибутов на кириллице):

$vmlist = get-vm 
$Report =@()
 foreach ($vm in $vmlist) {
 $row = "" | Select Name, Notes, Key, Value, Key1, Value1
 $row.name = $vm.Name
 $row.Notes = $vm | select -ExpandProperty Notes
 $customattribs = $vm | select -ExpandProperty CustomFields
 $row.Key = $customattribs[0].Key
 $row.Value = $customattribs[0].value
 $row.Key1 = $customattribs[1].Key
 $row.Value1 = $customattribs[1].value
 $Report += $row
 }

$report | Export-Csv "c:\temp\vms-with-notes-and-attributes.csv" -NoTypeInformation -encoding unicode

$vmlist = get-vm

$Report =@()

foreach ($vm in $vmlist) {

$row = "" | Select Name, Notes, Key, Value, Key1, Value1

$row.name = $vm.Name

$row.Notes = $vm | select -ExpandProperty Notes

$customattribs = $vm | select -ExpandProperty CustomFields

$row.Key = $customattribs[0].Key

$row.Value = $customattribs[0].value

$row.Key1 = $customattribs[1].Key

$row.Value1 = $customattribs[1].value

$Report += $row

}

$report | Export-Csv "c:\temp\vms-with-notes-and-attributes.csv" -NoTypeInformation -encoding unicode

Импорт:

 $NewAttribs = Import-Csv "C:\temp\vms-with-notes-and-attributes.csv"

 foreach ($line in $NewAttribs) {
 set-vm -vm $line.Name -Description $line.Notes -Confirm:$false
 Set-CustomField -Entity (get-vm $line.Name) -Name $line.Key -Value $line.Value -confirm:$false
 Set-CustomField -Entity (get-vm $line.Name) -Name $line.Key1 -Value $line.Value1 -confirm:$false
 }

$NewAttribs = Import-Csv "C:\temp\vms-with-notes-and-attributes.csv"

foreach ($line in $NewAttribs) {

set-vm -vm $line.Name -Description $line.Notes -Confirm:$false

Set-CustomField -Entity (get-vm $line.Name) -Name $line.Key -Value $line.Value -confirm:$false

Set-CustomField -Entity (get-vm $line.Name) -Name $line.Key1 -Value $line.Value1 -confirm:$false

}

Active Directory vs vSphere 5.1

В процессе использования vSphere 5.1 столкнулся с несколькими нюансами работы платформы с Active Directory.

vSphere 5.1 SSO и домены с доверительными отношениями.

Эпически глючная вещь в vSphere 5.1 – это сильно распиаренный Single Sign-On. На нашем предприятии развернут лес с двумя поддоменами, где “живут” учётные записи пользователей, которым требуется доступ к виртуальной инфраструктуре. Очень интересно ведёт себя SSO при недоступности доменных контроллеров доверенных доменов – он просто не даёт авторизовать в других. У меня проблемы две – временная недоступность из-за сетевой недоступности и некорректная настройка DNS.

При восстановлении сетевой доступности SSO не слишком торопится достучаться до контроллеров домена, обычно, приходится авторизоваться под учётной записью admin@system-domain и делать шаманские пляски с перепроверкой identity source.

Вторая проблема возникает при попытке заменить адреса доменных контроллеров на имя домена, то есть вместо dc-01.perm.contoso.com писать perm.contoso.com, так как фактически DNS на запрос perm.contoso.com возвращает NS-серверы, а не доменные контроллеры. В моём случае, запрос по имени доверенного домена возвращает по одному из 4 адресов не контроллер домена. Ну, это местечковые грабли. Для решения проблемы прописал “наиболее доступные” контроллеры домена.

vCenter и объекты безопасности Active Directory.

Второе “волшебное” поведение платформы – это группы и пользователи AD с назначенными разрешениями к объектам vCenter. Вы назначаете группе или учётной записи доступ к виртуальной машине, а спустя некоторое время решает привести названия групп к новому стандарту наименования. Результат впечатляет – все переименованные группы и учётные записи бесследно исчезают из разрешений. Но, как говорится, это by design.

Примечание. При создании локальной доменной группы (domain local) безопасности, добавлении в неё учётной записи из доверенного домена и назначении прав в vCenter получил негативный результат – доступ не был предоставлен. Возможно, где-то я скосячил, а может и не я.

Чего ждать от VMware vSphere 5.5?

Пришло время нашей постоянной рубрике “Чего ждать от неанонсированных продуктов?”

Ожидаемые новые функции от следующей плаформы VMware:

Поддержка новых ОС.
VMware Hardware версии 10. Больше vCPU, улучшенная поддержка vGPU.
Поддержка vmdk-файлов размером свыше 2 ТБ.
VMware Virtual Flash (vFlash). SSD кеш для виртуальных машин.
Virtual SAN. Создание общего распределенного пула хранения из локальных дисков.
SSO 2.0. Единая система авторизации и управления сертификатами.
Расширенная поддержка Link Aggregation Control Protocol (LACP).
Распределённый файерволл.
Обновленный Web Client.
Репликация с поддержкой multiple points-in-time.

Анонс ожидается в конце августа на VMworld 2013, дистрибуция в сентябре.

О новых технологиях советую почитать:

Новая концепция хранения: Cormac Hogan. Software Defined Storage.

Распределенный файeрволл: What is a Distributed Firewall?

Переводы от Александра Самойленко:

VMware vSphere 5.5

Тссс… тихо, не говорите VMware… Следующая версия платформы vSphere будет 5.5… Скоро на всех хостах…

Пруфлинк:

IBM HS23, vSphere и 10 GbE

В рамках подготовки разворачивания Cisco Nexuus 1000V стал разрабатывать эскиз решения, о котором планирую также написать, с использование 10 гигабитных сетей.

В лезвийных серверах IBM HS23 используется встроенных 10 GbE адаптер, обычно называемый Integrated Virtual Fabric 10 Gigabit Ethernet либо Emulex BE3 Dual 10 Gb/1 Gb, либо просто LOM (10Gb LOM Interposer Card).

Фактически, это Emulex 10GbE Virtual Fabric Adapter II с немного обрезанными возможностями на том же чипсете с той же прошивкой и драйвером.

При установке VMware ESXi 5.1u1 неожиданно вылезла проблема – во время запуска драйвера be2net отрубался цифровой интерфейс подключения KVM к лезвию. Первый же поисковый запрос дал решение, описанное Виталием Агаповым “Как подружить VMware ESXi, IBM HS23 и сетевую карту Emulex“.

Для прошивки и установки драйвера я пошёл более простым путём, чем Виталий. Так как у меня несколько таких лезвий, то я создал новый дистрибутив с помощью ESXi-Customizer. Прошить методом Виталия не получилось – флешка не виделась утилитой, не удалось и с помощью диска, созданного IBM Bootable Media Creator (BoMC). В связи с этим я использовал родной Emulex Offline OneConnect Flash ISO.

После этого проблема с KVM разрешилась, а интерфейс в утилите настройки карты стал более дружелюбным.

Решение проблем с производительностью VMware vSphere – часть 1

Примерно 2,5 года назад вышел документ по решению проблем с производительностью в VMware vSphere 4.1.

Так как актуальность документ все еще не потерял, я попробую осуществить его перевод…

В начале документа находится схема траблшутинга

Соответственно, есть две дальнейшие диаграммы: базовая и продвинутая.

Continue reading “Решение проблем с производительностью VMware vSphere – часть 1”

VCP 510 +1

Сегодня сдал VCP-510 на 450 баллов.

Благодарности: Максиму Машкову за учёбу, Михаилу Михееву за книжку(и), Сергею Боровикову за мотивацию, Андрею Вахитову за поддержку и консультации, семье за понимание.