6.7 — vMind.RU

Раздувание таблиц vPostgres в VMware VCSA

В СУБД PostgreSQL присутствует эффект раздувания таблиц aka table bloat. Он выражается в падении производительности при интенсивном обновлении данных, например, при частых UPDATE, INSERT, DELETE. Данное поведение характерно и для СУБД vPostgres в VMware VCSA.

Для диагностики раздувания необходимо выполнить следующие действия:

Скачать скрипт 51981_check_bloat.sql из БЗ VCSA database storage /storage/db is full or nearly full (51981) (скрипт является копией официального Show database bloat).
Подключиться к БД: /opt/vmware/vpostgres/current/bin/psql -U postgres -d VCDB.
Скопировать и вставить содержимое файла и нажать Enter.
Проанализировать отчёт. Если значение колонок tbloat либо ibloat column больше 25, то запланировать обслуживание БД.

Читать далее «Раздувание таблиц vPostgres в VMware VCSA»

Релиз Код Безопасности vGate 4.5 SP1

Код безопасности выпустил свежую версию своего продукта для защиты виртуальных сред vGate 4.5 (сразу с первым сервис-паком) для vSphere.

В данной версии реализованы новые функции:

Реализован контроль операций Cloud Director и управление организациями.
В веб-консоли реализован контроль состояния соединений (SPI — Stateful packet inspection).
В веб-консоли реализован анализатор трафика (DPI — Deep packet inspection).
В веб-консоли реализован контроль прикладных протоколов с помощью правил фильтрации компонента «Сегментирование».
Реализован безагентный контроль операций vCSA.
Реализована возможность доступа администратора виртуальной инфраструктуры к защищаемым серверам через веб-интерфейс vGate (без агента аутентификации).
Реализована поддержка политик шаблона «VMware vSphere 7 Security Configuration Guide».
Выполнен перенос функции управления правилами доступа из консоли управления vGate в вебконсоль. Добавлено управление настройками регистрации событий правил доступа.
Выполнен перенос функций управления политиками безопасности, механизмом полномочного управления доступом, а также контролем целостности защищаемых серверов из консоли управления vGate в веб-консоль.
Выполнен перенос функции управления защищаемыми серверами из консоли управления vGate в веб-консоль.
В веб-консоли реализовано отображение последних операций с ESXi-серверами и виртуальными машинами.
В агенте аутентификации и в веб-консоли обеспечена возможность настройки уровня логирования NDIS-драйвера.
В агенте аутентификации реализована проверка сетевой доступности сервера авторизации.
В веб-консоли и в агенте аутентификации реализовано оповещение пользователя о времени его последнего входа.

Читать далее «Релиз Код Безопасности vGate 4.5 SP1»

Утилита самообслуживания VMware Lookup Service Doctor

Следующая утилита самообслуживания от VMware — Lookup Service Doctor aka lsdoctor.

В результатах диагностики с помощью Утилита самообслуживания VMware vSphere Diagnostic Tool вы можете получить ссылку на lsdoctor:

REGISTRATION CHECK
SSO Site: default-site
[FAIL] Node: vcenter.domain.local  (VC 7.0 or CGW)
- PROBLEM: SSL Trust Mismatch: Please run python lsdoctor.py --trustfix option on this node.

REGISTRATION CHECK

SSO Site: default-site

[FAIL] Node: vcenter.domain.local (VC 7.0 or CGW)

- PROBLEM: SSL Trust Mismatch: Please run python lsdoctor.py --trustfix option on this node.

Lookup Service Doctor (lsdoctor) — это скрипт, используемый для решения проблем с данными, хранящимися в базе данных PSC, а также с данными, локальными для vCenter (независимо от того, является ли PSC внешним или встроенным). Данный инструмент можно использовать для обнаружения и устранения проблем, которые могут привести к сбоям при изменении топологии (converge, repoint и т.д.), обновлении или сбоям, возникшим в результате технического обслуживания (например, неправильное применение новых SSL-сертификатов).

Прежде чем использовать lsdoctor для внесения каких-либо изменений, убедитесь, что вы сделали надлежащие снимки вашего домена SSO. Это означает, что вы должны одновременно выключить все VC или PSC, которые находятся в домене SSO, затем сделать снимки и снова включить их. Если вам нужно вернуться к одному из этих снимков, выключите все узлы и верните все узлы к снимку. Невыполнение этих шагов приведет к проблемам репликации между базами данных PSC.

Утилита предназначена для использования с vCenter 6.5 и новее. Скачивается из KB Using the ‘lsdoctor’ Tool (80469), тут же размещены подробные инструкции по использованию. Затем распаковывается и заливается на vCenter, запускается справка из папки lsdoctor-master:

python lsdoctor.py --help

1	python lsdoctor.py --help

Выведутся ключи программы:

-p, --pscHaUnconfigure Unconfigure PSCHA on this node. Must be run on each PSC in SSO site.
-s, --stalefix Check for stale 5.x info on a vCenter or PSC. Run on each PSC and VC.
-t, --trustfix Check for SSL trust mismatch. Can be run on any PSC or VC for each SSO site -- Once per SSO site.
-l, --lscheck Print report on problems in the SSO domain
-u, --solutionusers Recreate vSphere solution users - Run on each PSC and VC
-r, --rebuild Rebuild all services for a node.

-p, --pscHaUnconfigure Unconfigure PSCHA on this node. Must be run on each PSC in SSO site.

-s, --stalefix Check for stale 5.x info on a vCenter or PSC. Run on each PSC and VC.

-t, --trustfix Check for SSL trust mismatch. Can be run on any PSC or VC for each SSO site -- Once per SSO site.

-l, --lscheck Print report on problems in the SSO domain

-u, --solutionusers Recreate vSphere solution users - Run on each PSC and VC

-r, --rebuild Rebuild all services for a node.

Предназначение ключей программы: Читать далее «Утилита самообслуживания VMware Lookup Service Doctor»

Утилита самообслуживания VMware vSphere Diagnostic Tool

В настоящее время наблюдаются затруднения с получением технической поддержки по продуктовой линейке VMware на одной восьмой части суши.

Соответственно, для диагностики и решения проблема приходится переходить на самообслуживание.

Ранее была опубликована статья Утилита самообслуживания VMware Skyline Health Diagnostic Tool, рассказывающая о ВМ с набором тестов и анализом логов vSphere, vSAN, VMware Cloud Foundation.

Теперь мне на глаза попалась прекрасная утилита самообслуживания vSphere Diagnostic Tool.

vSphere Diagnostic Tool — это скрипт на языке python, который выполняет диагностические команды на vCenter Server Photon Appliance для получения полезных данных по устранению неполадок, работая в пределах локальной среды без внешних зависимостей. Скрипт проверяет чеклист и выдает Pass/Warning/Fail для быстрой изоляции проблем, возникающих в среде vSphere.

Данный скрипт протестирован группой сотрудников службы поддержки GS VMware и представляет собой набор самостоятельных сценариев на python и bash, которые могут выполнять следующие тесты для vCenter Server Appliance 6.5 или более новой версии:

vCenter Basic Info
Lookup Service Check
AD Check
vCenter Certificate Check
Core File Check
Disk Check
vCenter DNS Check
vCenter NTP Check
vCenter Port Check
Root Account Check
vCenter Services Check
VCHA Check

Кроме выдачи статуса Pass/Warning/Fail для каждого теста, также указываются KBs или другие источники знаний для результатов Warning и Fail, что обеспечивает следующие шаги для решения проблемы. Читать далее «Утилита самообслуживания VMware vSphere Diagnostic Tool»

Падучая ESXi или возвращение блудного хоста

И снова статья от участника телеграм-канала VMware User Group Rus.

Третьего дня в чат опять пришли коллеги с стандартной проблемой – хост отвалился от vCenter — ШТО ДЕЛАТЬ?

Правильный ответ – писать сценарии отказа и отрабатывать их, это один из таких случаев, с которыми надо быть знакомыми до начала эксплуатации.

Вводные

Есть некий хост с VMware (разумеется, с последними патчами – а то было тут как-то PR 2412475: You see Sensor -1 type hardware health alarms on ESXi hosts and receive excessive mail alerts). Хост отвалился от VCenter (разумеется, тоже с последними патчами – особенно это касается линейки 7.0). Виртуальные машины на хосте продолжают работать, отказоустойчивости на уровне сервисов (Oracle real application clusters, database availability group, MS SQL Always On и так далее) нет, но и просто так перезагрузить хост – не вариант. Нет никаких гарантий, что хост поднимется, что есть ресурсы на других хостах.

В данном случае имеет смысл обратиться в поддержку — если, конечно, у вас система работает на поддерживаемой конфигурации, куплены лицензии и куплена эта самая поддержка. Поддержку можно купить «поштучно» — VMware Per Incident Support.

Шаг 1. Что было, то и будет; и что делалось, то и будет делаться, и нет ничего нового под солнцем

Читать далее «Падучая ESXi или возвращение блудного хоста»

Уязвимости в продуктах VMware

В VMware vCenter и VSAN обнаружены критические уязвимости — VMSA-2021-0010: What You Need to Know.

Всем клиентам рекомендовано немедленно обновиться до свежих версий ПО (хм, что же будут делать когда до z дойдут?):

VMware vCenter Server 7.0U2b [Release Notes] [Download]
VMware vCenter Server 6.7U3n [Release Notes] [Download]
VMware vCenter Server 6.5U3p [Release Notes] [Download]
How to Disable VMware Plugins in vCenter Server (83829)
VMSA-2021-0010

Скрипт для проверки уязвимости h5-vsan через nmap доступен на гитхабе:

CVE-2021-21985 (Vulnerable Code)

P.S. PoC эксплойта тоже… ;(

Утилита самообслуживания VMware Skyline Health Diagnostic Tool

Осенью 2020 года компания VMware анонсировала утилиту сбора и разбора журналов событий с vSphere 6.5, 6.7, 7.0 — VMware Skyline Health Diagnostic Tool.

Утилита довольно просто устанавливается в виде ВМ (с версии 2.0.5 распространяется в виде OVA и ISO) , после этого указывается vCenter/ESXi, выбираются объекты для сбора логов и, подождав несколько десятков минут или несколько часов, получаем отчёты с замечаниями и ссылками на БЗ VMware.

Примечание. Утилита имеет довольно убогий интерфейс — если вы вышли из админки, то не видно есть ли текущие задания. Обновление: с версии 2.5.0 отображение заданий исправлено, да и дизайн слегка причесали. Читать далее «Утилита самообслуживания VMware Skyline Health Diagnostic Tool»

Transport (VMDB) error -45: Failed to connect to peer process после обновления VMware ESXi

mr_orangeV прислал заметку о решение проблемы с VMDB transport.

После обновления ESXi до версии 6.7 сборка 17499825 и вывода хоста из режима обслуживания, виртуальные машины не мигрировали обратно на хост с ошибкой:

Transport (VMDB) error -45: Failed to connect to peer process

1	Transport (VMDB) error -45: Failed to connect to peer process

Поиск корневых причин привёл к нескольким вариантам:

Опять кто-то где-то напутал в коде, такое уже было у HPE, можно поискать по фразе » had a bug that constantly wrote logs to the /tmp/vmware-root folder that eventually filled up the partition».
Кончилось место, в том числе под swap.
Mac OS Unlocker или в работе, или криво удален.

Как найти реальную причину?

Для начала прочитать все, что написано в комьюнити и БЗ: ссылка 01 и ссылка 02 kb 50113127.

Во второй KB указано, что «Confirm the presence of the Unlocker installation on the ESXi host using one or more of the following commands».

В моём случае эти команды не показали ничего, а команды ls -l /bin/vmx в kb нет.

Подключаемся к хосту по SSH и GUI, смотрим:

Проверяем место: df –h
Проверяем Ramdisk: vdf –h
Проверяем snmp по kb 2040707 и inode: stat -f /vmfs/volumes
Проверяем что у нас с симлинками: ls -l /bin/vmx
Читаем (можно из GUI хоста) vmkernel и vpxd логи
Ищем строки вида «vmx: Error in initial cartel setup: Failed to open /bin/vmx: Operation not permitted»

В моем случае, это оказался неудаленный полностью Unlocker.

Шаги решения

cd /bin
ls -l /bin/vmx и посмотреть куда он ведет
cd /куда ведет симлинк и
ls посмотреть на наличие vmx и unlocker
cd /bin
rm vmx – удалилить симлинк
cp /откуда)/vmx /bin

Материалы для внеклассного чтения Читать далее «Transport (VMDB) error -45: Failed to connect to peer process после обновления VMware ESXi»

Обновление VMware vCenter путем его замены

mr_orangeV прислал статью о своём опыте замены VMware vCenter. С небольшой редактурой публикую. Юмор автора местами сохранён.

В последнее время читаю много однотипных историй «у нас ESXi 5.1/5.5 /6 — как нам жить дальше или на что-то переехать?» Расскажу свою историю, может кому-то поможет.
Нам достался подряд на обследование и модернизацию инфрастуктуры одной организации. Беглый осмотр показал следующее:

десяток разных серверов (с разными процессорами) на ESXi 6.0/6.5/6.7;
некая СХД, работающая по протоколам NFS/iSCSI;
невнятная сеть почти без деления (лучше бы было совсем без деления, так как я такого ужаса еще не видел).
VMware vCenter 6.5 на Windows, обновленный последний раз очень давно;
полное отсутствие документации «что, где, куда и почему»;
под сотню виртуальных машин, которые, конечно же, все очень важные и нужные. И тоже без обновлений! Настоящие админы до второго сервис пака не обновляют, но с Windows Server 2016/2019 есть проблема при таком подходе.
cостояние резервного копирования неочевидно.

Для ликвидация хаоса были предприняты следующие шаги: Читать далее «Обновление VMware vCenter путем его замены»

VMware vSphere Quick (Re)Boot

В платформе VMware vSphere 6.7 появилась технология vSphere(ESXi) Quick Boot, предназначенная для быстрой перезагрузки ESXi хостов во время обновлений с помощью vSphere Update Manager.

Технология требует соблюдения нескольких условий, описанных в БЗ Understanding ESXi Quick Boot Compatibility (52477):

Модель сервера находится в VMware HCL (функция QuickBoot для ESXi 7.0+) либо хранится локально в ESXi 6.7 в текстовых файлах.
Выключена технология TPM.
Нет passthru-устройств, подключенных к ВМ с хоста.
Не загружены vmklinux-драйверы на хосте.

В vSphere 7.0 третье ограничение снято, а четвертое отсутствует архитектурно.

Для проверки можно использовать локальный скрипт, выводящие информацию о совместимости модели сервера и драйверов:

/usr/lib/vmware/loadesx/bin/loadESXCheckCompat.py

1	/usr/lib/vmware/loadesx/bin/loadESXCheckCompat.py

Пример вывода на стендовом хосте:

LoadESX is not compatible with vmkLinux drivers.
This platform (IBM:System x3650 M2 -[794744G]-) is not compatible with loadESX.
Compatibility check failed: violating one or more strict requirements (loadESX is not supported on this machine)

LoadESX is not compatible with vmkLinux drivers.

This platform (IBM:System x3650 M2 -[794744G]-) is not compatible with loadESX.

Compatibility check failed: violating one or more strict requirements (loadESX is not supported on this machine)

Для быстрого обновления хостов технология включается в vSphere 7+ Menu->Lifecycle Manager-> Images/Baselines Remediation Settings->Quick Boot. Сокращение времени установки равно времени проверок UEFI при полной перезагрузке хоста.

Также меня заинтересовала возможность быстрой перезагрузки хостов без применения обновлений, поиск в интернете выявил два схожих варианта.

Вариант с Reddit:

/bin/loadESXEnable -e
/usr/lib/vmware/loadesx/bin/loadESX.py
reboot

/bin/loadESXEnable -e

/usr/lib/vmware/loadesx/bin/loadESX.py

reboot

Вариант от Jiří Viktorin:

/bin/loadESXEnable -e
/usr/lib/vmware/loadesx/bin/loadESXShutdown.sh prepare
reboot

/bin/loadESXEnable -e

/usr/lib/vmware/loadesx/bin/loadESXShutdown.sh prepare

reboot

Прошу проголосовать за добавление функционала в графический интерфейс на портале по сбору идей vSphere Ideas, авторизация стандартная от vmware.com.

Это название видео такое :). ECP Veil на данный момент тестируется - как будут готовы результаты, тогда и опубликуем.

"...в российской системе виртуализации zVirt" Мне кажется, неправильно всерьёз считать и называть данную систему "российской". Полагаю, что интересующиеся темой, поймут,…

А что тут российского? Взять и переименовать oVirt - сделать российский системой виртуализации? ))))

What's New in 3.5.0, September 2022 Release VMware vCenter Server Upgrade Pre-checks VMware vCenter Server upgrade pre-checks added for version…

Ещё и Health не работает Skyline Health tab in vSphere Client shows an "Online health connectivity" warning in vCenter 6.x…

vSAN witness теперь может быть активирован в SmartNIC DPU ESXi.

Гарантировать сохранение своего state контейнер не может, а значит он stateless. То что он сохранил данные между остановкой и последующим…