VMware ESXi Host Client 2 теперь и в vSphere 7

С выходом VMware ESXi 8 компания VMware представила новый веб-клиент для управления хостом: новые иконки; фреймворк Clarity; несколько тем, включая тёмную, и их кастомизация; навигация TAB-ом. Заметки о релизе для ESXi 8 — VMware Host Client 2.5.0 Release Notes.

Несколько обзоров:

К нашей радости, компания VMware решила не останавливаться на достигнутом и портировала клиента на ESXi 7 — теперь он стал доступен c версии ESXi 7 update 3i.

Релиз Код Безопасности vGate 4.6

Код безопасности выпустил свежую версию своего продукта для защиты виртуальных сред vGate 4.6. Ключевое отличие обновленной версии продукта – реализация защиты KVM-виртуализации.

В vGate 4.6 добавлена поддержка следующих операционных системам семейства Linux:

  • Ubuntu 18.04.6 LTS, 20.04.3 LTS;
  • Astra Linux Common Edition «Орел» 2.12.22;
  • Альт Сервер Виртуализации 10;
  • Альт Сервер 8 СП;
  • Скала-Р Управление 1.80; 1.92; 1.93.

Полный список новых функций:

  1. Выполнен перенос функции управления фильтрацией трафика vCenter из консоли управления vGate в веб-консоль.
  2. Выполнен перенос функций управления виртуальными сетями, виртуальными машинами, сетевыми адаптерами, хранилищами данных и организациями сервера Cloud Director из консоли управления vGate в веб-консоль.
  3. Выполнен перенос функции объединения объектов виртуальной инфраструктуры в группы из консоли управления vGate в веб-консоль.
  4. Реализована поддержка политик шаблона «CIS for ESXi 7.0».
  5. Реализовано ограничение числа одновременных сеансов АВИ.
  6. Добавлены новые виджеты мониторинга: «Тепловая карта событий аудита», «Объекты и учетные записи по категориям конфиденциальности», «Объекты и учетные записи по уровням конфиденциальности».
  7. Реализована поддержка токенов Рутокен при аутентификации пользователей через вебинтерфейс vGate.
  8. Реализована возможность добавления пользовательских уровней конфиденциальности.
  9. Реализована поддержка контейнеров VMware, включая контроль целостности образов контейнеров, хранящихся во встроенном реестре Harbor, и контроль доступа к vSphere Pods.
  10. Реализована возможность создания разрешающих правил фильтрации, по которым осуществляется однонаправленная передача трафика.
  11. Реализована поддержка KVM-серверов и защита виртуальных машин KVM.
  12.  Добавлена возможность использования символов кириллицы в именах пользователей и групп Active Directory.

Подробная документация:
Читать далее «Релиз Код Безопасности vGate 4.6»

Сохранение активации лицензий ПО при замене оборудования в VMware vSphere 6.7+

Disclaimer:  все дальнейшие рассуждения и действия могут нарушать лицензионные соглашения правообладателей. Любое использование нижеследующих рекомендаций должно подтверждаться наличием у вас прав на лицензии. Все действия выполняются на свой страх и риск.

Время от времени серверы устаревают, а на замену им приходит новое оборудование с новыми процессорами.

Для абстрагирования vCPU от физического процессора от оборудования в VMware vSphere много лет развивается технология маскирования флагов процессора:

Обычно, технологии защиты ключей лицензий, разрешенные к использованию в виртуальных средах, используют привязки к:

  1. BIOS/UEFI;
  2. операционной системе;
  3. имени сервера/ПК;
  4. идентификаторам либо серийным номерам жестких дисков;
  5. MAC-адресам сетевых карт;
  6. CPUID, описывающему имя, семейство и модель процессора, доступные SIMD-инструкции.

В соответствии с этим мы можем использовать фиксацию части параметров.

Для фиксации UUID BIOS можно отредактировать VMX-файл:

Также возможны и более хардкорные модификации BIOS/UEFI. Получить данные можно получить через команду wmic bios.

Для привязки по MAC-адресу мы фиксируем адрес с физического сервера лицензий, либо генерируем его сами до получения лицензий. Адрес можно указать в настройках сетевого адаптера либо прописать в VMX-файле:

Parameter Value
ethernetX.addressType static
ethernetX.address MAC_address_of_the_virtual_NIC

В большинстве случаев получается привязать MAC к выключенному адаптеру либо подключенному в пустую виртуальную сеть.

Для сохранения CPUID необходимо собрать следующую информацию:

  • EVC/поколение ЦПУ виртуальной машины в vSphere.
  • Поколение(CPU-Z), название, id и модель процессора в операционной системе (wmic cpu get caption, name, processorid; в Linux /proc/cpuinfo).

После этого в конфигурации выключенной виртуальной машины (vHW>=14) устанавливается нужный уровень Per-VM EVC, при необходимости прописываются в VMX-файл прочие параметры маскинга CPUID (*в примере левые параметры):

Примечание.  При изменении vHW и/или обновлении ESXi версии BIOS/UEFI могут меняться. Изменение BIOS/UEFI, CPUID происходит по время выключения/включения (powercycle) виртуальной машины.

Всегда делайте копию виртуальной машины и VMX-файла перед правками!!!

Релиз RVTools 4.3.2

Rob de Veij выпустил обновление своей отличной утилиты инвентаризации VMware vSphere — RVTools версии 4.3.2.

В этой версии используются свежие версии фреймворков, а также есть другие исправления:

  • используется .NET Framework версии 4.6.2 вместо 4.6.1.
  • используется Newtonsoft.Json версии 13.0.1 вместо 12.0.3.
  • исправлена ошибка: таймаут соединения для огромных сред vSphere.
  • исправлена ошибка: изменена целевая платформа для RVToolsMergeExcelFiles на «Any CPU», что позволило использовать платформу X64 и избежать исключения System.OutOfMemoryException для огромных сред vSphere.
  • исправлена ошибка: удаленные выходные строки для отладки из RVToolsMergeExcelFiles.

Управляем неуправляемым VMware ESXi

Иногда бывает, что ESXi теряет управление — отваливается от vCenter.

Что с этим делать расписано на русском в статье «Хост VMware ESXi в состоянии Not Responding на сервере vCenter — в чем может быть проблема?»

Опытные админы, обычно, идут в консоль и подают 2-3-4 команды:

либо полный фарш:

Недавно у нас случилась аналогичная ситуация — отвалилось несколько хранилищ (datastore) и ESXi решил прикурить: vCenter отпал, хостовый веб-клиент отпал, вышеупомянутые команды якобы отрабатывали с нулевым результатом. Хорошо хоть виртуальные машины продолжали работать.

В итоге решили перезагрузить хост. Вот только для этого нужно было погасить виртуальные машины — часть выключили штатно изнутри, но некоторым нужно подать команду shutdown снаружи.

Типовые команды для выключения ВМок описаны  в статье «Powering off an unresponsive virtual machine on an ESXi host (1004340)»

Но у нас-то случился клинический случай  и ESXi не отрабатывал команд esxcli. Соответственно, пришлось искать более низкоуровневое решение — localcli.

localcli — это набор команд для работы технической поддержки VMware. Команды localcli эквивалентны командам ESXCLI, но обходят hostd. Команды localcli предназначены только для ситуаций, когда hostd недоступен и не может быть перезапущен.

Предупреждение: Использование LOCALCLI официально не поддерживается. Все действия выполняются на свой страх и риск.
Однако команда очень интересна тем, что при использовании специального внутреннего каталога плагинов появляются некоторые недокументированные пространства имен. Вы можете просмотреть эти пространства имен и открыть для себя некоторые интересные функциональные возможности. Просто войдите в ESXi и используйте команду

результат вывода:

Осталось написать скрипт массового выключения ВМок. Пока думал как написать решил поискать готовые решения и  поисковик выдал примечательную статью о шифровальщиках для VMware vSphere c готовым скриптом New Linux-Based Ransomware Cheerscrypt Targeting ESXi Devices Linked to Leaked Babuk Source Code. В статье косяки с кавычками и апострофами, так что держите верный код:

Ну, а для нашей задачи такой жести не надо, но нужны другая команда и обычное выключение:

Если же перед вами стоят другие задачи, но esxcli не работает, то попробуйте использовать доступные пространства имен для localcli.

Бета-версия VMware vCenter Converter Standalone 6.3.0

На прошлой неделе анонсирована бета-версия долгожданного релиза VMware vCenter Converter Standalone 6.3.0 с поддержкой целевой платформы vSphere 7.0.

Вступите в vCenter Convert Beta Community для участия либо напишите на vc-converter-beta@vmware.com.

В этом релизе:

  • Поддерживается только чистая установка, поэтому необходимо удалить старые версии.
  • Поддерживается установка Converter на:
    • Windows Server 2012 (64-bit
    • Windows 8.1 (32-bit and 64-bit)
    • Windows Server 2012 R2 (64-bit)
    • Windows 10 (32-bit and 64-bit)
    • Windows Server 2016 (64-bit)
    • Windows Server 2019 (64-bit)
    • Windows 11 (64-bit)
    • Windows Server 2022 (64-bit)
  • VMware Converter Standalone может конвертировать выключенные виртуальные  машины Hyper-V со следующих серверов Microsoft:
    • Windows Server 2012 (64-bit)
    • Windows Server 2012 R2 (64-bit)
    • Windows 10 (64-bit)
    • Windows Server 2016 (64-bit)
    • Windows Server 2019 (64-bit)
    • Windows 11 (64-bit)
    • Windows Server 2022 (64-bit)
  • VMware Converter Standalone может конвертироваться выключенные виртуальные машины из следующих продуктов VMware:
    • VMware vSphere 6.5 (Update 3)
    • VMware vSphere 6.7 (Update 3)
    • VMware vSphere 7.0 + Update 1 + Update 2 + Update 3
    • VMware Workstation 16.x
    • VMware Fusion 12.x
  • VMware Converter Standalone поддерживает следующие гостевые ОС:
    • Windows Server 2012 (64-bit)
    • Windows 8.1 (32-bit and 64-bit)
    • Windows Server 2012 R2 (64-bit)
    • Windows 10 (32-bit and 64-bit)
    • Windows Server 2016 (64-bit)
    • Windows Server 2019 (64-bit)
    • Windows 11 (64-bit)
    • Windows Server 2022 (64-bit)
    • CentOS 6.x (32-bit and 64-bit)
    • CentOS 7.x (64-bit)
    • Red Hat Enterprise Linux 6.x (32-bit and 64-bit)
    • Red Hat Enterprise Linux 7.x (64-bit)
    • Ubuntu 14.04 LTS (32-bit and 64-bit)
    • Ubuntu 16.04 LTS (32-bit and 64-bit)

Примечание: VMware Converter Standalone 6.3.0 НЕ поддерживает Virtual Hardware выше версии 11. При выборе vHW>11 функциональный уровень будет ограничен по версии 11.

Обновление:

VMware vCenter Converter 6.3.0 [Release Notes] [Download]

Раздувание таблиц vPostgres в VMware VCSA

В СУБД PostgreSQL присутствует эффект раздувания таблиц aka table bloat. Он выражается в падении производительности при интенсивном обновлении данных, например,  при частых UPDATE, INSERT, DELETE. Данное поведение характерно и для СУБД vPostgres в VMware VCSA.

Для диагностики раздувания необходимо выполнить следующие действия:

  1.  Скачать скрипт 51981_check_bloat.sql из БЗ VCSA database storage /storage/db is full or nearly full (51981) (скрипт является копией официального Show database bloat).
  2. Подключиться к БД: /opt/vmware/vpostgres/current/bin/psql -U postgres -d VCDB.
  3. Скопировать и вставить содержимое файла и нажать Enter.
  4. Проанализировать отчёт. Если значение колонок tbloat либо ibloat column больше 25, то запланировать обслуживание БД.

Читать далее «Раздувание таблиц vPostgres в VMware VCSA»

Релиз Код Безопасности vGate 4.5 SP1

Код безопасности выпустил свежую версию своего продукта для защиты виртуальных сред vGate 4.5 (сразу с первым сервис-паком) для vSphere.

В данной версии реализованы новые функции:

  1. Реализован контроль операций Cloud Director и управление организациями.
  2. В веб-консоли реализован контроль состояния соединений (SPI — Stateful packet inspection).
  3.  В веб-консоли реализован анализатор трафика (DPI — Deep packet inspection).
  4. В веб-консоли реализован контроль прикладных протоколов с помощью правил фильтрации компонента «Сегментирование».
  5. Реализован безагентный контроль операций vCSA.
  6. Реализована возможность доступа администратора виртуальной инфраструктуры к защищаемым серверам через веб-интерфейс vGate (без агента аутентификации).
  7. Реализована поддержка политик шаблона «VMware vSphere 7 Security Configuration Guide».
  8. Выполнен перенос функции управления правилами доступа из консоли управления vGate в вебконсоль. Добавлено управление настройками регистрации событий правил доступа.
  9. Выполнен перенос функций управления политиками безопасности, механизмом полномочного управления доступом, а также контролем целостности защищаемых серверов из консоли управления vGate в веб-консоль.
  10. Выполнен перенос функции управления защищаемыми серверами из консоли управления vGate в веб-консоль.
  11. В веб-консоли реализовано отображение последних операций с ESXi-серверами и виртуальными машинами.
  12. В агенте аутентификации и в веб-консоли обеспечена возможность настройки уровня логирования NDIS-драйвера.
  13. В агенте аутентификации реализована проверка сетевой доступности сервера авторизации.
  14. В веб-консоли и в агенте аутентификации реализовано оповещение пользователя о времени его последнего входа.
    • Подробная документация:

Читать далее «Релиз Код Безопасности vGate 4.5 SP1»

Релиз VMware vSphere 7.0 Update 3f/g

Компания VMware выпустила в середине июле vSphere 7.0 Update 3f, а уже через несколько дней выпустила исправление vCenter 7.0 Update 3g.

По моим ощущениям, это первый релиз vSphere 7.0 Update 3, подходящий для продуктивных сред. Для понимания болячек и исправлений пришло время выпустить свежий обзор KB, предыдущие — Релиз VMware vSphere 7.0 Update 3с, Заметки в базе знаний VMware по платформе vSphere 7.0 Update 3: