VMUG #3 Belarus



12 декабря 2014 г. в городе Минск VMUG #3 Belarus.


Регистрация обязательна, количество мест ограничено.
Возникли вопросы - пишите

Место: Галерея / бар «NEWDAY» Адрес:  г. Минск, ул. Немига, 36 (вход через ресторан NEWMAN)
Время: регистрация с 11.10, начало мероприятия 11.30 Что это ?  В лучших традициях VMUG - неофициальная, некоммерческая мероприятие встреча инженеров, посвященная технологиям виртуализации VMware Зачем ? встретиться, пообщаться, обменяться опытом, узнать новое, попить кофе, получить плюшки Для кого ? системные администраторы, инженеры, продавцы, менеджеры, руководители IT отделов, IT аналитики и все, кто не равнодушен к технологиям виртуализации.

Программа:
vSphere Быстрый старт. 3 минуты – одна технология.
Сергей Горлинский, vExpert, VMUG Leader BY

У нас есть вторая площадка. Что дальше?
Евгений Гарбузов, I-teco, vExpert.
От серверов tower до виртуализации. История одного обновления.
Генрих Загальский, SELLWIN, системный администратор.

Tips&Tricks: настройка инфраструктуры РК виртуальных машин VMware.
Александр Емец, Veeam Software, Технический консультант.
Владимир Ескин, Veeam Software, Ведущий технический консультант. 

Обзор нововведений в vSphere x.
Константин Введенский, VMware PSO, TAM, vExpert.

vRealize Operations 6 – архитектура и демо.
Александр Купчинецкий, VMware, Senior System Engineer.

VMware Pluggable Storage Architecture.
Антон Жбанков, vExpert, VMUG Leader RU

vShield Manager - чем он может быть полезен ? Особенности использования агрегированых каналов в vSphere 5.5. NSX - что это и зачем это ?
Владислав Кирилин, VMware PSO, Senior Consultant.

VMware RoadShow в Минске

маркетинг, маркетинг, маркетинг....


9 октября в Минск приезжает цирк VMware. Приходите будет интересно, во время докладов можно будет собраться за стаканчиком чая и поговорить про всякие взрослые штуки.

Настоятельно рекомендую посетить:
доклад "Ваш офис на пляже" от Александра Купчинецкого
"Приветственное слово" от Дмитрия Казбана
увидеть в живую технического директора VMware Россия Владимира Ткачева
... и обед.

Я же обязательно схожу послушать Сергея Калугина с докладом про vCenter Log Insight. И, наверно, задам парочку другую вопросов ;)

Программа, регистрация и все-все-все по ссылке 

Omingraffle Stencils vDC

Для Visio много всяких красивеньких шаблонов для рисования vинфраструктур, облаков и всего сопутствующего.
Делает их Veeam, MS, VMTurbo. Большие коллекции stencils можно скачать здесь, здесь и здесь.
Честные пользователи Omnigraffle были обделены и рисовали карандашом. Совсем недавно в VMTurbo исправили эту чудовищную несправедливость. Качаем и пользуем. Получилось не то чтобы очень красивенько, но хоть что-то.




Mac OS X logs in VMware Log Insight


Сегодня возникла необходимость посмотреть на логи MacBook. Т.к. во всяких viewer*ах для просмотра логов в Mac OS X я не силен, пришлось действовать по проверенной схеме и подключить VMware Log Insight, который всегда под рукой.

Проверенная и описанная ранее схема не работает т.к. делалась под Windows. Устанавливать дополнительный софт желания тоже особо не было. Получилось так:

1. Размещение и назначение логов в Mac OS:
AFS - /Library/Logs/AppleFileService/
SMB\CIFT - /var/log/samba/
NFS -  /var/log/system.log
Apache - /var/log/httpd/
ipfw - /var/log/system.log
Directory Service - /Library/Logs/DirectoryService/
DHCP\DNS\SLP - /var/log/system.log
Software Update - /Library/Logs/Software Update.log
Kernel Panic - /Library/Logs/panic.log - не знаю, не встречал =)
APP Crash Logs - /Library/Logs/CrashReporter/
ppp -  /var/log/system.log
lookupd -  /var/log/lookupd.log

У меня болел WI-FI, поэтому мне был необходим - /var/log/wifi.log

2. Формирование UDP пакетов
Эту несложную задачу мы традиционно отдадим в руки NetCat:
nc -u loginsightIP 514

3. Небольшой скрипт (vmlog.sh) для отправки содержимого логов на LogInsight

server="172.16.56.128"
port="514"
prio="150"
date=`date "+%b %d %H:%M:%S"`
host=`dashka`

while read -r message
do
echo "<$prio>$date $host $message" | nc -w 1 -u $server $port
done

где: формат date может меняться в зависимости от правил формирования лога.

4. Отправка содержимого wifi.log по назначению

>cat /var/log/wifi.log | ./vmlog.sh

Получаем такой результат:

Как писать фильтры для поиска информации по логам я уже писал здесь

Решение для offline выгрузки логов получилось универсальным для любой системы где есть NetCat.

Логи Android тоже можно выгружать, но об этом как-нибудь потом, а сейчас смотреть презентацию всяких новых штук от одного вендора на букву А

P.S> в чем была ошибка с подключением wifi я очень быстро нашел.




VMworld 2014 Barselona

В ожидании отличной возможности пообщаться с хорошими людьми.



Еще есть возможность зарегистрироваться на самые интересные и популярные сессии.

Информация о мероприятии на официальной страничке

Прямая ссылка на регистрацию

Наш любимый vбар ;) c прекраснейшим напитком "чайна-ти"

new VMware Data Protection 5.8


Пока за океаном шумел VMworld была анонсирована новая версия продукта для резервного копирования от VMware. Уже скоро VDP 5.8 будет доступен для скачивания. Список новшеств вряд ли кого-то удивит, и вызовет ВАУ...

VDP Advanced 5.8 adds support for database administrators who use Microsoft ® Exchange Database Availability Group (DAG) 2013/2010/2007 to improve availability of application data. VDP Advanced will protect Active and/or Passive copies based on the defined policy, where you can set the preference order for backups {Prefer Passive, Active, and Passive}. Prefer Passive backs up a passive copy of each database, if a healthy Passive copy is available. If not, then VDP Advanced backs up the Active copy, thus ensuring a backup is always completed. VDP Advanced also provides Granular Level Recovery (GLR) at the mailbox level.
VDP Advanced 5.8 provides comprehensive support for Microsoft ®SQL Clusters (AlwaysOn Availability Groups and Failover Clusters), including the latest SQL Server 2014 release. SQL Server clustering increases the uptime of SQL Server. The main advantage of clustering is if the primary SQL Server fails on one cluster, the other cluster will immediately take over the operation, thus ensuring business continuity.The VDP Advanced cluster client enables you to backup and restore SQL Server data on shared storage in the cluster, regardless of which node is managing the data at the time of the backup or restore.There are numerous backup capabilities including Full, Incremental and Differential, along with many selective control options.
VDP Advanced 5.8 now supports up to 20 virtual appliances per vCenter to handle larger environments – up from 10 in the previous releases. Each virtual appliance dynamically scales up to 8TB and is managed separately. As environments grow we are seeing more customers taking advantage of VDP Advanced’s integration through DD Boost to EMC Data Domain systems for protection storage. This provides global deduplication, while providing higher efficiency for protection storage.  Plus, Data Domain systems takes your backup data out of your production array, while offering the Data Invulnerability Architecture for extremely high reliability and recovery.
In order to increase backup throughput, VDP Advanced 5.8 will now use up to 8 proxies and 24 concurrent backup streams to shorten backup times. This is very helpful as environments continue to grow. This capability along with Changed Block Tracking makes VDP Advanced extremely efficient for VM backup and recovery.
Now VDP Advanced can replicate and restore anywhere; namelyrestore replicated backups to either primary or secondary DR site. Furthermore, replicated backup data can be replicated again, providing true bi-directional replication. Data is always deduplicated, compressed and encrypted before replication, thus minimizing impact on the network and securing the data in-flight.
VDP Advanced now supports Linux LVM, which is a logical volume manager for the Linux kernel that manages disk drives and similar mass-storage devices. It also supports Linux filesystem EXT4 that modifies important data structures of the filesystem such as the ones destined to store the file data. The result is a filesystem with an improved design, better performance, reliability and features.
Интересным может показаться возможность репликации резервных копий между площадками и возможностью восстановления на любом из сайтов независимо от источника резервной копии.

В целом же, поражает то упорство, с которым компания VMware продолжает развивать свой продукт для резервного копирования. Отставание от клиентов в функционале, высокая стоимость решения, отсутствие эффективных средств диагностики делает VDP Advanced малопригодным для взрослого использования. Бесплатное решение VDP - вращается вокруг SMB и только если "нет денег на что-то другое".

VMware Log Insight offline logs analysis

Бекапы делают трусы (с)

...а лог коллекторы настраивают неудачники, у которых все постоянно ломается. Настоящим инженерам, руководствующимся в своей практике лучшими рекомендациями вендоров, лог сервера не нужны.

Log Insight дело хоть и полезное, но не дешевое. Убедить кошелек купить его, на случай если вдруг что-то поломается, сложно. Вот и вспоминают о нем, когда уже сломалось и надо быстро проанализировать и починить вчера.

При всем этом, Log Insight предназначен для онлайн агрегирования логов из добавленных источников, но никак не для offline анализа не инспектируемых логов. Говоря по-простому: если вы предварительно добавили ESXi хосты, vCenter, то на Log Insight попадут только логи с момента добавления, и если после добавления что-то сломалось, то вся аналитическая мощь Log Insight к вашим услугам. Если не добавили, то, естественно, ковырять вам логи в поисках счастья  в текстовом редакторе. Попробуем эту несправедливость исправить.

На старте есть самая отвратительная ситуация: централизованное логирование на хостах настроено не было (даже в виде vSphere Syslog Collector). В наличие у нас есть стандартный набор логов, хранившийся в /scratch/log. А это куча лог файлом непонятного назначения. Разобраться с назначением каждого из логов можно здесь.

Для эффективного анализа всего это мусора на понадобится:
VMware Log Insight - 1 шт.
Datаgram SyslogAgent - 1 шт.
vm c Windows на борту - 1 шт.

1. Выгружаем логи из /scratch/log на vm c Windows.
2. Настраиваем Datаgram SyslogAgent:

Datаgram SyslogAgent имеет одну особенность. Если мы сразу настроим его на уже заполненные файлы с логами, он ничего не отправит на Log Insight, поэтому в начальных настройках указываем пустые файлы с необходимыми нам именами.

Создаем новое Application, выбираем тип лога Static, указываем путь к пустому файлу.

Если получаем ошибку, значит все идет хорошо:

Добавляем парсинг даты и времени и для удобства идентификации имя процесса:

3. Рестартуем лог агента. Ждем пока агент обработает пустой файл.
4. Копипастим в пустой файл содержимое реального лога, анализ которого хотим провести.
5. Идем на Log Insight и видим дивное диво: Log Insight скушал наши 21388 offline событий:

Теперь в их можно эффективно искать, фильтровать и анализировать. О создании фильтров я писал здесь на примере анализа курсов валют НБРБ.

Однако, как оказалось, Log Insight и сам молодец. В горе мусора, которую мы в него загрузили, он смог самостоятельно найти errors, warnings специфические для ESXi. Эти находки он нам и показал на вкладке VMware - vSphere General- Problems:

Менюшечка эта совершенно интерактивная, а значит, выбрав для необходимого типа ошибок пункт Interactive Analytics:

мы получим всю информацию по всем ошибкам данного типа:

 P.S> желтенький треугольник с восклицательным знаком, присутствующий на многих картинка, обозначает, что одна или несколько нод кластера  Log Insight в данный момент недоступна. Но об этом потом ;)

VMware vCenter Log Insight делегирование прав

Что всегда компания VMware умела делать "хорошо" ? именно то, что написано в теме.

VMware vCenter Log Insight не стал исключением, благо хотя бы в 1.5 была добавлена интеграция с ActiveDirectory. Но на этом с настройками для удобного управления правами и доступом было покончено. В версии 2.0 ничего не изменилось.
Мы имеем целых 2 различных типа доступа: Normal и admin
Методом исключений предполагаем, что те, кто попадает под гордое название "Admin" совсем "ненормал". Группы отличаются лишь отсутствием вкладки Administration для группы Normal User. Т.е., как и ожидалось, делегирования прав нет. Можно, конечно, настраивать вид с помощью "Dashboards", однако это никак не спасает от самой возможности смотреть все. Наличие большого числа Content Packs для различных устройств и сервисов усугубляет печальность ситуации.
Интеграция с AD проходит достаточно просто и прозрачно (необходимо и достаточно учетной записи с правами только на чтение)
До интеграции с AD:
...после:

печали добавляет как отсутствие поиска по AD, так и отсутствие проверки наличия группы\пользователя в AD.

Достаточно странное исполнение с учетом позиционирования продукта. =(

VMware vCenter Log Insight Agent


Совсем недавно VMware выкатила в публичный доступ v.2.0 Log Insight. Оно стало быстрее, толще, умнее. О всех новых плюшечках и рюшечках можно почитать здесь. Вскоре последовал давно ожидаемый Windows Content Pack, а вместе с ним и VMware vCenter Log Insight Agent. Появилась надежда, что больше колдовать с Datagram SyslogAgent не придется.
Некое смятение в ощущение полной и нераздельной радости внесло емкое сообщение при инсталляции агента:
Разумная политика VMware нелюбви с некрофилам идет в разрез с удовлетворение хотелок пользователей. К сожалению, даже port, созданный средствами ThinApp не заведется на w2k3 и хр.

Скачать Windows Content Pack можно здесь. Установка достаточно прозрачна и происходит через меню Log Insight>Content Packs>Import Content Pack
После импорта вы получите доступ к всяческой служебной информации с описанием ошибок, уведомлений и т.п.
Дальше необходимо установить VMware-vCenter-Log-Insight-Agent-2.0.3-1879692 на сервера с Windows, указав при этом адрес Log Insight server.
Если все прошло хорошо (для дружбы агента и сервера используется порт за номером 9000), то вскоре вы увидите:
а потом и вот такую красоту
и всякие разные другие красивости и полезности.

Наибольший интерес представляет поле "Agent Configuratiom" в меню Agents. Естественно, за нас подумали и про автоматизацию настроек клиентов. Только вот нигде не написали про синтаксис этого Agent Configuratiom. Но тут все просто, примерно так:
[server]
proto=cfapi
hostname=192.168.3.244
port=9000
; Force reconnect agent every 30 minutes.
reconnect=30

[storage]
max_disk_buffer=200

[logging]
; The level of debug messages to enable: 0..2
debug_level=0

[winlog|Application]
channel=Application

[winlog|Security]
channel=Security

[winlog|System]
channel=System
и т.д. в зависимости от ваших хотелок.

ну и напоследок: 
 логи агента хранятся c:\ProgramData\VMware\Log Insight Agent\log\


vFabric Application Director import blueprints

Есть у VMware такая хорошая штука с названием vFabric Application Director.
Предназначен он для автоматизации развертывания многоуровневых приложений в облаке (в том числе и в Amazon EC2). В общем, продуктом можно творить чистейший AAAS.
Из коробки он поддерживает кучу разных ОС и DB и APP, а при должном желании достаточно легко автоматизируется деплой и кастомизация, не попавших в список счастливчиков, компонент.
Выглядит vFabric Application Director так:

Продукт совершенно не популярный на нашем рынке, впрочем, как и на рынке ближайших соседей. Однако, в последнее время сотрудники русскоязычного офиса VMware с завидным постоянством устраивают по данному продукту обзорные экскурсии. Связано это, вероятно, с тем, что vFabric Application Director получил неплохую интеграцию с VCAC, а о кораблях, сопровождающих флагман, врагам нужно знать. Наиболее частые вопросы из зала после таких экскурсий: про прозрачный переход с версии 5 на 5.2 и импорт шаблонов.

На импорте шаблонов и остановимся:
1. Подключаемся к vFabric App Director по ssh под учетной записью root.
2. >cd/home/darwin/tools - там лежит "правильная", соответствующая установленной версии Darwin-cli.jar. Это не значит, что нельзя туда положить "неправильную" от прошлой версии (зачем и как этим воспользоваться как-нибудь потом)
3. Делаем >java-jar darwin-cli


4. Делаем логин на в vFabric App Director средствами Darwin-cli.jar под встроенной учеткой admin >login --serverUrl https://<IP>:8443/darwin/ --Username admin  --password xyz
      5. Потом делаем импорт с ключем check для проверки наличия  в развернутом vFabric App Director всех используемых в импортированном blueprint компонент:
      > import-package --importFilePath /home/darwin_user/appd-Clustere-Apache-Hadoop-testimport.xml --conflictResolutionAction  CHECK

Для примера я использовал template для Cluster Apache+Hadoop. Все компоненты есть, а ожидаемо не найденный deployment_profile создадим вручную (на скорость и дальность полета это не влияет)
6. Пропускаем не найденный deployment_profile и делаем импорт с ключом skip
> import-package --importFilePath /home/darwin_user/appd-Clustere-Apache-Hadoop-testimport.xml --conflictResolutionAction  SKIP
7. Готово. Идем на https://<IP>:8443/darwin/ и видим наш импортированный и готовый к деплою blueprint.

Для примера эффекта от использования vFabric App Director:
Развертывание "правильного" пятинодового Oracle Weblogic 12 c учетом всех рекомендаций Oracle у меня заняло 31 минуту и происходило так:

deploy 5xCentOS - 8m 30s

apache install - 40s 427ms
apache configure - 292ms
apache start - 548ms
setup WLClusterLB - 48s 120ms


MSWL install 16m 10s 29 ms
ManagedServer - 1m 6 s 196 ms
UnpackDomain - 1m 21s 120 ms
SMS install - 2m 17 s 956 ms

ASWebLogic install - 15m 43s 908ms
AdminServer install - 5m 3s 227ms
PackDomain install - 17s 741ms
DeployDB - 1m 8s 543ms

MySQL install - 43s 410ms
MySQL configure - 3s 446ms
initialize_db - 648ms

Кто может быстрее ? =)


ESXi root password reset

Иногда я забываю теряю пароль от root для ESXi. Такое бывает, хостов много разных для разных целей, а привычки "одного пароля на все" у меня нет.
Обычно в такой ситуации я переустанавливаю ESXi, колдую с помощью host profiles и все готово - быстро и надежно. Но иногда случаются ситуации, когда пароль все таки необходимо сбросить без переустановки.
Не смотря на все старания VMware, ESXi все еще остается Linuxом, а значит будем действовать старым и проверенным способом.

1. Качаем Linux LiveCD. В моем случае - он народный 
2. Подключаем диск с LiveCD к серверу с ESXi и грузимся с него.
3. В подложке ESXi у нас будет лежать GPT, поэтому не заморачиваясь с fdisk сразу идем в gparted

4. У ESXi жизнь на диске происходит так:
system boot - загрузочный системный раздел
bootbank - системный образ ESXi, именно оно и копируется в оперативную память при загрузке.
altbootbank - резервный для bootbank (на случай беды при обновлении)
vmkDiagnostic - дампы памяти при blue screen purple screen
store - образы VMware Tools
scratch - такой есть если диск больше 5 Гб и туда падают всяческие логи.
5. /dev/sda5 - это то, что нам надо. Монтируем и смотрим что же там есть.

6. А надо нам state.tgz. Закинем его в tmp и распакуем.

7. Теперь нам надо local.tgz

8. Теперь принимаемся за shadow. Делаем из некрасивого shadow:

красивый:



9. Обновляем старый state.tgz до нового state.tgz

10. Отмонтируем /mnt и перегружаем хост.
11. Пароля нет.

P.S> и да, оно работает в 5.5
P.S2> а кто-то говорил, что не бывает ESXi c пустым root паролем...

Changed Block Tracking VDP vs Storage DRS

Есть у VMware такая хорошая и полезная штука Changed Block Tracking - отслеживает она измененные блоки дисков VM и делает правильные маленькие бэкапы быстро и эффективно.

Появилась штука CBT достаточно давно, и у Михаила Михеева информация в блоге аж от 28 декабря 2009 года. Описано там как включать и отключать эту штуку. 

Естественно, это штукой на благо использует "собственное" средство резервного копирования VMware VDP. VDP я активно пользуюсь, однако в последнее время стал замечать, что бэкапы делаются долго, а их размеры для некоторых VM равны полным копиям VM. Стал грешить на CBT, проверил для VM ключик ctkEnabled на true - все в порядке. Стал искать другие закономерности в "неправильных" VM с "неправильными" бэкапами и оказалось, что всему виной Storage vMotion в моем случае под личиной SDRS. 
Самое печальное, что после Storage vMotion CBT перестает работать вообще: и на первом бэкапе (что логично) и на всех последующих. Т.е. если Вы сделали первый бэкап с помощью VDP и включенным для VM CBT, потом случился Storage vMotion, то все последующие бэкапы даже в отсутствии Storage vMotion совершенно не интересуются измененными блоками. Восстановление с использованием CBT тоже становится невозможным. 
Как с этим бороться:
Для начала надо понять, что нам важнее бэкап с использованием CBT или Storage vMotion.
- Если выбором будет Storage vMotion - ключик ctkEnabled=false и забыли про все плюшки CBT.
- Если беда уже случилось, и мы хотим спасти овец (использовать CBT) делаем так:
1. выключаем VM
2. удаляем все снапшоты для VM
3. отключаем CBT - ctkEnabled=false
4. удаляем *-ctk.vmdk (все *-ctk.vmdk они создаются для каждого диска VM, для которого включен CBT)
5. включаем CBT - ctkEnabled=true
6. включаем VM
7. забываем о Storage vMotion и SDRS ;(

p.s> CBT использем в том числе и Veeam, к сожалению его нет под рукой, так что проверить как такая ситуация обрабатывается Veeam (происходит ли обнуление *-ctk.vmdk после Storage vMotion) нет возможности.


Heartbleed VMware

Hearbleed'ом зацепило, естественно, и продукты VMware. Так что придется пропатчиться. 

VMware уже отписалась по этому поводу официально VMSA-2014-00004.5

А ниже список виновников торжества провинившихся:





  • ESXi 5.5
  • NSX for Multi-Hypervisor Manager 4.0.x and 4.1.x
  • NSX for vSphere 6.0.x
  • NVP 3.x
  • vCenter Server 5.5 (including VMware Big Data Extensions 1.x)
  • vFabric Web Server 5.0.x – 5.3.x
  • VMware Client Integration Plug-In (CIP) version 5.5
  • VMware Fusion 6.0.x 
  • VMware Player 6.0.x 
  • VMware Workstation 10.x
  • VMware Horizon Mirage Edge Gateway 4.4.x
  • VMware Horizon View 5.3 Feature Pack 1 (affects only the HTML Access component in the Remote Experience Agent)
  • VMware Horizon View Client for Android 2.1.x, 2.2.x, 2.3.x
  • VMware Horizon View Client for iOS 2.1.x, 2.2.x, 2.3.x
  • VMware Horizon View Client for Windows 2.3.x
  • VMware Horizon Workspace 1.0 
  • VMware Horizon Workspace 1.5 
  • VMware Horizon Workspace 1.8
  • VMware Horizon Workspace Client for Macintosh 1.5.1
  • VMware Horizon Workspace Client for Macintosh 1.5.2
  • VMware Horizon Workspace Client for Windows 1.5.1
  • VMware Horizon Workspace Client for Windows 1.5.2
  • VMware Horizon Workspace for Macintosh 1.8
  • VMware Horizon Workspace for Windows 1.8
  • VMware OVF Tool 3.5.0
  • VMware vCloud Automation Center (vCAC) 6.x
  • VMware vCloud Networking and Security (vCNS) 5.1.3
  • VMware vCloud Networking and Security (vCNS) 5.5.1
Патчимся, иначе не "комплаинс"

vExpert 2014

Прошло очередное ежегодное награждение vExpert 2014 от VMware.

Как и в прошлом году мне удалось найти себя в списке отличившихся :)
За звание не дают конфет и шариков, но многие вендоры предоставляют vExpertам ништяки.

VMware Log Insight VS НБРБ

Тема  VMware Log Insight - Горе от ума вызвала интерес у читателей, поэтому следует продолжение.

Анализ с использованием LI литературной классики - это, конечно, увлекательно и интересно, но полезность таких действий стремится к 0.

Ниже я постараюсь в деталях рассказать об использовании VMware Log Insight в собственных меркантильных целях.

Как известно, курс белорусского рубля параметр очень динамичный, а отслеживание его ежедневных мелких флуктуаций занятие утомительное. Меня интересует курс BYR к доллару США (USD), евро (EUR), российскому рублю (RUB). Точнее не сам курс, а достижение им верхних и нижних порогов, которые я рассчитал исходя из своего корыстного интереса (к данной теме методика расчета не имеет никакого отношения)

Дано: источник курсов валют, VMware Log Insight
Необходимо: получить систему уведомлений о превышении курсом заранее установленных порогов.

Реализация поставленной задачи under cut


VMware Log Insight - Горе от ума

Про тестирование VMware Log Insight я уже писал, писал и про использование этого продукта для не совсем типичных, предусмотренных компанией VMware, задач. Настало время пойти дальше и воспользоваться возможностями Log Insight для совершенно абсурдных задач:

Взглянем на бессмертное произведение Александра Сергеевича Грибоедова "Горе от ума" сквозь призму Log Insight.

Для эксперимента использовался VMware-vCenter-Log-Insight-1.5.0-1435442 и "Горе от ума" в переводе А.С.Вагапова. Искренне надеюсь, что ни VMware, ни А.С. Грибоедов не упрекнут меня в нарушении лицензионных прав.

"Горе от ума" это 5200 событий в Log-Insight.


Загрузка "Горе от ума" размером 219 КВ в Log-Insight (2 vcpu, 4 Gb RAM, поднят на VMware Workstation) длилось ровно 3 минуты.

Молодая и веселая служанка Лиза сказала, если верить Log-Insight, 85 реплик (по крайней мере, именно столько реплик отдельно выделено автором)


Софья Павловна Фамусова была более многословна - 164


Г-н Саша Чацкий трындел, не умолкая, и переговорил обеих девиц.


далее мы узнаем кто чаще всего с кем появлялся совместно в актах и на основе статистики предположим, у кого с кем шашни =)

Клонирование диска VM со снапшотом

Для ESXi без vCenter, к сожалению, нет возможности делать клонирование из GUI.
Для клонирования дисков VM в данном случае спасает vmfstools

При использовании vmfstools для VM со снапшотом есть небольшая особенность - в качестве источника необходимо указывать снапшот:

# vmkfstools -i /vmfs/volumes/Storagetest01/testvm/testvm-000003.vmdk /vmfs/volumes/Storagetest02/testvm/testvm_clone.vmdk

Доступно клонирование только выключенной машины. Однако это ограничение можно обойти так:

1. Делаем снапшот машины.
2. Клонируем исходный не заблокированный vmdk:
# vmkfstools -i /vmfs/volumes/Storagetest01/testvm/testvm.vmdk /vmfs/volumes/Storagetest02/testvm/testvm_clone.vmdk


Провайдеры облачных услуг Veeam (VCP)

Все заинтересованные знают о специальной программе VMware для сервис-провайдеров - VSPP.
Все очень просто, если Вы собираетесь сдавать в аренду виртуальные машины VMware vSphere, то VSPP единсвенный выбор для Вас. В любом другом случае Вы нарушите пользовательское соглашение EULA.
Став участником программы, Вы получите возможность использовать и предоставлять в аренду внешним Клиентам виртуальные машины, используя ПО VMware (vCloud Director, View, ThinApp, SRM, vShield, vFabric и т.д.)

Специально для провайдеров облачных сервисов компания Veeam разработала аналогичную программу - Veeam Cloud Providers (VCP).
Участие в VCP позволяет предоставлять услуги хостинга для Veeam:
- Удаленная инфраструктура для заказчиков Veeam Backup & Replication (Rbackup DC)
- BaaS, резервное копирование как сервис. Резевным копированием будет управлять провайдер услуг (VCP), с соблюдением заданных Клиентом показателей RTO и RPO.
- DRaaS, послеаварийное восстановление как сервис на основе решений Veeam
- Хостинг виртуальных машин с защитой Veeam. Провайдер облачных услуг хостит виртуальные машины (VMware, MS), защищенные решением Veeam.

В РБ, на данный момент, к сожалению, данная услуга недоступна по причине отсутсвия VCP провайдеров.

Найти провайдера облачных услуг Veeam в вашем регионе можно здесь.

Ограничения File Level Restore VDP.

Один из моих любимых продуктом VMware - VDP. От версии к версии VDP становится стабильней и обрастает полезными штучками. Одна из таких "полезных штучек" - FLR (File Level Restore). С идеей и полезностью все понятно - бэкапим виртуальные машины, но в случае необходимости можем восстановить отдельные файлы, а не машину целиком: времени и ресурсов меньше, минимизация простоев и т.п.

В VMware Knowledge Base все тоже оптимистично:

Q: Am I able to do a file-level restore (FLR) of my Linux virtual machines?
The file-level restore is web-based, so a supported web browser is required. At the time of writing, a command-line FLR is not available.

Q: Are there any prerequisites to use the FLR?
A web browser is required to connect to the VDP appliance. VMware Tools must also be running within the virtual machine where the file-level restore is occurring


Запуск VDP в эксплуатацию процесс жутко простой, поэтому Guide по нему никто обычно не открывает, а тем более дальше первых двух глав не читает.
Теперь вернемся к реальности, 

about PCI DSS part.1 Q&A

Коллеги, в связи с участившимися вопросами по процедуре прохождения аудита PCI DSS, попробую изложить всю известную мне информацию на эту тему и ответить на самые частые вопросы.

Все ниже описанное, а также описанное мной в последущих частях является моим субъективным мнением (основанном на прохождении аудита) и не должно расцениваться как руководство к действию



- Где взять требования к инфраструктуре ?
- Есть требования и процедуры, описанные в стандарте PCI DSS v3.0 (взять можно здесь). Стандарт советую рассматривать как набор рекомендаций.

- Есть ли у аудиторов чек-лист, по которому они проводят проверку инфраструктуры ?
- Где его можно скачать ?
- У аудиторов он, естественно, есть.
- Нигде. Подобный чек-лист Вы можете составить самостоятельно на основе стандарта PCI DSS. Процедура непростая, но существенно помогает систематизировать и упорядочить понимание рекомендаций, а также упростить процедуру самопроверки.

- Какие данные относятся к категории «Данные платежных карт» ?
- основной номер держателя карты – PAN, имя держателя карты, дата истечения срока действия карты, сервисный код, полные данные дорожки магнитной полосы или ее эквивалент на чипе, CAV2, CVC2, CVV2, CID, PIN-блоки.

- Если мы выполнили требования к инфраструктуре, описанные в стандарте PCI DSS, мы пройдем успешно аудит ?
- Если Вы действительно выполнили все рекомендации стандарта, то Вы действительно молодцы, но это еще не значит, что Вы успешно пройдете аудит.  Платформа Windows Azure тоже прошла проверку на соответствие PCI DSS, но это не значит, что на нее можно навернуть Ваш уровень App и автоматически получить соответствие стандарту.  Есть такая полезная штука PA-DSS – стандарт безопасности данных платежных приложений индустрии платежных карт. PA-DSS ориентирован на разработчиков и поставщиков ПО. Т.е. если у Вас есть ПО, соответствующие требованиям  PA-DSS, после его внедрения Вы проходите аудит на соответствие PCI-DSS. Эти два документа необходимо рассматривать комплексно. 

- Есть ли еще документы кроме стандартов PCI-DSS и PA-DSS ?
- Да. Все они есть на офф. сайте совета PCI SSC: справочники PCI DSS, драфты изменений, глоссарий, анкеты самооценки, список курсов и вебинаров, список уполномоченных на проведение аудита организаций и т.п.. Все другие источники информации, в первую очередь мой блог, рассматривайте как недостоверный источник информации.

- Мы не можем выполнить все требования стандарта PCI DSS – значит ли это, что мы не пройдем аудит ?
- Нет не значит. Именно поэтому вначале данной статьи я обозвал требования рекомендациями. Есть такое понятие – «Компенсационные меры», они должны быть документированы (описываете что именно  не можете выполнить, почему, риски, компенсационные меры) и предоставлены аудиторам.  Компенсационные меры в обязательном порядке будут проверены аудиторами. Компенсационные меры – это не отмазка от аудиторов, это набор действий, направленных на снижение рисков, связанных с невыполненным требованием.

Для первого раза достаточно, чуть позже вернемся к требованиям PCI-DSS и PA-DSS и проекции всего этого на виртуальную инфраструктуру.


А пока, для затравки, рекомендую ознакомиться с NIST Guide to Security for Full Virtualization Technologies. Документ не первой свежести, но фундаментальные знания и понятия еще никому не мешали =)

Migration WinXp -> Win7. VMware Horizon Mirage fix error.

С приближением 8 апреля интерес к эффективным методам миграции XP->7 растет.
В противовес решению "наймем сто-питсот студентов" и запустим их в инфраструктуру у VMware есть весьма эффективный инструмент - VMware Horizon Mirage.
Кроме всего остального (обеспечение централизованного управления образами настольных компьютеров на базе Windows c возможностями: сохранения полных снимков настольных компьютеров, с постоянной синхронизацией изменений; полного или частичного восстановления пользовательских данных; оптимизации управления рабочих станций на филиалах и т.п.) Mirage умеет мигрировать с рабочие станции с Windows XP на Windows 7 (на 8, 8.1 не умеет)

По поводу установки, настройки, и подготовки миграции рекомендую почитать jabuin.livejournal.com. Описание в формате step by step.

И если с подготовкой платформы для миграции вопросов возникнуть не должно, то с сама миграция не всегда выполняется корректно и гладко.

Перед началом миграции помимо создания CVD, Base Layers и др. необходимо установить WAIK (Windows Automated Installation Kit) и импортировать в Horizon Mirage System USMT (User State Migration Tool), которые находятся по пути: C:\Program Files\Windows AIK\Tools\USMT

но получается так:
и никакой другой информации по данной ошибке в логах Horizon Mirage. Поиск причины и ее устранение невозможно.

Пропустив, шаг с импортом (он необязателен для создания CVD), начал централизацию устройств и словил ту же картинку, однако, в логах Horizon Mirage появилось сообщение:

System.InvalidOperationException: This implementation is not part of the Windows Platform FISP validated cryptographic algorithms.
System.Security.Cryptography.MD5CryptoServiceProvider..ctor()
Wanova.Common.Signatures.SignatureCalc..ctor()
....

FISP (Federal Information Processing Standard) - федеральный стандарт для сертификации криптографического ПО. Разработан под нужды правительства США, а вот наш маленький офис в центре Минска в нем никак не нуждается.

За FISP в Windows отвечает только один параметр по адресу:
HKLM\System\CurrentControlSet\Control\Lsa|FIPSAlgorithmPolicy
в картинках так:

Однако он оказался выключен, поиски по форумам показали, что его необходимо включить, перегрузить систему, снова выключить и перегрузить. Этот не совсем логичный набор действий помог.
Заработало создание CVD и устранилась "ошибка без описания, при импорте USMT.

... и да, если в Вашей компании решили совместить переход на Windows 7 c обновлением "железа" - Mirage отличное средство для автоматизации переноса файлов и профилей конечных пользователей на новое устройство.

Удачи при миграции.