VMware Log Insight VS НБРБ

Тема  VMware Log Insight - Горе от ума вызвала интерес у читателей, поэтому следует продолжение.

Анализ с использованием LI литературной классики - это, конечно, увлекательно и интересно, но полезность таких действий стремится к 0.

Ниже я постараюсь в деталях рассказать об использовании VMware Log Insight в собственных меркантильных целях.

Как известно, курс белорусского рубля параметр очень динамичный, а отслеживание его ежедневных мелких флуктуаций занятие утомительное. Меня интересует курс BYR к доллару США (USD), евро (EUR), российскому рублю (RUB). Точнее не сам курс, а достижение им верхних и нижних порогов, которые я рассчитал исходя из своего корыстного интереса (к данной теме методика расчета не имеет никакого отношения)

Дано: источник курсов валют, VMware Log Insight
Необходимо: получить систему уведомлений о превышении курсом заранее установленных порогов.

Реализация поставленной задачи under cut

VMware Log Insight - Горе от ума

Про тестирование VMware Log Insight я уже писал, писал и про использование этого продукта для не совсем типичных, предусмотренных компанией VMware, задач. Настало время пойти дальше и воспользоваться возможностями Log Insight для совершенно абсурдных задач:

Взглянем на бессмертное произведение Александра Сергеевича Грибоедова "Горе от ума" сквозь призму Log Insight.

Для эксперимента использовался VMware-vCenter-Log-Insight-1.5.0-1435442 и "Горе от ума" в переводе А.С.Вагапова. Искренне надеюсь, что ни VMware, ни А.С. Грибоедов не упрекнут меня в нарушении лицензионных прав.

"Горе от ума" это 5200 событий в Log-Insight.

Загрузка "Горе от ума" размером 219 КВ в Log-Insight (2 vcpu, 4 Gb RAM, поднят на VMware Workstation) длилось ровно 3 минуты.

Молодая и веселая служанка Лиза сказала, если верить Log-Insight, 85 реплик (по крайней мере, именно столько реплик отдельно выделено автором)

Софья Павловна Фамусова была более многословна - 164

Г-н Саша Чацкий трындел, не умолкая, и переговорил обеих девиц.

далее мы узнаем кто чаще всего с кем появлялся совместно в актах и на основе статистики предположим, у кого с кем шашни =)

Клонирование диска VM со снапшотом

Для ESXi без vCenter, к сожалению, нет возможности делать клонирование из GUI.
Для клонирования дисков VM в данном случае спасает vmfstools

При использовании vmfstools для VM со снапшотом есть небольшая особенность - в качестве источника необходимо указывать снапшот:

# vmkfstools -i /vmfs/volumes/Storagetest01/testvm/testvm-000003.vmdk /vmfs/volumes/Storagetest02/testvm/testvm_clone.vmdk

Доступно клонирование только выключенной машины. Однако это ограничение можно обойти так:

1. Делаем снапшот машины.
2. Клонируем исходный не заблокированный vmdk:
# vmkfstools -i /vmfs/volumes/Storagetest01/testvm/testvm.vmdk /vmfs/volumes/Storagetest02/testvm/testvm_clone.vmdk

Провайдеры облачных услуг Veeam (VCP)

Все заинтересованные знают о специальной программе VMware для сервис-провайдеров - VSPP.
Все очень просто, если Вы собираетесь сдавать в аренду виртуальные машины VMware vSphere, то VSPP единсвенный выбор для Вас. В любом другом случае Вы нарушите пользовательское соглашение EULA.
Став участником программы, Вы получите возможность использовать и предоставлять в аренду внешним Клиентам виртуальные машины, используя ПО VMware (vCloud Director, View, ThinApp, SRM, vShield, vFabric и т.д.)

Специально для провайдеров облачных сервисов компания Veeam разработала аналогичную программу - Veeam Cloud Providers (VCP).

Участие в VCP позволяет предоставлять услуги хостинга для Veeam:
- Удаленная инфраструктура для заказчиков Veeam Backup & Replication (Rbackup DC)
- BaaS, резервное копирование как сервис. Резевным копированием будет управлять провайдер услуг (VCP), с соблюдением заданных Клиентом показателей RTO и RPO.
- DRaaS, послеаварийное восстановление как сервис на основе решений Veeam
- Хостинг виртуальных машин с защитой Veeam. Провайдер облачных услуг хостит виртуальные машины (VMware, MS), защищенные решением Veeam.

В РБ, на данный момент, к сожалению, данная услуга недоступна по причине отсутсвия VCP провайдеров.

Найти провайдера облачных услуг Veeam в вашем регионе можно здесь.

Ограничения File Level Restore VDP.

Один из моих любимых продуктом VMware - VDP. От версии к версии VDP становится стабильней и обрастает полезными штучками. Одна из таких "полезных штучек" - FLR (File Level Restore). С идеей и полезностью все понятно - бэкапим виртуальные машины, но в случае необходимости можем восстановить отдельные файлы, а не машину целиком: времени и ресурсов меньше, минимизация простоев и т.п.

В VMware Knowledge Base все тоже оптимистично:

Q: Am I able to do a file-level restore (FLR) of my Linux virtual machines?

The file-level restore is web-based, so a supported web browser is required. At the time of writing, a command-line FLR is not available.

Q: Are there any prerequisites to use the FLR?

A web browser is required to connect to the VDP appliance. VMware Tools must also be running within the virtual machine where the file-level restore is occurring

Запуск VDP в эксплуатацию процесс жутко простой, поэтому Guide по нему никто обычно не открывает, а тем более дальше первых двух глав не читает.

Теперь вернемся к реальности, 

about PCI DSS part.1 Q&A

Коллеги, в связи с участившимися вопросами по процедуре прохождения аудита PCI DSS, попробую изложить всю известную мне информацию на эту тему и ответить на самые частые вопросы.

Все ниже описанное, а также описанное мной в последущих частях является моим субъективным мнением (основанном на прохождении аудита) и не должно расцениваться как руководство к действию

- Где взять требования к инфраструктуре ?

- Есть требования и процедуры, описанные в стандарте PCI DSS v3.0 (взять можно здесь). Стандарт советую рассматривать как набор рекомендаций.

- Есть ли у аудиторов чек-лист, по которому они проводят проверку инфраструктуры ?

- Где его можно скачать ?

- У аудиторов он, естественно, есть.

- Нигде. Подобный чек-лист Вы можете составить самостоятельно на основе стандарта PCI DSS. Процедура непростая, но существенно помогает систематизировать и упорядочить понимание рекомендаций, а также упростить процедуру самопроверки.

- Какие данные относятся к категории «Данные платежных карт» ?

- основной номер держателя карты – PAN, имя держателя карты, дата истечения срока действия карты, сервисный код, полные данные дорожки магнитной полосы или ее эквивалент на чипе, CAV2, CVC2, CVV2, CID, PIN-блоки.

- Если мы выполнили требования к инфраструктуре, описанные в стандарте PCI DSS, мы пройдем успешно аудит ?

- Если Вы действительно выполнили все рекомендации стандарта, то Вы действительно молодцы, но это еще не значит, что Вы успешно пройдете аудит.  Платформа Windows Azure тоже прошла проверку на соответствие PCI DSS, но это не значит, что на нее можно навернуть Ваш уровень App и автоматически получить соответствие стандарту.  Есть такая полезная штука PA-DSS – стандарт безопасности данных платежных приложений индустрии платежных карт. PA-DSS ориентирован на разработчиков и поставщиков ПО. Т.е. если у Вас есть ПО, соответствующие требованиям  PA-DSS, после его внедрения Вы проходите аудит на соответствие PCI-DSS. Эти два документа необходимо рассматривать комплексно. 

- Есть ли еще документы кроме стандартов PCI-DSS и PA-DSS ?

- Да. Все они есть на офф. сайте совета PCI SSC: справочники PCI DSS, драфты изменений, глоссарий, анкеты самооценки, список курсов и вебинаров, список уполномоченных на проведение аудита организаций и т.п.. Все другие источники информации, в первую очередь мой блог, рассматривайте как недостоверный источник информации.

- Мы не можем выполнить все требования стандарта PCI DSS – значит ли это, что мы не пройдем аудит ?

- Нет не значит. Именно поэтому вначале данной статьи я обозвал требования рекомендациями. Есть такое понятие – «Компенсационные меры», они должны быть документированы (описываете что именно  не можете выполнить, почему, риски, компенсационные меры) и предоставлены аудиторам.  Компенсационные меры в обязательном порядке будут проверены аудиторами. Компенсационные меры – это не отмазка от аудиторов, это набор действий, направленных на снижение рисков, связанных с невыполненным требованием.

Для первого раза достаточно, чуть позже вернемся к требованиям PCI-DSS и PA-DSS и проекции всего этого на виртуальную инфраструктуру.

А пока, для затравки, рекомендую ознакомиться с NIST Guide to Security for Full Virtualization Technologies. Документ не первой свежести, но фундаментальные знания и понятия еще никому не мешали =)

Migration WinXp -> Win7. VMware Horizon Mirage fix error.

С приближением 8 апреля интерес к эффективным методам миграции XP->7 растет.
В противовес решению "наймем сто-питсот студентов" и запустим их в инфраструктуру у VMware есть весьма эффективный инструмент - VMware Horizon Mirage.
Кроме всего остального (обеспечение централизованного управления образами настольных компьютеров на базе Windows c возможностями: сохранения полных снимков настольных компьютеров, с постоянной синхронизацией изменений; полного или частичного восстановления пользовательских данных; оптимизации управления рабочих станций на филиалах и т.п.) Mirage умеет мигрировать с рабочие станции с Windows XP на Windows 7 (на 8, 8.1 не умеет)

По поводу установки, настройки, и подготовки миграции рекомендую почитать jabuin.livejournal.com. Описание в формате step by step.

И если с подготовкой платформы для миграции вопросов возникнуть не должно, то с сама миграция не всегда выполняется корректно и гладко.

Перед началом миграции помимо создания CVD, Base Layers и др. необходимо установить WAIK (Windows Automated Installation Kit) и импортировать в Horizon Mirage System USMT (User State Migration Tool), которые находятся по пути: C:\Program Files\Windows AIK\Tools\USMT

но получается так:

и никакой другой информации по данной ошибке в логах Horizon Mirage. Поиск причины и ее устранение невозможно.

Пропустив, шаг с импортом (он необязателен для создания CVD), начал централизацию устройств и словил ту же картинку, однако, в логах Horizon Mirage появилось сообщение:

System.InvalidOperationException: This implementation is not part of the Windows Platform FISP validated cryptographic algorithms.
System.Security.Cryptography.MD5CryptoServiceProvider..ctor()
Wanova.Common.Signatures.SignatureCalc..ctor()
....

FISP (Federal Information Processing Standard) - федеральный стандарт для сертификации криптографического ПО. Разработан под нужды правительства США, а вот наш маленький офис в центре Минска в нем никак не нуждается.

За FISP в Windows отвечает только один параметр по адресу:
HKLM\System\CurrentControlSet\Control\Lsa|FIPSAlgorithmPolicy
в картинках так:

Однако он оказался выключен, поиски по форумам показали, что его необходимо включить, перегрузить систему, снова выключить и перегрузить. Этот не совсем логичный набор действий помог.
Заработало создание CVD и устранилась "ошибка без описания, при импорте USMT.

... и да, если в Вашей компании решили совместить переход на Windows 7 c обновлением "железа" - Mirage отличное средство для автоматизации переноса файлов и профилей конечных пользователей на новое устройство.

Удачи при миграции.