Category: VMware

VMware : Mode verrouillage – Lockdown Mode

Pour augmenter le niveau de sécurité de vos hôtes ESXi, vous pouvez utiliser le mode Verrouillage (Lockdown Mode).

A partir de vSphere 6.0, VMware propose deux modes de verrouillage (normal et strict) et une liste d’utilisateurs exceptionnels.

Les utilisateurs exceptionnels ne perdent pas leurs privilèges lorsque l’hôte entre en mode de verrouillage.

Utilisez la liste d’utilisateurs exceptionnels pour ajouter les comptes de solutions tierces et d’applications externes qui doivent accéder directement aux hôtes ESXI lorsque ils sont en mode de verrouillage. 

Si ESXi Shell ou SSH est activé et que l’hôte est placé en mode de verrouillage, les comptes de la liste des utilisateurs exceptionnels disposant de privilèges d’administrateur peuvent utiliser ces services. Pour tous les autres utilisateurs, l’accès ESXi Shell ou SSH est désactivé.

À partir de vSphere 6.0, les sessions ESXi ou SSH pour les utilisateurs ne disposant pas de privilèges d’administrateur sont fermées.

En mode de verrouillage, certains services sont désactivés et d’autres ne sont accessibles qu’à certains utilisateurs, veuillez trouver ci-dessous un récapitulatif du comportement du Lockdown Mode :

Lockdown Mode

Activation/Désactivation du mode verrouillage

  1. Accédez à l’hôte dans l’inventaire de vSphere Client.
  2. Cliquez sur Configurer.
  3. Dans Système, sélectionnez Profil de sécurité.
  4. Dans le panneau mode verrouillage, cliquez sur Modifier.
  5. Cliquez sur Mode verrouillage et sélectionnez l’une des options du mode de verrouillage.

vCenter Server PNID (FQDN)

PNID (Primary Network IDentifier of vCenter Server) est le nom du système (FQDN) défini lors du déploiement de vCenter Server.

vCenter Server ne supporte pas la modification du nom PNID, cette limitation a été remontée à VMware par de nombreux clients et partenaires. (voir KB 2130599).

Heuresement, VMware a pris en charge ces remarques au niveau de vSphere 6.7 Update 3.

À partir de vSphere 6.7 Update 3, il est désormais possible de renommer le nom FQDN ou PNID du vCenter Server, contrairement aux versions précédentes de vSphere.

Cette nouvelle fonctionnalité offre aux clients plus de flexibilité dans la gestion des plateformes VMware.

Pour pouvoir bénéficier de cette nouvelle fonctionnalité de vCenter Server, vous devez disposer de :

  • vCenter Server 6.7 Update 3.
  • Un compte administrateur de domaine SSO (exemple: Administrator@vsphere.local)

Une fois que vous disposez des deux éléments précités, vous devez vérifier et prendre en compte les conditions préalables suivantes :

  • La modification du nom FQDN prend en charge uniquement les nœuds embedded vCenter Server.
  • Désenregistrés tous les produits déjà enregistrés sur votre vCenter avant de démarrer et réenregistrer ces éléments une fois le changement de nom est terminé.
  • Effectuez une sauvegarde (File-Based Backup) de VCSA avant de démarrer l’opération.
  • Supports Enhanced Linked Mode (ELM) : supprimez vCenter Server du domaine vSphere SSO à l’aide de la commande CMSSO-UTIL, puis modifiez le nom PNID et rejoignez-le au domaine vSphere SSO.
  • Supprimez vCenter HA (VCHA) avant de renommer vCenter Server.
  • Les certificats personnalisés devront être régénérées.
  • Hybrid Linked Mode avec Cloud vCenter Server doit être recréé.
  • Vous devez rejoindre à nouveau vCenter Server au domaine Active Directory après le changement de nom.
  • Mise à jour de l’enregistrement DNS (A) pour garantir la résolution (Hostname ↔ Adresse IP).

C’est un changement majeur, donc, une planification adéquate est essentielle.

Surtout, assurez-vous d’avoir des sauvegardes valide de vCenter Server.

vSphere 6.7 Update 3

VMware a annoncé la nouvelle version du produit vSphere, VMware vSphere 6.7 Update 3.

Cette nouvelle version de vSphere inclut de nouvelles fonctionnalités pour des opérations simplifiées et des performances accrues.

Mulitiple NVIDIA vGPUs per VM

VMware vSphere 6.7 Update 3 introduira la prise en charge de plusieurs GPU virtuels NVIDIA GRID (vGPU) par machine virtuelle.

Vous pouvez configurer jusqu’à quatre vGPU NVIDIA connectés à une machine virtuelle, ce qui permet d’améliorer les graphiques et les performances des applications.

Mulitiple NVIDIA vGPUs per VM

AMD EPYC Generation 2 Support

vSphere 6.7 update 3 est désormais compatible avec la 2e génération de processeurs AMD EPYC ™.

Ability to change vCenter Server PNID

PNID (Primary Network IDentifier of vCenter Server) est le nom du système défini lors du déploiement de vCenter Server.

La recommandation générale consiste à utiliser le nom (FQDN), toutefois, il n’a pas été possible de modifier le nom FQDN appelé (PNID) de vCenter Server dans les versions précédentes de vSphere.

Heureusement, la version 6.7 Update 3 offre la possibilité de renommer le nom PNID.

NB : Le nom PNID peut être mise à jour à partir de l’interface VAMI (Virtual Appliance Management Interface).

 l'interface VAMI (Virtual Appliance Management Interface).
PNID.

Dynamic DNS support

Lorsque VCSA (vCenter Server Appliance) est installé avec une adresse IP dynamique basée sur un serveur DHCP, une fois l’adresse IP de VCSA modifiée, les enregistrements DNS doivent être mis à jour manuellement.

Avec vSphere 6.7 Update 3, l’utilisation du Dynamic DNS est prise en charge, ce qui permet au VCenter Server de pouvoir enregistrer et mettre à jour de manière dynamique ces enregistrements sur les serveurs DNS.

Driver Enhancements

Plusieurs améliorations ont été apportées à la version 4 du pilote VMXNET3, telles que:

  • Guest encapsulation offload and UDP.
  • ESP RSS support to the Enhanced Networking Stack (ENS).
  • RSS on UDP.
  • ESP packets run on demand.

De plus, les pilotes suivants ont été mis à jour:

  • VMware nvme
  • Microchip smartpqi
  • Marvell qlnativefc
  • Broadcom lpfc/brcmfcoe
  • Broadcom lsi_msgpt2
  • Broadcom lsi_msgpt35
  • Broadcom lsi_msgpt3
  • Broadcom lsi_mr3
  • Intel i40en
  • Intel ixgben
  • Cisco nenic
  • Broadcom bnxtne

vSAN 6.7 Update 3

VMware continue d’améliorer vSAN, avec des fonctionnalités supplémentaires, une efficacité accrue et une gestion simplifiée dans vSAN 6.7 Update 3.

Managed Object Browser (MOB)

Managed Object Browser (MOB), est une interface graphique intégrée aux systèmes ESXi et vCenter.

Cet utilitaire vSphere vous permet de parcourir les informations détaillées sur des objets tels que des machines virtuelles, des banques de données et des pools de ressources.

Vérification de l’état du MOB

Pour vérifier si MOB est activé, ouvrez un navigateur et entrez http://x.x.x.x/mob (remplacez x.x.x.x par l’adresse IP de vCenter Server ou de votre hôte ESXi).

  • Si MOB est activé, le serveur vous invitera à saisir vos informations d’identification.
  • Sinon (non activé), le serveur affiche l’erreur « HTTP 503 – Service Unavailable ».

Par défaut, MOB est désactivé dans vSphere 6.x et doit être activé manuellement.

Activation de MOB à l’aide de vSphere Client

Se connecter à l’hôte ESXI via le vSphere Web Client.

Cliquer sur Gérer ==> Système ==> Paramètres avancés et Sélectionner la clé Config.HostAgent.plugins.solo.enableMob et activez-la.

Pour plus de détails : https://kb.vmware.com/s/article/2108405

Managed Object Browser (MOB)

Accès au Managed Object Browser

Une fois activé, MOB est accessible depuis un navigateur Web.

  • Ouvrez un navigateur Web.
  • Entrez le nom (FQDN) ou l’adresse IP du vCenter ou de l’hôte ESXi avec le suffixe « /mob ». (Exemple : https://192.168.192.131/mob)
  • Entrez votre nom d’utilisateur et mot de passe.
Managed Object Browser (MOB)

VxRail Event Code

VxRail Event Code

Depuis la mise à niveau de VxRail 4.5 vers la version 4.7, une grande partie de l’interface de gestion de VxRail Manager a été intégrée au client vSphere 6.7 HTML5.

Depuis lors, les messages d’erreur, les notifications et les alertes VxRail sont disponibles sous l’interface vCenter (au lieu de l’interface VxRail Manager).

Cependant, ces codes de type VXRxxxx ne sont pas vraiment significatifs et ne décrivent pas vraiment le problème.

Pour vous simplifier la vie lors du dépannage de VxRail, je partage avec vous la liste des codes d’alerte et des événements générés par VxRail via le lien suivant : Event Code

En espérant que cet article vous sera utile.

FAILED TO LOCK THE FILE

Lors du démarrage d’une machine virtuelle hébergé sous VMware ESXI, l’erreur suivante peut se produire : Failed to lock the file.

Cette erreur est due au verrouillage des fichiers de la machine virtuelle, souvent le disque virtuel (*.VMDK).

Pour empêcher les modifications simultanées des fichiers critiques de la machine virtuelle, Les hôtes VMware ESXi établissent des verrous sur ces fichiers.

Quelques exemples où les fichiers des VMs sont verrouillés:

  • Sauvegarde en cours d’exécution.
  • L’outil de sauvegarde conserve un verrou sur les fichiers de la machine virtuelle après avoir effectué une sauvegarde.
  • Les fichiers sont en cours d’utilisation par d’autres machines virtuelles.

Solution

  • Localisez le fichier verrouillé via le message d’erreur ou le fichier journal vmware.log.
  • Connectez-vous à l’un des hôtes ESXI en utilisant SSH en tant que ROOT (https://kb.vmware.com/s/article/2004746).
  • Exécutez la commande vmfslockinfo -p suivi du chemin complet du fichier verrouillé.
  • Assurez-vous que le résultat confirme que le fichier est verrouillé et notez l’adresse MAC de l’hôte propriétaire du verrouillage (lock).
  • Par la suite, il est nécessaire de localiser l’hôte ESXI qui possède une carte réseau avec cette adresse MAC.
  • Mettez l’hôte identifié par vmfsfilelockinfo en mode maintenance et redémarrez-le.

Remarques

  • Avant de redémarrer l’hôte ESXI, si votre plate-forme compte plusieurs nœuds, veuillez tester la migration de la machine virtuelle vers un autre hôte ESXI.
  • Si le verrouillage est généré par votre outil de sauvegarde, un simple redémarrage de votre serveur de sauvegarde débloquera parfois la situation.
  • Au cas ou lors de le résultat de la commande vmfsfilelockinfo indique que le fichier est Free, merci de vérifier les autres fichiers de la VMs (*.VMDK, *.VMX, *.VMXF, *.VSWP et *.log)
  • Si le résultat de la commande vmfsfilelockinfo indique que le fichier est libre, veuillez vérifier les autres fichiers de la VM à l’aide de la même commande (*.VMDK, *.VMX, *.VMXF, *.VSWP et *.log).

HA failover initiated on Cluster

vSphere HA Initiated a Virtual Machine Failover Action in Cluster – Warning

Cette alerte se produit lorsque un basculement [Failover] se produit dans le cluster.

Une fois que le message d’avertissement apparaît, vous ne pouvez plus le supprimer et aucune option n’est disponible pour traiter l’alerte.

Pourtant , la suppression de l’alerte est faisable.

Pour résoudre ce problème, il faut désactiver puis le réactiver HA.

VMware P2V : Permission to perform this operation was denied

Lors des migrations P2V ou V2V à l’aide de l’outil VMware vCenter Converter Standalone, nous avons souvent rencontré le message d’erreur «Permission to perform this operation was denied.»

Pour vous faire gagner du temps et des efforts, je vous présente la solution de contournement :

  • Connectez-vous au serveur que vous essayez de convertir.
  • Ouvrir la stratégie de sécurité locale (GPO LOCAL), ou tapez « secpol.msc » dans la barre de recherche Windows.
  • Allez dans « Stratégies locales » puis « Options de sécurité ».
  • Contrôle de compte d’utilisateur: exécuter les comptes d’administrateurs en mode d’approbation d’administrateur.
  • Cocher « Désactivé » puis de redémarrer le serveur pour que les modifications prennent effet.

Vous devriez maintenant pouvoir effectuer le P2V sans problème.

Vos certifications VMware n’expireront jamais.

À compter du 5 février 2019, vos certifications VMware n’expireront jamais.

VMware a mis à jour la politique de certification en annulant l’expiration des certificats VMware après 2 ans.

A compter de maintenant, l’exigence de re-certification obligatoire sera supprimée de toutes les certifications actuelles.

VMware offre aux candidats plus de flexibilité et de liberté, l’objectif est que le programme de certification VMware réponde aux besoins de chaque candidat et réponde au mieux aux besoins individuels et organisationnels.

Toutefois, VMware recommande la recertification et la mise à niveau afin de maintenir des compétences actualisées et des certificats à jour.