Tagged: HCI

vSphere Firewalling Helper

vSphere Firewalling Helper a pour but d’aider les organisations à protéger leurs environnements, en leur permettant d’élaborer des règles de flux réseau granulaires pour l’accès aux interfaces de gestion vSphere.

Son objectif est d’aider à identifier et documenter les ouvertures de flux nécessaires à mettre en œuvre au niveau du pare-feu réseau, pour le déploiement VCF et/ou vSphere.

Les ports internes (ports visibles dans netstat, écoutant sur 127.0.0.1 ou ::1, ou non autorisés par iptables) se trouvent à l’intérieur du périmètre de support des appliances et sont listés ici afin de faciliter les efforts de conformité réglementaire des clients (NERC CIP, PCI DSS 4.0, etc.).

La modification des ports internes des composants et appliances vSphere n’est ni supportée ni recommandée.

Public visé

Ce document couvre VMware vSphere 6.5, 6.5, 7.0 et 8.0.

Les configurations ont été évaluées par rapport à vSphere 7 Update 3 et vSphere 8 Update 1.

Téléchargement


Il est disponible sous forme de fichier Excel et peut être téléchargé à partir de : vSphere Firewalling Helper

VMware Cloud Services

VMware Cloud Services est une suite de services Cloud Computing qui permet aux clients de VMware de déployer, gérer, optimiser et héberger leurs applications et leurs infrastructures dans le cloud.

Il s’agit d’une plateforme cohérente de gestion des applications sur plusieurs Cloud, notamment les cloud publics, privés et hybrides.

VMware Cloud Services comprend également une série d’outils et de services permettant d’optimiser les performances, la sécurité et la conformité.

Voici quelques principaux services de cloud computing de VMware :

  • VMware Cloud on AWS (Amazon Web Services) : Ce service permet aux organisations d’exécuter la pile de centre de données défini par logiciel (SDDC) de VMware directement sur le cloud AWS. Il permet l’intégration transparente des centres de données sur site avec le cloud AWS, fournissant un modèle opérationnel cohérent et familier.
  • VMware Cloud on Dell EMC : Ce service étend le Cloud VMware au bord du réseau en combinant la pile SDDC de VMware avec l’infrastructure hyperconvergée Dell EMC VxRail. Il est conçu pour les organisations ayant besoin d’exécuter des applications avec une latence faible et des performances élevées au bord du réseau.
  • VMware Cloud on Azure : Similaire à VMware Cloud on AWS, ce service permet aux organisations d’exécuter des charges de travail VMware sur Microsoft Azure. Il offre une infrastructure et un modèle opérationnel cohérents entre les centres de données sur site et le cloud Azure.
  • VMware Cloud Director : Il s’agit d’une plateforme de prestation de services cloud qui permet aux fournisseurs de cloud d’offrir des centres de données virtuels multi-locataires avec une gestion centralisée, cela permet aux organisations de construire et d’exploiter des environnements cloud sécurisés, évolutifs et efficaces.
  • VMware Cloud Foundation : Il s’agit d’une plateforme intégrée d’infrastructure cloud qui combine la virtualisation de l’informatique, du stockage et du réseau dans une seule pile intégrée, offre une base d’infrastructure cohérente pour les clouds privés et publics.
VMware Cloud Services

VMware Cloud Services est conçu pour aider les entreprises à :

  • Simplifier les opérations cloud : un tableau de bord unique pour la gestion des applications et des charges de travail, ce qui permet aux entreprises de réduire la complexité, d’améliorer l’efficacité et de réaliser des économies.
  • Accélérer le développement et la livraison d’applications : une variété d’outils et de services pour créer et déployer des applications plus rapidement et plus efficacement, aidant ainsi les entreprises à commercialiser plus rapidement leurs produits et services.
  • Améliorer les performances et la fiabilité des applications : une série de fonctionnalités permettant d’optimiser les performances des applications, telles que l’équilibrage de la charge, l’autoscaling et la reprise après sinistre, afin d’aider les entreprises à offrir une meilleure expérience à leurs clients.
  • Améliorer la sécurité et la conformité des applications : une variété de fonctionnalités de sécurité, telles que le cryptage, le contrôle d’accès et la détection des intrusions qui aident les entreprises à protéger leurs données et leurs applications contre les accès non autorisés et les attaques.

VMware Cloud Services est une bonne option à considérer, si vous recherchez une solution de cloud computing qui peut vous aider à simplifier les opérations cloud, accélérer le développement et la livraison d’applications, améliorer les performances et la fiabilité des applications, et améliorer le niveau sécurité et la conformité des applications.

Se connecter à la console Cloud Services

Procédure
1 Ouvrez une fenêtre de navigateur et accédez à https://console.cloud.vmware.com
2 Entrez l’adresse e-mail de votre compte, puis cliquez sur Suivant.
3 Tapez votre mot de passe, puis cliquez sur Se connecter.
Résultats
Une fois la connexion établie, la page d’accueil de VMware Cloud Services affiche les services
disponibles dans l’organisation.

Réinitialisation Root vCenter

Cas de Réinitialisation Root vCenter

Le mot de passe root est quelque chose que chaque administrateur doit conserver dans un outil de gestion de mots de passe ou un coffre-fort numérique.

Un fichier texte n’est jamais un bon endroit pour enregistrer des mots de passe mais plutôt un risque pour la sécurité.

Un jour, vous risquez d’oublier le mot de passe root de votre vCenter Server Appliance ou le mot de passe expire.

La réinitialisation du mot de passe root de vCenter Server Appliance est une tâche relativement simple, mais nécessite le redémarrage de la VM vCenter Server, ce qui entraîne une perte temporaire de la couche de gestion via vCenter.

Le redémarrage de vCenter n’affecte pas les machines virtuelles car elles s’exécutent sur les hôtes ESXi, cependant, les fonctionnalités du cluster pilotées par vCenter telles que DRS, HA ou vMotion ne fonctionneront pas pendant la durée du redémarrage.

Réinitialisation mot de passe root vCenter

Je vais fournir les étapes détaillées pour réinitialiser un mot de passe root vCenter perdu, oublié ou expiré pour un vCenter Server Appliance 6.x, 7.x ou 8.x :

1. Prenez un snapshot de la VM et forcer un redémarrage, une fois l’écran de démarrage de Photon OS affiché, appuyez rapidement sur « e » pour révéler le menu de démarrage de Grub.

Ensuite, dans le menu GNU GRUB, tapez rw init=/bin/bash après $systemd_cmdline.

Réinitialisation Root vCenter 1

2. Une fois ajouté, appuyez sur F10 pour continuer le démarrage.

3. Tapez la commande suivante :

mount -o remount,rw /

Appuyez sur Entrée .

Réinitialisation Root vCenter 2

4. Pour modifier le mot de passe, tapez la commande suivante :

passwd

Et entrez le nouveau mot de passe root deux fois. Confirmez en appuyant sur Entrée .

Réinitialisation Root vCenter 3

4. Si le mot de passe a été mis à jour avec succès, il est temps de redémarrer le VCSA.

Tapez la commande suivante :

umount /

Appuyez sur Entrée .

Redémarrez ensuite l’appliance en exécutant la commande suivante :

reboot -f

Appuyez sur Entrée .

Réinitialisation Root vCenter 5

5. Une fois vCenter opérationnel, confirmez que le nouveau mot de passe root fonctionne en vous connectant à l’interface de gestion de vCenter Server Appliance (VAMI).

https://vCenter_IP:5480

vSAN ESA

VMware vSAN ESA, il existe deux types de VMware VSAN : l’Original Storage Architecture (OSA) et l’Express Storage Architecture (ESA).

vSAN ESA

OSA (Original Storage Architecture)

vSAN OSA est la première architecture de VMware VSAN et il est conçu pour être installé sur des serveurs existants et utilise les ressources de stockage existantes pour créer un pool de stockage partagé.

L’OSA peut être implémenté en utilisant des serveurs standards, ce qui le rend facilement accessible pour les petites et moyennes entreprises qui n’ont pas les ressources pour investir dans une infrastructure de stockage dédiée.

Aussi, il est conçu pour être facile à utiliser et à gérer, afin d’offrir une solution de stockage simple et abordable pour les entreprises.

ESA (Express Storage Architecture)

vSAN ESA (Express Storage Architecture) de VMware VSAN offre plusieurs avantages par rapport à l’OSA dans le contexte de VMware VSAN :

Performances de stockage améliorées

L’ESA utilise des disques NVMe connus par leur performance élevée en matière de stockage.

Les disques NVMe offrent des temps de réponse ultra-rapides, une bande passante de stockage plus élevée et une latence réduite par rapport aux disques SATA et SAS utilisés dans l’OSA.

Cela permet d’améliorer les performances de stockage pour les charges de travail intensives en E/S, ce qui peut être particulièrement bénéfique pour les applications nécessitant des temps de réponse rapides, tels que les bases de données transactionnelles ou les environnements VDI (Virtual Desktop Infrastructure).

Protocoles de stockage avancés

ESA utilise des protocoles de stockage plus avancés, notamment le protocole RDMA (Remote Direct Memory Access).

Le RDMA permet une communication directe entre les nœuds de stockage sans passer par le CPU, ce qui réduit la latence et améliore les performances de stockage.

Cela permet de tirer pleinement parti des performances des disques NVMe et d’optimiser la communication entre les nœuds de stockage dans le cluster VSAN.

Mise en cache en mode écriture

ESA prend en charge la mise en cache en mode écriture (write-back caching) pour stocker les données temporairement en mémoire vive avant d’être écrites sur le disque.

Ce qui permet d’accélérer les performances d’écriture, car les données peuvent être rapidement enregistrées en mémoire vive avant d’être écrites sur le disque, évitant ainsi les goulots d’étranglement potentiels liés à l’écriture directe sur le disque.

L’OSA, en revanche, utilise la mise en cache en mode lecture seule (read-only caching) qui offre des performances de stockage moins optimisées en écriture.

Clusters all-flash

ESA prend en charge les clusters all-flash, ce qui signifie que tous les disques utilisés dans le cluster sont des disques SSD. Cela permet d’obtenir des performances de stockage extrêmement élevées, car les disques SSD offrent une latence réduite et une bande passante de stockage plus élevée par rapport aux disques magnétiques traditionnels utilisés dans l’OSA.

Les clusters all-flash sont idéaux pour les charges de travail gourmandes en performances, nécessitant un accès rapide et efficace aux données.

Évolutivité

ESA offre une meilleure évolutivité par rapport à l’OSA. Les disques NVMe et les protocoles de stockage avancés utilisés dans l’ESA permettent de gérer des charges de travail plus importantes et de mieux gérer les pics de demande de stockage. Cela offre une flexibilité accrue pour les entreprises en croissance ou ayant des besoins de stockage importants.

En résumé, vSAN ESA offre des performances de stockage plus rapides et plus efficaces grâce à l’utilisation de disques NVMe, de protocoles de stockage plus avancés et de la mise en cache en mode écriture. Cela en fait une solution de stockage plus adaptée pour les charges de travail intensives en E/S, telles que les bases de données, les applications transactionnelles et les environnements VDI. Cependant, l’OSA peut être une solution plus abordable et plus facile à déployer pour les entreprises qui ont des besoins de stockage moins intensifs.

YouTube player

Articles Liés :

Introduction to VMware vSphere+

VMware vSphere+™ peut aider les organisations informatiques à stimuler l’efficacité opérationnelle, à accélérer l’innovation, à se transformer grâce à l’intégration du cloud et à apporter les avantages du cloud aux infrastructures et charges de travail sur site (on-premises).

YouTube player

ESXi Comptes par défaut

ESXi Comptes par défaut : l’hyperviseur VMware ESXi est déployé avec deux comptes intégrés, root et dcui, et lorsqu’il est géré avec VMware vCenter Server, il est généralement activé avec un troisième compte, vpxuser.

Root

Le compte root est créé lors de l’installation. Il est nécessaire pour l’administration et n’est pas supprimable.

Le mot de passe peut être modifié manuellement et via les interfaces utilisateur et les API.

Il n’existe aucune disposition permettant de modifier automatiquement le mot de passe ou d’en assurer la rotation, ni de le gérer en dehors des interfaces utilisateur et des interfaces de programmation du produit.

Le mot de passe n’est pas « par défaut » puisqu’il est spécifié par l’administrateur lors de l’installation.

Le mot de passe est soumis aux paramètres de complexité et d’historique du mot de passe ESXi, tels que Security.PasswordQualityControl.

Le mot de passe est stocké sous la forme d’un hachage SHA512, conformément aux systèmes d’exploitation UNIX.

Un accès administratif équivalent peut être accordé à d’autres comptes ajoutés après l’installation pour une utilisation quotidienne par les administrateurs vSphere, de sorte que des alertes de surveillance des journaux (Log Insight et autres) puissent être créées pour une utilisation directe de ce compte.

Il n’est pas recommandé de désactiver l’accès au shell pour ce compte sur ESXi 8.0.0 ou plus récent.

dcui

Le compte dcui est créé lors de l’installation. Il est nécessaire pour isoler le service de console directe et n’est pas supprimable.

Le mot de passe peut être modifié manuellement et par programme via les interfaces utilisateur et les interfaces de programmation du produit, bien qu’il soit recommandé de le laisser verrouillé.

Il n’existe aucune disposition permettant de modifier automatiquement le mot de passe ou d’effectuer une rotation, ni de le gérer en dehors des interfaces utilisateur et des interfaces de programmation du produit.

Il n’y a pas de mot de passe par défaut. Le compte est verrouillé par la méthode standard UNIX qui consiste à remplacer le mot de passe dans /etc/shadow par une valeur incompatible avec un hachage SHA512 (comme ‘x’ ou ‘!’ ou ‘*’).

Le compte ne devrait pas avoir de mot de passe configuré, mais s’il en avait un, il serait soumis aux paramètres de complexité et d’historique des mots de passe ESXi, tels que Security.PasswordQualityControl.

Le mot de passe, s’il est défini, serait stocké sous la forme d’un hachage SHA512, conformément aux systèmes d’exploitation UNIX et de type UNIX.

Les administrateurs vSphere n’ont aucune raison de se connecter à ESXi de cette manière, en tant que tel, ce compte peut voir son accès au shell supprimé dans ESXi 8.0.0 et les versions plus récentes.

vpxuser

Le compte vpxuser est créé lorsque ESXi est attaché pour la première fois à vCenter Server.

Il est nécessaire pour l’administration par vCenter Server. Pour attacher ESXi à vCenter Server, l’administrateur vSphere fournit des identifiants root ou équivalents. vCenter Server utilise ces identifiants pour créer et sécuriser le compte ‘vpxuser’ et tous les accès ultérieurs de vCenter Server se font par l’intermédiaire de vpxuser.

Le mot de passe peut, mais ne doit pas, être modifié manuellement, car vCenter Server devra être reconnecté, ce qui peut entraîner des problèmes opérationnels et des pannes.

vCenter Server effectuera automatiquement une rotation du mot de passe à un intervalle régi par le paramètre avancé VirtualCenter.VimPasswordExpirationInDays de vCenter Server, mesuré en jours, avec un minimum de 1 et une valeur par défaut de 30 jours.

Le mot de passe généré aléatoirement est composé de 32 caractères utilisant quatre classes de caractères (chiffres, caractères spéciaux, majuscules et minuscules) et ce mot de passe est généré de manière aléatoire pour chaque hôte ESXi.

Le mot de passe est soumis aux paramètres de complexité et d’historique du mot de passe ESXi, tels que Security.PasswordQualityControl.

Le mot de passe est stocké sous la forme d’un hachage SHA512 sur ESXi, conformément aux systèmes d’exploitation UNIX.

Pour permettre la gestion, vCenter Server stocke le mot de passe vpxuser dans un format crypté à l’intérieur de la base de données vCenter Server Appliance.

Ce compte n’est pas supprimable et il n’est pas possible de lui substituer un autre compte.

L’accès au shell peut être supprimé sur ESXi 8.0.0 et les versions plus récentes, mais cela aura un impact sur les capacités de gestion de vCenter Server.

Il n’y a aucune raison pour que les administrateurs vSphere se connectent à ESXi avec ce compte, de sorte que les alertes de surveillance des journaux (Log Insight et autres) peuvent être configurées pour s’alarmer si ce compte est accessible à partir de n’importe quel endroit autre que vCenter Server.

ESXi Comptes par défaut

Security Configuration Guide

vSphere Security Configuration Guide (SCG) est la référence pour les bonnes pratiques de renforcement de la sécurité et d’audit pour VMware vSphere..

 Security Configuration Guide

Il a longtemps servi de guide aux administrateurs vSphere cherchant à protéger leur infrastructure.

Le Guide de configuration de la sécurité vSphere est un ensemble de meilleures pratiques de sécurité.

L’activation de toutes les fonctionnalités de sécurité à leurs niveaux les plus élevés peut être préjudiciable, entravant les efforts quotidiens des administrateurs pour exploiter, corriger et surveiller leurs environnements.

vSphere Security Configuration Guide n’est pas un catalogue de tous les contrôles de sécurité disponibles, c’est simplement une base de référence raisonnable à partir de laquelle nous pouvons opérer.

  • Téléchargement

Vous pouvez télécharger le Guide de configuration de la sécurité VMware vSphere 8 sur : URL

  • Public visé

Le public du Guide de configuration de la sécurité vSphere est les clients VMware vSphere qui ont déployé vSphere 8.

Il existe de nombreux produits d’infrastructure de centre de données et de cloud hybride, tels que VMware Cloud Foundation, VMware Cloud, Dell EMC VxRail et d’autres qui implémentent vSphere dans le cadre de leurs solutions.

Pour ce type de solution, vous devez vérifier auprès du support technique de ces produits avant d’appliquer ces bonnes pratiques VMware.

Badr Eddine CHAFIQ