Le Guide Configuration et Hardening vSphere 8 est la référence en matière d’amélioration et d’audit de VMware vSphere.
Lancé il y a plus de quinze ans, il sert depuis longtemps de référence aux administrateurs de virtualisation qui cherchent à protéger leur infrastructure.
Le Guide de configuration et de renforcement de la sécurité est un kit qui comprend plusieurs artefacts :
VMware vSphere Security Configuration Guide 8 – Controls.xlsx (fichier Excel contenant les contrôles de base du renforcement de la sécurité et exemples d’automatisation PowerCLI pour l’audit et la correction des objets vSphere).
Dossier Tools avec des exemples de scripts d’audit vSphere, basés sur VMware PowerCLI et la documentation associée.
Téléchargement
Il s’agit du Guide de configuration et Hardening vSphere 8 version 802-20231005-01. Ce guide a été développé avec VMware vSphere 8 Update 2 (8.0.2) et remplace toutes les versions et instructions antérieures.
La plupart des versions de VMware vCenter sont affectées par une vulnérabilité critique VMSA-2023-0023 URL.
Description
Cette vulnérabilité, classée critique avec un score CVSSv3 de 9.8, permet à un acteur malveillant disposant d’un accès réseau d’exécuter à distance du code arbitraire sur l’hôte où s’exécute vCenter Server.
Produits concernés
VMware vCenter Server. VMware Cloud Foundation.
Résolution
Il n’y a pas de solution de contournement pour cette CVE et la seule mesure d’atténuation consiste à mettre à jour votre vCenter vers l’une des versions non affectées.
Seules les 3 versions de VMware vCenter [ 7.0U3o, 8.0U1d et 8.0U2 ] sont considérées comme sécurisés.
La surveillance et le dépannage sont essentiels pour préserver les performances, la disponibilité et la fiabilité d’une infrastructure vSAN.
En combinant les disques locaux de nombreux hôtes ESXi avec vSAN, vous pouvez créer une solution de stockage distribuée et évolutive en fonction des besoins.
Quand un vSAN est en production, sa gestion et son dépannage peuvent s’avérer difficiles, surtout si vous ne disposez pas des ressources, des compétences et des procédures appropriées.
Dans cet article, nous résumerons le « Guide de surveillance et de dépannage vSAN » officiel de VMware et passerons en revue certaines éléments, suggestions et ressources les plus importantes pour la surveillance et le dépannage de vSAN.
Présentation de la surveillance vSAN
Avant de commencer à surveiller et à dépanner vSAN, il est important de connaître quelques éléments et termes importants.
1. Cluster vSAN : ensemble d’hôtes ESXi liés entre eux et configurés pour utiliser le stockage vSAN.
2. Banque de données vSAN : stockage distribué qui s’étend sur tous les hôtes ESXi du cluster vSAN.
3. Objet vSAN : une représentation logique des données enregistrées et dupliquées sur plusieurs hôtes ESXi dans le cluster vSAN.
4. Composant vSAN : représentation physique d’un élément, tel qu’un groupe de disques, un disque ou une interface réseau, sur un hôte ESXi.
5. Service de santé vSAN : un service vSphere intégré qui assure le suivi de l’état de santé et de la configuration des composants vSAN.
6. vRealize Operations Manager : une application VMware appelée vRealize Operations Manager offre une planification, analyse et surveillance sophistiquées de la capacité pour vSAN et d’autres composants vSphere.
Fonctionnalités de surveillance vSAN :
1. Indicateurs de performances : détecter d’éventuels disfonctionnements et améliorer les performances de vSAN, vous pouvez garder un œil sur plusieurs indicateurs de performances, notamment les IOPS, la latence, le débit et la profondeur de la file d’attente.
2. Utilisation de la capacité : surveillance de l’utilisation de la capacité de la banque de données vSAN et du groupe de disques vous aidera à vous assurer que vous disposez de suffisamment d’espace pour vos machines virtuelles et vos applications.
3. Tolérance aux pannes : pour vous assurer que vous disposez d’une redondance et d’une tolérance aux pannes adéquates, vous pouvez surveiller l’état et la disponibilité des objets et composants vSAN, tels que les groupes de disques, les disques et les interfaces réseau.
4. Conformité : pour vous assurer que vous respectez les meilleures pratiques et éviter d’éventuels problèmes, vous pouvez vérifier la conformité des paramètres de configuration de vSAN, tels que les règles de stockage, les formats de disque et les paramètres réseau.
Dépannage avec vSAN
Fichiers journaux : pour rechercher d’éventuels problèmes et pannes, vous pouvez utiliser divers fichiers journaux, notamment les journaux de l’hôte ESXi, les journaux de vCenter Server et les journaux du service de santé vSAN.
Outils : pour collecter et analyser les données de performances et de dépannage, vous pouvez utiliser un certain nombre d’outils, notamment vSAN Observer, ESXTOP et vSphere Web Client.
Scénarios de test : pour vérifier la robustesse et la disponibilité de votre infrastructure vSAN, vous pouvez simuler plusieurs situations de test, notamment le réseau, la panne de disque et les pannes de courant.
Base de connaissances : vous pouvez accéder à des articles, des vidéos et des forums qui peuvent vous aider à résoudre certains problèmes liés à vSAN en utilisant la base de connaissances et les services d’assistance de VMware.
Dans cet article, je vais décrire comment mettre à niveau vCenter Server Appliance vers la version 8.0 U2 via le déploiement du patch en utilisant l’interface VAMI (vCenter Server Appliance Management Interface).
Télécharger le patch VC-8.0u2.
Monter le patch ISO de mise à niveau sur le serveur vCenter.
Aller dans les propriétés de la VM vCenter Server.
Connectez l’ISO VCSA au CD/DVD Drive.
Cochez la case Connect At Power On et cliquez sur OK.
Dans un navigateur Web, accédez à l’interface de gestion VAMI : https://vCenter-IP-address-or-FQDN:5480
Accéder au menu Services et vérifier que tous les services sont dans l’état Healthy et Started.
Allez ensuite dans le menu Update et cliquez sur Check Updates.
Sélectionnez le correctif et cliquez sur « Stage and Install« .
Acceptez le contrat de licence et cliquez sur Next.
Sauvegarder le vCenter Server et sélectionner “I have backed up vCenter Server and its associated databases“, cliquez sur « Finish« .
La mise à niveau a réussi et la version affichée est 8.0.2.00000.
VMware vSphere+ souscription est un nouveau modèle de licence par abonnement pour la solution de virtualisation VMware vSphere.
Ce nouveau modèle offre une série d’avantages par rapport au modèle de licence perpétuel, notamment une plus grande simplicité, flexibilité et des fonctionnalités avancées.
VMware prévoit de remplacer prochainement toutes ses licences perpétuelles par des abonnements.
Ses offres seront donc commercialisées sous forme de services SaaS fédérés dans VMware Cloud Console, avec une multitude d’options.
Simplicité
vSphere+ est basé sur un modèle de souscription unique, ce qui simplifie la gestion des licences et des coûts, les entreprises n’ont plus besoin de gérer des licences perpétuelles.
Avec vSphere+, les entreprises paient simplement un abonnement mensuel ou annuel en fonction du nombre des ressources vSphere qu’elles utilisent.
Les abonnements sont disponibles en plusieurs éditions, chacune avec ses propres fonctionnalités et avantages.
Flexibilité
vSphere+ permet aux entreprises de payer uniquement pour les ressources qu’elles utilisent (pay as you go), ce qui offre une plus grande flexibilité.
Les entreprises peuvent adapter leurs abonnements en fonction de l’évolution de leurs besoins.
Fonctions avancées
vSphere+ comprend une série de fonctionnalités avancées qui ne sont pas disponibles dans le modèle de licence traditionnel.
Console Cloud centralisée
Service de gestion du cycle de vie vCenter
Service de gestion de la capacité
Cloud Consumption Interface (CCI)
Intégration de Tanzu Kubernetes Grid
Tanzu Mission Control Essentials
Pourquoi les entreprises devraient-elles envisager de passer à VMware vSphere+ souscription ?
Les entreprises qui cherchent à simplifier la gestion de leurs licences vSphere, à améliorer leur flexibilité et à bénéficier de fonctionnalités avancées devraient envisager de passer à vSphere+.
vSphere+ est une solution rentable qui peut aider les entreprises à tirer le meilleur parti de leur infrastructure vSphere.
vSphere+ souscription permet de mieux gérer son budget en passant d’un modèle de consommation basé sur les dépenses d’investissement à un modèle basé sur les coûts d’exploitation.
L’offre unique comprend tous les composants (instances vCenter, hôtes ESXi) et le support, de sorte que vous n’avez pas à gérer une multitude de licences et de contrats.
Avec vSphere+, vous n’avez plus besoin d’acheter des licences vCenter séparées et vous pouvez déployer autant d’instances vCenter que nécessaire sans coût supplémentaire.
Le comptage et la facturation sans clé (Keyless) de licence éliminent les difficultés liées à l’enregistrement, au suivi, au fractionnement et à la saisie des clés de licence, le tout géré via VMware Cloud.
Passer de licence perpétuelle vers VMware vSphere+ souscription
Si vous disposez de licences vSphere Enterprise Plus que vous souhaitez convertir en vSphere+, VMware propose un programme de mise à niveau pour vous aider à préserver la valeur de votre investissement vSphere existant.
Avec l’aide du service client VMware ou d’un partenaire certifié VMware, vos licences perpétuelles seront converties en abonnements, ce qui vous évitera de gérer des clés de licence.
Vos produits seront activés via votre abonnement vSphere+ dans VMware Cloud Console.
Vous pouvez ensuite facilement surveiller vos abonnements et l’utilisation à partir de la console Cloud.
vSphere Firewalling Helper a pour but d’aider les organisations à protéger leurs environnements, en leur permettant d’élaborer des règles de flux réseau granulaires pour l’accès aux interfaces de gestion vSphere.
Son objectif est d’aider à identifier et documenter les ouvertures de flux nécessaires à mettre en œuvre au niveau du pare-feu réseau, pour le déploiement VCF et/ou vSphere.
Les ports internes (ports visibles dans netstat, écoutant sur 127.0.0.1 ou ::1, ou non autorisés par iptables) se trouvent à l’intérieur du périmètre de support des appliances et sont listés ici afin de faciliter les efforts de conformité réglementaire des clients (NERC CIP, PCI DSS 4.0, etc.).
La modification des ports internes des composants et appliances vSphere n’est ni supportée ni recommandée.
Public visé
Ce document couvre VMware vSphere 6.5, 6.5, 7.0 et 8.0.
Les configurations ont été évaluées par rapport à vSphere 7 Update 3 et vSphere 8 Update 1.
Téléchargement
Il est disponible sous forme de fichier Excel et peut être téléchargé à partir de : vSphere Firewalling Helper
VMware Cloud Services est une suite de services Cloud Computing qui permet aux clients de VMware de déployer, gérer, optimiser et héberger leurs applications et leurs infrastructures dans le cloud.
Il s’agit d’une plateforme cohérente de gestion des applications sur plusieurs Cloud, notamment les cloud publics, privés et hybrides.
VMware Cloud Services comprend également une série d’outils et de services permettant d’optimiser les performances, la sécurité et la conformité.
Voici quelques principaux services de cloud computing de VMware :
VMware Cloud on AWS (Amazon Web Services) : Ce service permet aux organisations d’exécuter la pile de centre de données défini par logiciel (SDDC) de VMware directement sur le cloud AWS. Il permet l’intégration transparente des centres de données sur site avec le cloud AWS, fournissant un modèle opérationnel cohérent et familier.
VMware Cloud on Dell EMC : Ce service étend le Cloud VMware au bord du réseau en combinant la pile SDDC de VMware avec l’infrastructure hyperconvergée Dell EMC VxRail. Il est conçu pour les organisations ayant besoin d’exécuter des applications avec une latence faible et des performances élevées au bord du réseau.
VMware Cloud on Azure : Similaire à VMware Cloud on AWS, ce service permet aux organisations d’exécuter des charges de travail VMware sur Microsoft Azure. Il offre une infrastructure et un modèle opérationnel cohérents entre les centres de données sur site et le cloud Azure.
VMware Cloud Director : Il s’agit d’une plateforme de prestation de services cloud qui permet aux fournisseurs de cloud d’offrir des centres de données virtuels multi-locataires avec une gestion centralisée, cela permet aux organisations de construire et d’exploiter des environnements cloud sécurisés, évolutifs et efficaces.
VMware Cloud Foundation : Il s’agit d’une plateforme intégrée d’infrastructure cloud qui combine la virtualisation de l’informatique, du stockage et du réseau dans une seule pile intégrée, offre une base d’infrastructure cohérente pour les clouds privés et publics.
VMware Cloud Services est conçu pour aider les entreprises à :
Simplifier les opérations cloud : un tableau de bord unique pour la gestion des applications et des charges de travail, ce qui permet aux entreprises de réduire la complexité, d’améliorer l’efficacité et de réaliser des économies.
Accélérer le développement et la livraison d’applications : une variété d’outils et de services pour créer et déployer des applications plus rapidement et plus efficacement, aidant ainsi les entreprises à commercialiser plus rapidement leurs produits et services.
Améliorer les performances et la fiabilité des applications : une série de fonctionnalités permettant d’optimiser les performances des applications, telles que l’équilibrage de la charge, l’autoscaling et la reprise après sinistre, afin d’aider les entreprises à offrir une meilleure expérience à leurs clients.
Améliorer la sécurité et la conformité des applications : une variété de fonctionnalités de sécurité, telles que le cryptage, le contrôle d’accès et la détection des intrusions qui aident les entreprises à protéger leurs données et leurs applications contre les accès non autorisés et les attaques.
VMware Cloud Services est une bonne option à considérer, si vous recherchez une solution de cloud computing qui peut vous aider à simplifier les opérations cloud, accélérer le développement et la livraison d’applications, améliorer les performances et la fiabilité des applications, et améliorer le niveau sécurité et la conformité des applications.
Se connecter à la console Cloud Services
Procédure 1 Ouvrez une fenêtre de navigateur et accédez à https://console.cloud.vmware.com 2 Entrez l’adresse e-mail de votre compte, puis cliquez sur Suivant. 3 Tapez votre mot de passe, puis cliquez sur Se connecter. Résultats Une fois la connexion établie, la page d’accueil de VMware Cloud Services affiche les services disponibles dans l’organisation.
Le mot de passe root est quelque chose que chaque administrateur doit conserver dans un outil de gestion de mots de passe ou un coffre-fort numérique.
Un fichier texte n’est jamais un bon endroit pour enregistrer des mots de passe mais plutôt un risque pour la sécurité.
Un jour, vous risquez d’oublier le mot de passe root de votre vCenter Server Appliance ou le mot de passe expire.
La réinitialisation du mot de passe root de vCenter Server Appliance est une tâche relativement simple, mais nécessite le redémarrage de la VM vCenter Server, ce qui entraîne une perte temporaire de la couche de gestion via vCenter.
Le redémarrage de vCenter n’affecte pas les machines virtuelles car elles s’exécutent sur les hôtes ESXi, cependant, les fonctionnalités du cluster pilotées par vCenter telles que DRS, HA ou vMotion ne fonctionneront pas pendant la durée du redémarrage.
Réinitialisation mot de passe root vCenter
Je vais fournir les étapes détaillées pour réinitialiser un mot de passe root vCenter perdu, oublié ou expiré pour un vCenter Server Appliance 6.x, 7.x ou 8.x :
1. Prenez un snapshot de la VM et forcer un redémarrage, une fois l’écran de démarrage de Photon OS affiché, appuyez rapidement sur « e » pour révéler le menu de démarrage de Grub.
Ensuite, dans le menu GNU GRUB, tapez rw init=/bin/bash après $systemd_cmdline.
2. Une fois ajouté, appuyez sur F10 pour continuer le démarrage.
3. Tapez la commande suivante :
mount -o remount,rw /
Appuyez sur Entrée .
4. Pour modifier le mot de passe, tapez la commande suivante :
passwd
Et entrez le nouveau mot de passe root deux fois. Confirmez en appuyant sur Entrée .
4. Si le mot de passe a été mis à jour avec succès, il est temps de redémarrer le VCSA.
Tapez la commande suivante :
umount /
Appuyez sur Entrée .
Redémarrez ensuite l’appliance en exécutant la commande suivante :
reboot -f
Appuyez sur Entrée .
5. Une fois vCenter opérationnel, confirmez que le nouveau mot de passe root fonctionne en vous connectant à l’interface de gestion de vCenter Server Appliance (VAMI).
VMware vSAN ESA, il existe deux types de VMware VSAN : l’Original Storage Architecture (OSA) et l’Express Storage Architecture (ESA).
OSA (Original Storage Architecture)
vSAN OSA est la première architecture de VMware VSAN et il est conçu pour être installé sur des serveurs existants et utilise les ressources de stockage existantes pour créer un pool de stockage partagé.
L’OSA peut être implémenté en utilisant des serveurs standards, ce qui le rend facilement accessible pour les petites et moyennes entreprises qui n’ont pas les ressources pour investir dans une infrastructure de stockage dédiée.
Aussi, il est conçu pour être facile à utiliser et à gérer, afin d’offrir une solution de stockage simple et abordable pour les entreprises.
ESA (Express Storage Architecture)
vSAN ESA (Express Storage Architecture) de VMware VSAN offre plusieurs avantages par rapport à l’OSA dans le contexte de VMware VSAN :
Performances de stockage améliorées
L’ESA utilise des disques NVMe connus par leur performance élevée en matière de stockage.
Les disques NVMe offrent des temps de réponse ultra-rapides, une bande passante de stockage plus élevée et une latence réduite par rapport aux disques SATA et SAS utilisés dans l’OSA.
Cela permet d’améliorer les performances de stockage pour les charges de travail intensives en E/S, ce qui peut être particulièrement bénéfique pour les applications nécessitant des temps de réponse rapides, tels que les bases de données transactionnelles ou les environnements VDI (Virtual Desktop Infrastructure).
Protocoles de stockage avancés
ESA utilise des protocoles de stockage plus avancés, notamment le protocole RDMA (Remote Direct Memory Access).
Le RDMA permet une communication directe entre les nœuds de stockage sans passer par le CPU, ce qui réduit la latence et améliore les performances de stockage.
Cela permet de tirer pleinement parti des performances des disques NVMe et d’optimiser la communication entre les nœuds de stockage dans le cluster VSAN.
Mise en cache en mode écriture
ESA prend en charge la mise en cache en mode écriture (write-back caching) pour stocker les données temporairement en mémoire vive avant d’être écrites sur le disque.
Ce qui permet d’accélérer les performances d’écriture, car les données peuvent être rapidement enregistrées en mémoire vive avant d’être écrites sur le disque, évitant ainsi les goulots d’étranglement potentiels liés à l’écriture directe sur le disque.
L’OSA, en revanche, utilise la mise en cache en mode lecture seule (read-only caching) qui offre des performances de stockage moins optimisées en écriture.
Clusters all-flash
ESA prend en charge les clusters all-flash, ce qui signifie que tous les disques utilisés dans le cluster sont des disques SSD. Cela permet d’obtenir des performances de stockage extrêmement élevées, car les disques SSD offrent une latence réduite et une bande passante de stockage plus élevée par rapport aux disques magnétiques traditionnels utilisés dans l’OSA.
Les clusters all-flash sont idéaux pour les charges de travail gourmandes en performances, nécessitant un accès rapide et efficace aux données.
Évolutivité
ESA offre une meilleure évolutivité par rapport à l’OSA. Les disques NVMe et les protocoles de stockage avancés utilisés dans l’ESA permettent de gérer des charges de travail plus importantes et de mieux gérer les pics de demande de stockage. Cela offre une flexibilité accrue pour les entreprises en croissance ou ayant des besoins de stockage importants.
En résumé, vSAN ESA offre des performances de stockage plus rapides et plus efficaces grâce à l’utilisation de disques NVMe, de protocoles de stockage plus avancés et de la mise en cache en mode écriture. Cela en fait une solution de stockage plus adaptée pour les charges de travail intensives en E/S, telles que les bases de données, les applications transactionnelles et les environnements VDI. Cependant, l’OSA peut être une solution plus abordable et plus facile à déployer pour les entreprises qui ont des besoins de stockage moins intensifs.
En tant qu'Architecte et Expert Systèmes et Virtualisation, ce blog fait partie d'une approche de partage de connaissances «giving back» autour des technologies de virtualisation "en particulier VMware", Cloud et Hyper-convergence.Le but principal de ce blog est de partager les nouveautés, Tutoriels , conseils et apporter des solutions techniques.
