Multiples vulnérabilités ont été découvertes dans les produits VMware, cela concerne VMware ESXi, Fusion et Workstation.
Ce problème peut entraîner une fuite de données et prise de contrôle à distance via l’accés entant que administrateur (root) au shell d’un ESXi depuis une VM hébergée sur le host VMware.
Le problème est présent si vmxnet3 est activé. Les cartes virtuelles autres que vmxnet3 ne sont pas concernées par ce problème.
Veuillez mettre à jour vos produits VMware dés que possible.
les correctifs sont disponible au niveau VMware Security Advisories : lien
Premièrement, il est un indicateur clé du fait que votre entreprise a rapidement adopté VMware Cloud sur AWS. Il valide également votre expertise dans le déploiement et la gestion de VMware Cloud sur AWS qui, en tant que service à la demande, vous permet d’exécuter des applications dans des environnements cloud vSphere avec un accès à une large gamme de services AWS.
Comment se passe l’examen?
L’examen comporte 30 questions non surveillées et livrées sur le Web. Pour rendre l’étude encore plus efficace, l’examen est basé sur le cours VMware Cloud on AWS: Deploy and Manage.
Lors de la configuration, du déploiement et de l’exploitation de votre infrastructure virtuelle, il est judicieux de connaître les limites de votre environnement, sachant qu’il est difficile et parfois impossible de trouver les informations les plus récentes et les plus précises.
Aussi, lorsque vous demandez une assistance à VMware.S’il est déterminé que vous utilisez le produit en dehors des valeurs maximales, vous ne pourrez pas obtenir de support jusqu’à ce que les limites soient rétablies sous les valeurs maximales recommandées.
VMware a introduit un nouveau site VMware Configuration Maximums qui vous permet de déterminer rapidement et facilement la configuration maximale recommandée pour les produits VMware.
Les limites présentées dans l’outil
sont testées, recommandées et entièrement prises en charge par VMware.
Il est recommandé de rester à un
niveau inférieur ou égal au maximum pris en charge.
VMware Configuration Maximums, vous permet de :
Connaître avec précision les maximums de configuration pour les produits VMware.
Comparer les maximums de configuration entre différentes versions.
vCenter High Availability est une nouvelle fonctionnalité apparue au niveau de la version 6.5 du vCenter mais disponible uniquement dans la vCSA.
Activer vCenter HA permet de protéger le vCenter en cas de perte de host par exemple, ou de limiter les indisponibilités durant les mises à jour.
L’activation du vCenter High Availability permet de protéger les vCenter des pannes matérielle et logicielle.
les autres mécanismes de protection comme vSphere High Availability protège uniquement contre les pannes matérielles avec un temps de coupures important et un risque de corruption de la base de données vCenter.
vCenter HA fonctionne avec un cluster de deux instances vCenter, la première instance est “Active” et la deuxième est “Passive”, donc aucun temps d’arrêt et un temps moyen de réparation (Mean Time To Repair) MTTR=0.
En cas d’indisponibilité du noeud actif, le noeud passif reprend automatiquement son rôle ainsi que son nom et son IP afin de permettre la continuité.
Lorsque le noeud manquant (DOWN) redeviendra disponible, il reprendra automatiquement le relais.
Le témoin n’est là que pour assurer l’arbitrage pour faire la différence entre une isolation réseau et une indisponibilité d’un noeud (même principe que pour un cluster de hosts ou de vSan).
Le témoin (Witness) ne participe pas au cluster Active/Passive, mais assure l’arbitrage pour faire la différence entre une isolation réseau et une indisponibilité d’un noeud.
Une seconde carte réseau est ajoutée aux trois nodes pour qu’ils communiquent via un lien privé, permettant la synchronisation de toutes modifications au niveau du node actif sur les deux autres nodes . La communication entre le noeud actif et l’extérieur (ESXi, management, …) restant sur la première carte réseau.
Il est important de penser à la mise en place du vCenter High Availability dans les environnements où des solutions comme NSX, suites vRealize et Veeam Backup & Replication tournent, car ces dernières dépendent grandement de la disponibilité du vCenter pour pouvoir fonctionner.
Deux modes d’installation sont proposés :
Basique : géré par un assistant, et nécessitant peu d’informations (adresses IP). L’ajout de la carte réseau, le clonage, la configuration IP et les règles d’anti-affinité sont gérés par l’assistant. Convient lorsque le host hébergeant le vCenter est géré par celui-ci, ou par un vCenter du même domaine SSO.
Avancé : un peu plus complexe à mettre en oeuvre. Il faut cloner soi-même les VMs, configurer les IPs, créer les règles. Convient lorsque le vCenter ne connait pas le host qui l’héberge, ou lorsqu’on veut répartir les nodes entre plusieurs infras.
RVTools est un utilitaire qui permet d’obtenir des informations détaillées de l’infrastructure VMware via vCenter ou directement vos ESXI.
Il vous permet d’obtenir des informations qui ne sont pas disponibles à travers le client vSphere.
L’outil permet la collecte d’informations ainsi que la mise à jour de VMware Tools.
L’utilisation de l’outil est assez simple, il suffit de se connecter via RVTools au serveur vCenter ou vos ESXI directement.
Après avoir saisie les informations de connexion, cliquez sur « Login« .
RvTools est riche en informations, chaque onglet vous générera un tableau récapitulatif, c’est vraiment très bien organisé et très lisible.
Par exemple : l’onglet « vInfo » vous donne des informations sur toutes les machines virtuelles, l’onglet « vNetwork » vous donne les informations réseau détaillées de chaque VM (MAC, IP, Groupe de ports, etat…).
RVTools est capable de vous générer des messages d’alertes, activation via « Health » puis « Properties« .
Lorsqu’une alerte se produit, le message est affiché dans l’onglet « vHealth » de l’application.
Il est possible d’exporter les informations sous différents format et notamment dans un fichier Excel.
Chaque feuille correspondra à un onglet de l’interface de RVTools. Ainsi, vous pouvez tenir un véritable rapport sur votre ou vos serveurs de manière simple et efficace.
ESXTOP est un outil VMware simple pour avoir un aperçu en temps réel de l’utilisation des ressources et analyser les performances sur vos ESXi. Il permet de vérifier : Mémoire, CPU, Réseau et Storage.
Pour l’utiliser il faut se connecter en SSH et utiliser la commande esxtop, ou aussi à distance depuis vSphere cli avec la commande resxtop.
les lettres ci-après permet d’afficher les vues des indicateurs de performance selon les informations souhaitées :
Proactive HA est l’une de mes
fonctionnalités préférées depuis vSphere 6.5.
En cas de défaillance, le serveur tombe en panne et HA redémarre les ordinateurs virtuels.
Cependant, Proactive HA interroge le vCenter pour connaitre l’état des hôtes présent dans le cluster HA et vous permet de configurer des actions proactives pour réagir face aux événements et alertes qui peuvent causer un arrêt et/ou isolation des VMs.
Il vous permettra d’évacuer les VMs avant que le problème provoque un impact business.
Pour
utiliser cette fonctionnalité et comme prérequis, il faut avoir DRS activé.
Proactive
HA fait en réalité partie de vSphere DRS.
Proactive HA peut réagir à différents types de pannes, tels que :
Alimentation
électrique (Power Supply).
Mémoire.
Ventilation
(Fan).
Stockage.
Réseau.
Par exemple :
Votre serveur physique (Host ESXI) dispose d’une
redondance au niveau de l’alimentation, et l’un des bloc d’alimentation est en
panne.
Le serveur est toujours opérationnel, mais son
fonctionnement est en mode dégradé à cause d’un SPOF (point de défaillance unique)
au niveau de l’alimentation.
Dans ce cas, Proactive HA sera déclenchée et les actions ci-après seront exécutées :
Les machines virtuelles seront déplacées de façon manuel ou automatisé vers un autre Host.
L’host défaillant seront placé dans l’un des modes : Quarantine, Mixed ou Maintenance.
VMware vSAN est la solution de stockage à définition logicielle SDS (Software Defined Storage) de VMware qui élimine le besoin d’avoir une baie de stockage dédié.
vSAN est dédiée aux nouvelles
générations des infrastructures : hyperconverged infrastructure (HCI).
Cette solution permet d’agréger des disques locaux d’hôtes
physiques membres d’un cluster vSphere, afin de créer une solution de stockage
partagée et distribuée.
VSAN utilise des groupes de disques au lieu de disques
individuels pour former un magasin de données.
En dissociant la partie logicielle de stockage de la couche
matérielle, les clients bénéficient de plus de flexibilité, performances
élevées, facilité d’administration et une réduction des coûts.
Il existe certaines limitations sur les groupes de disques Vsan,
Vous pouvez créer un maximum de 5 groupes de disques par hôte ESXi et chaque
groupe de disques doit contenir au moins un disque SSD + un ou plusieurs
disques durs (HDD ou SSD).
Mode hybride :
Cache tier :
1 SSD pour le cache.
Capacity tier :
Un ou plusieurs disques durs HDD pour la partie capacité.
Mode All Flash :
Cache
tier : 1 SSD pour le cache.
Capacity
tier : Un ou plusieurs disques SSD pour
la partie capacité.
Lorsque vous activez des fonctionnalités telles que la
déduplication et la compression, elles sont activées au niveau du groupe de
disques.
Lorsque vous déployez une machine virtuelle, les disques de
cette machine virtuelle sont répartis sur les différents groupes de disques de
différents hôtes, de sorte que vous puissiez tolérer la défaillance d’un hôte ou
plus (selon votre configuration).
C’est la solution qui vous permet de garder une vue en temps réel sur l’état de santé de la plateforme VMware, en se basant sur les indicateurs clés de performance (KPI) et cela à travers un tableau de bord (dashboard) personnalisé.
Avec vRealize Operations Manager, il est faisable de garantir un niveau optimale d’utilisation des ressources et une qualité de service améliorée.
C’est une gestion intelligente avec une grande visibilité et proactivité, à l’aide des fonctionnalités :
Supervision des VMs.
Détection des anomalies.
Analyse de performance.
Anticipation des besoins en ressources.
Planification de la capacité (capacity
planning).
Automatisation basée sur des stratégies.
Lorsque DRS et vROps travaillent ensemble, des possibilités
intéressantes s’ouvrent.
En combinant l’automatisation de DRS avec l’intelligence de vROps et grâce au mode d’apprentissage du produit, qui étudie et analyse le comportement de l’infrastructure (par exemple : consommation abusive de la RAM et CPU par un serveur X chaque dernier samedi du mois), vous pourrez vous libérer des tâches d’administration et gestion de ressources imprévu et vous concentrer sur des tâches plus importantes.
L’objectif de cet article est de mieux comprendre les mécanismes de gestion de la mémoire au niveau VMware.
Afin d’optimiser la gestion de la mémoire (RAM), VMware
opte pour 4 méthodes qui s’exécutent séquentiellement et par ordre
décroissant de performance :
Transparent Page Sharing (TPS)
Ballooning
Compression
Swap
Transparent Page Sharing (TPS)
Cela concerne généralement les VMs tournent sur le même Host est qu’ont un système d’exploitation similaire, dans ce cas de figure nous avons plusieurs éléments identiques en mémoire.
La fonctionnalité Transparent Page Sharing consiste à faire des scans toutes les 60 secondes pour identifier les pages mémoires identiques/multiplier et fait la dé-duplication de mémoire pour ne garder qu’une seule page mémoire pour chaque élément.
Cela permet donc d’économiser de la RAM en mutualisant les pages mémoire communs aux différentes VMs.
Il n’y a donc pas de perte de performance autre que celle induite par la virtualisation (temps de la consultation de la table des correspondances pour accéder à la page mémoire demandée).
L’efficacité dépend de deux facteurs :
Plus il y aura des éléments communs, plus les pages mémoire peuvent être mutualisées.
Plus la taille mémoire par page est élevée, moins il sera possible de mutualiser les pages mémoires.
Ballooning
Le ballooning est un mécanisme gérée par VMware Tools (précisément le pilote vmmemctl) et qui permet à l’ESXi de fournir de la mémoire aux VMs en cas de besoin suite au sur-utilisation de RAM (Overcommitting).
En général, plus un système d’exploitation a de la mémoire
à sa disposition, plus il en utilise et pas forcément de manière la plus
efficace.
Pour éviter le gaspillage de la mémoire, VMware crée un processus consomme de plus en plus de mémoire et pousse le système à libérer de l’espace.
La mémoire consommée par ce processus pourra être utilisée par d’autres VMs, ceci est possible grâce à l’installation de VMware Tools qui peut agir sur le système d’exploitation à l’aide du balloon driver (vmmemctl).
Compression
Lorsque les méthodes TPS et ballooning sont utilisées et le
host a toujours besoin de la mémoire supplémentaire, l’ESX utilise la
compression de la mémoire.
Cela consiste scanner les pages mémoire via VMkernel et compresser les pages mémoire qui peuvent être compressées à plus de 50%.
La compression cause une perte de performance suite à la compression et décompression des pages mémoire, cependant il reste plus performant que le swapping.
SWAP
C’est le dernier recours par VMWare, au cas où les
mécanismes précédents n’ont pas libérer assez de mémoire.
Le swap consiste à copier sur disque les pages mémoires afin
de libérer de la RAM.
Cette méthode est coûteuse en termes de performance et quand le host ESXi commence à utiliser le swap, là c’est la catastrophe côté performance.
A ce stade, il faut commencer à prendre les mesures nécessaires
pour augmenter/libérer les ressources mémoires.
Badr Eddine CHAFIQ
En tant qu'Architecte et Expert Systèmes et Virtualisation, ce blog fait partie d'une approche de partage de connaissances «giving back» autour des technologies de virtualisation "en particulier VMware", Cloud et Hyper-convergence.Le but principal de ce blog est de partager les nouveautés, Tutoriels , conseils et apporter des solutions techniques.
