Tagged: HCI

VMware Tools – UpgradeAtPowerCycle

UpgradeAtPowerCycle est une option qui permet la mise à niveau de VMware Tools automatiquement au démarrage/redémarrage d’une machine virtuelle.

L’activation de cette option permet d’automatiser l’exécution de deux tâches lors du démarrage de vos machines :

  1. Vérification de l’état de VMware Tools.
  2. Mise à jour de VMware Tools (si nécessaire).

Dans de nombreux cas et selon le système d’exploitation de la machine, cela peut entraîner un redémarrage supplémentaire une fois l’installation terminée.

Pour plus de précision, depuis Windows Server 2016, VMware Tools n’a plus besoin d’un redémarrage lors de la mise à niveau.

Vous pouvez activer UpgradeAtPowerCycle dans les paramètres avancés de la machine virtuelle via vSphere Client, plus précisément dans Options VM.

Paramètres VM

Parlons automatisation et PowerCLI ?‍??

Voyons donc comment vous pouvez vérifier l’état de cette fonctionnalité à l’échelle d’une grande plateforme via une seule commande à l’aide du PowerCLI.

Get-Datacenter -name « DC NAME » | Get-VM | Get-View | select name,@{N=’ToolsUpgradePolicy’;E={$_.Config.Tools.ToolsUpgradePolicy } } |Sort Name

Etat UpgradeAtPowerCycle

Vu que nous avons identifié les machines virtuelles pour lesquelles cette fonctionnalité n’est pas activée.

Après cela, vous pouvez activer cette option en ligne de commande PowerCLI :

  • Activer l’option pour une VM spécifique

Set-vmToolsPolicy -vm MyVmName –ToolsUpgradePolicy UpgradeAtPowerCycle

  • Activer/configurer l’option pour toutes les VMs

Get-VM | Set-vmToolsPolicy -ToolsUpgradePolicy UpgradeAtPowerCycle

Articles Liés ? :

VMware OVF Tool

VMware OVF Tool (Open Virtualization Format Tool) est un outil qui permet d’importer/exporter des machines virtuelles via ligne de commande.

De nombreux cas d’utilisation (Use case) nécessitent d’importer/exporter des VM, tels que :

  • Déplacement de machines virtuelles entre vCenter (Cross-vCenter VMotion) sans licence ‘’Enterprise Plus‘’.
  • Migration de machines virtuelles entre DataCenter VMware, lors d’un projet de migration (Move Datacenter).
  • Déplacement de machine virtuelles chez un nouvel hébergeur.

Nous verrons ensemble à travers cet article comment installer l’outil OVF Tool et exporter une VM hébergée sur un serveur VMware ESXi.

Prérequis

  • Compte avec droit admin au niveau de votre machine (Windows) pour pouvoir installer OVF tool.
  • Compte avec droit admin au niveau vCenter.
  • La machine virtuelle doit être dans un état arrêt.
  • Disposer de suffisamment d’espace de stockage pour héberger l’export OVF/OVA.

Télécharger et installer l’outil VMware OVF

Le programme d’installation de l’outil OVF est disponible pour Windows, Linux et MAC OSX.

Vous pouvez télécharger l’outil VMware OVF sur le site Web de VMware : URL

Une fois l’outil téléchargé, l’installation est assez simple.

Install OVF Tool

Lorsque l’installation de VMware OVF Tool est terminée, utilisez l’invite de commande CMD pour accéder à l’outil OVF sur le chemin c:\Program Files\VMware\VMware OVF Tool

Découvrir le chemin de la VM

Si vous ne connaissez pas le chemin de la VM, vous pouvez le découvrir.

Il faut se connecter au vCenter via les identifiants d’accès, en indiquant l’adresse IP ou le nom de votre vCenter sur cette commande

ovftool.exe vi://vcenter-name

Pour répertorier les machines virtuelles exécutées sur vCenter Server, vous pouvez exécuter la commande ci-dessous

ovftool.exe vi://<vcenter-name>/DC-NAME/vm/

Cette commande affiche la liste des VMs disponibles au niveau du dossier VM.

Afficher les détails de la VM OVF

Pour avoir une idée sur la taille et les détails de la VM OVF, vous pouvez exécuter la commande suivante

ovftool.exe vi://<vcenter-name>/DC-NAME/vm/vm-name

Export VM vers OVF

Pour exporter la VM au format OVF, utilisez la commande « ovftool.exe vi:// » en précisant le chemin de la VM et le chemin de destination sur lequel on veut déposer l’export

ovftool.exe vi://<vcenter-name>/<DC-NAME>/vm/vm-name  <patch to save the OVF file>

Export VM vers OVA

L’export au format OVA est similaire à l’export d’une VM au format OVF, il suffit d’indiquer le nom du fichier avec suffixe (.ova) à la fin du chemin de destination

ovftool.exe vi://<vcenter-name>/<DC-NAME>/vm/vm-name  <Folder path to save the OVA file\ova-name.ova>

Suivi de l’export

  1. Lors de l’exécution de l’export VM, nous pouvons suivre la progression de l’opération via la même fenêtre CMD.
  2. Lorsque l’exportation de la VM est terminée avec succès, le message suivant s’affiche : “Completed Successfully ».

vCenter Server Profiles

Saviez-vous déjà ce que sont les vCenter Server Profiles ? Non ! Vous êtes donc au bon endroit pour comprendre de quoi il s’agit et quand cette fonctionnalité est utile.

Plusieurs entreprises ont tendance à utiliser plusieurs serveurs vCenter pour gérer leur environnement VMware vSphere distribué.

Tandis que la gestion de la configuration de plusieurs vCenter Server est une tâche fastidieuse.

Avant vSphere 7.0, il n’existait aucun outil pour gérer de manière centralisée la configuration sur plusieurs vCenter Server.

Mais heureusement, avec la sortie de vSphere 7.0, VMware a introduit une nouvelle fonctionnalité appelée vCenter Server Profiles pour répondre à ce besoin.

Qu’est-ce qu’un vCenter Server Profile ?

Les vCenter Server Profiles est une fonctionnalité VMware qui permet d’importer et d’exporter la configuration de vCenter Server via REST APIs, y compris les paramètres de gestion, réseau, utilisateur et authentification.

Les configurations exportées sont stockées dans un fichier JSON facilement lisible et peuvent être importées vers d’autres vCenter.

Ces profils peuvent maintenir la gestion des versions entre les vCenter Server, en propageant les configurations exportées vers plusieurs vCenters.

Actuellement, le nombre maximal de vCenter Server pris en charge est de 100.

Le vCenter Server Profile simplifie la configuration, la gestion du changement, permet une détection facile des non-conformités et également une correction automatisée.

Aussi, vous pouvez facilement revenir à la dernière bonne configuration connue en important les profils.

Cela permet de faciliter et d’industrialiser le quotidien des consultants et ingénieurs VMware.

vCenter Server Profiles REST APIs

Cette fonctionnalité est basée sur quatre REST APIs:

  • List
  • Export
  • Validate
  • Import
vCenter Server Profiles REST APIs
vCenter Server Profiles REST APIs

Les REST APIs peuvent être utilisées avec DCLI, PowerCLI ou d’autres outils d’automatisation (Ansible, Puppet, etc…).

De plus, toutes les API sont également disponibles dans developer center sous API Explorer.

API Explorer
API Explorer

Tout d’abord, vous devez configurer tous les paramètres nécessaires sur l’un des vCenter (source).

Cela vous sert de modèle pour la configuration de tous les autres vCenter Server de l’environnement.

Vous pouvez exporter le profil à partir du vCenter source.

Cette configuration de profil peut ensuite être révisée pour répondre à de nouveaux besoins, une fois qu’une nouvelle version du profil est créée.

Vous pouvez alors la propager à d’autres serveurs vCenter.

Par exemple, pour certains serveurs vCenter, vous pouvez importer uniquement la configuration appliance et réseau et pour d’autres serveurs vCenter, vous pouvez appliquer toutes les configurations.

Import vCenter Server Profiles

Vous pouvez également valider la configuration par rapport à un serveur vCenter cible à l’aide du REST API Validate.

La validation du profil vCenter Server vous permet de vérifier les incohérences ou les erreurs par rapport au vCenter Server cible.

Une réponse « valide » ou « invalide » est renvoyée.

REST API Validate vCenter Server Profiles
REST API Validate

Pour plus de détails, vous pouvez également voir cette vidéo officielle de VMware :

YouTube player

Mise à niveau VMware Tools – PowerCLI

Maintenant que nous avons identifié les machines virtuelles nécessitent une mise à niveau VMware Tools.

Pour information, l’identification des VMs a été faite dans notre article précédent : Etat VMware Tools.

Vous pouvez effectuer la mise à niveau de VMtools, via deux méthodes :

ou

  • PowerCLI (méthodes que je vous recommande ?), en utilisant les commandes suivantes :

Veuillez noter que ces commandes vous permettent de mettre à niveau VMware Tools sans redémarrer les machines virtuelles via le paramètre [-NoReboot]

  1. Mise à niveau VMware tools pour les machines avec version obsolètes

Get-Datacenter -name « DC Name » | Get-VM | % { get-view $_.id } |Where-Object {$_.Guest.ToolsVersionStatus -like « guestToolsNeedUpgrade »} |select name, @{Name=“ToolsVersion”; Expression={$_.config.tools.toolsversion}}, @{ Name=“ToolStatus”; Expression={$_.Guest.ToolsVersionStatus}}| Update-Tools -NoReboot -VM {$_.Name} -Verbose

  1. Mise à jour/installation VMware tools pour les machines sans VMtools

Get-Datacenter -name « DC Name » | Get-VM | % { get-view $_.id } |Where-Object {$_.Guest.ToolsVersionStatus -like  » guestToolsNotInstalled »} |select name, @{Name=“ToolsVersion”; Expression={$_.config.tools.toolsversion}}, @{ Name=“ToolStatus”; Expression={$_.Guest.ToolsVersionStatus}}| Update-Tools -NoReboot -VM {$_.Name} -Verbose

Articles Liés :

Mise à niveau VMware Tools : www.badreddinechafiq.website

KMS : Configuration KeyControl

Cet article décrit les étapes de Configuration KeyControl en tant cluster Key Management Server (KMS) de deux nœuds.

Configuration de la première Appliance KeyControl

  1. Lancez votre navigateur Web et accédez à l’adresse IP ou au nom de domaine complet (FQDN) de l’appliance KeyControl, puis utilisez les informations d’identifications suivantes pour vous connecter :
    • Nom d’utilisateur : secroot
    • Mot de passe : secroot
Ecran de connexion KeyControl
ECRAN DE CONNEXION KEYCONTROL
  1. Une fois connecté, lisez et acceptez la licence en cliquant sur J’accepte.
Licence KeyControl
Licence
  1. Puisqu’il s’agit du premier nœud KeyControl, cliquez sur Continue as a Standalone Node.
Bienvenue sur KeyControl
BIENVENUE SUR L’ÉCRAN KEYCONTROL
  1. Entrez un nouveau mot de passe pour le compte secroot, en veillant à suivre les règles de complexité du mot de passe, puis cliquez sur Update Password.
Mot de passe KeyControl
CHANGER LE MOT DE PASSE
  1. Configurez les paramètres de votre adresse e-mail et de votre serveur de messagerie.

Je vous déconseille de désactiver les notifications par e-mail.

Mail Server Configuration KeyControl
EMAIL ET DE SERVEUR DE MESSAGERIE
  1. Il s’agit d’une étape cruciale, veuillez télécharger et conserver la clé dans un endroit sûr et mémorable

Je tiens à souligner que si vous souhaitez effectuer une récupération de l’appliance, vous devez disposer de cette clé, sinon, comme l’indique le texte, vous risquez de perdre vos données (clés de cryptage).

Key Admin KeyControl
Key Admin
  1.  Cliquez sur Continue pour Vitals Reporting.
Vitals Reporting KeyControl
Vitals Reporting

Félicitations ?, vous avez terminé avec succès la configuration du premier nœud du cluster.

KeyControl Web

Deuxième Appliance KeyControl

  1. Lancez un navigateur Web et accédez à l’adresse IP ou au nom de domaine complet (FQDN) du deuxième Appliance, puis utilisez le même compte pour vous connecter :
    • Nom d’utilisateur : secroot
    • Mot de passe : secroot
  1. Une fois connecté, lisez et acceptez la licence en cliquant sur J’accepte.
  1. Cliquez sur Join an Existing Cluster.
Bienvenue KeyControl
Join an Existing Cluster
  1. Vérifiez les informations et cliquez sur Continue.
Get Started
  1. Cliquez sur Generate and Download CSR, puis sur Continue
Download CSR
GÉNÉRER ET TÉLÉCHARGER CSR
  1. A cette étape, vous devez ouvrir une nouvelle fenêtre de navigateur et vous connecter au premier nœud KeyControl.

NB: Ne cliquez pas sur le bouton Continuer sur cet écran ! (laisser cette fenêtre ouverte)

Join Existing Cluster KeyControl
AJOUT NŒUD
  1. Une fois connecté au premier nœud KeyControl, cliquez sur Cluster dans le menu du haut.

Ensuite, cliquez sur Actions et sélectionnez Add a Node.

Ajout Node
AJOUT NŒUD
  1. Cliquez sur le bouton Load File et sélectionnez le fichier .csr de l’étape 5.

Ensuite, saisissez une Passphrase d’au moins 12 caractères.

Cliquez sur Save and Download Bundle, un fichier zip sera télécharger dans votre ordinateur.

Le fichier zip contient à la fois un certificat SSL crypté au format .p12 et un certificat CA au format .pem.

Charger la CSR
CHARGER LA CSR
  1. Cliquez sur OK et revenez à la fenêtre du navigateur du deuxième nœud, que nous avons déjà laissée ouverte (étape 6).
Basculer vers le premier nœud
BASCULER VERS LE PREMIER NŒUD
  1. Maintenant, vous pouvez cliquer sur le bouton Continuer sur cet écran.
CLIQUEZ SUR CONTINUER
  1. sélectionnez le certificat SSL et le certificat CA et cliquez sur le bouton Upload File, puis saisissez la Passphrase que vous avez créée à l’étape 9.

Cliquez sur Join.

Télécharger des certificats
TÉLÉCHARGER DES CERTIFICATS
  1. Le processus de jointure affichera les étapes nécessaires pour joindre le nœud au cluster et le deuxième nœud sera redémarré.
Progression de l'adhésion au cluster
PROGRESSION DE L’ADHÉSION AU CLUSTER
  1. Une fois que le nœud a redémarré avec succès, cliquez sur le bouton Login et connectez-vous au nœud via le compte secroot (que vous avez défini lors de la configuration du premier nœud KeyControl).
Ajout de nœud réussi
AJOUT DE NŒUD RÉUSSI
Entrust KeyControl
Page d’authentification

Une fois connecté au deuxième nœud, vous remarquerez que le menu Cluster affiche deux nœuds.

Confirmer l'état du nœud
CLUSTER KMS à 2 Nœuds
Cluster KMS à 2 nœuds
CLUSTER KMS à 2 Nœuds

Félicitations? ??, vous avez configuré avec succès un cluster KeyControl KMS à 2 nœuds.

Si vous êtes arrivé jusqu’ici, vous méritez un cadeau ?.

Votre cadeau est cette vidéo qui résume toutes les étapes d’installation et de configuration ?

YouTube player
Entrust KeyControl – Déploiement d’un cluster KMS à 2 nœuds

Articles Liés ? :

Key Management Server : Installation KeyControl

Découvrez comment déployer un serveur de gestion de clés (KMS) HyTrust KeyControl v5.2.1 à 2 nœuds pour chiffrer les données sensibles dans les machines virtuelles.

Pour commencer, voici ce dont vous aurez besoin pour suivre les étapes de cet article :

  • KeyControl OVA.
  • vCenter Server et ESXi hébergent au moins la version 6.5 ou supérieure.
  • Ressources : 2 vCPU, 8 Go de RAM et 60 Go de disque par appliance KeyControl.
  • Informations réseau : adresses IP (une adresse par VM KeyControl)

Pour informations : Entrust a annoncé le 14 janvier 2021 l’acquisition de Hytrust, en conséquence le nom commercial du produit a été changé de [HyTrust KeyControl] à [Entrust KeyControl].

Déploiement de la première Appliance Entrust KeyControl

  1. Connectez-vous à vCenter Server, une fois connecté, faites un clic droit et sélectionnez Déployer un modèle OVF
KeyControl : Déployer un modèle OVF
DEPLOY OVF TEMPLATE
  1. Cliquez sur choisir des fichiers (UPLOAD FILES) et accédez au répertoire dans lequel vous avez placé HyTrust KeyControl OVA, sélectionnez-le, puis cliquez sur Ouvrir.
UPLOAD FILES
UPLOAD FILES
  1. Maintenant que vous avez sélectionné HyTrust KeyControl OVA, cliquez sur Suivant.
KeyControl : SELECT OVF TEMPLATE
SELECT OVF TEMPLATE
  1. Donnez un nom à l’appliance HyTrust KeyControl, sélectionnez un emplacement de déploiement, puis cliquez sur Suivant.
KeyControl : VM NAME
VM & FOLDER
  1. Sélectionnez le cluster ou l’hôte vSphere, puis cliquez sur Suivant.
RESSOURCE DE CALCUL
SÉLECTIONNEZ UNE RESSOURCE DE CALCUL
  1. Vérifiez les détails, puis cliquez sur Suivant.
REVIEW DETAILS
DETAILS
  1. Acceptez le contrat de licence, puis cliquez sur Suivant.
KeyControl : LICENCE
LICENCE
  1. Sélectionnez la configuration appropriée dans la liste, puis cliquez sur Suivant.
KeyControl : SIZE
CONFIGURATION
  1. Sélectionnez le stockage et le format de disque appropriés pour l’appliance, puis cliquez sur Suivant.

STOCKAGE
SÉLECTIONNEZ LE STOCKAGE
  1. Définir le réseau approprié, puis cliquez sur Suivant.
NETWORK
RÉSEAU
  1. Fournissez les informations requises, puis cliquez sur Suivant.
PROPRIETES PERSONNALISEES
  1. Passez en revue l’écran de résumé. Si tout est correct, cliquez sur Terminer.
KeyControl : PARAMETRES
EXAMINER LES PARAMÈTRES

Vous avez déployé avec succès le premier nœud HyTrust KeyControl.

Déploiement de la deuxième Appliance

Reprenez les mêmes étapes et déployez une deuxième appliance virtuelle.

Je vous recommande fortement de déployer deux Appliances KeyControl.

Car une fois que vous commencez à chiffrer les machines virtuelles, vous devez garantir la haute disponibilité de ce service critique.

Le service fourni par le cluster KMS est aussi critique que les services fondamentaux de votre infrastructure, tels que AD et DNS.

NB: dans un autre article, je vous explique comment configurer les deux appliances virtuelles dans un cluster HA.

KeyControl System Menu Tasks

Après avoir déployé les des Appliances, nous passons à la configuration du Systsem Menu Tasks.

  1. Démarrer la machine virtuelle hébergent l’appliance HyTrust KeyControl nouvellement déployée.
  2. Ouvrer VMware Remote Console.
  3. Définir le mot de passe du compte htadmin sur l’appliance.

REMARQUE : ce mot de passe contrôle l’accès à la console du système HyTrust KeyControl, permettant aux utilisateurs d’effectuer certaines tâches d’administration privilégiées.

Après avoir appuyé sur OK, la mise en réseau et les autres sous-systèmes sont configurés.

KeyControl : System Menu Tasks
MOT DE PASSE HTADMIN
  1. Une fois la configuration terminée, veuillez noter l’adresse IP de gestion car vous en aurez besoin pour se connecter via le navigateur.
System Menu Tasks Completed
CONFIGURATION TERMINÉE

Articles Liés ? :

Invalid server certificate – VMware PowerCLI

Parfois, lorsque vous essayez de vous connecter à VMware vCenter ou ESXi à l’aide de PowerCli, vous rencontrez un problème de certificat : Invalid server certificate

Invalid server certificate

Votre certificat n’est pas valide et c’est exactement la cause de ce message d’erreur « Invalid server certificate« .

La bonne approche pour résoudre ce problème consiste à remplacer le certificat vCenter/ESX par un certificat signé par une autorité de certification de confiance.

Mais si ce n’est pas possible pour vous !!

Vous pouvez résoudre ce problème en utilisant une solution de contournement.

Cela consiste à ignorer la vérification du certificat à l’aide de la commande suivante :

Set-PowerCLIConfiguration -InvalidCertificateAction Ignore -Confirm:$false

InvalidCertificateAction

Vous pouvez maintenant vous reconnecter au vCenter ou à l’ESXi sans l’erreur de certificat.

Connect-vIServer

Key Management Server

VMware Key Management Server a été introduit dans vSphere 6.5 et vSAN 6.6 pour améliorer la sécurité.

Un cluster Key Management Server (KMS) fournit les clés que vous pouvez utiliser pour chiffrer vos VMs et Banque de données vSAN.

Key Management Server

Pour activer le chiffrement sur votre plateforme VMware vSphere, vous devez configurer un cluster KMS pour prendre en charge le chiffrement.

Cette tâche comprend l’ajout et configuration du KMS au niveau de votre vCenter Server.

Cela permet d’obtenir les clés nécessaires pour chiffrer et déchiffrer les machines virtuelles à l’aide du protocole KMIP.

Donc, KMS doit prendre en charge le protocole KMIP (Key Management Interoperability Protocol).

vCenter Server établit une connexion au serveur KMS pour obtenir les clés à attribuer aux hôtes ESXi en conservant uniquement la liste des ID de clé (NB: aucune clé n’est stockée dans vCenter Server).

Une fois le disque virtuel [*.VMDK] chiffré, seule la machine virtuelle qui gère le disque possède la clé utilisée pour le chiffrement et déchiffrement.

Ainsi, si vous essayez d’accéder au VMDK crypté à partir d’une VM non autorisée, vous n’obtenez que des données illisibles.

YouTube player

Storage Performance Tester

Storage Performance Tester est un outil de test des performances de stockage, capable de collecter les IOPS, la latence et les cycles CPU par I/O pour la pile de stockage ESXi.

Cet outil automatise toutes les étapes de test, y compris :

  • Le déploiement de VM de test
  • L’exécution de la charge de travail des I/O
  • L’analyse des performances de stockage

Il affiche également les mesures de performance à travers des graphes.

La seule chose que les utilisateurs doivent faire est de saisir une commande et d’attendre le rapport de performances.

Storage Performance Tester est conçu pour être un outil convivial pour les développeurs qui aide à dépanner et à identifier les problèmes de performances de stockage.

Il pourrait être utilisé aussi pour valider les performances maximales des nouveaux matériels/pilotes de stockage et des configurations de vSphere/vSAN.

Téléchargement

L’outil est disponible au téléchargement via : URL

vSAN Performance Monitor

vSAN Performance Monitor est un outil de surveillance basé sur les métriques de performances vSAN.

Il collectera périodiquement les performances de vSAN et d’autres mesures à partir des clusters vSAN.

Les données collectées sont visualisées de manière plus efficace et conviviale.

vSAN Performance Monitor est fourni avec des tableaux de bord préconfigurés qui aideront les clients à évaluer les performances des clusters vSAN, identifier et diagnostiquer les problèmes.

Ces tableaux de bord sont fortement inspirés de vSAN Observer.

Le moniteur est fourni dans une appliance virtuelle avec trois composants principaux, à savoir :

  • Telegraf: l’agent qui collecte les métriques du cluster vSAN et les stocke dans InfluxDB
  • InfluxDB: la base de données pour stocker les métriques
  • Grafana: Nous utilisons Grafana comme frontend pour virtualiser les métriques stockées dans InfluxDB
vSAN Performance Monitor Aarchitecture

Une fois déployés, les utilisateurs devront pointer le collecteur vers les clusters vSAN cibles et démarrer le service.

Après cela, les données seront collectées périodiquement et peuvent être visualisées sous forme de tableau de bord.

Ci-après un exemple de tableau de bord de vSAN Performance Monitor :

vSAN Performance Monitor tableau de bord
Téléchargement

L’outil est disponible au téléchargement via : URL

Badr Eddine CHAFIQ