Tagged: VMware vCenter Server

VMware vCenter Server

Configuration et Hardening vSphere 8

Le Guide Configuration et Hardening vSphere 8 est la référence en matière d’amélioration et d’audit de VMware vSphere.

Lancé il y a plus de quinze ans, il sert depuis longtemps de référence aux administrateurs de virtualisation qui cherchent à protéger leur infrastructure.

Le Guide de configuration et de renforcement de la sécurité est un kit qui comprend plusieurs artefacts :

  • VMware vSphere Security Configuration Guide 8 – Guidance.pdf
  • VMware vSphere Security Configuration Guide 8 – Controls.xlsx (fichier Excel contenant les contrôles de base du renforcement de la sécurité et exemples d’automatisation PowerCLI pour l’audit et la correction des objets vSphere).
  • Dossier Tools avec des exemples de scripts d’audit vSphere, basés sur VMware PowerCLI et la documentation associée.

Téléchargement

Il s’agit du Guide de configuration et Hardening vSphere 8 version 802-20231005-01.
Ce guide a été développé avec VMware vSphere 8 Update 2 (8.0.2) et remplace toutes les versions et instructions antérieures.

Le guide de configuration et d’amélioration de la sécurité de VMware vSphere 8 peut être téléchargé à partir de : vmware-vsphere-security-configuration-guide-8-802-20231005-01

VMSA-2023-0023

La plupart des versions de VMware vCenter sont affectées par une vulnérabilité critique VMSA-2023-0023 URL.

VMSA-2023-0023
  • Description

Cette vulnérabilité, classée critique avec un score CVSSv3 de 9.8, permet à un acteur malveillant disposant d’un accès réseau d’exécuter à distance du code arbitraire sur l’hôte où s’exécute vCenter Server.

  • Produits concernés

VMware vCenter Server.
VMware Cloud Foundation.

  • Résolution

Il n’y a pas de solution de contournement pour cette CVE et la seule mesure d’atténuation consiste à mettre à jour votre vCenter vers l’une des versions non affectées.

Seules les 3 versions de VMware vCenter [ 7.0U3o, 8.0U1d et 8.0U2 ] sont considérées comme sécurisés.

VMSA-2023-0023 mitigation :

ProductVersionRunning OnCVE IdentifierCVSSv3SeverityFixed VersionWorkaroundsAdditional Documentation
VMware vCenter Server8.0AnyCVE-2023-34048, CVE-2023-340569.8, 4.3Critical8.0U2NoneFAQ
VMware vCenter Server8.0AnyCVE-2023-340489.8Critical8.0U1dNoneFAQ
VMware vCenter Server7.0AnyCVE-2023-34048, CVE-2023-340569.8, 4.3Critical7.0U3oNoneFAQ
VMware Cloud Foundation (VMware vCenter Server)5.x, 4.xAnyCVE-2023-34048, CVE-2023-340569.8, 4.3CriticalKB88287NoneFAQ

Surveillance et Dépannage vSAN

La surveillance et le dépannage sont essentiels pour préserver les performances, la disponibilité et la fiabilité d’une infrastructure vSAN.

En combinant les disques locaux de nombreux hôtes ESXi avec vSAN, vous pouvez créer une solution de stockage distribuée et évolutive en fonction des besoins.

Quand un vSAN est en production, sa gestion et son dépannage peuvent s’avérer difficiles, surtout si vous ne disposez pas des ressources, des compétences et des procédures appropriées.

Dans cet article, nous résumerons le « Guide de surveillance et de dépannage vSAN » officiel de VMware et passerons en revue certaines éléments, suggestions et ressources les plus importantes pour la surveillance et le dépannage de vSAN.

Présentation de la surveillance vSAN

Avant de commencer à surveiller et à dépanner vSAN, il est important de connaître quelques éléments et termes importants.

1. Cluster vSAN : ensemble d’hôtes ESXi liés entre eux et configurés pour utiliser le stockage vSAN.

2. Banque de données vSAN : stockage distribué qui s’étend sur tous les hôtes ESXi du cluster vSAN.

3. Objet vSAN : une représentation logique des données enregistrées et dupliquées sur plusieurs hôtes ESXi dans le cluster vSAN.

4. Composant vSAN : représentation physique d’un élément, tel qu’un groupe de disques, un disque ou une interface réseau, sur un hôte ESXi.

5. Service de santé vSAN : un service vSphere intégré qui assure le suivi de l’état de santé et de la configuration des composants vSAN.

6. vRealize Operations Manager : une application VMware appelée vRealize Operations Manager offre une planification, analyse et surveillance sophistiquées de la capacité pour vSAN et d’autres composants vSphere.

Fonctionnalités de surveillance vSAN :

1. Indicateurs de performances : détecter d’éventuels disfonctionnements et améliorer les performances de vSAN, vous pouvez garder un œil sur plusieurs indicateurs de performances, notamment les IOPS, la latence, le débit et la profondeur de la file d’attente.

2. Utilisation de la capacité : surveillance de l’utilisation de la capacité de la banque de données vSAN et du groupe de disques vous aidera à vous assurer que vous disposez de suffisamment d’espace pour vos machines virtuelles et vos applications.

3. Tolérance aux pannes : pour vous assurer que vous disposez d’une redondance et d’une tolérance aux pannes adéquates, vous pouvez surveiller l’état et la disponibilité des objets et composants vSAN, tels que les groupes de disques, les disques et les interfaces réseau.

4. Conformité : pour vous assurer que vous respectez les meilleures pratiques et éviter d’éventuels problèmes, vous pouvez vérifier la conformité des paramètres de configuration de vSAN, tels que les règles de stockage, les formats de disque et les paramètres réseau.

Dépannage avec vSAN

  • Fichiers journaux : pour rechercher d’éventuels problèmes et pannes, vous pouvez utiliser divers fichiers journaux, notamment les journaux de l’hôte ESXi, les journaux de vCenter Server et les journaux du service de santé vSAN.

  • Outils : pour collecter et analyser les données de performances et de dépannage, vous pouvez utiliser un certain nombre d’outils, notamment vSAN Observer, ESXTOP et vSphere Web Client.

  • Scénarios de test : pour vérifier la robustesse et la disponibilité de votre infrastructure vSAN, vous pouvez simuler plusieurs situations de test, notamment le réseau, la panne de disque et les pannes de courant.

  • Base de connaissances : vous pouvez accéder à des articles, des vidéos et des forums qui peuvent vous aider à résoudre certains problèmes liés à vSAN en utilisant la base de connaissances et les services d’assistance de VMware.

vSphere 8 Update 2

VMware vient d’annoncer la disponibilité de vSphere 8 Update 2.

vSphere 8 Update 2 est une mise à jour majeure de la plate-forme de virtualisation de VMware, publiée le 21 septembre 2023. Elle comprend un certain nombre de nouvelles fonctionnalités et améliorations qui sont conçues pour améliorer les performances, l’évolutivité et la sécurité des environnements virtualisés.

Cette mise à jour vise à renforcer l’efficacité opérationnelle des administrateurs, à optimiser les performances des charges de travail exigeantes et à accélérer le rythme de l’innovation pour les ingénieurs DevOps, les développeurs et toute personne souhaitant bénéficier d’un accès en libre-service aux prestations d’infrastructures.

Principales fonctionnalités de vSphere 8 Update 2

  • Mise à niveau de la planification des ressources distribuées (DRS) : DRS a été amélioré pour défragmenter automatiquement les machines virtuelles (VM) équipées de vGPU pour accueillir de nouvelles VM. Cela facilite le déploiement et la gestion des VM qui nécessitent des vGPU.
vSphere 8 Update 2: vGPU-Aware
  • Installation simplifiée de l’appliance vCenter Server : Le processus d’installation de l’appliance vCenter Server a été simplifié, ce qui facilite le déploiement et la gestion de vCenter Server sur site ou dans le cloud.
  • Amélioration de la sécurité pour vSphere with Tanzu : vSphere with Tanzu a été amélioré avec de nouvelles fonctionnalités de sécurité, notamment la prise en charge du contrôle d’accès à base des rôles Kubernetes (RBAC) et des politiques de sécurité des pods (pod security policies).
  • Réduction du temps d’arrêt lors des mises à niveau de vCenter : Initialement introduite l’année dernière pour les clients vSphere+, VMware a étendu la disponibilité de cette fonctionnalité à toutes les éditions de vSphere. Lors d’une mise à niveau, le temps d’arrêt du vCenter est significativement réduit, passant généralement d’une heure à quelques minutes. Essentiellement, cette courte durée couvre le temps nécessaire pour arrêter les services sur l’ancien vCenter et démarrer les services sur le nouveau. Par conséquent, les fenêtres de maintenance planifiées sont bien plus courtes. Les mises à niveau peuvent être effectuées plus fréquemment en raison du processus simplifié, permettant aux organisations de bénéficier plus rapidement des dernières fonctionnalités de vCenter.
vSphere 8 Update 2: Reduce planned Downtime vCenter Upgrade :
  • Support de la Fédération d’Identité Microsoft Entra ID (anciennement Azure AD) : au cours des dernières années, VMware a régulièrement étendu la prise en charge des fournisseurs d’identité tiers, incluant notamment Microsoft Active Directory Federation Service (ADFS) et plus récemment Okta Identity Service. Dans cette version, VMware annonce l’intégration de la prise en charge de Microsoft Entra ID (anciennement Azure AD).

Avantages de la mise à niveau vers vSphere 8 Update 2

  • Amélioration des performances : Les améliorations apportées à DRS et DKV (Distributed Key-Value Store) peuvent contribuer à améliorer les performances des charges de travail virtualisées.
  • Augmentation de l’évolutivité : vSphere 8 Update 2 peut prendre en charge plus de VM et d’hôtes que les versions précédentes.
  • Amélioration de la sécurité : Les nouvelles fonctionnalités de sécurité peuvent contribuer à protéger les environnements virtualisés des cyberattaques.

Mise à niveau vers vSphere 8 Update 2

Le processus de mise à niveau vers vSphere 8 Update 2 est relativement simple.

Je vous invite à vous référer à l’article vSphere 8 : Mise à niveau-Upgrade pour une gestion optimale de votre processus de mise à niveau.

VMware fournit un certain nombre de ressources pour aider au processus de mise à niveau, notamment de la documentation et du support.

Téléchargement

  • vSphere 8 Update 2 est disponible ici

Articles Liés

Mise à niveau vCenter 8.0 U2 via VAMI

Dans cet article, je vais décrire comment mettre à niveau vCenter Server Appliance vers la version 8.0 U2 via le déploiement du patch en utilisant l’interface VAMI (vCenter Server Appliance Management Interface).

  • Télécharger le patch VC-8.0u2.
  • Monter le patch ISO de mise à niveau sur le serveur vCenter.
  • Aller dans les propriétés de la VM vCenter Server.
  • Connectez l’ISO VCSA au CD/DVD Drive.
  • Cochez la case Connect At Power On et cliquez sur OK.
  • Dans un navigateur Web, accédez à l’interface de gestion VAMI : https://vCenter-IP-address-or-FQDN:5480
  • Accéder au menu Services et vérifier que tous les services sont dans l’état Healthy et Started.
  • Allez ensuite dans le menu Update et cliquez sur Check Updates.
  • Sélectionnez le correctif et cliquez sur « Stage and Install« .
  • Acceptez le contrat de licence et cliquez sur Next.

Sauvegarder le vCenter Server et sélectionner “I have backed up vCenter Server and its associated databases“, cliquez sur « Finish« .

  • La mise à niveau a réussi et la version affichée est 8.0.2.00000.

VMware Private AI

VMware annonce la disponibilité de VMware Private AI, une approche architecturale pour les services d’intelligence artificielle (IA) qui permet aux entreprises de :

  • Conserver la confidentialité et le contrôle de leurs données d’entreprise
  • Choisir des solutions d’IA open source ou commerciales
  • Réaliser un retour sur investissement rapide
  • Bénéficier d’une sécurité et d’une gestion intégrées

VMware Private AI offre aux entreprises la flexibilité de déployer une gamme de solutions d’IA, notamment :

  • Les logiciels NVIDIA AI
  • Les référentiels communautaires open source
  • Les fournisseurs de logiciels indépendants

Les entreprises peuvent déployer Private AI en toute confiance, sachant que VMware a noué des partenariats avec les principaux fournisseurs d’IA.

VMware Private AI offre également des performances élevées grâce aux intégrations GPU vSphere et VMware Cloud Foundation.

VMware Private AI s’appuie sur un vaste réseau de partenaires, notamment :

  • Les leaders du secteur tels que NVIDIA et Intel.
  • Les fabricants OEM de serveurs majeurs tels que Dell Technologies, Hewlett Packard Enterprise (HPE) et Lenovo.
  • Les fournisseurs d’IA et de ML Ops tels que Anyscale, Run:ai et Domino Data Lab
  • Les intégrateurs de systèmes mondiaux tels que HCL et Wipro
VMware Private AI Open Ecosystem

Pour concrétiser l’architecture Private AI au sein des entreprises et stimuler une nouvelle génération d’applications basées sur l’IA, VMware a récemment annoncé deux initiatives majeures :

  • VMware Private AI Foundation avec NVIDIA : Cette collaboration étend le partenariat stratégique entre les deux entreprises. L’objectif est de préparer les entreprises qui utilisent l’infrastructure cloud de VMware à la prochaine ère de l’IA générative. Cette initiative vise à offrir une base solide pour la mise en œuvre de solutions d’IA avancées.
  • VMware Private AI Reference Architecture for Open Source : Cette architecture de référence a été conçue pour aider les clients à atteindre leurs objectifs en matière d’IA en prenant en charge les meilleures technologies de logiciels libres existantes et futures. Elle offre une approche pratique et évolutive pour l’intégration d’initiatives d’IA basées sur des solutions open source au sein des entreprises.

Ces deux annonces soulignent l’engagement de VMware à faciliter l’adoption et la mise en œuvre de solutions d’IA avancées au sein des entreprises, en exploitant des partenariats stratégiques et en fournissant des architectures de référence flexible

Réinitialisation Root vCenter

Cas de Réinitialisation Root vCenter

Le mot de passe root est quelque chose que chaque administrateur doit conserver dans un outil de gestion de mots de passe ou un coffre-fort numérique.

Un fichier texte n’est jamais un bon endroit pour enregistrer des mots de passe mais plutôt un risque pour la sécurité.

Un jour, vous risquez d’oublier le mot de passe root de votre vCenter Server Appliance ou le mot de passe expire.

La réinitialisation du mot de passe root de vCenter Server Appliance est une tâche relativement simple, mais nécessite le redémarrage de la VM vCenter Server, ce qui entraîne une perte temporaire de la couche de gestion via vCenter.

Le redémarrage de vCenter n’affecte pas les machines virtuelles car elles s’exécutent sur les hôtes ESXi, cependant, les fonctionnalités du cluster pilotées par vCenter telles que DRS, HA ou vMotion ne fonctionneront pas pendant la durée du redémarrage.

Réinitialisation mot de passe root vCenter

Je vais fournir les étapes détaillées pour réinitialiser un mot de passe root vCenter perdu, oublié ou expiré pour un vCenter Server Appliance 6.x, 7.x ou 8.x :

1. Prenez un snapshot de la VM et forcer un redémarrage, une fois l’écran de démarrage de Photon OS affiché, appuyez rapidement sur « e » pour révéler le menu de démarrage de Grub.

Ensuite, dans le menu GNU GRUB, tapez rw init=/bin/bash après $systemd_cmdline.

Réinitialisation Root vCenter 1

2. Une fois ajouté, appuyez sur F10 pour continuer le démarrage.

3. Tapez la commande suivante :

mount -o remount,rw /

Appuyez sur Entrée .

Réinitialisation Root vCenter 2

4. Pour modifier le mot de passe, tapez la commande suivante :

passwd

Et entrez le nouveau mot de passe root deux fois. Confirmez en appuyant sur Entrée .

Réinitialisation Root vCenter 3

4. Si le mot de passe a été mis à jour avec succès, il est temps de redémarrer le VCSA.

Tapez la commande suivante :

umount /

Appuyez sur Entrée .

Redémarrez ensuite l’appliance en exécutant la commande suivante :

reboot -f

Appuyez sur Entrée .

Réinitialisation Root vCenter 5

5. Une fois vCenter opérationnel, confirmez que le nouveau mot de passe root fonctionne en vous connectant à l’interface de gestion de vCenter Server Appliance (VAMI).

https://vCenter_IP:5480

ESXi Comptes par défaut

ESXi Comptes par défaut : l’hyperviseur VMware ESXi est déployé avec deux comptes intégrés, root et dcui, et lorsqu’il est géré avec VMware vCenter Server, il est généralement activé avec un troisième compte, vpxuser.

Root

Le compte root est créé lors de l’installation. Il est nécessaire pour l’administration et n’est pas supprimable.

Le mot de passe peut être modifié manuellement et via les interfaces utilisateur et les API.

Il n’existe aucune disposition permettant de modifier automatiquement le mot de passe ou d’en assurer la rotation, ni de le gérer en dehors des interfaces utilisateur et des interfaces de programmation du produit.

Le mot de passe n’est pas « par défaut » puisqu’il est spécifié par l’administrateur lors de l’installation.

Le mot de passe est soumis aux paramètres de complexité et d’historique du mot de passe ESXi, tels que Security.PasswordQualityControl.

Le mot de passe est stocké sous la forme d’un hachage SHA512, conformément aux systèmes d’exploitation UNIX.

Un accès administratif équivalent peut être accordé à d’autres comptes ajoutés après l’installation pour une utilisation quotidienne par les administrateurs vSphere, de sorte que des alertes de surveillance des journaux (Log Insight et autres) puissent être créées pour une utilisation directe de ce compte.

Il n’est pas recommandé de désactiver l’accès au shell pour ce compte sur ESXi 8.0.0 ou plus récent.

dcui

Le compte dcui est créé lors de l’installation. Il est nécessaire pour isoler le service de console directe et n’est pas supprimable.

Le mot de passe peut être modifié manuellement et par programme via les interfaces utilisateur et les interfaces de programmation du produit, bien qu’il soit recommandé de le laisser verrouillé.

Il n’existe aucune disposition permettant de modifier automatiquement le mot de passe ou d’effectuer une rotation, ni de le gérer en dehors des interfaces utilisateur et des interfaces de programmation du produit.

Il n’y a pas de mot de passe par défaut. Le compte est verrouillé par la méthode standard UNIX qui consiste à remplacer le mot de passe dans /etc/shadow par une valeur incompatible avec un hachage SHA512 (comme ‘x’ ou ‘!’ ou ‘*’).

Le compte ne devrait pas avoir de mot de passe configuré, mais s’il en avait un, il serait soumis aux paramètres de complexité et d’historique des mots de passe ESXi, tels que Security.PasswordQualityControl.

Le mot de passe, s’il est défini, serait stocké sous la forme d’un hachage SHA512, conformément aux systèmes d’exploitation UNIX et de type UNIX.

Les administrateurs vSphere n’ont aucune raison de se connecter à ESXi de cette manière, en tant que tel, ce compte peut voir son accès au shell supprimé dans ESXi 8.0.0 et les versions plus récentes.

vpxuser

Le compte vpxuser est créé lorsque ESXi est attaché pour la première fois à vCenter Server.

Il est nécessaire pour l’administration par vCenter Server. Pour attacher ESXi à vCenter Server, l’administrateur vSphere fournit des identifiants root ou équivalents. vCenter Server utilise ces identifiants pour créer et sécuriser le compte ‘vpxuser’ et tous les accès ultérieurs de vCenter Server se font par l’intermédiaire de vpxuser.

Le mot de passe peut, mais ne doit pas, être modifié manuellement, car vCenter Server devra être reconnecté, ce qui peut entraîner des problèmes opérationnels et des pannes.

vCenter Server effectuera automatiquement une rotation du mot de passe à un intervalle régi par le paramètre avancé VirtualCenter.VimPasswordExpirationInDays de vCenter Server, mesuré en jours, avec un minimum de 1 et une valeur par défaut de 30 jours.

Le mot de passe généré aléatoirement est composé de 32 caractères utilisant quatre classes de caractères (chiffres, caractères spéciaux, majuscules et minuscules) et ce mot de passe est généré de manière aléatoire pour chaque hôte ESXi.

Le mot de passe est soumis aux paramètres de complexité et d’historique du mot de passe ESXi, tels que Security.PasswordQualityControl.

Le mot de passe est stocké sous la forme d’un hachage SHA512 sur ESXi, conformément aux systèmes d’exploitation UNIX.

Pour permettre la gestion, vCenter Server stocke le mot de passe vpxuser dans un format crypté à l’intérieur de la base de données vCenter Server Appliance.

Ce compte n’est pas supprimable et il n’est pas possible de lui substituer un autre compte.

L’accès au shell peut être supprimé sur ESXi 8.0.0 et les versions plus récentes, mais cela aura un impact sur les capacités de gestion de vCenter Server.

Il n’y a aucune raison pour que les administrateurs vSphere se connectent à ESXi avec ce compte, de sorte que les alertes de surveillance des journaux (Log Insight et autres) peuvent être configurées pour s’alarmer si ce compte est accessible à partir de n’importe quel endroit autre que vCenter Server.

ESXi Comptes par défaut

Badr Eddine CHAFIQ