Tagged: VMware vExpert Community

vSAN Max

vSAN Max est une solution de stockage hyperconvergée (HCI) distribuée et évolutive pour les clusters vSphere.

Comparativement à vSAN, qui est intégré au cluster de serveurs exécutant les machines virtuelles, vSAN Max est utilisé pour former un cluster exclusivement dédié au stockage.

vSAN MAX

Pour augmenter la résilience vSAN Max prend en charge l’architecture de cluster étendue (Stretched Cluster) et même les domaines de pannes (Fault Domain) vSAN.

Multiple client cluster types and multiple vSAN Max cluster types

Son avantage financier réside dans sa capacité à étendre la quantité de disques à partir de serveurs moins puissants et donc plus abordables.

En résumé, vSAN avait été conçu pour permettre une extension aisée d’une plateforme de virtualisation en ajoutant au besoin des serveurs identiques, conformément au principe des infrastructures hyperconvergées.

De son côté, vSAN Max convient davantage aux scénarios où les applications consomment progressivement plus de données et stockage avec le temps, sans nécessiter une augmentation de leur puissance (CPU et Mémoire).

Il suffit d’ajouter des nœuds ou des périphériques de stockage à chaque nœud pour répondre aux exigences de capacité et de performance de votre entreprise. Vous pouvez ainsi faire évoluer vos ressources de stockage indépendamment de vos ressources de calcul.

En l’occurrence, vSAN Max peut gérer jusqu’à 8,6 Po de capacité. Optimisé pour les SSD NVMe (le système conserve la même base technique que vSAN 8), il est capable de supporter, selon VMware, 3,6 millions d’IOPS par cluster dédié au stockage.

Du point de vue commercial, vSAN Max n’est pas une extension de vSAN, mais un produit distinct.

Ainsi, vSAN est facturé en fonction du nombre de processeurs présents dans le cluster, tandis que vSAN Max est tarifé en fonction de la capacité de stockage qu’il gère.

John Gilmartin, directeur de VMware en charge du développement des produits de stockage, souligne : « Vous pourriez considérer que vSAN Max est finalement simplement une baie de stockage comme celles fournies par nos partenaires. Cependant, l’objectif de vSAN a toujours été de simplifier l’utilisation du stockage via notre console d’administration vCenter, qui gère également les machines virtuelles. C’est ce que nous continuons à faire avec la version Max ».

vSAN MAX est basé sur l’architecture de stockage express (ESA) de vSAN, qui offre une gamme d’avantages, notamment :

  • Évolutivité : peut être mis à l’échelle jusqu’à des pétaoctets de capacité de stockage en ajoutant des nœuds supplémentaires au cluster.
  • Performances : peut fournir des niveaux élevés de performances pour les machines virtuelles, même à l’échelle du pétaoctet.
  • Fiabilité : très résilient et peut résister à plusieurs pannes sans perte de données.
  • Coût-efficacité : une solution rentable pour le stockage partagé, car il peut être déployé sur du matériel standard.

vSAN Max est une solution de stockage partagé idéale pour tout environnement utilisant des clusters vSphere. Elle permet de répondre à tous les cas d’utilisation courants des baies de stockage, tout en offrant l’évolutivité, les performances et les capacités de gestion associées à l’architecture HCI.

Common use cases for vSAN Max

vSphere Firewalling Helper

vSphere Firewalling Helper a pour but d’aider les organisations à protéger leurs environnements, en leur permettant d’élaborer des règles de flux réseau granulaires pour l’accès aux interfaces de gestion vSphere.

Son objectif est d’aider à identifier et documenter les ouvertures de flux nécessaires à mettre en œuvre au niveau du pare-feu réseau, pour le déploiement VCF et/ou vSphere.

Les ports internes (ports visibles dans netstat, écoutant sur 127.0.0.1 ou ::1, ou non autorisés par iptables) se trouvent à l’intérieur du périmètre de support des appliances et sont listés ici afin de faciliter les efforts de conformité réglementaire des clients (NERC CIP, PCI DSS 4.0, etc.).

La modification des ports internes des composants et appliances vSphere n’est ni supportée ni recommandée.

Public visé

Ce document couvre VMware vSphere 6.5, 6.5, 7.0 et 8.0.

Les configurations ont été évaluées par rapport à vSphere 7 Update 3 et vSphere 8 Update 1.

Téléchargement


Il est disponible sous forme de fichier Excel et peut être téléchargé à partir de : vSphere Firewalling Helper

Réinitialisation Root vCenter

Cas de Réinitialisation Root vCenter

Le mot de passe root est quelque chose que chaque administrateur doit conserver dans un outil de gestion de mots de passe ou un coffre-fort numérique.

Un fichier texte n’est jamais un bon endroit pour enregistrer des mots de passe mais plutôt un risque pour la sécurité.

Un jour, vous risquez d’oublier le mot de passe root de votre vCenter Server Appliance ou le mot de passe expire.

La réinitialisation du mot de passe root de vCenter Server Appliance est une tâche relativement simple, mais nécessite le redémarrage de la VM vCenter Server, ce qui entraîne une perte temporaire de la couche de gestion via vCenter.

Le redémarrage de vCenter n’affecte pas les machines virtuelles car elles s’exécutent sur les hôtes ESXi, cependant, les fonctionnalités du cluster pilotées par vCenter telles que DRS, HA ou vMotion ne fonctionneront pas pendant la durée du redémarrage.

Réinitialisation mot de passe root vCenter

Je vais fournir les étapes détaillées pour réinitialiser un mot de passe root vCenter perdu, oublié ou expiré pour un vCenter Server Appliance 6.x, 7.x ou 8.x :

1. Prenez un snapshot de la VM et forcer un redémarrage, une fois l’écran de démarrage de Photon OS affiché, appuyez rapidement sur « e » pour révéler le menu de démarrage de Grub.

Ensuite, dans le menu GNU GRUB, tapez rw init=/bin/bash après $systemd_cmdline.

Réinitialisation Root vCenter 1

2. Une fois ajouté, appuyez sur F10 pour continuer le démarrage.

3. Tapez la commande suivante :

mount -o remount,rw /

Appuyez sur Entrée .

Réinitialisation Root vCenter 2

4. Pour modifier le mot de passe, tapez la commande suivante :

passwd

Et entrez le nouveau mot de passe root deux fois. Confirmez en appuyant sur Entrée .

Réinitialisation Root vCenter 3

4. Si le mot de passe a été mis à jour avec succès, il est temps de redémarrer le VCSA.

Tapez la commande suivante :

umount /

Appuyez sur Entrée .

Redémarrez ensuite l’appliance en exécutant la commande suivante :

reboot -f

Appuyez sur Entrée .

Réinitialisation Root vCenter 5

5. Une fois vCenter opérationnel, confirmez que le nouveau mot de passe root fonctionne en vous connectant à l’interface de gestion de vCenter Server Appliance (VAMI).

https://vCenter_IP:5480

vSAN ESA

VMware vSAN ESA, il existe deux types de VMware VSAN : l’Original Storage Architecture (OSA) et l’Express Storage Architecture (ESA).

vSAN ESA

OSA (Original Storage Architecture)

vSAN OSA est la première architecture de VMware VSAN et il est conçu pour être installé sur des serveurs existants et utilise les ressources de stockage existantes pour créer un pool de stockage partagé.

L’OSA peut être implémenté en utilisant des serveurs standards, ce qui le rend facilement accessible pour les petites et moyennes entreprises qui n’ont pas les ressources pour investir dans une infrastructure de stockage dédiée.

Aussi, il est conçu pour être facile à utiliser et à gérer, afin d’offrir une solution de stockage simple et abordable pour les entreprises.

ESA (Express Storage Architecture)

vSAN ESA (Express Storage Architecture) de VMware VSAN offre plusieurs avantages par rapport à l’OSA dans le contexte de VMware VSAN :

Performances de stockage améliorées

L’ESA utilise des disques NVMe connus par leur performance élevée en matière de stockage.

Les disques NVMe offrent des temps de réponse ultra-rapides, une bande passante de stockage plus élevée et une latence réduite par rapport aux disques SATA et SAS utilisés dans l’OSA.

Cela permet d’améliorer les performances de stockage pour les charges de travail intensives en E/S, ce qui peut être particulièrement bénéfique pour les applications nécessitant des temps de réponse rapides, tels que les bases de données transactionnelles ou les environnements VDI (Virtual Desktop Infrastructure).

Protocoles de stockage avancés

ESA utilise des protocoles de stockage plus avancés, notamment le protocole RDMA (Remote Direct Memory Access).

Le RDMA permet une communication directe entre les nœuds de stockage sans passer par le CPU, ce qui réduit la latence et améliore les performances de stockage.

Cela permet de tirer pleinement parti des performances des disques NVMe et d’optimiser la communication entre les nœuds de stockage dans le cluster VSAN.

Mise en cache en mode écriture

ESA prend en charge la mise en cache en mode écriture (write-back caching) pour stocker les données temporairement en mémoire vive avant d’être écrites sur le disque.

Ce qui permet d’accélérer les performances d’écriture, car les données peuvent être rapidement enregistrées en mémoire vive avant d’être écrites sur le disque, évitant ainsi les goulots d’étranglement potentiels liés à l’écriture directe sur le disque.

L’OSA, en revanche, utilise la mise en cache en mode lecture seule (read-only caching) qui offre des performances de stockage moins optimisées en écriture.

Clusters all-flash

ESA prend en charge les clusters all-flash, ce qui signifie que tous les disques utilisés dans le cluster sont des disques SSD. Cela permet d’obtenir des performances de stockage extrêmement élevées, car les disques SSD offrent une latence réduite et une bande passante de stockage plus élevée par rapport aux disques magnétiques traditionnels utilisés dans l’OSA.

Les clusters all-flash sont idéaux pour les charges de travail gourmandes en performances, nécessitant un accès rapide et efficace aux données.

Évolutivité

ESA offre une meilleure évolutivité par rapport à l’OSA. Les disques NVMe et les protocoles de stockage avancés utilisés dans l’ESA permettent de gérer des charges de travail plus importantes et de mieux gérer les pics de demande de stockage. Cela offre une flexibilité accrue pour les entreprises en croissance ou ayant des besoins de stockage importants.

En résumé, vSAN ESA offre des performances de stockage plus rapides et plus efficaces grâce à l’utilisation de disques NVMe, de protocoles de stockage plus avancés et de la mise en cache en mode écriture. Cela en fait une solution de stockage plus adaptée pour les charges de travail intensives en E/S, telles que les bases de données, les applications transactionnelles et les environnements VDI. Cependant, l’OSA peut être une solution plus abordable et plus facile à déployer pour les entreprises qui ont des besoins de stockage moins intensifs.

YouTube player

Articles Liés :

Introduction to VMware vSphere+

VMware vSphere+™ peut aider les organisations informatiques à stimuler l’efficacité opérationnelle, à accélérer l’innovation, à se transformer grâce à l’intégration du cloud et à apporter les avantages du cloud aux infrastructures et charges de travail sur site (on-premises).

YouTube player

ESXi Comptes par défaut

ESXi Comptes par défaut : l’hyperviseur VMware ESXi est déployé avec deux comptes intégrés, root et dcui, et lorsqu’il est géré avec VMware vCenter Server, il est généralement activé avec un troisième compte, vpxuser.

Root

Le compte root est créé lors de l’installation. Il est nécessaire pour l’administration et n’est pas supprimable.

Le mot de passe peut être modifié manuellement et via les interfaces utilisateur et les API.

Il n’existe aucune disposition permettant de modifier automatiquement le mot de passe ou d’en assurer la rotation, ni de le gérer en dehors des interfaces utilisateur et des interfaces de programmation du produit.

Le mot de passe n’est pas « par défaut » puisqu’il est spécifié par l’administrateur lors de l’installation.

Le mot de passe est soumis aux paramètres de complexité et d’historique du mot de passe ESXi, tels que Security.PasswordQualityControl.

Le mot de passe est stocké sous la forme d’un hachage SHA512, conformément aux systèmes d’exploitation UNIX.

Un accès administratif équivalent peut être accordé à d’autres comptes ajoutés après l’installation pour une utilisation quotidienne par les administrateurs vSphere, de sorte que des alertes de surveillance des journaux (Log Insight et autres) puissent être créées pour une utilisation directe de ce compte.

Il n’est pas recommandé de désactiver l’accès au shell pour ce compte sur ESXi 8.0.0 ou plus récent.

dcui

Le compte dcui est créé lors de l’installation. Il est nécessaire pour isoler le service de console directe et n’est pas supprimable.

Le mot de passe peut être modifié manuellement et par programme via les interfaces utilisateur et les interfaces de programmation du produit, bien qu’il soit recommandé de le laisser verrouillé.

Il n’existe aucune disposition permettant de modifier automatiquement le mot de passe ou d’effectuer une rotation, ni de le gérer en dehors des interfaces utilisateur et des interfaces de programmation du produit.

Il n’y a pas de mot de passe par défaut. Le compte est verrouillé par la méthode standard UNIX qui consiste à remplacer le mot de passe dans /etc/shadow par une valeur incompatible avec un hachage SHA512 (comme ‘x’ ou ‘!’ ou ‘*’).

Le compte ne devrait pas avoir de mot de passe configuré, mais s’il en avait un, il serait soumis aux paramètres de complexité et d’historique des mots de passe ESXi, tels que Security.PasswordQualityControl.

Le mot de passe, s’il est défini, serait stocké sous la forme d’un hachage SHA512, conformément aux systèmes d’exploitation UNIX et de type UNIX.

Les administrateurs vSphere n’ont aucune raison de se connecter à ESXi de cette manière, en tant que tel, ce compte peut voir son accès au shell supprimé dans ESXi 8.0.0 et les versions plus récentes.

vpxuser

Le compte vpxuser est créé lorsque ESXi est attaché pour la première fois à vCenter Server.

Il est nécessaire pour l’administration par vCenter Server. Pour attacher ESXi à vCenter Server, l’administrateur vSphere fournit des identifiants root ou équivalents. vCenter Server utilise ces identifiants pour créer et sécuriser le compte ‘vpxuser’ et tous les accès ultérieurs de vCenter Server se font par l’intermédiaire de vpxuser.

Le mot de passe peut, mais ne doit pas, être modifié manuellement, car vCenter Server devra être reconnecté, ce qui peut entraîner des problèmes opérationnels et des pannes.

vCenter Server effectuera automatiquement une rotation du mot de passe à un intervalle régi par le paramètre avancé VirtualCenter.VimPasswordExpirationInDays de vCenter Server, mesuré en jours, avec un minimum de 1 et une valeur par défaut de 30 jours.

Le mot de passe généré aléatoirement est composé de 32 caractères utilisant quatre classes de caractères (chiffres, caractères spéciaux, majuscules et minuscules) et ce mot de passe est généré de manière aléatoire pour chaque hôte ESXi.

Le mot de passe est soumis aux paramètres de complexité et d’historique du mot de passe ESXi, tels que Security.PasswordQualityControl.

Le mot de passe est stocké sous la forme d’un hachage SHA512 sur ESXi, conformément aux systèmes d’exploitation UNIX.

Pour permettre la gestion, vCenter Server stocke le mot de passe vpxuser dans un format crypté à l’intérieur de la base de données vCenter Server Appliance.

Ce compte n’est pas supprimable et il n’est pas possible de lui substituer un autre compte.

L’accès au shell peut être supprimé sur ESXi 8.0.0 et les versions plus récentes, mais cela aura un impact sur les capacités de gestion de vCenter Server.

Il n’y a aucune raison pour que les administrateurs vSphere se connectent à ESXi avec ce compte, de sorte que les alertes de surveillance des journaux (Log Insight et autres) peuvent être configurées pour s’alarmer si ce compte est accessible à partir de n’importe quel endroit autre que vCenter Server.

ESXi Comptes par défaut

vExpert feedback

Je vous invite à regarder ces courtes vidéos de 4 vExperts partageant leurs retours d’expérience sur le programme VMware vExpert.

Articles Liés ? :

VMware vExpert 2023

VMware vExpert 2023

VMware vExpert

Les candidatures VMware vExpert 2023 ont été ouvertes le lundi 12 décembre 2022.

VMware récompense les professionnels de l’informatique qui partagent leurs connaissances autour des technologies VMware et les apportent à la communauté, donc ceux qui ont un impact significatif et positif sur la communauté VMware.

Le programme VMware vExpert est le programme mondial d’évangélisation et de sensibilisation de VMware.

Vous pouvez déposer votre candidature sur le lien : https://vexpert.vmware.com/apply 

Le programme est conçu pour mettre les ressources marketing de VMware au service de vos efforts, promotion de vos articles, visibilité lors des événements VMware mondiaux, publicité coopérative et accès aux programmes bêta et à la feuille de route de VMware.

Les récompenses sont destinées aux individus et non aux entreprises et pour une durée d’un an.

Dans l’application, VMware prend en compte diverses activités communautaires de l’année précédente ainsi que les activités de l’année en cours (pour les applications du second semestre).

Si vous souhaitez devenir VMware vExpert, le processus de candidature est simple.

Il existe plusieurs façons de partager vos connaissances et de vous engager avec la communauté.

Certaines de ces activités sont : les blogs, la création de livres, les activités sur les réseaux sociaux, les forums (VMTN et autres plateformes non VMware), la prise de parole en public, la gestion de VMUG, les vidéos, etc…

Deux fois par an les candidatures sont ouvertes pour une période de 30 jours.

Tous les vExpert, VCDX ainsi que tous les nouveaux candidats doivent postuler au moins une fois par an.

Pour plus de détail : URL

Security Configuration Guide

vSphere Security Configuration Guide (SCG) est la référence pour les bonnes pratiques de renforcement de la sécurité et d’audit pour VMware vSphere..

 Security Configuration Guide

Il a longtemps servi de guide aux administrateurs vSphere cherchant à protéger leur infrastructure.

Le Guide de configuration de la sécurité vSphere est un ensemble de meilleures pratiques de sécurité.

L’activation de toutes les fonctionnalités de sécurité à leurs niveaux les plus élevés peut être préjudiciable, entravant les efforts quotidiens des administrateurs pour exploiter, corriger et surveiller leurs environnements.

vSphere Security Configuration Guide n’est pas un catalogue de tous les contrôles de sécurité disponibles, c’est simplement une base de référence raisonnable à partir de laquelle nous pouvons opérer.

  • Téléchargement

Vous pouvez télécharger le Guide de configuration de la sécurité VMware vSphere 8 sur : URL

  • Public visé

Le public du Guide de configuration de la sécurité vSphere est les clients VMware vSphere qui ont déployé vSphere 8.

Il existe de nombreux produits d’infrastructure de centre de données et de cloud hybride, tels que VMware Cloud Foundation, VMware Cloud, Dell EMC VxRail et d’autres qui implémentent vSphere dans le cadre de leurs solutions.

Pour ce type de solution, vous devez vérifier auprès du support technique de ces produits avant d’appliquer ces bonnes pratiques VMware.

Badr Eddine CHAFIQ