Le 6 avril 2022, VMware a publié VMSA-2022-0011, un avis de sécurité critique traitant des vulnérabilités de sécurité détectées dans les produits VMware Workspace ONE Access, VMware Identity Manager (vIDM), vRealize Lifecycle Manager, vRealize Automation et VMware Cloud Foundation.
VMware Identity Manager est également un composant externe facultatif qui peut fournir une authentification et une autorisation pour d’autres produits, tels que NSX, vRealize Operations, vRealize Log Insight et vRealize Network Insight.
La VMSA-2022-0011 sera toujours la source pour les produits et versions concernés, les solutions de contournement et les correctifs appropriés.
Produits impactés
VMware Workspace ONE Access (Access)
VMware Identity Manager (vIDM)
VMware vRealize Automation (vRA)
VMware Cloud Foundation
vRealize Suite Lifecycle Manager
Informations supplémentaires
Veuillez consulter l’article VMware pour plus de détails :URL
VMware a publié VMSA-2022-0004 plusieurs vulnérabilités dans VMware ESXi, Workstation et Fusion et des mises à jour sont disponibles pour corriger ces vulnérabilités dans les produits VMware concernés.
Les vulnérabilités individuelles documentées sur cette VMSA ont une gravité importante/modérée, mais la combinaison de ces problèmes peut entraîner une gravité plus élevée, par conséquent la gravité de cette VMSA est au niveau de gravité critique.
La VMSA-2022-0004 sera toujours la source pour les produits et versions concernés, les solutions de contournement et les correctifs appropriés.
Solution de contournement : supprimer les contrôleurs USB des machines virtuelles, bien que cela puisse être irréalisable à grande échelle et n’élimine pas la menace potentielle comme le fait le correctif.
Avec cette VMSA, des versions supplémentaires de correctifs sont disponibles pour les clients qui utilisent VMware vSphere 7 Update 1 et Update 2, dans le but d’aider les clients qui ne peuvent pas effectuer la mise à niveau vers vSphere 7 Update 3c pour le moment.
Le 04 janvier, VMware a publié l’avis de sécurité (security advisory) VMSA-2022-0001 pour une vulnérabilité de débordement de tas »Heap-Overflow » qui affecte plusieurs produits VMware.
Cette vulnérabilité permet à un attaquant de provoquer l’exécution de code arbitraire à distance.
VMware déclare qu’un acteur malveillant ayant accès à une machine virtuelle avec une émulation de périphérique de CD-ROM peut être en mesure d’exploiter cette vulnérabilité pour exécuter du code sur l’hyperviseur à partir d’une machine virtuelle.
L’exploitation réussie de CVE-2021-22045 par un acteur malveillant peut entraîner :
L’exécution de code arbitraire non autorisé.
La possibilité de contourner les mécanismes de protection.
La modification de la mémoire.
Une possible perte de service, donc un plantage (crash) du système.
Produits Concernés
Produits
Versions
VMware ESXi
6.5, 6.7 et 7.0
VMware Workstation
16.x
VMware Fusion
12.x
VMware Cloud Foundation
3.x et 4.x
Actions Correctives
VMware a investigué sur CVE-2021-22045 et a déterminé que la possibilité d’exploitation peut être supprimée en appliquant les étapes décrites au niveau solution de contournement « Workarounds » publié sur l’avis de sécurité VMSA-2022-0001.
Cette solution de contournement est censée être une solution temporaire jusqu’à ce que les mises à jour documentées dans VMSA-2022-0001 puissent être déployées.
Veuillez noter que cette vulnérabilité peut être temporairement corrigée en désactivant les lecteurs de CD-ROM sur toutes les machines virtuelles.
vSphere Diagnostic Tool est un script python qui exécute des commandes de diagnostic au niveau vCenter Server.
Cet utilitaire vous permet d’effectuer plusieurs tests et d’obtenir un résultat détaillé.
Le but est de vérifier le niveau de conformité des éléments importants de votre environnement vSphere et de rectifier les écarts.
vSphere Diagnostic Tool a déjà été testé par un groupe sélectionné au sein du support VMware pour aider à rechercher des anomalies et à fournir des informations à l’équipe produit vSphere.
Vérifications
L’outil est actuellement un ensemble de scripts python et bash autonomes qui peuvent effectuer les tests et vérifications suivants :
Informations de base vCenter
Lookup Service Check
AD
Certificat vCenter
Fichier de base (Core File)
Disque
DNS vCenter
NTP vCenter
Port vCenter
Compte Root
Services vCenter
VCHA
L’équipe de développement continuera d’ajouter de nouvelles fonctionnalités et vérifications.
Leur objectif à long terme est de rendre cet outil disponible dans tous les produits VMware actuels et futurs avec les appliances PhotonOS ainsi que ESXi.
Prérequis
vCenter Server Appliance 6.5 ou version ultérieure.
Transférer le fichier ZIP sur le vCenter à analyser via WinSCP.
Décompresser le zip :
$ unzip vdt-version_number.zip
Accéder au dossier décompresser, ensuite, exécuter la commande suivante :
$ python vdt.py
L’outil vous demandera le mot de passe. NB : de nombreuses vérifications seront effectuées même si les informations d’identification ne sont pas fournies.
Pour plus de détails, veuillez consulter le lien suivant : URL
Certains clients ont rencontré des problèmes lors de la mise à niveau de leurs environnements vers vSphere 7.0 Update 3.
Après un examen attentif, VMware a supprimé la version ESXi 7 Update 3 du site officiel de téléchargement de produits.
Les versions récemment supprimées de vSphere 7.0 Update 3 :
vSphere ESXi 7.0 Update 3 (build 18644231)
vSphere ESXi 7.0 Update 3a (build 18825058)
vSphere ESXi 7.0 Update 3b (build 18905247)
vSphere vCenter 7.0 Update 3b (build 18901211)
Cette décision vise à protéger les clients contre les défaillances potentielles pouvant survenir lors de la mise à niveau vers ESXi 7 Update 3.
Bien que cela n’affecte qu’un nombre limité de clients, une fois les problèmes résolus dans ESXi 7 Update 3, les clients VMware seront informés qu’ils peuvent reprendre les mises à niveau vers ESXi 7 Update 3.
A noter que la version de VMware vCenter Server 7 Update 3 reste stable et disponible, donc pas impactée.
Les clients peuvent continuer à télécharger et mettre à niveau vers cette dernière version de vCenter Server.
Pour les clients qui ont déjà mis à niveau avec succès vers ESXi 7 Update 3, vous pouvez rester sur cette version et bénéficier d’une prise en charge complète (Full Support) de VMware.
Le problème est que les modifications apportées au pilote VIB ont provoqué des collisions de noms dans ESXi, entraînant des échecs de mise à niveau et des échecs de haute disponibilité associés.
VMware HCX (Hybrid Cloud Extension) est une plateforme de mobilité des applications conçue pour simplifier la migration des applications, le rééquilibrage de la charge de travail et la continuité des activités dans les centres de données et les clouds.
il s’agit d’une plateforme qui efface les frontières entre les centres de données sur site et dans le cloud.
VMware HCX offre une véritable mobilité des applications et crée une hybridité d’infrastructure, vous permettant de déplacer votre charge de travail virtuelle entre les centres de données sur site et cloud.
La mobilité des charges de travail et la migration des applications entre différents emplacements nécessitent très souvent une réallocation des adresses IP, c’est un processus très perturbateur et fastidieux.
Avec l’extension de réseau automatisée fournie par HCX, cette exigence est levée et les machines virtuelles peuvent conserver leurs adresses IP et MAC.
L’ensemble de fonctionnalités du réseau, également connu sous le nom d’hybridité d’infrastructure, fournit une optimisation, un cryptage et une connectivité WAN très efficaces.
Pourtant, VMware Hybrid Cloud Extension (HCX) est probablement l’un des produits VMware les plus sous-estimés.
par conséquent, même parmi les experts en virtualisation, très peu de gens savent ce que c’est et quelle valeur cela peut apporter aux entreprises.
Cas d’utilisation de VMware HCX
Migration d’applications
Vous pouvez planifier et migrer des milliers de machines virtuelles vSphere au sein et entre les centres de données sans nécessiter de redémarrage.
Changer de plateforme ou mettre à niveau les versions de vSphere
Vous pouvez migrer à partir d’environnements vSphere et non-vSphere (KVM et Hyper-V) au sein et entre des centres de données ou cloud vers les versions actuelles de vSphere. (sans nécessiter de mise à niveau)
Rééquilibrage de la charge de travail
Workload Rebalancing fournit une plateforme de mobilité entre les régions cloud et les fournisseurs de cloud.
Cela pour permettre aux clients de déplacer des applications à tout moment et atteindre les objectifs d’évolutivité, coûts et conformité.
Continuité d’activité et protection
Avec les capacités HCX, les administrateurs peuvent protéger les charges de travail en les répliquant sur d’autres sites HCX.
Vous pouvez planifier vos migrations ou les exécuter à la demande.
Pour plus de détails, veuillez visiter le lien officiel de VMware : URL
Souvent, lorsque vous souhaitez vous connecter directement via SSH au vCenter Server Appliance (VCSA), vous recevez le message d’erreur suivant : vCenter SSH Connection refused.
Sauf si votre vCenter a été déployé avec SSH activé par défaut.
Pour pouvoir vous connecter, vous devez activer SSH au niveau du vCenter Server.
Sachant qu’il existe plusieurs méthodes pour activer SSH sur vCenter.
Via l’interface VAMI (Virtual Appliance Management Interface).
Vous pouvez vous connecter à linterface VAMI sur le port 5480, en spécifiant le port à la fin du lien d’accès à votre vCenter : https://vcenter_fqdn_or_ip:5480/
Vous pouvez également être redirigé vers VAMI depuis vSphere Client.
Accédez au Menu et sélectionnez Administration.
Ensuite, sélectionnez Configuration système, développez le nœud et cliquez sur CONNEXION.
Une nouvelle fenêtre de navigateur s’ouvre sur la page de connexion vCenter VAMI.
Vous devrez vous connecter en tant que root.
Dans le volet de gauche, accédez à Access.
Cela listera vos paramètres d’accès, puis sélectionnez EDIT.
NB: au niveau de cette étape vous pouvez déja visualiser l’état du SSH, pour notre cas il est bien desactivé.
Activez la connexion SSH, puis validez votre choix en cliquant sur OK
UpgradeAtPowerCycle est une option qui permet la mise à niveau de VMware Tools automatiquement au démarrage/redémarrage d’une machine virtuelle.
L’activation de cette option permet d’automatiser l’exécution de deux tâches lors du démarrage de vos machines :
Vérification de l’état de VMware Tools.
Mise à jour de VMware Tools (si nécessaire).
Dans de nombreux cas et selon le système d’exploitation de la machine, cela peut entraîner un redémarrage supplémentaire une fois l’installation terminée.
Pour plus de précision, depuis Windows Server 2016, VMware Tools n’a plus besoin d’un redémarrage lors de la mise à niveau.
Vous pouvez activer UpgradeAtPowerCycle dans les paramètres avancés de la machine virtuelle via vSphere Client, plus précisément dans Options VM.
Parlons automatisation et PowerCLI ???
Voyons donc comment vous pouvez vérifier l’état de cette fonctionnalité à l’échelle d’une grande plateforme via une seule commande à l’aide du PowerCLI.
Get-Datacenter -name « DC NAME » | Get-VM | Get-View | select name,@{N=’ToolsUpgradePolicy’;E={$_.Config.Tools.ToolsUpgradePolicy } } |Sort Name
Vu que nous avons identifié les machines virtuelles pour lesquelles cette fonctionnalité n’est pas activée.
Après cela, vous pouvez activer cette option en ligne de commande PowerCLI :
vSphere Mobile Client permet aux administrateurs de surveiller et de gérer l’infrastructure vSphere directement depuis un appareil mobile (smartphone ou tablette).
À l’aide de cette application, les administrateurs peuvent se connecter à vCenter Server, sélectionner, gérer et à surveiller des elements d’inventaire, telles que les machines virtuelles.
Fonctionnalités
Le client mobile vSphere fournit les fonctionnalités suivantes pour les administrateurs vSphere en déplacement :
Vue d’ensemble des machines virtuelles
Examinez l’état de vos machines virtuelles, y compris l’état (activé/désactivé), l’utilisation des ressources, les informations de configuration et les graphiques de performances.
Gestion des machines virtuelles
Modifiez l’état d’alimentation d’une machine virtuelle.
Surveillance des tâches
Abonnez-vous à n’importe quelle tâche en cours et recevez une notification sur votre appareil mobile lorsque la tâche est terminée.
Graphiques de performances
Surveillez l’utilisation des ressources d’une machine virtuelle en temps réel, sur une journée, une semaine, un mois ou un an. Les compteurs incluent le processeur, la mémoire, le stockage et le réseau.
Remarques
L’application VMware vSphere Mobile a été testée sur vCenter Server version 6.0 (et versions ultérieures).
vSphere Mobile Client est compatible avec les versions Android 4.4 (KitKat) et ultérieures.
L’accès à l’infrastructure vSphere peut nécessiter une méthode d’accès sécurisée telle qu’un VPN sur un appareil mobile.
Démonstration
Téléchargement
Vous pouvez télécharger vSphere Mobile Client sur vos appareils Android et iOS
Android
iOS
Pour plus de détails, veuillez consulter le lien suivant : URL
Saviez-vous déjà ce que sont les vCenter Server Profiles ? Non ! Vous êtes donc au bon endroit pour comprendre de quoi il s’agit et quand cette fonctionnalité est utile.
Plusieurs entreprises ont tendance à utiliser plusieurs serveurs vCenter pour gérer leur environnement VMware vSphere distribué.
Tandis que la gestion de la configuration de plusieurs vCenter Server est une tâche fastidieuse.
Avant vSphere 7.0, il n’existait aucun outil pour gérer de manière centralisée la configuration sur plusieurs vCenter Server.
Mais heureusement, avec la sortie de vSphere 7.0, VMware a introduit une nouvelle fonctionnalité appelée vCenter Server Profiles pour répondre à ce besoin.
Qu’est-ce qu’un vCenter Server Profile ?
Les vCenter Server Profiles est une fonctionnalité VMware qui permet d’importer et d’exporter la configuration de vCenter Server via REST APIs, y compris les paramètres de gestion, réseau, utilisateur et authentification.
Les configurations exportées sont stockées dans un fichier JSON facilement lisible et peuvent être importées vers d’autres vCenter.
Ces profils peuvent maintenir la gestion des versions entre les vCenter Server, en propageant les configurations exportées vers plusieurs vCenters.
Actuellement, le nombre maximal de vCenter Server pris en charge est de 100.
Le vCenter Server Profile simplifie la configuration, la gestion du changement, permet une détection facile des non-conformités et également une correction automatisée.
Aussi, vous pouvez facilement revenir à la dernière bonne configuration connue en important les profils.
Cela permet de faciliter et d’industrialiser le quotidien des consultants et ingénieurs VMware.
vCenter Server Profiles REST APIs
Cette fonctionnalité est basée sur quatre REST APIs:
List
Export
Validate
Import
Les REST APIs peuvent être utilisées avec DCLI, PowerCLI ou d’autres outils d’automatisation (Ansible, Puppet, etc…).
De plus, toutes les API sont également disponibles dans developer center sous API Explorer.
Tout d’abord, vous devez configurer tous les paramètres nécessaires sur l’un des vCenter (source).
Cela vous sert de modèle pour la configuration de tous les autres vCenter Server de l’environnement.
Vous pouvez exporter le profil à partir du vCenter source.
Cette configuration de profil peut ensuite être révisée pour répondre à de nouveaux besoins, une fois qu’une nouvelle version du profil est créée.
Vous pouvez alors la propager à d’autres serveurs vCenter.
Par exemple, pour certains serveurs vCenter, vous pouvez importer uniquement la configuration appliance et réseau et pour d’autres serveurs vCenter, vous pouvez appliquer toutes les configurations.
Vous pouvez également valider la configuration par rapport à un serveur vCenter cible à l’aide du REST API Validate.
La validation du profil vCenter Server vous permet de vérifier les incohérences ou les erreurs par rapport au vCenter Server cible.
Une réponse « valide » ou « invalide » est renvoyée.
Pour plus de détails, vous pouvez également voir cette vidéo officielle de VMware :
Badr Eddine CHAFIQ
En tant qu'Architecte et Expert Systèmes et Virtualisation, ce blog fait partie d'une approche de partage de connaissances «giving back» autour des technologies de virtualisation "en particulier VMware", Cloud et Hyper-convergence.Le but principal de ce blog est de partager les nouveautés, Tutoriels , conseils et apporter des solutions techniques.