vSphere 5.0 – Hypervisor

Elérkezett a pillanat, innentől nincs többféle - különböző tulajdonságokkal és üzemeltetési különbségekkel rendelkező - hypervisor. A vSphere 5.0-ben már csak az ESXi az egyetlen változat. Ez azonban jó dolog, és már nagyon régóta ebbe az irányba tolják a vmware hypervisor szekerét. Remélhetőleg, az eddigi sok félreértés is tisztázódok az ingyenes és a fizetős ESX verziók körül. Maga a hypervisor látszólag nem sokat változott, kisebb-nagyobb újítások azonban kerültek bele. Minderről bővebben a vmware hivatalos oldalán olvashatunk, én csak az újításokat részletezném a 4.1 verzióhoz képest:
  • Admin/config CLIs

Ez tulajdonképp a régi, jól bevált BusyBox-ra épülő parancssoros felület, amit többféleképpen is elérhetünk: közvetlenül a konzolon beléve,  ssh-n keresztül, vagy remote CLI-n keresztül (Powershell/perl)

Az itt található parancsok szakértő kezekben nagyon hasznosak lehetnek, ám hozzá nemértéssel egycsapásra lerombolhatjuk az egész ESX szervert és a rajta futó virtuális gépeket egyaránt!

Aki ezek után is parancssorban szeretne bűvészkedni, azok számára kötelező olvasmány az ide vonatkozó hivatalos dokumentáció!

  • Rapid deployment (Auto Deploy)

Ezzel a témával külön is fogok foglalkozni, azonban mivel ennek a gyakorlatban csak nagy számú ESX telepítéseknél van értelme, erről külön bejegyzés is született...

  • Secure syslog

Ez egy remek lehetőség, ám a használatához kell egy szerver is, ami fogadja a logokat. Az újdonság ebben, hogy már nem csak UDP-n képest logokat küldeni, hanem TCP-n, sőt SSL csatornába csomagolva is, így a logok titkosítva közlekedhetnek a hálózaton. Ezen felül a vCenter Server mellé csomagoltak egy syslog szervert is így ezt nem kell külön keresgélni ;)

Beállítása azonban nem triviális, parancssorból lehet csak bekapcsolni, vagy a vSphere Client segítségével az 'Advanced Settings' részben kitölteni a megfelelő mezőket. Hogy pontosan mit, és hogyan kell állítani megtalálható itt.

Még ez sem elég, ugyanis egyelőre a szép új tűzfal nem fogja kiengedni ezt a forgalmat, tehát ott is ki kell engedni, hogy a remote logging működjön...

  • Management interface firewall

Ezt a 'fícsört' valamiért kissé túl lihegik a marketingesek. Szerintem, eddig is teljesen rendben volt az Iptables alapú megoldás. Most sem kapunk sokkal többet, ugyan úgy a felületről kapcsolgathatjuk mit lehet elérni, és mit nem. Az 'újdonság', hogy forrás/cél IP-re is szűrhetünk, és a kimenő kapcsolatok engedélyezésének/tiltásának lehetősége, ami véleményem szerint több mint felesleges.

Ha biztonságban szeretnénk tudni az ESX-ek management interface-eit, akkor az egyetlen a gyakorlatban is működő megoldás a hálózati szeparáció. Külön hálózati szegmensbe kell tenni ezeket, és ide csak azokat a portokat beengedni, amik az üzemeltetésükhöz szükségesek. (Persze ez külön téma, tartottam is már előadást a 2010-es v-day rendezvényem, és a VMUG-on is erről. Az előadás anyaga elérhető innen is: vSphere-Hardening)

  • Telepítés, management

A 'hagyományos' ESXi telepítés esetén szinte semmi nem változott. A telepítő enél a verziónál a licenc feltételek elfogadása után csak azt várja tőlünk, hogy jelöljük ki melyik eszközre szeretnénk telepíteni a hypervisort, és hogy már a telepítés során adjunk a 'root' felhasználónak egy jelszót.

Ezek után, a megszokott sárga/fekete képernyős kozol köszönt minket, ahol szokás szerint a managemet interface konfigurálását kell mindenképp elvégeznünk, hogy utána a vSphere Clinet-en keresztül elérhető legyen a frissen telepített  ESXi szerverünk.