vSphere 5.0 – Hypervisor
Elérkezett a pillanat, innentől nincs többféle – különböző tulajdonságokkal és üzemeltetési különbségekkel rendelkező – hypervisor. A vSphere 5.0-ben már csak az ESXi az egyetlen változat.
Ez azonban jó dolog, és már nagyon régóta ebbe az irányba tolják a vmware hypervisor szekerét. Remélhetőleg, az eddigi sok félreértés is tisztázódok az ingyenes és a fizetős ESX verziók körül.
Maga a hypervisor látszólag nem sokat változott, kisebb-nagyobb újítások azonban kerültek bele. Minderről bővebben a vmware hivatalos oldalán olvashatunk, én csak az újításokat részletezném a 4.1 verzióhoz képest:
- Admin/config CLIs
Ez tulajdonképp a régi, jól bevált BusyBox-ra épülő parancssoros felület, amit többféleképpen is elérhetünk: közvetlenül a konzolon beléve, ssh-n keresztül, vagy remote CLI-n keresztül (Powershell/perl)
Az itt található parancsok szakértő kezekben nagyon hasznosak lehetnek, ám hozzá nemértéssel egycsapásra lerombolhatjuk az egész ESX szervert és a rajta futó virtuális gépeket egyaránt!
Aki ezek után is parancssorban szeretne bűvészkedni, azok számára kötelező olvasmány az ide vonatkozó hivatalos dokumentáció!
- Rapid deployment (Auto Deploy)
Ezzel a témával külön is fogok foglalkozni, azonban mivel ennek a gyakorlatban csak nagy számú ESX telepítéseknél van értelme, erről külön bejegyzés is született…
- Secure syslog
Ez egy remek lehetőség, ám a használatához kell egy szerver is, ami fogadja a logokat. Az újdonság ebben, hogy már nem csak UDP-n képest logokat küldeni, hanem TCP-n, sőt SSL csatornába csomagolva is, így a logok titkosítva közlekedhetnek a hálózaton. Ezen felül a vCenter Server mellé csomagoltak egy syslog szervert is így ezt nem kell külön keresgélni ;)
Beállítása azonban nem triviális, parancssorból lehet csak bekapcsolni, vagy a vSphere Client segítségével az ‘Advanced Settings’ részben kitölteni a megfelelő mezőket. Hogy pontosan mit, és hogyan kell állítani megtalálható itt.
Még ez sem elég, ugyanis egyelőre a szép új tűzfal nem fogja kiengedni ezt a forgalmat, tehát ott is ki kell engedni, hogy a remote logging működjön…
- Management interface firewall
Ezt a ‘fícsört’ valamiért kissé túl lihegik a marketingesek. Szerintem, eddig is teljesen rendben volt az Iptables alapú megoldás. Most sem kapunk sokkal többet, ugyan úgy a felületről kapcsolgathatjuk mit lehet elérni, és mit nem. Az ‘újdonság’, hogy forrás/cél IP-re is szűrhetünk, és a kimenő kapcsolatok engedélyezésének/tiltásának lehetősége, ami véleményem szerint több mint felesleges.
Ha biztonságban szeretnénk tudni az ESX-ek management interface-eit, akkor az egyetlen a gyakorlatban is működő megoldás a hálózati szeparáció. Külön hálózati szegmensbe kell tenni ezeket, és ide csak azokat a portokat beengedni, amik az üzemeltetésükhöz szükségesek. (Persze ez külön téma, tartottam is már előadást a 2010-es v-day rendezvényem, és a VMUG-on is erről. Az előadás anyaga elérhető innen is: vSphere-Hardening)
- Telepítés, management
A ‘hagyományos’ ESXi telepítés esetén szinte semmi nem változott. A telepítő enél a verziónál a licenc feltételek elfogadása után csak azt várja tőlünk, hogy jelöljük ki melyik eszközre szeretnénk telepíteni a hypervisort, és hogy már a telepítés során adjunk a ‘root’ felhasználónak egy jelszót.
Ezek után, a megszokott sárga/fekete képernyős kozol köszönt minket, ahol szokás szerint a managemet interface konfigurálását kell mindenképp elvégeznünk, hogy utána a vSphere Clinet-en keresztül elérhető legyen a frissen telepített ESXi szerverünk.