vSphere 5.0 – Hypervisor

Elérkezett a pillanat, innentől nincs többféle – különböző tulajdonságokkal és üzemeltetési különbségekkel rendelkező – hypervisor. A vSphere 5.0-ban már csak az ESXi az egyetlen változat.

Ez azonban jó dolog, és már nagyon régóta ebbe az irányba tolják a vmware hypervisor szekerét. Remélhetőleg, az eddigi sok félreértés is tisztázódik az ingyenes és a fizetős ESX verziók körül.

Maga a hypervisor látszólag nem sokat változott, kisebb-nagyobb újítások azonban kerültek bele. Minderről bővebben a vmware hivatalos oldalán olvashatunk, én csak az újításokat részletezném a 4.1 verzióhoz képest:

  • Admin/config CLIs

Ez tulajdonképp a régi, jól bevált BusyBox-ra épülő parancssoros felület, amit többféleképpen is elérhetünk: közvetlenül a konzolon belépve, SSH-n keresztül, vagy remote CLI-n keresztül (Powershell/perl).

Az itt található parancsok szakértő kezekben nagyon hasznosak lehetnek, ám hozzá nem értéssel egycsapásra lerombolhatjuk az egész ESX szervert és a rajta futó virtuális gépeket egyaránt!

Aki ezek után is parancssorban szeretne bűvészkedni, azok számára kötelező olvasmány az ide vonatkozó hivatalos dokumentáció!

  • Rapid deployment (Auto Deploy)

Ezzel a témával külön is fogok foglalkozni, azonban mivel ennek a gyakorlatban csak nagy számú ESX telepítéseknél van értelme, erről külön bejegyzés is született…

  • Secure syslog

Ez egy remek lehetőség, ám a használatához kell egy szerver is, ami fogadja a logokat. Az újdonság ebben, hogy már nem csak UDP-n képes logokat küldeni, hanem TCP-n, sőt SSL csatornába csomagolva is, így a logok titkosítva közlekedhetnek a hálózaton. Ezen felül a vCenter Server mellé csomagoltak egy syslog szervert is, így ezt nem kell külön keresgélni ;)

Beállítása azonban nem triviális, parancssorból lehet csak bekapcsolni, vagy a vSphere Client segítségével az “Advanced Settings” részben kitölteni a megfelelő mezőket. Hogy pontosan mit, és hogyan kell állítani, megtalálható itt.

Még ez sem elég, ugyanis egyelőre a szép új tűzfal nem fogja kiengedni ezt a forgalmat, tehát ott is ki kell engedni, hogy a remote logging működjön…

  • Management interface firewall

Ezt a “szolgáltatást” valamiért kissé túllihegik a marketingesek. Szerintem eddig is teljesen rendben volt az Iptables alapú megoldás. Most sem kapunk sokkal többet, ugyanúgy a felületről kapcsolgathatjuk, mit lehet elérni, és mit nem. Az “újdonság”, hogy forrás/cél IP-re is szűrhetünk, és a kimenő kapcsolatok engedélyezésének/tiltásának lehetősége, ami véleményem szerint több mint felesleges.

Ha biztonságban szeretnénk tudni az ESX-ek management interface-eit, akkor az egyetlen, a gyakorlatban is működő megoldás a hálózati szeparáció. Külön hálózati szegmensbe kell tenni ezeket, és ide csak azokat a portokat beengedni, amik az üzemeltetésükhöz szükségesek. (Persze, ez külön téma, tartottam is már előadást a 2010-es v-day rendezvényen, és a VMUG-on is erről. Az előadás anyaga elérhető innen is: vSphere-Hardening.)

  • Telepítés, management

A “hagyományos” ESXi telepítés esetén szinte semmi nem változott. A telepítő ennél a verziónál a licencfeltételek elfogadása után csak azt várja tőlünk, hogy jelöljük ki, melyik eszközre szeretnénk telepíteni a hypervisor-t, és hogy már a telepítés során adjunk a “root” felhasználónak egy jelszót.

Ezek után, a megszokott sárga/fekete képernyős konzol köszönt minket, ahol szokás szerint a management interface konfigurálását kell mindenképp elvégeznünk, hogy utána a vSphere Client-en keresztül elérhető legyen a frissen telepített ESXi szerverünk.