نوشته‌ها

vmware nsx

معرفی VMware NSX Data Center

شرکت VMware محصولات مختلفی را در زمینه‌ی مجازی سازی ارائه می‌کند به طوریکه می‌توان ادعا کرد که VMware پیشرو در زمینه‌ی مجازی سازی می‌باشد.  VMware NSX محصول این شرکت در زمینه‌ی مجازی سازی شبکه می‌باشد. در این مقاله قصد داریم ویژگی و موارد استفاده‌ی این محصول را بررسی کنیم.

مجازی سازی شبکه

فرایند ایجاد نسخه‌ای مجازی از تجهیزات شبکه (سوئیچ، روتر، فایروال و…) و قابلیت‌های شبکه (load balancing ،QOS ،VPN و …) مجازی سازی شبکه می‌باشد. در این فرایند عملیات‌های شبکه‌ای از تجهیزات مربوطه تجرید (abstract) می‌شوند و روی یک ماشین‌ مجازی داخل سرورها، به فعالیت خود ادامه می‌دهند و ارتباط بین ماشین‌های مجازی موجود در سرور را تضمین می‌کنند.

VMware NSX

VMware NSX

VMware NSX Data Center چیست؟

VMware NSX Data Center پلتفرمی برای امنیت و مجازی سازی شبکه می‌باشد که شبکه‌ی ابری مجازی را فراهم می‌کند. شبکه‌ی ابری مجازی، رویکردی Software-defined یا SD برای شبکه می‌باشد که در دیتاسنتر، فضای ابری، endpointها و … گسترش می‌یابد.

SDDC

SDDC

با استفاده از NSX Data Center، امنیت و عملیات‌های شبکه به برنامه‌های در حال اجرا (در هر جایی که اجرا می‌شوند) نزدیکتر می‌شوند و ارتباط یکپارچه‌تری را با یکدیگر خواهند داشت. همانند ماشین‌های مجازی، شبکه‌ها می‌توانند مستقل از سخت افزار مربوطه، پیاده‌سازی و مدیریت شوند.

NSX Data Center مدل کاملی از شبکه را به صورت نرم‌افزاری بازطراحی می‌کند. بنابراین امکان پیاده سازی هر نوع توپولوژی و مدیریت آن ها (از ساده ترین تا پیچیده ترین توپولوژی)، در چند ثانیه فراهم می‌شود.

کاربران می‌توانند چندین شبکه‌ی مجازی متناسب با نیازهای متنوعشان ایجاد کنند. همچنین می‌توانند به بهترین شکل، از سرویس های ارائه شده توسط NSX و مزایای آن استفاده کنند. فایروال‌های Next Generation، راهکارهای مدیریت عملکرد و پیاده سازی محیطی سریعتر و ایمنتر، بخشی از این مزایا و سرویس‌ها می‌باشند.

NSX Data Center

NSX Data Center

 

مجازی سازی شبکه، امنیت و دیتاسنتر SD

VMware NSX Data Center مدل عملیاتی جدیدی را برای عملیات‌های شبکه‌ای، که به صورت نرم افزاری تعریف شده‌اند، ارائه می‌کند. این مدل، پایه و اساس دیتاسنتر های SD را تشکیل می‌دهد. عملیات‌های دیتاسنتر، حال می‌توانند به سطحی از سرعت، امنیت و صرفه‌ی اقتصادی برسند که قبلا با تجهیزات فیزیکی شبکه دست یافتنی نبود. NSX Data Center مجموعه‌ی کاملی از خدمات و عناصر شبکه را فراهم می‌کند، که شامل عملکرد‌ دیوایس‌های سوئیچ، روتر و فایروال (به صورت منطقی) و قابلیت های load balance، VPN، QOS و مانیتور کردن می‌شود. میتوان گفت که مجازی سازی شبکه، تمام دیوایس های سخت افزاری موجود در شبکه را به صورت نرم افزاری، گسترش داده‌ است.

امکانات  NSX Data Center

در این بخش به برخی از امکانات کلیدی NSX Data Center می‌پردازیم.

NSX Data Center features

NSX Data Center features

Switching

NSX Data Center تمام قابلیت‌های لایه‌ی 2 را در کنار قابلیت‌های لایه‌ی 3 و در تمام سطح شبکه ارائه می‌کند. NSX Data Center از شبکه‌های VXLAN-based هم پشتیبانی می‌کند.

مسیریابی

ارائه‌ی مسیریابی dynamic بین شبکه‌های مجازی موجود در hypervisor، که مسیریابی را با راه‌اندازی active-active failover با روتر‌های فیزیکی، بین منابع توزیع می‌کند. مسیریابی static و مسیریابی dynamic (پروتکل‌های OSPF و BGP) هم پشتیبانی می‌شوند.

Distributed Firewalling

Distributed stateful firewalling داخل کرنل هر hypervisor وجود دارد که تا 20Gbps ظرفیت انتقال اطلاعات را به ازای هر هاست hypervisor، پشتیبانی می‌کند. علاوه بر این‌ها، NSX Data Center می‌تواند قابلیت north-south firewall را از طریق NSX Edge ارائه کند، و از active directory و نظارت بر فعالیت‌ها هم پشتیبانی می‌کند.

Load balancing

ارائه‌ی load balance لایه‌ی 7-4 به همراه SSL offload و pass-through، ارائه‌ی server health checks و قوانین کاربردی برای قابلیت برنامه‌‎ریزی و تنظیم ترافیک شبکه.

VPN

پشتیبانی از VPNهای Site-to-site و remote-access. به علاوه پشتیبانی از unmanaged VPN برای سرویس‌های gateway ابری.

NSX Gateway

پشتیبانی از ایجاد bridge میان VXLAN و VLAN، برای برقراری ارتباط یکپارچه با دیوایس های فیزیکی. این قابلیت هم روی NSX Data Center وجود دارد، هم از طریق سوئیچ‌های موجود در رک ارائه می‌شود.

NSX Data Center API

استفاده از RESTful API برای داشتن پکپارچگی با پلتفرم‌های مدیریت cloud.

Operations

ارائه‌ی قابلیت‌های عملیاتی built-in مانند CLI مرکزی، traceflow ،SPAN و IPFIX برای عیب یابی و بررسی زیرساخت شبکه. یکپارچگی با ابزارهایی مانند VMware vRealize Operations و vRealize Log Insight برای تجزیه و تحلیل و عیب یابی‌های پیشرفته.

 

 

موارد استفاده‌ی NSX Data Center

NSX use cases

NSX use cases

امنیت

NSX Data Center سازمان‌ها را قادر می‌سازد تا دیتاسنتر خود را به بخش‌های امنیتی متفاوت تقسیم کنند. این بخش ها می‌توانند ابعاد مختلفی حتی تا سطح بارهای پردازشی جزئی (جدا از اینکه کجا قرار دارند) باشند. ادمین‌های شبکه می‌توانند با توجه به کاربران و برنامه‌هایی که استفاده می‌کنند، سیاست‌هایی را روی این بارهای پردازشی اعمال کنند، تا واکنش‌هایی فوری نسبت به تهدیدات داخل دیتاسنتر و برنامه‌های مورد استفاده در آن را داشته باشند.

برخلاف شبکه‌های سنتی، حملاتی که به محیط محافظت شده نفوذ می‌کنند، نمی‌توانند وارد دیتاسنترهای مجازی شوند.

اتوماسیون

VMware NSX Data Center نسخه‌ای مجازی از تمام قابلیت‌های شبکه‌ای و امنیتی می‌سازد که امکان گسترش سریعتر و کامل کردن چرخه‌ی اتوماسیون برنامه‌های سنتی و جدید را بر روی زیرساخت‌های محلی و cloud ارائه می‌کند. اتوماسیون کارهای خسته کننده و زمانبر، ارائه‌ی برنامه‌ی جدید cloud-native و اتوماسیون عملیات‌های در حال انجام، سازمان‌های فناوری اطلاعات و توسعه دهندگان را قادر میسازند تا با سرعت در حال افزایش کسب و کارها، حرکت کنند.

شبکه‌های Multi-Cloud

از آنجایی که NSX Data Center عملیات شبکه‌ای را از سخت افزار مربوطه تجرید می‌کند، سیاست‌های شبکه‌ای و امنیتی به بارهای پردازشی مربوط به آنها متصل می‌شوند. سازمان‌ها می‌توانند محیط کاربری را به راحتی در یک دیتاسنتر خارج از سازمان، برای disaster recovery، انتقال بارهای پردازشی از یک دیتاسنتر به دیگری یا گسترش آنها به یک محیط ترکیبی cloud (تمام اینها تنها در چند دقیقه)، بدون هیچ اخلالی در برنامه‌ها یا تماس فیزیکی با تجهیزات شبکه، بازسازی کنند.

 

 

نسخه‌های VMware NSX Data Center

VMware نسخه‌های مختلفی از NSX Data Center را متناسب با نیاز مصرف کنندگان ارائه می‌کند. شما می‌توانید با بررسی این نسخه‌ها و ویژگی‌های آنها که در ادامه مختصرا توضیح داده‌ایم، نسخه‌ی مورد نیاز خود را انتخاب کنید.

Standard

برای سازمان‌هایی که تنها به چابکی و اتوماسیون شبکه نیاز دارند.

Professional

برای سازمان‌هایی که علاوه بر Standard، به micro-segmentation نیاز دارند و ممکن است cloud endpointهای عمومی داشته باشند.

Advanced

برای سازمان‌هایی که علاوه بر Professional، به سرویس‌های پیشرفته‌ی شبکه‌ای و امنیتی، و یک پارچگی با یک اکوسیستم گسترده نیاز دارند، و ممکن است که دیتاسنترهایی در مکان‌های مختلفی داشته باشند.

Enterprise Plus

برای سازمان‌هایی که به بالاترین سطح قابلیت‌هایی که NSX Data Center ارائه می‌کند، به علاوه  vRealize Network Insight و NSX Hybrid Connect نیاز دارند.

ROBO

برای سازمانهایی که به دنبال مجازی سازی قابلیت‌های شبکه‌ای و امنیتی، برای برنامه‌های موجود در شعبه‌های سازمان در مکانی خارج از سازمان هستند.

NSX Data Center Editions

NSX Data Center Editions

 

سخن نهایی

 NSX Data Center محصول شرکت VMware می‌باشد که برای مجازی سازی شبکه طراحی شده است. استفاده از این محصول می‌تواند زمان و هزینه‌ی مورد نیاز برای مدیریت و توسعه‌ی شبکه را کاهش دهد. برای آشنایی بیشتر با مجازی سازی شبکه پیشنهاد می‌کنیم صفحه‌ی مجازی سازی شبکه را مطالعه نمایید.

نگاه عمیق به قابلیت VCHA – بخش 2

در بخش اول این مقاله ، پیاده سازی VCHA و ملاحظات آنرا بررسی کردیم . خوشبختانه ، در حال حاضر شما کلاستر VCHA خود را اماده کرده اید و آماده حرکت به سمت برخی از جنبه های عملیاتی ، مانند تهیه نسخه پشتیبان و بازیابی ، پچ کردن و ارتقاء به کلاستر VCHA هستید. در ادامه این مقاله به صورت عمیق هر یک از این ویژگی ها بررسی خواهیم کرد.

ادامه مطلب …

حفاظت از کانال های ارتباطی VMware View توسط گواهینامه های SSL

تغیرات در VMware View

VMware View  پیشرفت ها و ویژگی های بسیاری دارد. در این مقاله ما به بررسی پیشرفت های ارتباطات HTTP بین اجزای View خواهیم پرداخت . در View 5.0 ، VMware از مخرن گواهینامه های فایل بیس JKS و PKCS12  در اجزای View پشتیبانی میکرد ، اما از View 5.1 به بعد ، VMware از مخرن گواهینامه های ویندوزی پشتیبانی میکند . این تغیرات اجازه ادغام بهتری با ساز و کار مدیریت گواهینامه ها میدهد. زمانی که شما به View 5.1 آپگرید میکنید ، مخرن گواهینامه های JKS و PKCS12  به صورت خودکار به مخرن گواهینامه ویندوز انتقال داده میشوند .

استفاده از SSL در حال حاضر برای ارتباطات HTTP بین اجزای View است . هرچند که یک مکانیزم Trust-on-first-use دخیل است ، بهترین راه درج گواهینامه های معتبر تایید شده توسط Certificate Authority (CA) مورد اعتماد در تمام اجزای View است . در View ، پنل مدیریتی View به شما وضعیت سلامت گواهینامه ها مربوط به اجزاء مناسب را نشان میدهد .

شکل 1  ارتباطات امن SSL بین اجزای مختلف View را نشان میدهد. در مورد vCenter Server  و  View Composer ، ادمین ها  این انتخاب را دارند تا گواهینامه های self-signed یا invalid را بعد از تاید هویت گواهینامه ، از محیط کاربری ادمین اضافه کنند .

مکانیزم احرازهویت SSL

احراز هویت SSL اساسا در مبنای پروتکل لایه امنیتی ترنسپورت TLS است . هدف اصلی TLS ارائه امنیت و تعاملات بین ارتباط دو نرم افزار است . پروتکل TLS Handshake ، سرور را با کلاینت ، و کلاینت را با سرور در صورت انتخاب ، احراز هویت میکند .  همچنین TLS قبل از اینکه پروتکل اپلیکیشن (سرور و کلاینت) اولین بایت دیتا را ارسال یا دریافت کند درمورد الگوریتم رمزنگاری و کلید های رمزنگاری مذاکره میکند . پروتکل Handshake یک کانال امن با موارد زیر میسازد:

  • Authenticating peers (client or server) using asymmetric (public-private) keys
  • Agreeing upon cryptographic protocols to be used, such as 3DES, RSA
  • Negotiating a shared secret

وقتی پروتکل handshake بین peers ها تکمیل شود ، peers شروع به برقراری ازتباط با مد کانال امن از طریق الگوریتم های رمزنگاری و کلید رمزنگاری مذاکره شده ، که حملات مردی در میان و استراق سمع را مسدود میکند.

 

جریان اعتبارسنجی گواهینامه X.509

این بخش جریان اعتبارسنجی گواهینامه X.509 ، فرم استاندارد گواهینامه های public key را توضیح میدهد. این تنظیمات  در Connection Server و  Security Server و  View Composer  و  vCenter Server اعمال میشود. وضعیت سلامت هرکدام از این اجزا در پنل مدیریتی View مطابق شکل زیر نشان داده میشود .

یک گواهینامه پیش فرض برای هرکدام از اینها ساخته میشود ، اما best practice میگوید که این گواهینامه ها را با یک گواهینامه صادر شده از یک CA سرور trusted جایگزین کنید .

هر Connection Server گواهینامه های دیگر اجزای متصل شده به آن را اعتبارسنجی میکند . در فلوچارت شکل زیر مراحل بررسی آنها نمایش داده شده :

Hostname match

Connection Server بررسی میکند که نام سرور بخشی از URL کانکشن باشد (در مواردی که Security Server ، برای URL های خارجی کانفیگ شده باشد) با یکی از اسم های subject در گواهینامه معرفی شده ، همخوان باشد. اگر این مقدار همخوان نباشد ، وضعیت کامپوننت موردنظر در پنل مدیریت View  پیغام Server’s Certificate does not match the URL را نشان میدهد.

Certificate issuer’s verification

Connection Server اعتبار صادرکننده گواهینامه و trusted بودن آن را بررسی میکند.

Certificate Expired/Not Yet Valid

اعتبار گواهینامه در زنجیره گواهینامه ها بررسی میشود تا مدت اعتبار و زمان گواهینامه صادر شده مشخص شود – اگر اعتبار نداشته باشند وضعیت کامپوننت موردنظر در پنل مدیریت View پیغام Server’s either Certificate Expired or Certificate Not Yet Valid را نشان میدهد.

Certificate revocation checking

VMware View از Revocation Checking پشتیبانی می کند ، تکنیکی که اطمینان حاصل میکند از اینکه صادرکننده گواهینامه بنا به دلیلی گواهینامه را باطل نکرده باشد. View از دو روش بررسی اعتبار گواهینامه ها ، CRLs (Certificate Revocation Lists) و OCSPs (Online Certificate Status Protocols) پشتیبانی میکند. اگر گواهینامه بدون اعتبار یا در دسترس نباشد وضعیت کامپوننت موردنظر در پنل مدیریت View پیغام Server’s either Revocation status cannot be checked را نشان میدهد.

نکته : عملیات revocation برای تمام اجزاء بررسی میشود به استثنای روت. یعنی گواهینامه روت بررسی نمیشود ؛ زیرا مدیریت فعال مخزن گواهینامه روت ، فقط باید مطئن شود که موجود است . گواهینامه های unrevoked شده مورد تایید است. اگر شما مطمئن نیستید که مخزن گواهینامه کاملا بروز است ، توصیه میشود تا اسکوپ revocation checking را تا خود روت افزایش دهید . اگر هرکدام از گواهینامه ها revocation check را fail شوند ، در پنل مدیریت View پیغام Server Certificate has been revoked نشان داده خواهد شد.

تنظیمات گواهینامه ها X.509 در هر جزء متفاوت و یکپارچگی آن با VMware View

گواهینامه X.509 ، صادر شده از Trusted Certification Authority  ، تنظیمات در اجزای Secure Gateway

در طول نصب VMware View Connection Server  و  Security Server، یک گواهینامه پیش فرض ساخته و تنظیم میشود . توصیه میشود که این گواهینامه را با یک گواهینامه صادر شده از یک CA سرور trusted جایگزین کنید .

نکته: زمانی که اجزای Secure Gateway بروز شوند ، و ورژن قبل توسط یک CA سرور trusted تنظیم شده باشد ، آن گواهینامه ها در زمان نصب به صورت خودکار به مخرن گواهینامه ویندوز انتقال داده میشوند .

 

گواهینامه X.509 ، صادر شده از Trusted Certification Authority  ، تنظیمات در اجزای View Composer

در طول نصب VMware View Composer ، یک گواهینامه پیش فرض ساخته و تنظیم میشود . توصیه میشود که گواهینامه پیش فرض را با یک گواهینامه صادر شده از یک CA سرور trusted جایگزین کنید .

 

گواهینامه X.509 ، صادر شده از Trusted Certification Authority  ، تنظیمات در اجزای vCenter Server

در طول نصب VMware vCenter Server، یک گواهینامه پیش فرض ساخته و تنظیم میشود . توصیه میشود که گواهینامه پیش فرض را با یک گواهینامه صادر شده از یک CA سرور trusted جایگزین کنید .

 

Revocation Checking

VMware View 5.1 از revocation checking گواهینامه های SSL ، که میتوان از طریق رجیستری یا توسط تنظیمات GPO policy تنظیم شوند ، پشتیبانی میکند. برای تنظیم انواع revocation check ، گزینه های رجیستری زیر را ویرایش یا روی Connection Servers ، GPO policy اعمال کنید :

کلید رجیستری CertificateRevocationCheckType را در مسیر زیر اضافه کنید :

 Software\Policies\VMware, inc.\VMware VDM\Security

  • None – Set CertificateRevocationCheckType = 1. No revocation checking is done if this option is set.
  • EndCertificateOnly – Set CertificateRevocationCheckType = 2.Revocation checking is done only for the end certificate in the chain.
  • WholeChain – Set CertificateRevocationCheckType = 3. A complete path is built for the certificate, and a revocation check is done for all certificates in the path
  • WholeChainButRoot – Set CertificateRevocationCheckType = 4. A complete path is built for the certificate, and a revocation check is done for all certificates in the path except for the Root CA certificate (default value).

دیگر تنظیمات Revocation Check

Software\Policies\VMware, inc.\VMware VDM\Security\CertificateRevocationCheckCacheOnly

“False” (default) – Disable caching revocation responses.

“True” – Enable caching revocation responses.

Software\Policies\VMware, inc.\VMware VDM\Security\ CertificateRevocationCheckTimeOut

Cumulative timeout across all revocation check intervals in milliseconds. If not set, default is set to ‘0’, which means Microsoft defaults are used.

 

انواع گواهینامه ها و استفاده آنها در VMware View

View از انواع مختلف گواهینامه ها برای تحقق انواع سناریو ها در سایت مشتری پشتیبانی میکند. گواهینامه در دو دسته گواهینامه های single-server name و گواهینامه های multiple-server name گنجانده میشوند .

یک گواهینامه single-server name شامل یک آدرس URL است که تشخیص میدهد سرور برای کدام گواهینامه صادر شده . این نوع گواهینامه زمانی صادر میشود که connection broker فقط از طریق شبکه داخلی یا فقط از طریق شبکه خارجی در دسترس است. به این معنی که ، سرور یک نام FQDN دارد.

گواهینامه های Multiple-server name در محیط هایی که View Connection Server قابلیت دسترسی از هر دو مسیر شبکه داخلی و خارجی ، که نیاز دارد تا connection server چند نام FQDN داشته باشد ، کاربرد دارد. به عنوان مثال ، یکی برای شبکه داخلی و یکی برای شبکه خارجی .

گواهینامه های Multiple-server name از بیشتر از یک SAN (Subject Alternative Name) برای هر یک گواهینامه تکی پشتیبانی میکنند . این نوع از گواهینامه نیز زمانی استفاده می شود که اگر SSL offloaders بین View clients  و connection server  قرار داده شود و یا هنگامی که یک اتصال تونل شده با Security server فعال شود.

یک گواهینامه wildcard  ، گواهینامه ای است که برای تمام سرور های داخل دامین صادر میشود . FQDN داخل گواهینامه wildcard معمولا به این فرمت نوشته میشود  *.organization.com. یک گواهینامه wildcard امنیت کمتری از گواهینامه SAN دارد ، اگر یک سرور یا ساب دامین در معرض خطر باشد ، کل محیط در معرض خطر است .

 

Event و Log مربوط به عیب یابی

در این بخش Event و Log هایی که برای عیب یابی مفید هستند را بررسی خواهیم کرد. همچنین سناریو هایی که گواهینامه دچار مشکل شده باشد ، نام کاربری مناسب نداشته باشند ، و یا کلید امنیتی گواهینامه ها قابلیت Exportable نداشته باشند.

فایل های  log مربوط به Connection server در مسیر زیر هستند.

<Driveletter>:ProgramData\Application Data\VMware\VDM\logs

 

تنظیمات اشتباه و رایج

لاگ زیر نشان میدهد که private key تیک Exportable ندارند.

KeyVault CryptExportKey get size FAILED, error= (Key not valid for use in specified state.)

 

 

لاگ زیر نشان میدهد که URL خارجی با Common Name گواهینامه همخوانی ندارد .

Server’s certificate does not match the URL

 

 

اگر اسم سرور بخشی از secure gateway’s External URL با هیچ یک از اسم های subject در گواهینامه همخوان نباشد ، وضعیت سلامت گواهینامه بی اعتبار نشان داده میشود.

ATTR_SG_URL”,”type”:”STRING”,”stringValue”:”https://:443

 

گواهینامه های Self-Signed تنظیم شده در Connection Server / Security Server

“ATTR_SG_CERTDEFAULT”,”type”:”STRING”,”stringValue”:”true”

نشان میدهد secure gateway با یک گواهینامه self-signed امضاء شده است .

همچنین لاگ شمال موارد زیر هست :

ATTR_SG_CERTVALID”,”type”:”STRING”,”stringValue”:”false” ATTR_SG_CERTINVALID_REASON”,”type”:”STRING”,”stringValue”:”NOT_TRUSTED”,

که نشان میدهد گواهینامه معتبر  و مورد اعتماد نیست زیرا توسط trusted CA صادر نشده . در نتیجه ، ایونت  “Certificate is invalid for Secure Gateway at address<netBIOS name>” در پنل مدیرتی به عنوان یک warning نمایش داده میشود.

 

 

گواهینامه Trusted CA-Signed تنظیم شده در Connection Server / Security Server

“ATTR_SG_CERTDEFAULT”,”type”:”STRING”,”stringValue”:”false”

نشان میدهد secure gateway با یک گواهینامه self-signed امضاء شده است . لاگ همچنین شامل :

“ATTR_SG_CERTVALID”,”type”:”STRING”,”stringValue”:”true”

که نشان میدهد گواهینامه تنظیم شده اعتبار دارد.

 

 

گواهینامه Trusted CA-Signed تنظیم شده در Connection Server / Security Server منقضی شده

“ATTR_SG_CERTVALID”,”type”:”STRING”,”stringValue”:”false”

نشان میدهد که گواهینامه تنظیم شده معتبر نیست .

“ATTR_SG_CERTINVALID_REASON”,”type”:”STRING”,”stringValue”:”EXPIRED”

نشان میدهد دلیل عدم اعتبار گواهینامه چیست . در این نمونه وضعیت گواهینامه منقضی شده . . در نتیجه ، ایونت  “Certificate is invalid for Secure Gateway at address <netBIOS name>” در پنل مدیرتی به عنوان یک warning نمایش داده میشود.

 

 

گواهینامه Trusted CA-Signed تنظیم شده در Connection Server / Security Server در حال منقضی شدن

تنها تفاوت این لاگ با لاگ قبل در این لاین است  :

“ATTR_SG_CERTABOUTTOEXPIRE”,”type”:”STRING”,”stringValue”:”true”

نشان میدهد که گواهینامه تنظیم شده در حال منقضی شدن است . پنل مدیریتی VMware View اخطاری را مبنی بر اتمام اعتبار گواهینامه تنظیم شده در < n  روز آینده > را نشان میدهد.

 

 

گواهینامه Trusted CA-Signed تنظیم شده در Connection Server / Security Server ، Revoked شده

“ATTR_SG_CERTVALID”,”type”:”STRING”,”stringValue”:”false”

نشان میدهد گواهینامه تنظیم شده نامعتبر است .

“ATTR_SG_CERTINVALID_REASON”,”type”:”STRING”,”stringValue”:”REVOKED”

علت  عدم  اعتبار گواهینامه را نشان میدهد . در این مورد گواهینامه Revoked شده . در نتیجه ایونت “Certificate is invalid for Secure Gateway at address <netBIOS name> ” در پنل مدیرتی به عنوان یک warning نمایش داده میشود.

10 دلیل اصلی برای ارتقا به VSPHERE 6.5

مبنایی برای دگرگونی دیجیتال

اینفوگرافیک VMware vSphere 6.5

10 دلیل اصلی برای ارتقا به vSphere 6.5

برای مشاهده با کیفیت بیشتر روی تصویر کلیک کنید

 

FT چیست ؟

FT چیست ؟

FT یا Fault Tolerance قابلیتی است که به شما ویژگی های دسترس پذیری بالاتر و محافظت بیشتری از ماشین ها ، در مقایسه با زمانی که از قابلیت HA استفاده میکنید ، ارائه میکند. از نکات منفی قابلیت HA زمان بر بودن بازگشت از Failover و داشتن Down Time است. FT از ورژن 4 معرفی شد اما تا ورژن 6 استفاده نمیشد.

نحوه کار FT

FT فقط برای ماشین هایی با درجه اهمیت بسیار بالا ، با ساختن یک ماشین یکسان دیگر از آن و دردسترس قرار دادن آن برای استفاده در زمان های Failover عمل میکند. به ماشینی که توسط این قابلیت محافظت میشود Primary و به ماشین دوم که یک  Mirror از آن است Secondary میگویند. این دو ماشین به طور متناوب وضعیت یکدیگر را زیرنظر میگیند . در زمانی که هاست ماشین Primary از دسترس خارج شود ، ماشین Secondary به سرعت فعال و جایگزین آن میشود و یک ماشین Secondary دیگر ایجاد و وضعیت FT به حالت طبیعی باز میگردد ، و زمانی که هاست ماشین Secondary از دسترس خارج شود یک ماشین Secondary دیگر جایگزین آن میشود. در هر دو حالت کاربر هیچ وقفه ایی در کار ماشین احساس نمیکند و دیتایی از بین نمیرود.

به منظور اطمینان از در دسترس بودن حداقل یکی از ماشین ها ، ماشین Primary و Secondary نمیتوانند هم زمان در یک هاست حضورداشته باشند . همچنین FT از فعال بودن هر دو ماشین در زمان برگشت از وضعیت Failover به منظور جلوگیری از “split-brain” محافظت میکند.

 

موارد استفاده Fault Tolerance

زمانی که ماشین Secondary فعال شده و نقش ماشین Primary را اجرا میکند ، وضعیت ماشین به طور کامل بازیابی میشود ، یعنی محتویات رم ، برنامه های در حال اجرا و وضعیت پردازشی بدون هیچ تاخیر و نیاز به Load مجدد .به عنوان مثال از این قابلیت برای زمانی که سرویسی داریم که نیاز داریم تمام مدت ، بدون هیچ تاخیری در حال اجرا باشد ، استفاده میشود.

 

نیازمندی ها و محدودیت های Fault Tolerance

CPU هاست ها باید با  V-motion و یا Enhanced V-motion سازگار باشد و از MMU پشتیبانی کند و حتما از شبکه 10G در بستر شبکه استفاده شود. در هر هاست حداکثر تا 4 ماشین را میتوان توسط FT محافظت کرد (هر دو Primary و Secondary شمارش میشوند) اما میتوان این محدودیت را از طریق Advanced Option افزایش داد.

تا آن زمان فقط ماشین هایی که یک هسته CPU داشتند را میتوانستید توسط FT محافظت کنید اما اکنون تا چهار هسته CPU را میتوان محافظت کرد .

در ورژن 6 به بعد ، دیسک ماشین Secondary میتواند روی LUN دیگری در Storage دیگر باشد زیرا دو ماشین در حال Sync شدن هستند . ماشین Secondary برای اپدیت شدن وضعیت اش باید محتویات Memory و CPU را سینک کند  ،   برای  اینکار  باید پورت Vm kernel network ایی داشته باشیم . به همین دلیل VMware توصیه میکند برای پورت فیزیکی از کارت 10G ستفاده شود.

 

قالبیت ها و Device هایی که با این ویژگی از دست خواهید داد:

  • از ماشینی که FT enabled میشود نمیتوان Snapshot گرفته و Snapshot های قبلی را باید حذف کرد.
  • ماشینی که FT enabled میشود نباید Linked clone باشد و نمیتوان از خود آن هم Linked clone گرفت.
  • قابلیت VMCP را برای ماشین نمیتوان فعال کرد.
  • I\O filters
  • Virtual Volume data store
  • Storage-based policy management
  • Physical Raw Disk mapping (RDM)
  • CD-ROM or floppy virtual devices
  • N Port ID Virtualization (NPIV)
  • USB and sound devices
  • NIC pass through
  • Hot-plugging devices
  • Serial or parallel ports
  • Video devices that have 3D enabled
  • Virtual EFI firmware
  • Virtual Machine Communication Interface (VMCI)
  • 2TB+ VMDK

 

نکته : به منظور افزایش Availability میتوانید از FT در کنار قابلیت DRS ، فقط زمانی که ویژگی EVC فعال شده باشد استفاده کنید.

  

قبل از فعال کردن FT مطمئن شوید که :

  • ماشین و هاست های شما شرایط لازم برای فعال کردن FT را دارند
  • وضعیت شبکه هر هاست را بررسی کنید
  • کارت شبکه V-motion بررسی شود
  • کلاستر HA ایجاد و فعال شود
  • CPU شما پشتیبانی شود
  • HV در تنظیمات BIOS هاست فعال باشد
  • فایل های ماشین ها در فضای Shared storage باشد
  • حداقل 3 هاست داشته باشید
  • حداکثر تا 4 هسته را میتوان FT کرد
  • ماشین هایی که FT enabled میشود Snapshot  نداشته باشد
  • VMware tools نصب باشد
  • EVC در صورت نیاز فعال باشد
  • هیچ گونه Removable Media نداشته باشد
  • FT دوبرابر شرایط معمول منابع مصرف میکند
  • توصیه میشود کارت شبکه 10G dedicated استفاده شود
  • CPU و Memory قابلیت Hot plug نداشته باشد
  • هر هاست نهایتا تا 8 هسته FT شده میتواند داشته باشد

برای مثال : با 3 هاست ، 3 ماشین 4 کور میتوانیم داشته باشیم (ماشین Secondary هم حساب میشود)

 

فعال کردن قالبیت FT :

ابتدا یک کارت شبکه اختصاصی میسازیم ، برای اینکار به تب VM kernel adapter رفته و کارت شبکه اضافه میکنیم ، سپس برروی ماشینی که میخواهیم محافظت شود راست کلیلک کرده و Fault tolerance را فعال میکنیم ، پس از آن پنجره ای باز میشود که از ما محل ماشین دوم ، محل دیسک و بعد هاست را انتخاب مکنید و در نهایت Finish را انتخاب میکنیم.

پس از فعال کردن FT رنگ آیکون ماشین به آبی تغیر رنگ میدهد. برای تست FT و اطمینان از عملکرد صحیح آن میتوانید از گزینه  Test Failover استفاده کنید.

 

 

Vapp چیست ؟

Vapp چیست ؟

Vapp یک Object  است که  اسمش ما را به یاد  Application Vitrtualization  می اندازد اما در اصل ارتباطی با آن ندارد . Vapp در واقع یک Resource Pool  است که feature های اضافه ایی را به ما میدهد . از مهم ترین این ویژگی ها میتوان به  Start up و  Shut down order اشاره کرد .

نکته : برای بهره مندی از این امکان ، باید در سطح کلاستر قابلیت DRS فعال شده باشد.

علت نام گذاری این ویژگی آن است که ، زمانی که ما چند ماشین مجازی داریم که آنها با ارتباط و همکاری یکدیگر سرویسی را ارائه میکنند که به عنوان یک اپلیکشن ارائه میشود ، به عنوان مثال چند ماشین داریم که سرویس اتوماسیون را ارائه میکنند . در نتیجه تنظیمات Resource آنها با یکدیگر مربوط و دستورات روشن یا خاموش شدن این ماشین ها در ارتباط با هم است. به این دلیل یک Vapp میسازیم و این ماشین ها را داخل آن قرار میدهیم . (برای ساخت Vapp میتوان از یک Vapp موجود هم Clone گرفت)

Vapp ها حالت Container دارند ، یعنی ماشین داخل آن اضافه میشوند .

همچنین میتوان یک Vapp را مانند یک ماشین معمولی روشن ، خاموش و یا ری استارت کرد.

تنظیماتی که میتوان با کمک Vapp  اعمال کرد شامل : کنترل ترتیب روشن یا خاموش شدن ماشین ها  و تنظیمات  Resource Pool  و قابلیت   IP Allocation میباشد.

Vapp ها در سطح Host and Clusters view و Template view نمایش داده میشوند.

نکته : اولویت خاموش شدن ماشین ها ، برعکس اولویت روشن شدنی است که تنظیم کرده اید !

نکته : در صورت حذف کردن Vapp ، اگر داخل آن ماشینی  وجود داشته باشد ، آن ماشین ها نیز حذف خواهند شد . (Delete From Disk)

همانطور که بیان شد Vapp در سناریوهای بازگشت از حادثه (disaster recovery scenarios) ، زمانی که میخواهید به صورت خودکار و سریع تعداد زیادی ماشین وابسته به یکدیگر را با یک کلیک یا دستور روشن کنید ، کارآمد هستند.