VMware vSphere™ ESXi 5 incluye dos nuevas funcionalidades para aumentar la seguridad del VMkernel:
Memory Hardening: El kernel del ESXi, aplicaciones user-mode y ejecutables como drivers y librerías están localizadas en zonas de memoria aleatorias para evitar que software del tipo troyanos averigüen de una forma sencilla la localización de estas zonas de memoria.
Kernel Module Integrity: Los módulos, drivers y aplicaciones de ESXi son “firmados” digitalmente para asegurar la integridad de estos una vez que el VMkernel los carga en memoria.
Asimismo, a diferencia de las versiones VMware ESX 4.x, en VMware vSphere™ ESXi 5 es posible hacer boot de tu servidor ESXi desde un disco USB externo. También es posible instalar tus servidores ESXi con la opción de VMware Auto Deploy, sobre todo cuando tienes un número de host importante que instalar. De esta forma, acelerarás la fase de instalación del binario de ESXi y el despliegue de tus máquinas virtuales.
Si haces una actualización de la versión ESX 4.x a la versión ESXi 5 el portgroup tipo Service Console (solo disponible en versiones ESX) será borrado, ya que en los servidores ESXi no existe un Service Console. Asimismo, el portgroup de gestión en ESXi es llamado Management Port. Recuerda antes de actualizar un servidor ESXi hacer una copia de seguridad de su configuración con el comando vicfg-cfgbackup desde el vCli.
Desde el punto de vista de almacenamiento compartido SAN iSCSC, el número máximo de LUNs iSCSI que puedes conectar a un servidor ESXi es de 256. Otro de los límites que han cambiado en esta nueva versión de VMware vSphere™ ESXi 5 con respecto a las versiones anteriores, es que ahora es posible tener arrancadas hasta 2.048 máquinas virtuales por volumen VMFS.
También, ahora es posible activar – y está soportado – el modo soporte (TSM – de las siglas en inglés Tech Support Mode) de modo que podrás entrar vía SSH a tu servidor ESXi. Puedes activar el modo TSM desde la DCUI (de las siglas en inglés Direct Console User Interface) o con el vSphere Client a través del panel Security Profile localizado dentro de la pestaña de Configuration.
Una vez entres en la consola de tu servidor ESXi vía comando, podrás ver los logs de tu sistema, configurar las propiedades de los servicios de DNS, NTP, arrancar máquinas virtuales, apagar servidores ESXi y un largo etcétera. Sin embargo, una de las pocas tareas que no podrás hacer desde consola es la de poner tu host ESXi en modo mantenimiento.
Para poder ver una guía de referencia de todos los comandos disponibles por consola en la versión ESXi 5.0, te recomiendo que veas el episodio número 31 de nuestro canal de televisión web sobre la virtualización y el cloud computing en español en la siguiente dirección: http://www.virtualizacion.tv
Asimismo, con el fin de mejorar la seguridad del servidor ESXi, VMware ha añadido un firewall embebido en el VMkernel. A diferencia de las versiones anteriores, este firewall no está basado en IPtables de Linux.
Por último, y si aún tienes servidores VMware ESX en tu entorno virtual y necesitas aplicar parches en el Service Console del ESX, debes de asegúrate de aplicar dichos parches solo y únicamente cuando VMware haya hecho público las actualizaciones y siempre que sea sugerido por personal autorizado de VMware o por el equipo experto de VMware llamado VMware Security Advisories. Para poder recibir alertas de seguridad sobre vulnerabilidades del software de VMware, puedes suscribirte en esta dirección: http://www.vmware.com/security
¿Crees que este post le puede interesar a alguien a quien conoces? Compártelo clicando los botones de Twitter, Facebook o Google+ de abajo. Gracias por tu apoyo.
Hola amigos, soy Florián Murillo y voy a repasar los distintos mecanismos de conexión a ESXi 5.
Respecto al ESXi 4, hay cambios de nomenclatura en los servicios Tech Support Mode, el Remote Tech Support Mode pasa a denominarse simplemente SSH, y el Local Tech Support Mode paa a ser llamado a partir de esta versión ESXi Shell.
La imagen adjunta, resume las diferentes alternativas de conexión con un ESXI 5:
¿Qué misión tiene el Lockdown Mode?
Es un modo seguro de conexión al ESXi, al activar Lockdown Mode el ESXi se producen los siguientes cambios:
1. No acepta sesiones root desde vCenter Server, como por ejemplo para hacer un “Add host” al vCenter Server. vCenter Server se puede seguir conectando como vpxuser.
2. No acepta conexiones ssh como root.
3. No se pueden ejecutar scripts vCLI, vMA o PowerCLI que se ejecuten como root directamente contra un host, las hemos de pasar por vCenter Server.
4. No acepta comunicaciones CIM excepto desde el vCenter Server.
¿Desde donde podemos activar Lockdown Mode?
1. Desde la DCUI
2. Al añadir el host para ser gestionado por vCenter Server
3. Desde vCenter Server, Host (haciendo click sobre un host) > Configuration > Security Profile
Con todo lo dicho, la imagen inicial, tras activar Lockdown Mode quedaría de la siguiente forma:
¿Crees que este artículo puede interesar a alguien a quien conoces? Compártelo clicando los botones de Twitter y Facebook de abajo o arriba. Gracias.
¡Hola, soy Ferran Serafini! Es un honor para mí poder anunciaros que a partir de hoy cada miércoles tendré la oportunidad de explicaros todo lo que queréis saber sobre XenServer.
Mis primeras palabras son de agradecimiento para José María González por la oportunidad de participar en este gran blog que llevo siguiendo desde hace mucho tiempo y colaborando desde hace unos meses en el foro de XenServer.
Cada miércoles os iré enseñando trucos, consejos y novedades sobre la virtualización de servidores con XenServer. Mi objetivo es daros las técnicas necesarias para despegar si aún no lo habéis probado, entrar en el mundo del la línea de comandos básicos y avanzados, donde configuraremos máquinas, almacenamiento, redes, etc utilizando ejemplos prácticos y reales.
Empezaremos hoy con la introducción a la CLI de XenServer donde aprendernos durante las próximas semanas a utilizar todo su potencial. Esto nos va a permitir documentar de forma precisa, crear nuestros scripts y entrar mucho más a fondo del que nos permite la consola gráfica de XenServer.
¡Empecemos!
XenServer tiene mucho más potencial del que nos parece si solo hemos usado XenCenter, como muchos ya sabréis la CLI de XenServer está en el comando xe. Para usar la CLI basta con entrar por SSH a un servidor XenServer o bien instalarte el binario xe-cli. Si tienes instalado XenCenter, el binario xe ya viene incluido, està en: C:\Archivos de programa\Citrix\XenCenter\xe.exe
Todos los comandos que iremos viendo los hago desde el propio servidor XenServer.
La sintaxis básica es:
xe comando argumento=valor argumento=valor
De comandos para xe hay más de 300, poco a poco los iremos viendo casi todos. Con xe<espacio> y dos tabulaciones los podemos ver.
Ejemplo 1: Queremos ver las maquinas virtuales que tenemos.
Ejemplo 2: Queremos ver los hosts que tenemos en un mismo pool
Ejemplo 3: Queremos ver solo las máquinas virtuales que tiene un host
Resumiendo lo que hemos visto en los ejemplos, XenServer identifica los objetos (maquinas virtuales, hosts, redes) por el identificador único UUID. Con él podemos consultar valores que están en otros objetos/argumentos como en el tercer ejemplo. Siempre tener a mano el tabulador, ayuda en la búsqueda de los argumentos que necesitas.
Recuerda que podemos consultar la ayuda de xe mediante:
Amigos, aquí finalizo por hoy. Espero que os haya resultado interesante y animaros a seguir profundizando el la línea de comandos de XenServer. La próxima semana volveré a la carga con más comandos que te serán útiles para tener tus servidores XenServer bien controlados.
¿Crees que este post puede interesar a alguien? En ese caso clica en los botones de compartir de arriba o abajo. Gracias por el apoyo.
En el post de hoy os enseñaré un pequeño truco para poder disponer de nuestras ISOs en el almacenamiento local de nuestro XenServer.
Como sabéis desde la consola de XenCenter la única manera de poder crear un repositorio para ISOs es a través de la red:
Os recuerdo los pasos:
1.- Añadimos nuevo storage, seleccionamos NFS ISO
2.- Introducimos la ruta del servidor y del directorio publicado por NFS y pulsamos en finalizar
Lógicamente para este método necesitaremos un sistema que permita almacenamiento en red. Pero para instalaciones más modestas existe este otro método que explico a continuación en el cual podremos meter nuestras ISOs en el repositorio local del servidor XenServer
Nos conectamos por SSH al servidor XenServer y desde CLI ejecutaremos los siguientes comandos:
1.- Creamos el directorio por ejemplo:
mkdir /var/opt/xen/isos
2.- Creamos el repositorio en el directorio anteriormente creado:
En el post de hoy describiré como hacer uso de la utilidad XenTop del modo CLI.
Xentop es una utilidad incluida en todas las versiones de XenServer, muestra información en tiempo real sobre XenServer y los dominios que hay corriendo sobre el. Para poder hacer uso de ella debemos entrar a la consola CLI si estamos en local o por ssh si estamos en remoto.
Una vez dentro tendremos que poner la siguiente orden:
#xentop
A continuación pasa a describiros cada columna para que sepáis interpretar la información que imprime XenServer:
CPU(sec): Muestra el consumo de cpu en segundos
CPU(%): Muestra el porcentaje de cpu.
VCPUS: Muestra el número de cpus virtuales
NETs: Muestra el número de redes virtuales
MEM: Muestra la memoria consumida
MAXMEM(K): Muestra el registro de máxima memoria en KB
MAXMEM(%): Muestra el porcentaje de registro máximo de memoria.
NETTX: Muestra el número total de tx
NETRX: Muestra el número total de rx
VBDS: Muestra el número de virtual bloks
VBD OO: Muestra el número total de peticiones VBD OO.
En el post de hoy os explicaré algo bien sencillo. Será conectarnos a nuestro servidor XenServer mediante SSH. Tarea muy habitual en el mundo de la administración de sistemas.
Explicaremos como hacerlo desde un equipo Mac y desde otro Windows.
Desde Mac:
1.- Aplicaciones –> Utilidades –> Terminal
ssh usuario@ipDelServidorXenServer
En el caso que no fuera el puerto por defecto habría que poner la opcion -p
2.- Una vez dentro podremos ejecutar cualquier comando de XenServer:
xe “comando”
3.- Por supuesto también podremos hacer uso de la consola xsconsole:
En concreto, en esta versión se ha mejorado, y mucho, la forma y manera de activar el soporte SSH en VMware vSphere ESXi 4.1.
Esta nueva versión incluye una nueva opción en la configuración de VMware ESXi 4.1 para activar el soporte de SSH sin tener que editar, modificar, guardar y reinicializar ningún demonio de VMware ESXi, al menos, no lo tenemos que hacer nosotros manualmente.
Simplemente basta con activar la opción en el DCUI ( de las siglas en ingles Direct Console User Interface ).
En este episodio #37, te voy a mostrar como activar el soporte SSH para VMware vSphere ESXi 4.1, una mejora importante con respecto a las versiones anteriores de VMware ESXi 3.x y ESXi 4.0:
Es posible poder habilitar el acceso vía SSH en un servidor VMware vSphere ESXi.
En este episodio te mostrare como seleccionar el modo soporte en vSphere VMware ESXi para poder, después, habilitar el servicio SSH en vSphere VMware ESXi.
Para poder habilitar el servicio de SSH en VMware vSphere ESXi debes, primero, habilitar el modo soporte en vSphere VMware ESXi – con la opción Alt + F1 y tecleando la palabra “unsupported“.
Ten en cuenta que solo la cuenta “root” puede ser usada para conectarse al servidor ESXi via SSH.
Si habilitas el servicio SSH en VMware ESXi, asegúrate de que está habilitado solo por un periodo de tiempo limitado. NO deberías dejar abierto el servicio de SSH en servidores vSphere VMware ESXi que estén en producción.
Y recuerda, habilita el servicio SSH en vSphere VMware ESXi SOLO en caso de que no hayas podido solventar el problema con tu servidor ESXi por otros métodos.
NO deberías dejar el servicio SSH abierto en servidores ESXi que estén producción, no digas que no te lo dije!!!
Descubre y domina la nueva versión de VMware vSphere™ 5 y aprovéchate de hasta un
20% de descuento al comprarlo online.
Regístrate y
recibe un capitulo de nuestro nuevo libro totalmente gratuito
Nuevo Site Recovery Manager 4 en español Consigue una copia gratuita del eBook
