Servicios Virtualización y Cloud Computing

Sobre el autor

Florian Murillo

Florián Murillo es CTO y socio fundador de Cloud Consulting, consultora especializada en cloud computing y DataCenter, con mas de 25 años asesorando empresas de todos los tamaños y con amplia experiencia en Seguridad, Virtualización VMware (VCP5 y VCI5) y Networking de Cisco (CCNP, CCDP y CCSP). Actualmente se dedica a ayudar a desarrollar negocios y proyectos en la nube a integradores, consultoras y proveedores de servicio.

Artículos Relativos

15 Comentarios

  1. 1

    andres

    hola,

    interesante articulo, pero me ha surgido una duda…como puedo saber si tengo 3 maquinas con ello activado, que el trafico de una ira a la que yo quiero y no se escapara por ahi??como dices tu dejando un problema de seguridad?

    Saludos

    Responder
  2. 2

    Florián

    @Andres me alegro que te haya parecido interesante, el alcance del VMCI es en el mismo host y cada socket server lleva un número de puerto que lo distingue de los demás.

    Responder
  3. 3

    Akuma

    Si que es interesante esta nueva forma de comunicación, pero me surgen bastantes dudas al respecto sobre todo en la aplicación práctica de este sistema.
    Por ejemplo, este sistema de comunicación, ¿podría interferir con el resto de comunicaciones tradicionales de las máquinas virtuales?
    Por otra parte, un inconveniente que podría darse además de la seguridad es que si por ejemplo muevo una máquina virtual, tengo que recordar el substituir esas comunicaciones mediante VMCI por las tradicionales o los servicios que dependan de ese sistema fallarán.
    Para terminar, ¿qué tipo de control se puede tener sobre esos protocolos ligeros para asegurarnos de que los datos fluyan de la manera que queremos?

    Salu2.

    Responder
  4. 4

    Florián

    @Akuma, no me extraña que te surjan dudas, si las VM están en hosts diferentes NO FUNCIONA, no interfieren con el resto de las comunicaciones ¿acaso un FTP interfiere con un http?

    Respecto al control, lo tenemos en la programación, definimos un identificador por destinatario, así sabemos donde va el tráfico.

    Desde el punto de vista de la seguridad, si no lo utilizados, mantenlo desactivado ;-)

    Espero haberte ayudado un poquito.

    Responder
  5. 5

    Akuma

    No me refería a que interfieran estando en distintos hosts (lógicamente). Lo de estar en distintos hosts, lo decía por si se hacia un vMotion y hay servicios dependientes de VMCI, habrá que darse cuenta de ellos y substituir la comunicación que había antes mediante este sistema, por uno tradicional.
    Respecto a lo de interferir en la propia máquina, lo decía por el hecho de que al utilizar puertos de ambos equipos y sabiendo que son los mismos que también utilizan los protocolos comunes como TCP/IP, pudiera darse el caso de que pienses que cierto puerto no está ocupado y resulta que no te deje prestar servicio en dicho puerto precisamente porque está siendo utilizado por una comunicación VMCI en curso. Es decir, con los métodos tradicionales (e.j.: netstat) para saber que conexiones están establecidas en tus máquinas virtuales, parece (viendo como lo describes) que no vamos a ver esas comunicaciones en la propia máquina virtual, ya que es un sistema de comunicación que está a nivel de host ¿no es así?. Por ello de que pueda interferir con las comunicaciones tradicionales y tú no saber porque un determinado servicio no está arrancando en un determinado puerto.

    Salu2.

    Responder
  6. 6

    Florián

    @Akuma, gracias por tu email, amigo, me has hecho darme cuenta que no he comentado una cosa importante, NO necesito tener interfaces de red para comunicarme con VMCI, con esto ya intuyes que la comunicación no es un puerto TCP a la escucha.
    En la versión antigua de VMCI tambien se permitía que 2 VM compartieran zonas de memoria, por suerte para la seguridad, se ha eliminado esta posibilidad, pero si VMware lo puede hacer, quizás alguien lo consiga en un futuro, por tanto, cuando mas “best practices” de seguridad apliquemos, menos riesgo tendremos, he dicho menos, no ninguno ;-)

    Mi opinión personal es que es un buen mecanismo para utilizarlo de forma muy prudente, y que las VM que no lo necesiten, deshabilitarlo (restricted) para evitar problemas y monitorizar que sigue desactivado periodicamente…..

    Responder
  7. 7

    Carlos

    Hola, genial introducción a esta característica que pasa muchas veces desapercibida, gracias.

    Sabes si en ESXi 5.5 se activa por defecto esta característica en las nuevas máquinas que se creen?

    Responder
    1. 7.1

      Jose Maria Gonzalez

      Hola Carlos,

      VMCI esta desactivado por defecto siempre en las VMs.

      Espero haberte aclarado tu duda.

      Gracias,
      Rgds,
      J.

      Responder
  8. 8

    gallegos

    Tengo en un host varias MVS y deseo respaldar las maquinas virtuales a un storage mediante un Znas dell pero me marca acceso denegado por permisos, pero en todos los casos utilizo cuenta de administrador y de root, que puede ser??? en si me respalda todos los archivos menos los mdk de las MVS

    Responder
    1. 8.1

      Jose Maria Gonzalez

      Hola Gallegos!

      Monta tu cliente NFS con la opción de no_squach_root para que el servidor ESXi pueda montar tu nfs de escritura también.

      Espero haberte aclarado tu duda.

      Rgds,
      J.

      Responder
  9. 9

    Nacho Pérez

    Hola,

    Volviendo al tema del VMCI, si en las MVs está desactivado por defecto (en vSphere 5.5) ¿es necesario tener cargado el módulo en los servidores linux (RHEL 6/Centos 6/Suse 11)?

    # lsmod | grep vm*
    vsock 55454 0
    vmware_balloon 7199 0
    vmci 81661 1 vsock
    vmxnet3 43524 0
    vmw_pvscsi 18048 4

    Gracias y enhorabuena por el Blog!!
    Aquí siempre se aprende algo.

    Saludos
    Nacho

    Responder
    1. 9.1

      Jose Maria Gonzalez

      Hola Nacho, gracias por participar y compartir.

      De los modelos que mencionas muchos son de las vmtools, como vmxnet3, balloon, etc. Yo quizás descargaría de tu kernel el modulo del vmci.

      Muchas gracias,

      Rgds,
      J.

      Responder
      1. 9.1.1

        Nacho Pérez

        Hola José María,

        Cuando actualizo un servidor linux, los módulos “misc/vmxnet.ko” y “misc/vmci.ko” no se regeneran como si lo hacen los módulos :

        ./kernel/crypto/vmac.ko
        ./kernel/drivers/misc/vmware_balloon.ko
        ./kernel/drivers/net/vmxnet3/vmxnet3.ko
        ./kernel/drivers/scsi/vmw_pvscsi.ko

        Y en el servidor linux al arrancar aparece este mensaje:

        init: vmware-tools pre-start process (1050) terminated with status 1
        vmsvc[1377]: [ warning] [vmtoolsd] Loading of library dependencies for libdeployPkgPlugin.so failed

        Tras reinstalar las vmtools, el error mencionado desaparece y aparecen los módulos que faltaban:

        ./misc/vmci.ko <– Faltaba
        ./misc/vmxnet.ko <– Faltaba
        ./kernel/crypto/vmac.ko
        ./kernel/drivers/misc/vmware_balloon.ko
        ./kernel/drivers/net/vmxnet3/vmxnet3.ko
        ./kernel/drivers/scsi/vmw_pvscsi.ko

        Entonces no es necesario cargar el modulo VMCI para mejorar la comunicación con el ESX?

        Gracias
        Saludos
        Nacho

        Responder
        1. 9.1.1.1

          Jose Maria Gonzalez

          Hola Nacho, no si tu aplicación en Linux no usa VMCI. Puedes probarlo tu mismo. Activa VMCI en tu VM y haz un benchmark de rendimiento. Luego desactivado y haz el mismo benchmark de rendimiento. Si mejora con VMCI es que tu aplicaron linux lo usa y por lo tanto notaras la mejora. Si la aplicación no lo usa te dará igual activar el VMCI.

          Muchas gracias.

          Responder
          1. 9.1.1.1.1

            Nacho Pérez

            OK,

            Muchas Gracias por las indicaciones !!

            Slds
            Nacho

Deja un Comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Una Web de JMG Virtual Consulting, especialistas en Soluciones de Virtualización y Formación Oficial VMware y OpenStack | Copyrights © 2017