VMware HealthAnalyzer

Una de las cosas que tiene VMware es que dispone de 1.000 herramientas para revisar su entorno. Vale, sobre todo de pago, y ahora integradas en la suite Aria, pero tienes otras tantas accesibles, como por ejemplo, Skyline Health Diagnostics, o la que vamos a ver, VMware HealthAnalyzer, una herramienta más potente, a su manera.

Si con Skyline podemos realizar un análisis de los logs de la infraestructura, HealthAnalyzer automatiza la recopilación y el análisis del inventario de VMware Horizon, VMware vSphere y NSX, incluidos los datos de configuración y utilización.

Genera descubrimientos y observaciones, sugiere calificaciones y te brinda la posibilidad de ajustar calificaciones y observaciones conforme a los datos organizados según las prácticas recomendadas de revisión de estado. A través de la interfaz web de HealthAnalyzer, puedes revisar los datos recopilados y generar un informe de revisión de estado. Los datos obtenidos por VMware HealthAnalyzer se clasifican siguiendo las mejores prácticas recomendadas.

Los datos que proporciona HealthAnalyzer los puedes obtener de 3 diferentes productos: vSphere, Horizon y NSX. Luego, esos datos puedes exportarlos ya tratados en Word para una más fácil revisión de los mismos

Actualmente van por la versión 5.6.2 de Septiembre de 2023, y ya viene con el problema del java log4j solventado. Lógico, si tenemos en cuenta que podemos instalarlo de 2 formas distintas, y una de ellas es como programa Java sobre un equipo Windows o Mac. La otra manera es como appliance. De ambas maneras el proceso de despliegue y uso es muy simple:

Esta herramienta tiene un gran handicap, y es la obtención para su uso. Y de nuevo las comparaciones...igual que Skyline se puede obtener fácilmente y viene incluida en prácticamente cualquier paquete de licencias que adquieras de VMware, HealthAnalyzer es sólo accesible a partners de VMware, desde este ENLACE.

Como conectar el Cloud Gateway de vSphere+

VMware está de cambios, y uno de ellos son las nuevas versiones "+" de sus productos. Por ejemplo, vSphere, un clásico, suma un "+", que nos da una capa de gestión en la nube, con varias ventajas, como son el gestionar entornos de distintas ubicaciones en un único portal web. Y para ello, solo nos pide el despliegue de un appliance en cada localización con un vCenter.

Para que podamos establecer conexión tenemos una serie de requisitos previos muy simples:

• Conexión a internet: a pesar de que los vCenter Server no están conectados a Internet (y no deben estarlo), el dispositivo Cloud Gateway requiere acceso a Internet para poder comunicarse con VMware Cloud 
• Puertos de firewall: algunos puertos deben estar abiertos (principalmente el puerto 443) para las comunicaciones adecuadas hacia y desde el dispositivo Cloud Gateway
• Recursos: debe haber suficientes recursos (memoria, CPU, almacenamiento) en el clúster en el que se implementará el dispositivo Cloud Gateway

Antes de comenzar, tendremos que crear una conexión entre VMware Cloud Gateway y VMware Cloud.

Para ellos vamos a la web del cloud gateway que hemos desplegado, en este ejemplo, los datos de nuestro cloud gateway son: https://cloud-gateway01.corp.local:5480/gw-platform y pulsamos "get started". Una vez entramos, vemos 2 opciones: conectar el gateway a VMware Cloud, y conectarlo a un vCenter server o una instancia VCF. Empezaremos por configurar la conexion a la nube, así que en el cuadro de Connect VMware Cloud Gateway, pulsamos connect:

Nos lleva a la pantalla de inicio:

Nos puede dar acceso, o nos puede facilitar un código de registro único, como en este ejemplo:

Copiamos el código y lanzamos la ventana de VMware Cloud. Introducimos nuestros datos de acceso,

Nos pedirá la organización a la que conectar. Seleccionamos, y confirmamos. 

Ahora es cuando nos pedirá el valor inicial

Se lo toma con un poco de calma. Una vez creada la conexión de vCenter Cloud Gateway, ahora podemos iniciar sesión en Cloud Gateway y conectar los servidores a VMware Cloud.

Iniciamos sesión en VMware Cloud Gateway con nuestras credenciales:

Veremos que ya tenemos configurada la conexión del gateway a la nube. Ahora la conectamos a nuestro vCenter server, o nuestro VCF, lo que proceda.

Accedemos en otra ventana a nuestro vCenter. Es posible que nos salga una ventana para instalar un plugin. Indicamos que si.

Accedemos a nuestro vCenter con nuestro admin local,

Localizamos en nuestra infra el DNS name que tiene nuestro vCenter Server y lo copiamos

Nos volvemos a nuestra pestaña del cloud-gateway,  donde nos quedamos en el registro de instancias de vCenter, y pulsamos sobre Add vCenter Servers:

Introducimos el nombre DNS de nuestro vCenter, y como user y pass para la conexión, la cuenta de administrator@vsphere.local, y pulsamos sobre Add vCenter

Nos saltará una alerta de seguridad, sobre la que pulsaremos "connect",

Nos aparecerá nuestro vCenter server para seleccionar, y pulsamos Next

Aceptamos condiciones, y pulsamos next

Es posible que nos devuelva a la pantalla de inicio del cloud gateway. Si es el caso, volvemos a acceder,

Y veremos que el vCenter ya nos aparece como conectado. Pulsamos sobre "go to VMware Cloud",

En la consola de VMware Cloud veremos que se ha agregado nuestro vCenter como SDDC

Si tenemos mas vCenter, es repetir los pasos anteriores de "connect new vCenter Servers".

Con esto, accediendo a VMware cloud, podremos ver las distintas instancias que hayamos conectado y gestionarlas desde este punto. Además, si tenemos otros productos "+" como el vSAN, se podrán gestionar también desde aquí.

Si te ha gustado el articulo, puedes invitarme a un café ;)

Como crear reglas de Firewall distribuidas en VMware on AWS

 Muestro un ejemplo de cómo crear una política de firewall distribuido Tier 3, que controle el trafico entre servidores web, de aplicación y de BBDD. Para ello, haremos una política que permita el trafico http entre el servidor de web y el de aplicación, otra que permita el trafico MySQL entre el servidor de aplicaciones y el de BBDD, y una ultima que elimine todo el trafico de cualquiera de las aplicaciones con esta regla tier 3, a cualquier otra aplicación dentro de esta regla.

Para ello, accedemos a nuestra web de VMware Cloud, entramos en nuestro SDDC, pinchamos en "Networking & Security" y de ahí, click en Distributed Firewall, en el menú de la izquierda, en el apartado de "security", y luego en "Add Policy":

Agregamos un nombre a la nueva política que vamos a crear, vamos a DFW justo a la derecha del nombre de la política, y pinchamos en editar. En la ventana flotante que aparece, pinchamos en Groups, y marcamos el nombre del grupo que nos interesa. Aplicamos,

Y ya podemos empezar con las reglas que aplicará esa política. Primero empezaremos con la regla para permitir trafico web. 

Sobre la política antes creada, pinchamos en los 3 puntitos de la izquierda, y en el menu que aparece, seleccionamos "add rule":

Esto nos genera un nuevo campo dentro de la politica. Lo nombramos de alguna forma identificable, en este caso por ejemplo, "allow web traffic", y editamos la regla:

Ya teníamos un grupo creado llamado Web Servers, conteniendo las maquinas de este servicio. Lo seleccionamos, y aplicamos:

Sobre la regla, editamos el campo "destinations",

En la ventana flotante que aparece, como las anteriores, seleccionamos el grupo correspondiente, en este caso "app servers" (pasa como anteriormente, ya teníamos creado el grupo con las VM que contienen las app, igual que teníamos el grupo web servers):

Ya para terminar, hacemos click en servicios ( 2 imágenes mas arriba, el siguiente campo editable de la regla, a la derecha de "destinations"), y lo mismo, editar. En este caso marcamos el servicio HTTP, y aplicamos:

De nuevo lo mismo que antes...en la ventana donde vemos la regla, esta vez editamos el campo "applied to", seleccionamos "groups", y marcamos el "3 Tier".

Con esto, hemos dejado lista la regla para permitir el trafico web del grupo web servers al grupo app servers, por el puerto http. Vamos a generar ahora una regla para permitir el trafico MySQL. 

Para ello, repetimos el paso de la tercera imagen de este post, ir a los 3 puntitos de la política que creamos, pulsamos, aparecerá un menú desplegable, y pinchamos sobre "add rule". Ponemos nuestro nombre a la regla, en este caso "allow MySQL traffic", y editamos el campo Sources:

En la ventana flotante que aparece, seleccionaremos "app servers" y Apply:

Como veis, es exactamente igual que en la primera regla. En el campo "destinations" lo editamos, para seleccionar el grupo "DB Servers", y aplicamos. 

En el campo Servicios buscamos el servicio MySQL (en vez de haciendo scrolling podemos utilizar el campo filter, para no dejarnos la vista) y aplicamos.

En applied to, seleccionamos grupos, y marcamos el "3 tier" como hicimos en la anterior regla. Quedará algo asi:

Ya solo falta la regla para descartar el resto del trafico. 

Como hemos hecho anteriormente, vamos a los 3 puntitos de la politica, damos a "add Rule" y ponemos un nombre identificable a la regla. Y editamos los 3 campos críticos de las reglas, source, destination, y applied to. En los 3 campos marcamos "3 Tier". La diferencia es que en el campo "allow, pinchamos para expandir menú, y marcamos "drop":

Una vez modificado, pulsamos en "publish" ¡y ya lo tenemos!

Hecha una regla, hechas todas, el procedimiento es el mismo.

Como crear un segmento de red de VMware on AWS

 Vamos a ver un ejemplo rápido de configuración de red en VMware Cloud on AWS. En concreto, la creacion de un segmento de red. Para ello, vamos a nuestra consola de VMware Cloud, https://www.vmware.com/cloud-solutions.html, y accedemos con nuestro login y pass.

Esto nos llevará a nuestra pantalla principal con nuestros SDDCs:

Accedemos al que vamos a configurar, y nos vamos a la pestaña de "networking & security". Desde ahí, en el menú de la izquierda, pulsamos sobre "segments", y "add segment"

Desde aquí podremos configurar los valores del segmento de red. Básicamente es indicar el nombre del segmento, tipo, que suele ser Routed, y el segmento de red CIDR. Pulsamos en SAVE, y nos aparecerá un aviso indicando si queremos configurar el segmento. 

Podemos pulsar en NO. Nos aparecerá el nuevo segmento junto con los que teníamos en pantalla en la captura superior.

Configurar NSX y HCX para migrar de cargas de trabajo en GCVE

 Siguiendo con el anterior artículo donde desplegábamos una nube privada basada en hosts VMware en Google Cloud, GCVE, y teniendo en cuenta que esta solución, igual que las de Azure y AWS despliegan no solo hosts con ESXi, sino el vSphere, con vSAN y HCX, vamos a ver cómo configurar NSX-T y HCX para migrar cargas de trabajo entre distintos entornos de vSphere.

Para ello entramos en nuestra consola de GCVE (Google Cloud VMware Engine) y en Resources, entramos en la nube privada a configurar (aqui todavia está desplegandose la que creamos anteriormente...).

Vamos a vSphere Management Network, y seguidamente hacemos click en el FQDN del NSX manager:

Esto nos lleva a la consola del NSX. Ahí pinchamos en Networking:

Bien...si no lo tenemos abierto, abrimos la consola de vSphere de nuestro GCVE, y desde el menú, vamos al HCX:

Dentro, en el menú de la izquierda,  en el apartado de infraestructura, nos encontramos los apartados de Site Pairing e interconnect, donde vemos que es fácil agregar la conectividad de los distintos entornos. Adjunto un par de capturas de las ventanas:

Migrar cargas de trabajo es tan fácil como ir en nuestro HCX al menú principal de la izquierda, y en Services / migración, pinchar en Migrate:

En la ventana flotante configuramos los parámetros para la migración:

 En la ventana de Transfer and Placement tienes varios elementos para configurar la migración, no voy a entrar en detalle en todos porque son evidentes: ubicacion, datastore...pero sí interesa la opción de migración, que puede ser vMotion y bulk migration:

Una vez tenemos seleccionadas las opciones de transfer and placement, podemos ver la tarea que se va a ejecutar, ubicación de las VMs, formato de almacenamiento en destino...y ya solo queda pulsar en "validate", y "GO"

Con esto, hemos terminado. Una vez finalice la tarea, veremos la VM corriendo en el cluster receptor.

Si te ha gustado el articulo, puedes invitarme a un café ;)