Por una parte tenemos el nuevo portfolio de productos, Por otra parte tenemos las nuevas novedades en todos los ámbitos como vSAN ESA, VCF 9, VMware Cloud en Azure, el nuevo licenciamiento para VMware en AWS, los nuevos programas para partners, el acceso gratuito a los cursos formativos, tantas y tantas cosas…
miércoles, 4 de septiembre de 2024
Ya queda poco para el VMware Explore Barcelona 2024
Por una parte tenemos el nuevo portfolio de productos, Por otra parte tenemos las nuevas novedades en todos los ámbitos como vSAN ESA, VCF 9, VMware Cloud en Azure, el nuevo licenciamiento para VMware en AWS, los nuevos programas para partners, el acceso gratuito a los cursos formativos, tantas y tantas cosas…
miércoles, 31 de julio de 2024
Vulnerabilidad grave en ESXi permite escalado de permisos
En las ultimas investigaciones de Microsoft referentes a ataques sobre infraestructuras con VMware, se llevaron una sorpresa al averiguar como los hackers conseguían obtener el control de administrador sobre el hipervisor de VMware. Resulta que era tan simple como crear un grupo llamado "ESX Admins" e introducir los usuarios con los que quieres realizar el escalado de privilegios en dicho grupo, incluso aunque el usuario esté recién creado. En palabras de Microsoft
Un análisis más detallado de la vulnerabilidad reveló que los hipervisores VMware ESXi unidos a un dominio de Active Directory consideran que cualquier miembro de un grupo de dominio llamado “Administradores de ESX” tiene acceso administrativo completo de forma predeterminada. Este grupo no es un grupo integrado en Active Directory y no existe de forma predeterminada. Los hipervisores ESXi no validan la existencia de dicho grupo cuando el servidor se une a un dominio y siguen tratando a cualquier miembro de un grupo con este nombre con acceso administrativo completo, incluso si el grupo no existía originalmente. Además, la pertenencia al grupo se determina por nombre y no por identificador de seguridad (SID).
- net group “ESX Admins” /domain /add
- net group “ESX Admins” username /domain /add
- Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd from true to false
- Config.HostAgent.plugins.vimsvc.authValidateInterval from 1440 to 90
- Config.HostAgent.plugins.hostsvc.esxAdminsGroup from "ESX Admins" to ""
Aquí, vaya:
viernes, 14 de junio de 2024
Incrementar la capacidad de un cluster Nutanix NC2
Modificar la capacidad de un clúster Nutanix en AWS es muy fácil. Simplemente, desde nuestra consola NC2, pulsamos sobre las opciones del clúster que queremos modificar (los 3 puntitos a la derecha) y seleccionamos Settings:
En la ventana de resumen que nos aparece, seleccionamos la pestana de Capacity en la parte superior de la ventana. Aquí podemos ver la opción de revisar cuotas, el tipo y numero de hosts en el clúster, el factor de redundancia, y la opción de elegir el tipo y cantidad de hosts a añadir a nuestro clúster.
Antes de expandir el clúster, necesitamos revisar las cuotas. Si nuestra cuenta no tiene suficientes recursos, no será posible ampliarlo.
Si tenemos recursos para realizar la expansión, el proceso, como se ve en la siguiente captura, es bien fácil. Se selecciona el tipo de host, y el número de nodos a añadir. En la captura de ejemplo se añaden 2 nodos, porque el Redundancy Factor es 2 (RF2):
Si intentásemos reducir el numero de host a 1, no nos lo permitirá. Esto es debido al factor de redundancia. Para RF2, tendrias que agregar 2 nodos para subir a un mínimo de 5 (y mejor serian 6).
Lo mismo pasaría si intentásemos reducir nuestro numero de host de 3 a 2, o 1. El clúster mínimo es de 3 nodos, así que no podríamos reducirlo a 2
martes, 4 de junio de 2024
Descargar y actualizar la Whitelist para Foundation VM
Uno de los problemas mas absurdos que te puedes encontrar con los primeros pasos en la preparación de una instalación de Nutanix con Foundation es que necesites actualizar el archivo de Whitelist para que contemple el MD5 de la ISO que pretendes instalar, que busques en la documentacion y en los videos de la Nutanix University, y que te encuentres constantemente con enlaces no actualizados que no llevan a ninguna parte.
Así que aquí vamos a indicar cómo descargarlo y actualizarlo en la Foundation VM. Para ello, nos vamos a portal.nutanix.com, pinchamos en el bocadillo de la parte superior izquierda, y a continuación en Downloads.
Esto nos mostrará una página con los distintos productos que podemos descargar. Entre los distintos apartados, bajamos hasta "essential tools" y pinchamos en "Foundation"
Si nos fijamos con atención, y antes de las descargas, hay un mini enlace que nos permite descargar la whitelist. Pinchamos en el enlace, y nos descargará el archivo de la última versión, con el nombre "iso_whitelist.json"
Podemos abrir el archivo con el Notepad o cualquier otro editor, y buscar la versión de archivo que vayamos a instalar con Foundation. Pongamos, por ejemplo, que queremos instalar un cluster de Nutanix con ESXi 7 como hipervisor. En este caso, nos vamos a la web del fabricante, Broadcom, y nos descargamos la ISO "VMware-VMvisor-Installer-7.0U3n-21930508.x86_64.iso". Si nos fijamos en la web de descarga, tenemos también el SHA2 y el MD5 del archivo. Buscamos ese valor en nuestro "iso_whitelist.json". Si está, todo va bien. Si no está, es que la versión de ISO que quieres instalar no es compatible. En este caso, vemos cómo coincide.
Ahora, actualizar la whitelist en nuestra Foundation VM es muy fácil. Desde nuestra Foundation VM, ejecutamos el Nutanix Foundation. Cuando lleguemos al 4º paso, AOS / Hypervisor, seleccionamos nuestro hypervisor, y pinchamos en "View Hypervisor Whitelist"
Esto nos abre una nueva pagina que nos da la opción de subir la nueva Whitelist. Te lo puedes copiar a la VM, o te lo vuelves a descargar, puesto que ya hemos comprobado previamente si tiene el MD5 que nos interesa:
Con esto, no debería haber ningún problema relacionado con la imagen utilizada para el despliegue
Si te ha gustado el articulo, puedes invitarme a un café ;)
domingo, 2 de junio de 2024
Capturar datos de la infraestructura con RVtools
Lo primero de todo,
¿Qué son las RVtools?
Es una herramienta que se conecta a nuestro vCenter y obtiene toda la información referente a la infraestructura: numero de host físicos, VMs, procesadores, cores físicos así como virtuales, datastores, estado de su capacidad, almacenamiento consumido, aprovisionado, estado de las VMtools, VMs con Cd y sin él, si tienen una ISO montada...todo.
Es importante tener en cuenta que las RVtools facilitan los datos en el momento en que se encuentra el entorno cuando las ejecutas, esto es, son una fotografía del entorno en ese mismo momento, de manera que lo ideal es ejecutarlas cuando el vCenter está en pleno rendimiento, ya que también facilita datos de uso de las VMs como por ejemplo, CPU y RAM consumida, o el estado de las VMs, encendidas o apagadas.
¿Cómo se instala?
Las RVtools son una herramienta gratuita. Las puedes descargar de https://www.robware.net/download. La instalación es muy simple: Descargamos el archivo, que tendrá el nombre RVTools4.6.1.msi y lo ejecutamos. Es un programa estilo "siguiente, siguiente, siguiente..."
Aceptamos la licencia, y siguiente:
Seleccionamos ruta de instalación, permisos para todos y siguiente:
Aquí seleccionamos que no queremos recolección de datos. Ahora la aplicación pertenece a Dell, y tus datos irían para ellos, aunque tratados de forma anónima. De manera que pulsamos que "no, OptOut". Este paso no estaba en anteriores versiones del software:
Pulsando Next iniciaremos la instalación:
Veremos la barra de instalación, y finalizamos con "Close", cuando nos de la opción:
Ejecución de la herramienta
El ejecutar la herramienta nos va a pedir únicamente la dirección IP o nombre FQDN del vCenter, junto con un usuario y password con, al menos, permisos de lectura en todo el entorno. Claro que se puede entrar con la clásica cuenta "administrator@vsphere.local", pero no es necesario.
Inmediatamente veremos un pequeño recuadro alargado donde se indica rápidamente los datos que recopila, y al terminar, nos mostrará la ventana de la aplicación. Si te fijas, en el fondo es como si tuvieras múltiples pestañas de un libro de Excel con sus diversas filas y columnas mostrando los datos. y eso es justamente lo que obtendremos al exportar los datos de la aplicación.
Exportación de datos
Podemos tratar estos datos cómodamente exportándolos en formato .CSV o bien en Excel. Para ello vamos a File / Export all to Excel.
Esta herramienta es especialmente útil ahora para el cálculo de cores para las nuevas licencias por suscripción de VMware. Si nos vamos a la pestaña "vHost", podremos ver el número de procesadores que tiene cada host, así como el numero de cores por CPU.
Incluso disponemos de una pestaña vLicences donde nos informa de las licencias actuales instaladas, y cuales están en uso, así como a qué da derecho cada licencia (las diversas utilidades a las que te da acceso, como vSan, Tanzu, etc...), o el tipo de licencia (unlimited, por suscripción, etc...).
Adicionalmente, las RVtools son prácticamente un estándar para la obtención de estos datos del entorno VMware, de manera que hay múltiples sizers que pueden importar los Excel de las tools, como por ejemplo, Nutanix Collector, o bien los VMware Cloud Sizer de los distintos hiperescalares:
jueves, 9 de mayo de 2024
Como ver tus credenciales de VMware en Broadcom
El día 6 de mayo se finalizó la migración del learning portal de VMware, integrándose con Broadcom. Esto trae algún cambio importante en el acceso a las certificaciones obtenidas.
Lo primero de todo, el transcript: Normalmente, en el transcript, tanto el de Microsoft como el de VMware y cualquier otro, te informan no solo de cursos realizados, sino también de certificaciones obtenidas, hábiles y caducadas. Bien, esto ha cambiado.
Como se puede ver en la imagen, de entrada, para el año fiscal 2024, no aparece absolutamente nada. Está la opción de filtrar por ejemplo el training status para mostrarlos completos y ahí ya escapas del ultimo año, y te muestra lo disponible. Pero no verás tus certificados. Esta imagen está así de triste por la reciente migración, ya que cursos que estuvieran en curso se reseteaban y hay que comenzarlos de nuevo, pero en cuanto comienzas o completas formaciones, van apareciendo aquí, en el transcript. Insisto, no así las certificaciones.
Para ello, ahora tienes que dirigirte a https://cp.certmetrics.com/vmware/en/credentials/status que te redirigirá a una web de Broadcom donde sí podrás ver esta información, así como otras muchas cosas:
Desde aquí también podremos programar nuestros exámenes directamente desde el menú de Schedule, lo que nos llevará directamente a una web de Pearson Vue integrada dentro de la web de Broadcom, para realizar la reserva del examen. Y aquí hay cambios: ahora podremos presentarnos a los exámenes sin realizar los cursos de formación previos. Esto es, si te quieres sacar el VCP-DCV, no necesitas pasar por el curso de entre 1.500 y 4.000€, según a donde vayas, para poder presentarte. Lo que sé está estudiando es representar en el badge obtenido si se ha realizado o no con curso, pero todavia no se sabe nada al respecto.
Esto viene a ser el resumen, pero sobre tema de certificaciones puedes acceder a la noticia completa en el blog de VMware, AQUI.
miércoles, 10 de abril de 2024
Cómo actualizar ESXi desde 6.7 hasta 8.0
Vamos a ver cómo podemos realizar la actualización de nuestro ESXi, de la versión 6.7.0 hasta la 7.0u3. Aunque en este caso el salto que haremos será solo hasta la 7.0u3, si tenemos nuestro VCSA previamente actualizado a la 8.0, podríamos irnos a de una vez hasta ESXi 8.0 sin problemas.
Me quedo en la 7.0u3 por limitaciones del lab de pruebas, donde, para el servidor HP que estoy utilizando, el fabricante ha liberado hasta esta versión de ESXi en el momento del post, pero estas mismas instrucciones se pueden utilizar para, de un único salto, ir hasta la 8.0, según se puede comprobar en las tablas de compatibilidad de VMware:
¡Al lio! Nos descargamos la versión de ESXi que vamos a instalar, y la subimos a un disco local del ESXi. En este caso no es la ISO, es el archivo Depot del fabricante. Por ejemplo, si estuviéramos actualizando, pongamos por ejemplo, un nested ESXi, nos valdría la imagen de VMware. En este caso, como trabajaremos sobre un hardware de fabricante asociado, tiramos de la imagen del fabricante:
Verificamos que tenemos acceso por SSH, y si no, lo activamos.
Metemos el nodo que queremos actualizar en modo mantenimiento. Con el modo mantenimiento y el DRS correctamente activado, las VMs deberían reubicarse solas previamente en otros hosts del cluster, pero como no lo tengamos bien configurado, o haya reglas de almacenamiento que se peguen con VMs contenidas en este host, lo que conseguiremos es que estas VMs queden suspendidas, así que previamente revisa todo aquello que pueda influir en el movimiento de las VMs, o si no son muchas, haz un host vMotion a mano para las VMs a desalojar del ESXi. Doy por hecho que están en un datastore compartido y no en local, si no, storage vMotion a una ubicación externa al host a actualizar.
Y con esto, ya podemos poner el host en mantenimiento:
Ahora si, nos conectamos con Putty a nuestro host, y pasamos el siguiente comando:
esxcli software sources profile list -d /vmfs/volumes/xxxxx/VMware-ESXi-7.0.3-22348816-HPE-703.0.0.11.5.0.6-Oct2023-depot.zip
...donde el nombre del volumen lo podemos sacar de la ubicacion, en la ventana Resumen del local datastore. Se entiende mejor en la siguiente imagen:
...y reemplazamos el nombre "VMware-ESXi-7.0.3-22348816-HPE-703.0.0.11.5.0.6-Oct2023-depot.zip" por el nombre de archivo que subiste previamente al local datastore.
esxcli software profile update -d /vmfs/volumes/589c63a7-a3a57031-65f3-94188282a8b4/VMware-ESXi-7.0.3-22348816-HPE-703.0.0.11.5.0.6-Oct2023-depot.zip -p HPE-Custom-AddOn_703.0.0.11.5.0-6
Que si te fijas no es tanto, es "esxcli software profile update -d" /ruta del archivo /nombre del archivo que subimos previamente /nombre del perfil para actualización disponible.
Nos dará una salida larguísima. Pero prácticamente a la finalización del proceso, nos dará la info sobre el éxito del proceso:
Reiniciamos, sacamos de mantenimiento, ¡y listo! A repetir el proceso en los demás nodos. El reinicio lo puedes lanzar sin problema desde el vCenter.
PD: Recuerda que con el upgrade, hay que meter nuevas licencias...