miércoles, 4 de septiembre de 2024

Ya queda poco para el VMware Explore Barcelona 2024

Un año más comienza el evento más esperado de VMware en Europa, VMware Barcelona 2024. Pero este año con Broadcom estoy seguro de que tendremos uno de los eventos más espectaculares de VMware de los últimos años, y esto es debido a la cantidad de novedades que se han ido produciendo a un ritmo vertiginoso este año.


Por una parte tenemos el nuevo portfolio de productos, Por otra parte tenemos las nuevas novedades en todos los ámbitos como vSAN ESA, VCF 9, VMware Cloud en Azure, el nuevo licenciamiento para VMware en AWS, los nuevos programas para partners, el acceso gratuito a los cursos formativos, tantas y tantas cosas…

Pero quizá lo más importante son las posibilidades de conectar partners, clientes, entusiastas de la tecnología, Bloggers, vExperts, todo es confluyendo en el mismo lugar y al mismo momento pudiendo compartir experiencias en torno al nexo la reunión que es VMware. Porque la verdad, personalmente, con el magnífico entorno disponible que nos brinda tantas posibilidades de aprendizaje, lo mejor de todo, al final, es el reencuentro con otros colegas vExpert, no solo de España sino de todo el mundo. Porque no dudó que habrá charlas temáticas de todo tipo y por supuesto talleres, pero al final y después de todo el día moviéndote entre charlas eventos y stands, siempre quedan las vBeers para rematar el día.

Pero comencemos por el principio: ¿donde se celebra este año el VMware Explore 2024, aparte de saber, por el nombre, que es en Barcelona? Pues como otras veces, se realizará en la Fira Gran Via, del 4 al 7 de Noviembre de 2024. Esto se encuentra situado en el Carrer del Foc 10, 08038 Barcelona. Cuidadin con la dirección, porque la Fira de Barcelona es grande, y dividida en varios edificios, asi que si te diriges allí con GPS o taxi, indicar la calle. Es accesible en metro, parada Foc, pero la Fira realmente cae un poco alejada del centro, aunque está muy cerca del aeropuerto. Por eso te recomiendo tomar un taxi, Uber o similar, por comodidad.


Aunque sea un evento en Barcelona, desempolva tu ingles si no lo practicas mucho, porque el idioma más común para entenderte con todo el mundo es este. No deja de ser un evento mundial, y aunque seguro que hay alguna que otra ponencia en castellano, fácilmente el 95% de las actividades serán en inglés.
Sobre cómo ir, aunque desde la web oficial del evento indican ropa formal o informal, te recomiendo ropa casual, ir cómodo, porque vas a pasar muuuuchas horas moviendote en la Fira, y es bastante grande.


Sobre los eventos, AQUI te dejo el enlace a todas las actividades disponibles. Lo mejor que puedes hacer es planificarte la agenda de asistencia previamente, porque hay tantas, y a la vez, que habrá que elegir.Y por supuesto, si no te has registrado, ¡ya tardas! AQUI tienes el enlace a la web del registro.
¡Nos vemos alli!


miércoles, 31 de julio de 2024

Vulnerabilidad grave en ESXi permite escalado de permisos

En las ultimas investigaciones de Microsoft referentes a ataques sobre infraestructuras con VMware, se llevaron una sorpresa al averiguar como los hackers conseguían obtener el control de administrador sobre el hipervisor de VMware. Resulta que era tan simple como crear un grupo llamado "ESX Admins" e introducir los usuarios con los que quieres realizar el escalado de privilegios en dicho grupo, incluso aunque el usuario esté recién creado. En palabras de Microsoft

Un análisis más detallado de la vulnerabilidad reveló que los hipervisores VMware ESXi unidos a un dominio de Active Directory consideran que cualquier miembro de un grupo de dominio llamado “Administradores de ESX” tiene acceso administrativo completo de forma predeterminada. Este grupo no es un grupo integrado en Active Directory y no existe de forma predeterminada. Los hipervisores ESXi no validan la existencia de dicho grupo cuando el servidor se une a un dominio y siguen tratando a cualquier miembro de un grupo con este nombre con acceso administrativo completo, incluso si el grupo no existía originalmente. Además, la pertenencia al grupo se determina por nombre y no por identificador de seguridad (SID).
Enlace directo a la publicación de Microsoft AQUI.

Estos permisos se obtienen prácticamente con 2 comandos: 
  • net group “ESX Admins” /domain /add
  • net group “ESX Admins” username /domain /add
Esta vulnerabilidad, con numero CVE-2024-37085 se ha clasificado como severidad media.



La buena noticia es que la vulnerabilidad se ha hecho publica cuando se ha anunciado su parcheo. 
La mala, es que el parcheo aplica a partir de la versión ESXi80U3-24022510. Ver notas de Broadcom AQUI.
 
Hay un workaround que también funciona en los ESXi 7.0, consistente en realizar los siguientes cambios en las opciones avanzadas del ESXi:
  • Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd from true to false
  • Config.HostAgent.plugins.vimsvc.authValidateInterval from 1440 to 90
  • Config.HostAgent.plugins.hostsvc.esxAdminsGroup from "ESX Admins" to "" 

Aquí, vaya:


Así que ya sabéis, toca actualizar con carácter de urgencia, y más ahora, que el ciclo de vida de ESXi7 finaliza el año que viene.
 

viernes, 14 de junio de 2024

Incrementar la capacidad de un cluster Nutanix NC2

 Modificar la capacidad de un clúster Nutanix en AWS es muy fácil. Simplemente, desde nuestra consola NC2, pulsamos sobre las opciones del clúster que queremos modificar (los 3 puntitos a la derecha) y seleccionamos Settings:

En la ventana de resumen que nos aparece, seleccionamos la pestana de Capacity en la parte superior de la ventana. Aquí podemos ver la opción de revisar cuotas, el tipo y numero de hosts en el clúster, el factor de redundancia, y la opción de elegir el tipo y cantidad de hosts a añadir a nuestro clúster.

Antes de expandir el clúster, necesitamos revisar las cuotas. Si nuestra cuenta no tiene suficientes recursos, no será posible ampliarlo.

Si tenemos recursos para realizar la expansión, el proceso, como se ve en la siguiente captura, es bien fácil. Se selecciona el tipo de host, y el número de nodos a añadir. En la captura de ejemplo se añaden 2 nodos, porque el Redundancy Factor es 2 (RF2):

Si intentásemos reducir el numero de host a 1, no nos lo permitirá. Esto es debido al factor de redundancia. Para RF2, tendrias que agregar 2 nodos para subir a un mínimo de 5 (y mejor serian 6).

Lo mismo pasaría si intentásemos reducir nuestro numero de host de 3 a 2, o 1. El clúster mínimo es de 3 nodos, así que no podríamos reducirlo a 2

martes, 4 de junio de 2024

Descargar y actualizar la Whitelist para Foundation VM

Uno de los problemas mas absurdos que te puedes encontrar con los primeros pasos en la preparación de una instalación de Nutanix con Foundation es que necesites actualizar el archivo de Whitelist para que contemple el MD5 de la ISO que pretendes instalar, que busques en la documentacion y en los videos de la Nutanix University, y que te encuentres constantemente con enlaces no actualizados que no llevan a ninguna parte.

Así que aquí vamos a indicar cómo descargarlo y actualizarlo en la Foundation VM. Para ello, nos vamos a portal.nutanix.com, pinchamos en el bocadillo de la parte superior izquierda, y a continuación en Downloads.

Esto nos mostrará una página con los distintos productos que podemos descargar. Entre los distintos apartados, bajamos hasta "essential tools" y pinchamos en "Foundation"

Si nos fijamos con atención, y antes de las descargas, hay un mini enlace que nos permite descargar la whitelist. Pinchamos en el enlace, y nos descargará el archivo de la última versión, con el nombre "iso_whitelist.json"

Podemos abrir el archivo con el Notepad o cualquier otro editor, y buscar la versión de archivo que vayamos a instalar con Foundation. Pongamos, por ejemplo, que queremos instalar un cluster de Nutanix con ESXi 7 como hipervisor. En este caso, nos vamos a la web del fabricante, Broadcom, y nos descargamos la ISO "VMware-VMvisor-Installer-7.0U3n-21930508.x86_64.iso". Si nos fijamos en la web de descarga, tenemos también el SHA2 y el MD5 del archivo. Buscamos ese valor en nuestro "iso_whitelist.json". Si está, todo va bien. Si no está, es que la versión de ISO que quieres instalar no es compatible. En este caso, vemos cómo coincide.

Ahora, actualizar la whitelist en nuestra Foundation VM es muy fácil. Desde nuestra Foundation VM, ejecutamos el Nutanix Foundation. Cuando lleguemos al 4º paso, AOS / Hypervisor, seleccionamos nuestro hypervisor, y pinchamos en "View Hypervisor Whitelist"

Esto nos abre una nueva pagina que nos da la opción de subir la nueva Whitelist. Te lo puedes copiar a la VM, o te lo vuelves a descargar, puesto que ya hemos comprobado previamente si tiene el MD5 que nos interesa:

Con esto, no debería haber ningún problema relacionado con la imagen utilizada para el despliegue

Si te ha gustado el articulo, puedes invitarme a un café ;)

domingo, 2 de junio de 2024

Capturar datos de la infraestructura con RVtools

 Lo primero de todo, 

¿Qué son las RVtools? 

Es una herramienta que se conecta a nuestro vCenter y obtiene toda la información referente a la infraestructura: numero de host físicos, VMs, procesadores, cores físicos así como virtuales, datastores, estado de su capacidad, almacenamiento consumido, aprovisionado, estado de las VMtools, VMs con Cd y sin él, si tienen una ISO montada...todo.

Es importante tener en cuenta que las RVtools facilitan los datos en el momento en que se encuentra el entorno cuando las ejecutas, esto es, son una fotografía del entorno en ese mismo momento, de manera que lo ideal es ejecutarlas cuando el vCenter está en pleno rendimiento, ya que también facilita datos de uso de las VMs como por ejemplo, CPU y RAM consumida, o el estado de las VMs, encendidas o apagadas.

¿Cómo se instala?

Las RVtools son una herramienta gratuita. Las puedes descargar de https://www.robware.net/download. La instalación es muy simple: Descargamos el archivo, que tendrá el nombre RVTools4.6.1.msi y lo ejecutamos. Es un programa estilo "siguiente, siguiente, siguiente..."

Aceptamos la licencia, y siguiente:

Seleccionamos ruta de instalación, permisos para todos y siguiente:

Aquí seleccionamos que no queremos recolección de datos. Ahora la aplicación pertenece a Dell, y tus datos irían para ellos, aunque tratados de forma anónima. De manera que pulsamos que "no, OptOut". Este paso no estaba en anteriores versiones del software:

Pulsando Next iniciaremos la instalación:

Veremos la barra de instalación, y finalizamos con "Close", cuando nos de la opción:

Ejecución de la herramienta

El ejecutar la herramienta nos va a pedir únicamente la dirección IP o nombre FQDN del vCenter, junto con un usuario y password con, al menos, permisos de lectura en todo el entorno. Claro que se puede entrar con la clásica cuenta "administrator@vsphere.local", pero no es necesario.

Inmediatamente veremos un pequeño recuadro alargado donde se indica rápidamente los datos que recopila, y al terminar, nos mostrará la ventana de la aplicación. Si te fijas, en el fondo es como si tuvieras múltiples pestañas de un libro de Excel con sus diversas filas y columnas mostrando los datos. y eso es justamente lo que obtendremos al exportar los datos de la aplicación.

Exportación de datos

Podemos tratar estos datos cómodamente exportándolos en formato .CSV o bien en Excel. Para ello vamos a File / Export all to Excel.

Esta herramienta es especialmente útil ahora para el cálculo de cores para las nuevas licencias por suscripción de VMware. Si nos vamos a la pestaña "vHost", podremos ver el número de procesadores que tiene cada host, así como el numero de cores por CPU.

Incluso disponemos de una pestaña vLicences donde nos informa de las licencias actuales instaladas, y cuales están en uso, así como a qué da derecho cada licencia (las diversas utilidades a las que te da acceso, como vSan, Tanzu, etc...), o el tipo de licencia (unlimited, por suscripción, etc...).

Adicionalmente, las RVtools son prácticamente un estándar para la obtención de estos datos del entorno VMware, de manera que hay múltiples sizers que pueden importar los Excel de las tools, como por ejemplo, Nutanix Collector, o bien los VMware Cloud Sizer de los distintos hiperescalares:


Si te ha gustado el articulo, puedes invitarme a un café ;)

jueves, 9 de mayo de 2024

Como ver tus credenciales de VMware en Broadcom

 El día 6 de mayo se finalizó la migración del learning portal de VMware, integrándose con Broadcom. Esto trae algún cambio importante en el acceso a las certificaciones obtenidas.

Lo primero de todo, el transcript: Normalmente, en el transcript, tanto el de Microsoft como el de VMware y cualquier otro, te informan no solo de cursos realizados, sino también de certificaciones obtenidas, hábiles y caducadas. Bien, esto ha cambiado.

Como se puede ver en la imagen, de entrada, para el año fiscal 2024, no aparece absolutamente nada. Está la opción de filtrar por ejemplo el training status para mostrarlos completos y ahí ya escapas del ultimo año, y te muestra lo disponible. Pero no verás tus certificados. Esta imagen está así de triste por la reciente migración, ya que cursos que estuvieran en curso se reseteaban y hay que comenzarlos de nuevo, pero en cuanto comienzas o completas formaciones, van apareciendo aquí, en el transcript. Insisto, no así las certificaciones.

Para ello, ahora tienes que dirigirte a https://cp.certmetrics.com/vmware/en/credentials/status que te redirigirá a una web de Broadcom donde sí podrás ver esta información, así como otras muchas cosas:

Desde aquí también podremos programar nuestros exámenes directamente desde el menú de Schedule, lo que nos llevará directamente a una web de Pearson Vue integrada dentro de la web de Broadcom, para realizar la reserva del examen. Y aquí hay cambios: ahora podremos presentarnos a los exámenes sin realizar los cursos de formación previos. Esto es, si te quieres sacar el VCP-DCV, no necesitas pasar por el curso de entre 1.500 y 4.000€, según a donde vayas, para poder presentarte. Lo que sé está estudiando es representar en el badge obtenido si se ha realizado o no con curso, pero todavia no se sabe nada al respecto. 

Esto viene a ser el resumen, pero sobre tema de certificaciones puedes acceder a la noticia completa en el blog de VMware, AQUI.

miércoles, 10 de abril de 2024

Cómo actualizar ESXi desde 6.7 hasta 8.0

Vamos a ver cómo podemos realizar la actualización de nuestro ESXi, de la versión 6.7.0 hasta la 7.0u3. Aunque en este caso el salto que haremos será solo hasta la 7.0u3, si tenemos nuestro VCSA previamente actualizado a la 8.0, podríamos irnos a de una vez hasta ESXi 8.0 sin problemas.

Me quedo en la 7.0u3 por limitaciones del lab de pruebas, donde, para el servidor HP que estoy utilizando, el fabricante ha liberado hasta esta versión de ESXi en el momento del post, pero estas mismas instrucciones se pueden utilizar para, de un único salto, ir hasta la 8.0, según se puede comprobar en las tablas de compatibilidad de VMware:

¡Al lio! Nos descargamos la versión de ESXi que vamos a instalar, y la subimos a un disco local del ESXi. En este caso no es la ISO, es el archivo Depot del fabricante. Por ejemplo, si estuviéramos actualizando, pongamos por ejemplo, un nested ESXi, nos valdría la imagen de VMware. En este caso, como trabajaremos sobre un hardware de fabricante asociado, tiramos de la imagen del fabricante:

Verificamos que tenemos acceso por SSH, y si no, lo activamos.

Metemos el nodo que queremos actualizar en modo mantenimiento. Con el modo mantenimiento y el DRS correctamente activado, las VMs deberían reubicarse solas previamente en otros hosts del cluster, pero como no lo tengamos bien configurado, o haya reglas de almacenamiento que se peguen con VMs contenidas en este host, lo que conseguiremos es que estas VMs queden suspendidas, así que previamente revisa todo aquello que pueda influir en el movimiento de las VMs, o si no son muchas, haz un host vMotion a mano para las VMs a desalojar del ESXi. Doy por hecho que están en un datastore compartido y no en local, si no, storage vMotion a una ubicación externa al host a actualizar.

Y con esto, ya podemos poner el host en mantenimiento:

Ahora si, nos conectamos con Putty a nuestro host, y pasamos el siguiente comando:

esxcli software sources profile list -d /vmfs/volumes/xxxxx/VMware-ESXi-7.0.3-22348816-HPE-703.0.0.11.5.0.6-Oct2023-depot.zip

...donde el nombre del volumen lo podemos sacar de la ubicacion, en la ventana Resumen del local datastore. Se entiende mejor en la siguiente imagen:


...y reemplazamos el nombre "VMware-ESXi-7.0.3-22348816-HPE-703.0.0.11.5.0.6-Oct2023-depot.zip" por el nombre de archivo que subiste previamente al local datastore.

Nos indicará lo siguiente:


Esto nos da las imágenes disponibles en el paquete. En este caso, una única imagen del fabricante. Si buscas información sobre el proceso de actualización, muchas veces se omite este paso, y directamente se muestra una salida como la de la siguiente imagen, que corresponde a un archivo standard de VMware:


Vamos a actualizar la actualización con el siguiente comando, que incluye el nombre de la imagen disponible. Para ello, metemos el siguiente comando:

esxcli software profile update -d /vmfs/volumes/589c63a7-a3a57031-65f3-94188282a8b4/VMware-ESXi-7.0.3-22348816-HPE-703.0.0.11.5.0.6-Oct2023-depot.zip -p HPE-Custom-AddOn_703.0.0.11.5.0-6

Que si te fijas no es tanto, es "esxcli software profile update -d" /ruta del archivo /nombre del archivo que subimos previamente /nombre del perfil para actualización disponible.

Nos dará una salida larguísima. Pero prácticamente a la finalización del proceso, nos dará la info sobre el éxito del proceso:

Reiniciamos, sacamos de mantenimiento, ¡y listo! A repetir el proceso en los demás nodos. El reinicio lo puedes lanzar sin problema desde el vCenter.

PD: Recuerda que con el upgrade, hay que meter nuevas licencias...

Si te ha gustado el articulo, puedes invitarme a un café ;)

viernes, 15 de marzo de 2024

Actualizar VCSA de 6.7.0 a 8.0.2

 A veces, por unos temas u otros, nos resistimos a la actualización de nuestro entorno. Por esta razón, a veces toca realizar actualizaciones que normalmente se hubieran realizado en varios saltos, pero en uno solo. En este caso vamos a ver cómo actualizar un VCSA de la versión 6.7.0 a la ultima versión disponible.


Lo primero de todo: verificar si es posible el salto que queremos dar. Para ello disponemos de la herramienta Matrix interoperability, que nos permite comparar versiones de productos, y saltos de actualizaciones entre versiones. La verdad es que sólo esta herramienta da para hacerle un apartado, ya que dispone de bastantes opciones y comprobaciones.

Para la actualización que nos compete, podemos ver en la imagen superior que es posible el salto. De manera que comenzaremos con la actualización.

Partimos de que ya hemos descargado la ISO, y la tenemos en nuestro equipo. 

Montamos la ISO y nos vamos a D:\vcsa-ui-installer\win32, para ejecutar “installer.exe”. 



Esto nos abre la siguiente ventana de opciones: 


Podemos desde instalar el VCSA, a realizar una actualización, migrar desde un vCenter instalado en Windows al modelo appliance, o bien realizar una restauración de un backup previo (ojo, realizado con el sistema de backup del vCenter).
En nuestro caso hacemos un upgrade, así que pinchamos sobre esa opción.
Avisa que el proceso se realiza en 2 pasos. Empieza con un despliegue de un nuevo vCenter server, y luego copia datos del antiguo al nuevo.



Nos saldrá una pantalla de aceptación de licencia que debemos aceptar, y pulsamos sobre continuar. Seguidamente nos solicita los datos de conexión del appliance original. FQDN o IP, y puerto, que por defecto es el 443. 
Rellenamos los datos, y pulsamos sobre Connect to Source. Todavia en la misma pantalla, ampliará el número de campos a rellenar. Nos pedirá el Username y password con permisos en el appliance, por ejemplo, el usuario administrator@vsphere.local, y, ojo, el password del usuario root de la appliance origen.
Tras la linea gris de separación, nos pedirá el FQDN o IP del host ESXi que hospeda la actual appliance, cuidado, la actual, no la nueva que estamos desplegando,  así como el username y password con permisos a la misma, por ejemplo, el usuario root:


Nos saltará un aviso de certificados que debemos aceptar, y continuamos al paso 4 del despliegue, donde nos pedirá esta vez la IP del ESXi en el que se alojará el nuevo VCSA, así como usuario y password con permisos de, por ejemplo, el usuario root.



Seguidamente nos pedirá los ajustes para el nuevo VCSA que será desplegado, como por ejemplo, un nuevo password. Este paso no tiene mucho misterio. El paso 6, en cambio, es importante, ya que desplegará el appliance en base al tamaño de la infraestructura que manejará. Elegimos la que corresponda, y continuamos:


En el siguiente paso, elegiremos el datastore en el que vamos a desplegar la nueva VCSA:



No tiene mucho misterio... Si acaso, y sobre todo para un entorno de laboratorio, mejor dejar marcado el Thin Disk Mode. Esto para grandes entornos es mejor que no.
La parte de red es importante: nos pide una ip TEMPORAL para del despliegue del appliance:



Tras esto, nos saldrá un resumen de la configuración introducida para el proceso, y un botón de Finish, que al pulsarlo, iniciará la primera fase de la actualización. Esta primera fase consiste en el despliegue del vCenter Server. No es rápido, pero tampoco afecta al servicio que esté corriendo en esos momentos, pudiendo acceder mientras tanto sin problemas a la consola de nuestro vCenter.
Una vez termina la fase 1, podemos continuar con el proceso, pero también podemos cerrarlo y continuarlo más adelante, a partir del interfaz gráfico del nuevo vCenter desplegado, y todavía no en producción, funcionando con la IP temporal que le dimos en el paso 8 de la configuración:



En este caso, le daremos a continuar, donde nos mostrará una pantalla muy similar a la del comienzo de la actualización, pero indicándonos que ya habremos finalizado la primera parte de la misma, y que la segunda parte consistirá en copiar los datos del appliance origen al nuevo appliance. De hecho, en esta segunda parte del proceso, elegiremos qué datos serán transferidos:



Inicia unos chequeos previos a la actualización que llevan cierto tiempo, y que nos notificará con una serie de avisos y soluciones a los mismos:


Tras estos avisos, llegamos a un paso importante, ya que seleccionaremos los datos que serán traspasados a nuestro nuevo vCenter. Mientras que la primera opción transfiere lo justo, archivos de configuración e inventario, la segunda opción además transfiere tareas y eventos, y la tercera transfiere además las métricas de rendimiento antiguas, de manera que podrías mantener y comparar métricas después de la migración. Lógicamente, cuantos más datos traspases, más tardará este proceso, pero es aconsejable, sobre todo en entornos de producción, transferir todo.


La siguiente pantalla nos ofrece la ocasión de participar en el programa de mejora de experiencia de usuario. Pulsamos Next, y llegaremos a una última ventana de resumen de opciones antes de finalizar el wizard de actualización. Aquí debemos marcar la casilla de que hemos realizado backup del vCenter server original, y de los datos de su BBDD. En mi caso dispongo de un full backup con VEEAM, un snapshot del vCenter, y una copia de seguridad desde el mismo vCenter. Pulsamos Finish,


...y obtendremos un ultimo warning donde nos avisa que el vCenter original será apagado una vez que se active la configuración de red en el vCenter 8. Pulsamos OK, y empieza una nueva pantalla de progreso de la fase 2, dividida en 3 fases:


Nos pueden salir una serie de avisos. Simplemente leemos la información, para tenerla en cuenta, y pulsamos en Close, para continuar el proceso:


Terminará con otra serie de avisos, pulsamos en Close de nuevo, y esta vez nos mostrará una notificación indicando que ha terminado el proceso exitosamente, y la página de acceso a nuestro vCenter:



Hay cambios bastante interesantes, no solo de apariencia. Pero quizá el más notable, si venias de la versión 6.7, es que nos quitamos de en medio Flex, y pasamos por fin a una interfaz completamente HTML5, donde lo que no puedas gestionar desde aquí, es que se hace vía Cli.

Si te ha gustado el articulo, puedes invitarme a un café ;)