EMC RecoverPoint для виртуальных машин

EMC представила RecoverPoint for VMs специально для приложений, работающих в облаках на базе vSphere. RPVM управляется при помощи vCenter plug-in, разворачивается как виртуальный модуль (virtual appliance). Так же, как и старший брат, использует сплиттеры, но в этом случае не на уровне СХД или коммутации, а прямо в ядре ESXi. В силу чего работает с вообще любой СХД, вне зависимости от того SAN, NAS это или DAS. В том числе поддерживается и VMware VSAN.

 

RecoverPoint for VMs может работать в режимах локальной и удаленной репликации вместе с постоянной защитой данных с гранулярностью 1 ВМ. RecoverPoint for VMs использует журнал дисковых операций для отслеживания всех изменений с ВМ, и может откатить состояние ВМ на любую точку во времени как видеомагнитофон.

RecoverPoint for VMs рассчитан на инсталляцию инженерами заказчика через простой и понятный мастер. Сплиттер содержится в маленьком VIB файле и поддерживает vSpeher 5.1u1 и 5.5. Разумеется, VIB должен быть установлен на всех хостах, где может обитать защищаемая ВМ. 

В больших средах RecoverPoint for VMs дает возможность автоматически защищать ВМ через использование политик. RecoverPoint for VMs так же интегрируется с базой данных vCenter для содания реплицированных ВМ на второй площадке. В том числе, если резервная площадка находится в облаке.

Оригинал: Nick Fritsch

VMworld 2014. День 1.

Итоги и анонсы первого дня VMworld.

EVO: RAIL

Долгожданный и обросший слухами VMware Marvin - гиперконвергентный appliance (пока не могу найти адекватного перевода), построенный партнерами и использующий пакет ПО EVO:RAIL. Объявленные партнеры: Dell, EMC, Fujitsu, HP, inspur, net one, Super  Micro. 

Подробности о том, что внутри.

VMware vRealize

vRealize - новая платформа управления облаком, расширяющая возможности мониторинга и управлеия за пределы датацентра. Не только публичные облака, но также и не VMware инфраструктуры будут поддерживаться. VMware vCloud Suite предоставит инфраструктуру для частного облака, vCloud Air (ex-vCloud Hybrid Service) для публичного, а vRealize накроет общим зонтиком.

 

vCloud Suite 5.8

До 6ки не дотянули, она будет вместе с vSphere 6, которая сейчас только в бете. Но в 5.8 интересное добавление - усиление функционала по непрерывности бизнеса и восстановлению после катастроф путем планирования и самообслуживания.

Hadoop

Добавлены 2 расширения класса Big Data для создания приложений нового поколения.

NSX

Улучшилась работа NSX с файрволлами и маршрутизацией для более легкого объединения сетей в гибридных облаках. Так же одним из фокусов развития является микросегментация для расширения действия файрволла с пограничного до распределенного - группирование ВМ по функционалу, а не месторасположению, без изменений физической сетевой инфраструктуры. 

 

OpenStack

VMware вкладывает много усилий по интеграции с OpenStack. Вплоть до того, что был анонсирован собственный дистрибутив OpenStack :)
В данном случае это даже забавно, поскольку всеь проект OpenStack задумывался как уход от проприетарной VMware и в противовес ей. 

 

VMware Integrated OpenStack (VIO) - это готовый .OVA шаблон со всем, что нужно для развертывания и управления облаком OpenStack.

Общий итог

Отличная подборка материалов от парней из UP2V для тех, что владеет английским.

http://up2v.nl/2014/08/25/a-summary-of-vmworld-2014-annoucements/

1. Announcement of EVO:RAIL. An appliance installed with software based on vSphere, VSAN with a nice HTML5 interface. Initially 6 serverhardware vendors will sell and support.
2. vSphere 6.0 Beta
3. Virtual Volumes and VSAN 2.0 Beta
4. Introduction of vRealize Suite, a cloud management platform
5. Announcement of Site Recovery Manager 5.8 and vSphere Data Protection 5.8
6. vCloud Suite 5.8
7. vRealize Cloud Management Platform
8. vCloud Air OnDemand GA 2015. Beta program starts August 25 ! Join the beta here
9. vCloud Air for Government  Services (FEDRAMP certified) will roll out in US in September
10. Tech Preview: vCloud Air Object Storage based on EMC Viper technology.
11. vCloud Air Database as a Service
12. AirWatch available on vCloud Air
13. introduction of vRealize Operations Insight (“vROI”)
14. VMware NSX for vSphere 6.1 . Info here as well
15. VMware is  Now an Open Compute Project Gold Level Member
16. VMware Partners With Docker, Pivotal And Google To Bring Container Support To Its Platform . See also this Docker blog.
17. Project Fargo, for faster, more compliant, lighter-weight containers on VMware’s SDDC platform
18. Announcement of a technical preview of EVO:RACK. The big brother of EVO:RAIL.
19. Announcement of private beta of VMware integrated OpenStack (VIO)

A few days before VMworld started the following listed below was announced.

1. The rebranding of vCloud Hybrid Services to vCloud Air
2. The acquisition of CloudVolumes by VMware
3. Ubuntu available on vCloud Air

Оригинал: Julian Wood

Insider threat for Cloud. Some thoughts.

As we move towards 100% virtualization the role of vAdministrator appears more and more important. vAdmin can rule all the infrastructure from one single console, unlike years before. One of Top3 US banks can be brought down completely by a single script, imagine that!
We start to see more and more cases when fired admin log in to ex-employers infrastructure via McDonalds WiFi and delete some critical data.
Let’s take CodeSpaces example - hackers wanted a lot of money, but didn’t get it. So they just deleted everything, including backups. 

The only thing growing faster than IT security spending is the cost of security beaches. That’s the reality we see today.

Without any questions level of control will be increasing as well as pressing on privileged users and admins. But what really surprised me - 4 security pros on the stage have said nothing about organizational problems in this security nightmare with insiders.

Let’s think about it a little. Insider is the person inside the company - employee most of time. And we can divide them into 3 basic categories:
1) These people will do something bad and sell company’s secrets no matter what.
2) People who can do something bad or do nothing.
3) Angels. They will do nothing bad even if management will do something bad to them. 

Type 1 insiders should be discovered ASAP, ideally even on interview - that’s why there are HR professionals involved and background checks performed. 
Type 3 insiders are not a threat. 

There are still type 2 people left, and that’s the type we ignore. Majority of any employees in any company. These people will do something bad as retaliation, they will not strike first. And guess what we’re doing to them?
- put under suspicion and constant control
- treat all their activity as they’re type 1 people
- completely ignore their personality, treating like replaceable and expendable working unit.

I can assure you - nothing is more stimulating like this kind of treatment for employer when you have an access to most critical services.

There is NO statistics on percentage of incidents caused by bad management treating employees like a trash. And we try to solve organizational problem technically, without any human interaction. Is this because we’re techno geeks lacking social skills or just because it’s more difficult and complex than to put web cams everywhere including restrooms?
At some point there can be ONLY trust. Imagine you’re on the operating table - how can you enforce security and be sure surgeon will do only permitted actions? There is no way, period. We’re giving very high rights to the surgeon, and we’re (society) also give very high responsibility.
Virtualization administrator with highest access is the very same surgeon operating on organization’s IT heart, sometimes while the heart still beats. So why we take a look on what admin is doing and not on how manager treats him / her?

So, after years of experience and thoughts I see 2 basic rules of information security when we talk about these type 2 guys and gals with full access. 

1) Insider threat becomes VERY real when you treat your employees and colleagues as insiders and threat instead of people who help. When you see them as easily replaceable and expendable working units.
2) Employee’s loyalty to company starts with company’s loyalty to employee.

We should solve organizational and administrative problems first, otherwise technical solutions will be useless. Or even they will even lower overall security.
 

Inspired by SEC2296.

Угроза от инсайдера в облачной инфраструктуре

По мере движения к 100% виртуализации и автоматизации все увеличивается влияние администратора платформы виртуализации на всю инфраструктуру. Вплоть до того, всю работу одного из Top3 американских банков можно парализовать одним скриптом, запущенным с достаточными привилегиями.
Все чаще случаи, когда обиженный уволенный администратор заходит по вайфаю из МакДональдса и кладет всю инфраструктуру.
Нашумевшая история с CodeSpaces - преступники требовали денег, а не получив, удалили все данные и бэкапы.

При этом наблюдается ситуация, когда быстрее трат на информационную безопасность растут только финансовые потери от инцидентов.

В итоге безусловно будет усиливаться контроль и прессинг в сторону привилегированных пользователей и администраторов. Но что меня удивило - даже от самых профи, сидевших на сцене, я не слышал одного. Я не слышал даже подтверждения наличия чисто административной проблемы с инсайдерами.
Инсайдеров можно разделить на несколько типов:
1) Сделают гадость и продадут данные вне зависимости ни от чего
2) Могут сделать, а могут и не делать
3) Не будут делать гадость, даже если с ними обойдутся очень нехорошо.

Третий тип проблемой очевидно не является с точки зрения безопасности. С первым стоит проблема своевременного обнаружения и контроля, в том числе отделом кадров. 
Остается второй тип, способный склониться как в одну, так и в другую стороны, причем по моему глубокому убеждению значительное количество, или даже просто подавляющее большинство.
В случае с преступлением полиция обычно рассматривает мотив преступления наряду с возможностью его совершения. И если возможность у нас по определению 100%, говорим ведь об администраторах с наивысшим уровнем доступа, то вот мотивом не интересуется никто. Вопрос стоит: как ограничить права, как не дать совершить нежелательные действия. Иными словами, проблема административная решается техническими методами.

В конечном итоге у меня сформулировалась пара тезисов по облачной безопасности:
1) Угроза от инсайдера всерьез начинается, когда сотрудников рассматривают как инсайдеров и угрозу, а не помощников. Когда их рассматривают в качестве легко заменяемых ресурсов, а не людей. 
2) Лояльность сотрудника к компании начинается с лояльности компании к сотруднику.

Выступающие не смогли ответить на вопрос: какой процент инцидентов с инсайдерами был вызван плохим отношением менеджмента к “инсайдерам”? Подразделения по ИБ НЕ занимаются этим вопросом.

Если не решены административные и организационные проблемы, то технические средства не только не будут работать, но зачастую будут только ухудшать безопасность.
 

По мотивам сессии SEC2296.

VMworld 2014. EVO:RAIL

VMworld еще толком не начался, а новости уже огого! Анонсирована EVO:Rail - гиперконвергентная инфраструктура от VMware, состоящая из пакета ПО EVO:RAIL и 2U железки из 4х узлов. VMware не будет поставлять аппаратную часть, что дает четкий ответ НЕТ на ранее звучавший вопрос: VMware пойдет в железный бизнес? Аппаратную часть будут поставлять партнеры, и можно ожидать первые EVO:RAIL совместимые предложения уже на этой неделе.
В качестве основной СХД будет использоваться vSAN, а софт EVO:RAIL - это простая инсталляция (15 минут) всего (ESXi и vCenter) и простое администрирование.

 

Аппаратная часть состоит из 4 независимых узлов (серверов) в едином шасси, в каждом из которых по 2 процессора и 192ГБ память. Подсистема хранения гибридная (Flash и HDD) с окончательной емкостью 16ТБ. Софт включает в себя vSphere Enterprise Plus, а также vCenter Log Insight. Расширяется до 4 шасси в версии 1.0.

 

 

Вычислительный блок

• Dual socket – Intel Xeon E5 2620v2 CPUs, 6-core
• Memory – up to192 GB
• 1 x Expansion Slots PCI-E
• Disk controller with pass through capabilities (Virtual SAN requirement)

Ресурсы хранения

• 1 x 146 GB SAS 10K-RPM HDD or 32 GB SATADOM (ESXi boot)
• 1 x SSD up to 400 GB (Virtual SAN requirement for read/write cache)
• 3 x 1.2 TB SAS 10K-RPM HDD (Virtual SAN data store)

Внешние интерфейсы

• 2 x Network – 10 GbE RJ45 or SFP+
• 1 x Management RJ45 – 100/1000 NIC

Вероятно выглядеть будет как-то так…

Необходимо заметить, что коммутатор top-of-the-rack дожен быть 10Гбит с поддержкой VLAN.

Софт

EVO: RAIL - первая гиперконвергентная инфраструктура, полностью от VMware и включает в себя:

• EVO: RAIL Deployment, Configuration, and Management
• VMware vSphere® Enterprise Plus, including ESXi for compute
• Virtual SAN for storage
• vCenter Server™
• vCenter Log Insight™

Простое конфигурирование – EVO: RAIL поддерживает 3 конфигурации.

Попрощайтесь с Flash, его больше нет - теперь только HTML 5. 

3 варианта конфигурации:

• Just Go – все автоматически, включая IP адреса и имена хостов. Прекрасный вариант для “green field” инсталляций без участия пользователя. Тем не менее, будет необходимо сконфигурировать top-of-the-rack коммутатор и воткнуть кабели.
• Customize Me – в этом вариант от пользователя требуется ввод имен хостов (vCenter and ESXi), сетевой информации (IP ranges, VLAN IDs, VSAN, vMotion, vCenter server, VM networks),  паролей (vCenter and ESXi), глобальной инфраструктуры (time zone, NTP server, DNS, AD, proxy, syslog logging or vCenter Log Insight)
• Upload Configuration – в этом варианте вся конфигурация загружается, например, с USB флэшки. Файл конфигурации - просто JSON на основе XML.

EVO: RAIL софт затем инсталлирует гипервизоры и vCenter Server, конфигурирует кластер и активирует различные сервисы (VSAN, HA, vMotion…). 

Manual configuration – вводим префикс имен хостов, информацию о vCenter и домене:

Конфигурация VM Networking

Управление EVO: RAIL

Пакет EVO: RAIL позволяет не только установить и сконфигурировать инфраструктуру (ESXi and vSphere), но так же позовляет и управлять виртуальными машинами. Правда возможности эти довольно таки ограничены.

Вот пример создания ВМ - через мастер.

После создания можно управлять виртуальной машиной через тот же интерфейс.

Страница управления лицензиями и языком интерфейса. Нужен всего один серийный номер на всю инфраструктуру! Отсюда же можно выгрузить логи.

В версии 1.0 возможно расширение до 4х узлов (16 хостов ESXi), но данное ограничение в будущем будет снято.

Отказоустойчивость!

Распределенный “RAID” EVO:RAIL на основе VSAN выдерживает отказ оборудования без потери данных или простоя. Любой узел уходи в даун - VSAN немедленно начинает ребилд ВМ, работавших на отказавшем узле.

Сетевые требования

Уже было упомнято, что top-of-the-rack коммутатор должен быть 10Гбит.

VMware рекомедует изоляцию всех видов трафика через использование VLAN. VSAN требует L2 multicast (IGMP Snooping + IGMP Querier). Так же необходимо включение IPV6.

Новые узлы обнаруживаются автоматически

Пример обнаружения ошибки в конфигурации:

Интеграция с Log Insight:

Конфигурация 4х узлов и инсталляция vCenter занимают примерно 15 минут.

И наконец!

Добавление новых узлов EVO:RAIL очень простое, система автоматически обнаруживает включенные узлы - и нужно только нажать на зеленую кнопку.

Добавить всего два пароля:

• ESXi password
• vCenter password

Вся сетевая информация берется из пула IP, созданного при конфигурировании первого узла.

 

Проект MARVIN, ранее упоминавшийся на просторах интернет, теперь называется EVO:RAIL. Все начиналось в январе 2013, а уже в 4м квартале 2014 можно будет приобрести.

Оригинал: Vladan Seget

SLA? Это ли нужно для частных облаков?

Часто слышу аббревиатуру SLA. Причем в контексте "у нас есть SLA, а значит есть облако".

Нет, мои дорогие. В большинстве случаев (90%+) то, что у вас есть - это даже не SLA.
Давайте разберемся с терминологией:
SLO (Service Level Objective) - заданный уровень качества сервиса. Зачастую выражается в девятках, иногда в простоях в год (равнозначно). Что же такое девятки и их количество? Пять девяток, известные как "офигеть как круто", означают, что сервис доступен 99,999% времени (допускается простой пять с половиной минут в год).
Но в большинстве случаев путают SLA и SLO. В чем же принципиальная разница между ними?
SLA (Service Level Agreement) = SLO + штрафные санкции. В случае отсутствия четко прописанных штрафных санкций не может идти речи ни о как каком SLA. Это не более, чем SLO с обещанием "честное слово, постараемся".

С другой стороны наблюдается проблема неспособности бизнес-подразделений сформулировать хоть сколько-нибудь внятные цифры SLO. Архитектор приходит к бизнесу и спрашивает - а сколько для компании будет стоить потеря данных за последний час, и сколько будет стоить один час простоя сервиса? И бизнес потерялся. Их никогда не спрашивали об этом, никто никогда даже не задумывался.
Зачем это спрашивает архитектор? Затем, что при вопросе какие вы хотите увидеть в SLO показатели RPO (Recovery Point Objective) и RTO (Recovery Time Objective), следует ответ - конечно же ноль. Архитектор проектирует систему с простоем, стремящимся к нулю, и нулевой потерей данных. У бизнес-подразделения глаза лезут на лоб от стоимости.

Мало назначить RPO(RTO), надо обосновать почему именно такая цифра должна стоять. Исполнение заданных в SLO цифр несет определенные расходы на внедрение и поддержку, и это тоже нужно учитывать. Лишь после можно говорить что-то о штрафных санкциях и SLA.
В большинстве случаев же штрафные санкции за неисполнение будут заключаться в "генеральный намылил часть тела CIO прямо на собрании директоров". За что ему намылили? За то, что "система из говна и палок не шмагла..."

Нет, ну серьезно, какие тут SLA и облака, если из говна и палок?