Vpxuser vmware что это

Обновлено: 05.07.2024

VMware ESXi — это специализированный аппаратный гипервизор. ESXi устанавливается непосредственно на физический сервер и разделяет его на несколько логических серверов, которые называются виртуальными машинами.

Заказчики могут использовать продукт ESXi бесплатно вместе с бесплатной версией VMware vSphere Hypervisor или приобрести его в составе платной редакции vSphere

Содержание

Возможности

Повышенная надежность и безопасность. Средства управления аппаратным гипервизором ESXi встроены в ядро VMkernel, благодаря чему объем необходимого дискового пространства сокращается до 150 Мбайт. Это значительно снижает уязвимость гипервизора к атакам вредоносного ПО и сетевым угрозам и, как следствие, делает его более надежным и безопасным.

Оптимизация развертывания и настройки. Архитектура ESXi имеет меньше параметров настройки и более удобна в развертывании, поэтому виртуальную инфраструктуру на ее основе легче обслуживать.

Снижение расходов на управление. Для мониторинга оборудования и управления системой vSphere ESXi использует модель интеграции партнерских API-интерфейсов без агентов. Задачи управления выполняются через интерфейс командной строки vSphere Command Line Interface (vCLI) и интерфейс PowerCLI, который использует командлеты Windows PowerShell и сценарии для автоматизации управления.

Упрощенная установка исправлений и обновлений гипервизора. Меньше исправлений — меньше длительность и число окон планового обслуживания.

Технические сведения

Повышение безопасности. Оптимизация доступа на основе ролей и средств контроля исключает зависимость от общей учетной записи привилегированного пользователя. Пользователям и группам можно назначить полные права администрирования. Для выполнения административных задач нет необходимости иметь общий доступ или стандартную учетную запись суперпользователя.

Расширенные возможности ведения журналов и аудита. VMware vSphere ESXi ведет журналы всей активности пользователей через оболочку и интерфейс прямой консоли. Ведение журналов обеспечивает учет пользователей и упрощает аудит активности пользователей.

vMotion. VMware vSphere обеспечивает перенос работающих виртуальных машин целиком с одного физического сервера на другой без простоя. Поддерживается перенос работающих виртуальных машин по кластерам, распределенным коммутаторам и серверам vCenter, а также на большие расстояния (время на передачу и подтверждение до 100 мс).

Возможности виртуальных машин

Виртуальные машины, работающие на основе vSphere ESXi, предоставляют следующие возможности:

• Поддержка до 128 виртуальных ЦП на виртуальной машине.
• Поддержка до 4 Тбайт ОЗУ.
• Поддержка устройств USB 3.0 новым контроллером хHCI.
• Поддержка до 120 устройств на виртуальную машину благодаря новому интерфейсу Advanced Host Controller Interface.
• Максимальный объем VMDK-диска — 62 Тбайт.
• Возврат дискового пространства в пул ресурсов при освобождении хранилища гостевой ОС.

Улучшенная технология виртуализации ЦП подразумевает передачу виртуальной машине более подробных данных об архитектуре ЦП узла. Это предоставляет более широкие возможности для отладки, регулирования и устранения неисправностей операционных систем и приложений на этой виртуальной машине. Увеличение эффективности ЦП за счет поддержки технологии Large Receive Offload, которая объединяет входящие TCP-пакеты в один крупный пакет.

Интеграция с Active Directory. Узлы vSphere ESXi можно подключить к домену Active Directory. После этого Active Directory сможет выполнять проверку подлинности пользователей и устранит необходимость в создании локальных пользовательских учетных записей на каждом узле.

Централизованное управление образами узлов и настройка через Auto Deploy. Сочетание в VMware vSphere Auto Deploy возможностей профилей узлов, Image Builder и среды PXE упрощает установку и обновление серверов. В библиотеке Auto Deploy централизованно хранятся образы узлов vSphere. Администраторы имеют возможность автоматически инициализировать новые узлы на базе определенных пользователем правил, и процесс перестройки узла происходит так же быстро, как и обычная перезагрузка.

Брандмауэр без сохранения состояния. vSphere ESXi представляет собой ориентированный на службы брандмауэр без сохранения состояния, который настраивается с помощью клиента vSphere или через командную строку ESXCLI. Модуль брандмауэра использует наборы правил портов, определяемых администраторами для каждой службы. Дополнительно можно задать диапазоны или отдельные IP-адреса, которым разрешен доступ к службам узла.

Управление

Для управления VMware ESXi используются API-интерфейсы. Таким образом обеспечивается мониторинг оборудования и управление системой без установки агентов. Кроме того, предоставляются интерфейсы удаленных командных строк, такие как vSphere Command Line Interface (vCLI) и PowerCLI, что обеспечивает более надежный контроль выполнения сценариев и команд. Такие наборы удаленных командных строк содержат разнообразные команды для настройки, диагностики и устранения неполадок. Для низкоуровневой диагностики и начальной настройки можно применять командную строку или меню, доступные в локальной консоли сервера.

При установке исправлений и обновлений для узлов VMware vSphere, на которых работает ESXi, обеспечиваются гибкость и контроль. В ходе установки исправлений обновляются и изменяются только определенные модули, что дает администраторам возможность сохранить все предыдущие обновления других компонентов. Независимо от своего расположения (на диске или во встроенной флэш-памяти), гипервизор ESXi применяет подход, задействующий как обновленный, так и исходный образы. При установке исправления новый образ копируется на узел, а загрузчик изменяется таким образом, чтобы этот образ можно было использовать. При возникновении проблем в ходе установки обновления или необходимости возврата к предыдущему образу администратору достаточно начать перезагрузку узла, а затем прервать ее, одновременно удерживая клавиши Shift и R. В этом случае узел будет использовать исходный образ.

Развертывание

Поддерживаются различные методики развертывания: с помощью программы установки ESXi, с использованием сценариев и сетевая установка с использованием среды PXE. Эти сценарии запускаются локально на узле vSphere, и их можно использовать для выполнения различных задач, например для настройки виртуальной сети узла и подключения к серверу VMware vCenter.

vSphere ESXi поддерживает установку на такие носители, как локальные жесткие диски, логические тома FC, iSCSI или FCoE LUN, USB-накопители, SD-карты, а также сетевую загрузку через среду PXE.

Мониторинг оборудования (В том числе SNMP)

Модель CIM — это открытый стандарт, определяющий характеристики платформы мониторинга аппаратных ресурсов узлов vSphere, на которых развертывается архитектура ESXi. Особенностями такой платформы являются отсутствие агентов и использование стандартов в качестве основы. В состав этой платформы входит диспетчер объектов CIM, который также называют брокером CIM, и набор подключаемых модулей — поставщиков CIM.

Доступ для управления драйверами устройств и соответствующим оборудованием реализован с помощью поставщиков услуг управления облачной инфраструктурой (CIM). Поставщики оборудования, в том числе производители серверов и специализированных устройств, могут регистрировать таких поставщиков для мониторинга и администрирования собственных устройств.

Это относится и к компании VMware, которая разрабатывает модули для мониторинга инфраструктуры серверного аппаратного хранилища и ресурсов, используемых для виртуализации. Эти модули работают на узле vSphere, поэтому они занимают очень мало места и применяются для выполнения конкретных задач в области управления. Брокер CIM собирает данные всех поставщиков CIM и выводит их во внешнюю инфраструктуру с использованием стандартных API-интерфейсов, таких как WS-MAN и CIM-XML. Любое программное средство, которое поддерживает один из этих API-интерфейсов, например HP SIM или Dell OpenManage, может считывать эту информацию и, соответственно, выполнять мониторинг оборудования узла vSphere.

Одной из точек обработки данных CIM является сервер VMware vCenter. В клиенте или веб-клиенте vSphere можно в любой момент просмотреть состояние оборудования любого узла vSphere в среде. Таким образом формируется единое представление показателей работоспособности физических и виртуальных компонентов системы. Можно также настроить сервер vCenter для отправки оповещений, чтобы своевременно узнавать о таких событиях в физической инфраструктуре, как изменение температуры или отключение электричества, а также о серьезных отклонениях от заданных параметров. Кроме того, решение vSphere использует стандарт SNMP для передачи данных о состоянии оборудования другим средствам управления, которые применяют этот же стандарт. Доступ к ловушкам SNMP возможен как с узла vSphere, так и с сервера vCenter.

Управление системами и резервное копирование

Интеграция продуктов управления системами и резервным копированием с платформой vSphere осуществляется через API-интерфейсы vSphere. Партнерская модель интеграции на основе API-интерфейсов значительно сокращает расходы на управление за счет исключения необходимости в установке и администрировании агентов операционной системы консоли.

Компания VMware тесно сотрудничала с экосистемой партнеров, чтобы реализовать поддержку модели интеграции на базе API-интерфейсов (используемую для гипервизора ESXi) во всех партнерских продуктах. В результате на сегодняшний день большинство решений по управлению системами и резервному копированию, поставляемых партнерами из экосистемы VMware, поддерживают ESXi.

Ведение журналов

Ведение журналов необходимо для устранения неполадок и для обеспечения соответствия нормативным требованиям. Решение vSphere объединяет журналы всех системных компонентов, используя стандартный отраслевой формат syslog, и может отправлять их на центральный сервер ведения журналов. Постоянная запись информации в файл, который находится в доступном локальном хранилище данных, связанном с узлом vSphere, выполняется автоматически.

Для обеспечения точности данных в журнале и соответствия нормативным требованиям важно, чтобы узел vSphere был постоянно синхронизирован с источником точного времени. Это также важно в случае, если узел используется для поддержания точного времени на гостевых виртуальных машинах. Узлы vSphere имеют встроенные средства для синхронизации с серверами времени NTP.

Проверка подлинности пользователей

Несмотря на то что для запуска всех повседневных процессов достаточно сервера vCenter, выполнение некоторых задач (например, резервного копирования конфигураций и доступа к файлам журналов) невозможно без непосредственного доступа к узлу vSphere. Для управления доступом можно настроить узлы vSphere таким образом, чтобы они подключались к домену Active Directory, а подлинность всех пользователей при получении доступа к узлу автоматически проверялась по централизованному каталогу. Кроме того, с помощью клиента vSphere или интерфейсов командной строки vCLI и PowerCLI на каждом узле можно создавать и настраивать локальные учетные записи пользователей. Второй вариант можно использовать как вместо интеграции с Active Directory, так и вместе с ней.

Можно также создавать локальные роли, аналогичные ролям vCenter, которые будут определять права пользователей для этого узла. Например, пользователю может быть предоставлен доступ в режиме «только для чтения» (то есть разрешение просматривать информацию узла) или права администратора, с которыми можно не только просматривать, но и изменять конфигурацию узла. Если узел интегрируется с доменом Active Directory, локальные роли могут предоставляться также пользователям и группам AD.

По умолчанию в системе определен только привилегированный пользователь. Начальный пароль привилегированного пользователя устанавливается интерактивно через пользовательский интерфейс прямой консоли (DCUI) или задается автоматически в ходе установки. Затем его можно изменить с помощью клиента vSphere или интерфейсов командной строки vCLI и PowerCLI.

При использовании платформы vSphere пользователи могут получить права администратора, которые автоматически предоставляют доступ ко всей оболочке. С такими правами они не обязаны регистрироваться как привилегированный пользователь с помощью команды su, чтобы выполнять команды соответствующего уровня.

Платформа vSphere поддерживает запись всех действий, выполненных на узле через оболочку или интерфейс DCUI, в журнал под учетной записью текущего пользователя. Таким образом обеспечивается учет пользователей и упрощается мониторинг и аудит активности на узле.

Диагностика

Пользовательский интерфейс прямой консоли (DCUI). DCUI — это интерфейс на основе меню, доступный в консоли физического сервера с установленным или встроенным гипервизором ESXi. Он используется в первую очередь для первоначальной настройки узла (IP-адреса, имени узла, пароля привилегированного пользователя) и диагностики. В интерфейсе DCUI предусмотрено несколько элементов меню, которые используются для диагностики и предоставляют администратору следующие возможности.

• Перезапуск всех агентов управления, в том числе:
  • hostd
  • vpxa
  • vpxa
  • Исправление неверных параметров vSphere Distributed Switch
  • Сброс всех параметров до значений по умолчанию
  • Локальный доступ (на консоли узла)
  • Удаленный доступ (на основе протокола SSH)

  Интерфейс командной строки vSphere

  Интерфейс командной строки vCLI содержит множество команд для устранения неполадок, в том числе следующие.

  • esxcli
  • vmkfstools
  • vmware-cmd
  • resxtop
  • Оболочка ESXi

  Оболочка ESXi — это локальная консоль для предоставления расширенной технической поддержки. Доступ к оболочке можно получить как через локальную консоль узла, так и удаленно, по протоколу SSH. Управление доступом к оболочке ESXi осуществляется следующими способами.

  Защита интерфейса управления ESXi необходима для предотвращения несанкционированного доступа к продукту и его несанкционированного использования. Если узел был каким-либо образом поврежден, это может отразиться на взаимодействующих с ним виртуальных машинах. Чтобы минимизировать риск атаки через интерфейс управления, предусмотрена защита ESXi с помощью встроенного брандмауэра.

  Чтобы защитить узел от несанкционированного доступа и использования, для VMware предусмотрены ограничения в отношении некоторых параметров, настроек и действий. Эти ограничения могут сниматься в соответствии с требованиями конфигурации, но в таком случае следует принять меры по защите всей сети и подключенных к узлу устройств.

  Ниже приведены некоторые рекомендации по оценке безопасности узла и его администрирования.

  • Для усиления защиты следует ограничить доступ пользователей к интерфейсу управления и применить политики безопасности при доступе (например, настроить ограничения на пароли).
  • Доступ ко входу в ESXi Shell следует предоставлять только доверенным пользователям. Для ESXi Shell предусмотрен привилегированный доступ к некоторым частям узла.
  • По возможности следует запускать только важные процессы, службы и агенты, включая средства проверки наличия вирусов и резервного копирования виртуальных машин.
  • По возможности следует использовать vSphere Web Client или сторонние средства для сетевого управления и администрирования узлов ESXi вместо использования интерфейса командной строки в качестве привилегированного пользователя. При использовании vSphere Web Client всегда следует подключаться к узлу ESXi с помощью системы vCenter Server .

  На узлах выполняются некоторые сторонние пакеты для поддержки интерфейсов управления и задач, которые должен выполнять оператор. В VMware не предусмотрено обновление таких пакетов из сторонних источников. Загрузка обновлений или исправлений из стороннего источника может быть небезопасной для интерфейса управления, и при этом некоторые функции могут перестать работать. Следует регулярно проверять сайты сторонних поставщиков и базу знаний VMware на предмет оповещений системы безопасности.

  Кроме использования брандмауэра минимизировать повреждение узла ESXi можно с помощью других методов.

  • Следует убедиться, что все порты брандмауэра, которые специально не требуются для управления доступом к узлу, закрыты. Порты следует специально открывать, если требуются дополнительные службы.
  • Следует заменить сертификат по умолчанию и не включать ненадежное шифрование. По умолчанию ненадежное шифрование отключено и весь обмен данными с клиентами защищен с помощью TLS. Конкретный алгоритм, используемый для защиты канала, зависит от подтверждения TLS. Для сертификатов по умолчанию, созданных в ESXi , в качестве алгоритма подписи используется SHA-1 с шифрованием RSA.
  • Следует установить исправления системы безопасности. В VMware реализован мониторинг оповещений системы безопасности при потенциальной угрозе для ESXi . При необходимости выпускается соответствующее исправление.
  • Не следует устанавливать незащищенные службы, включая FTP и Telnet, а порты для этих служб нужно закрыть. Так как большинство служб обеспечения безопасности, включая SSH и SFTP, легко доступны, следует всегда отдавать предпочтение их более безопасным альтернативам. Если предполагается использование незащищенных служб, следует обеспечить надлежащую защиту для узлов ESXi и открыть соответствующие порты.

  Узлы ESXi можно перевести в режим блокировки. При включении режима блокировки управление узлом возможно только с помощью решения vCenter Server . Разрешения на проверку подлинности следует предоставлять только пользователям vpxuser; возможность прямого подключения к узлу следует отключить.

  Что-то я в последнее время всё о детях. Надо разбавить тенденцию, плеснув немного хардкорной ИТ-тематики. Вернёмся к теме виртуализации и VMware vSphere. В данный момент для меня стала актуальной тема назначения прав доступа.

  Ввиду наличия различных представлений объектов инфраструктуры виртуализации, права доступа к некоторым объектам (VM, vApps) могут наследоваться от нескольких предков (например, VM folder и Resource Pool). что стоит иметь ввиду. Общая схема наследования представлена на рисунке:

  
  

  Соответственно, если кого-то нужно в правах ограничить, нужно убедиться, что отнятые в одном месте права не наследуются из другого объекта.

  Помимо этого, можно столкнуться на практике, что человек, имеющий полномочия администратора на уровне рута, вдруг оказывается ограниченным пользовательскими правами на уровне конкретной папки. Дело в особенностях выбора действующих прав в ситуации наложения ролей. При предоставлении полномочий следует иметь их ввиду.

  2) Права выданные на конкретного пользователя преобладают над правами, выданными на группу (если и те и другие выданы на один объект и пользователь входит в группу).

  3) Если используются пользователи из AD или иных источников, отличных от встроенного каталога vCenter SSO, vCenter периодически проверяет наличие учётной записи поиском по имени. И если после назначения прав в vCenter, учётка была переименована или удалена, соответствующие ей права из vCenter удаляются. И если в случае удалённой учётки это даже хорошо, то в случае, если кто-то переименовал группу (группы), например в соответствие с новыми политиками именования в организации, это может привести к неблагоприятным последствиям.

  4) vCenter SSO не наследует права вложенных групп, если их участники не входят в Identity Sources. Например, если домен AD не добавлен в Identity Sources, то группа Domain Admins этого домена не будет иметь никаких полномочий на vCenter, даже с учётом того, что она входит в local\Administrators сервера vCenter.

  А теперь немного рекомендаций лучших собаководов Best Practices по теме предоставления прав доступа.

  Напоследок упомяну о специализированных пользователях хостов ESXi. Спровоцировано тем, что коллега однажды решил убедиться, что сотрудники ИТ в некоторых регионах не наделали себе лазеек в инфраструктуре, и чуть было не вычистил ESXi-хосты от пользователя vpxuser.

  В качестве заключения хочу заметить, что никогда я настолько не осознавал значимости и актуальности AGDLP-подхода при назначении прав доступа к системе, как при разработке политики назначения прав на объекты vCenter. Ввиду вышеприведённых особенностей и большого количества ветвлений элементов иерархий.

  
  

  В этой статье мы не будем углубляться в какие-либо технические подробности. Вместо этого разберёмся в терминологии VMware. Этот небольшой обзор будет полезен тем, кто хочет понять разницу между базовыми продуктами VMware. Почти все знают об ESXi. А как насчёт vSphere и vCenter? Люди часто путают эти термины, но на самом деле ничего сложного в них нет. Давайте разложим всё по полочкам.

  Появившись на рынке в 2001 году, гипервизор VMware ESX (ранее известный как VMware ESX Server) положил начало виртуальной революции. Сегодня VMware — ведущий разработчик программных продуктов для виртуализации (сейчас является частью Dell). Каждые полтора года компания выпускает новое программное обеспечение с расширенными функциями, которое совместимо с большим количеством оборудования, в том числе с накопителями SSD NVMe, жёсткими дисками очень большой ёмкости и новейшими центральными процессорами Intel или AMD.

  VMware ESXi

  ESXi —— это гипервизор; крошечная частичка программного обеспечения, которая устанавливается на физический сервер и позволяет запускать несколько операционных систем на одном хост-компьютере. Эти ОС работают отдельно друг от друга, но могут взаимодействовать с окружающим миром через сеть. При этом остальные компьютеры подключены к локальной сети (Local Area Network, LAN). Операционные системы запускаются на виртуальных машинах (Virtual Machine, VM), у каждой из которых есть своё виртуальное оборудование.

  Существуют платная и бесплатная версии VMware ESXi. У нас можно заказать установку бесплатной версии на выделенные серверы. Функционал бесплатной версии несколько ограничен. Она позволяет консолидировать на одном компьютере ограниченное количество ОС, и ею нельзя управлять через центральный сервер управления — vCenter. Тем не менее, Free ESXi (или VMware ESXi Hypervisor) подключается к удалённым хранилищам, где можно создавать, хранить и использовать виртуальные машины. То есть, это удалённое хранилище может быть разделено между несколькими ESXi-хостами, но не между виртуальными машинами. Виртуальные машины «принадлежат» каждому хосту, что делает невозможным центральное управление.

  Работа с бесплатной версией ESXi очень проста и состоит из базовых процессов: обучения, тестирования производственных процессов, проверки систем аварийного восстановления, утверждения архитектурных решений. Используя снапшоты, вы можете проверить корректность работы патчей Windows. Как вариант, это может быть полезно, если вы решили клонировать свой производственный сервер с помощью VMware Converter или технологии P2V, и хотите протестировать пакет обновлений Microsoft перед его установкой.

  VMware vCenter

  VMware vCenter — это платформа централизованного управления виртуальной инфраструктурой VMware. С её помощью вы можете распоряжаться почти всеми процессами всего с одной консоли. Сервер vCenter можно установить на Windows или развернуть как предварительно настроенную виртуальную машину с помощью Photon OS — мощного дистрибутива на базе Linux. Раньше VMware использовали дистрибутив Suse Linux Enterprise Server (SUSE), но недавно перешли на Photon OS.

  vCenter Server — это лицензированное программное обеспечение. Приобрести его можно двумя способами:

  • vCenter Server Essentials как часть пакета vSphere Essentials. Эта версия vCenter справляется с управлением тремя хостами с двумя физическими процессорами на каждом. Если у вас небольшая компания, то вы будете оперировать примерно с 60 ВМ, и эта версия vCenter вам подойдёт. С базовым набором вы получаете лицензию не только на vCenter server, но и на ESXi (до трёх хостов с двумя ЦП на каждом).
  • Standalone vCenter Server — полноценная самостоятельная версия vCenter server, способная управлять 2 000 хостами с 25 000 рабочих виртуальных машин. Это лицензия исключительно на vCenter. Сам по себе vCenter — только часть лицензионной головоломки. Чтобы управлять всеми хостами с одного устройства, вам нужна лицензия на каждый из них. Лицензии бывают трёх видов: standard, enterprise, enterprise Plus, и каждая распространяется на один процессор. Так что, если вы планируете создать хост с двумя физическими процессорами, то вам понадобится 2 лицензии только для одного этого хоста.

  VMware vSphere

  VMware vSphere — это коммерческое название всего пакета продуктов VMware. Как говорилось ранее, разные пакеты ПО стоят разных денег. Самые дешёвые — базовые пакеты vSphere essentials или Essentials Plus. Есть ли между ними разница? Да, но она состоит в количестве доступных функций, а не в самом программном наполнении.

  В зависимости от типа лицензии, вы получаете доступ к определённому количеству функций, управлять которыми можно через vSphere Web client. Существует также программа vSphere HTML 5 client, но пока что она не пригодна для использования. Компания продолжает её разработку.

  В пакете Essentials нет функции High Availability (автоматический перезапуск ВМ), vMotion, ПО для резервного копирования (VDP) и возможности использовать хранилище VSAN.

  Пакет Essentials подходит для маленьких компаний, которым не нужно постоянно быть онлайн. С другой стороны, возможность переносить свои виртуальные машины на другой хост и выполнять техническое обслуживание или обновление хоста, оставаясь в сети, даёт вам реальное преимущество. Всё это можно сделать в течение рабочего дня, не перебивая работу пользователей.

  Кроме того, в случае непредвиденного аппаратного сбоя, vSphere High Availability (HA) автоматически перезапустит виртуальные машины, которые перестали работать вместе с проблемным хостом. Эти виртуальные машины автоматически перезапускаются на других хостах из кластера VMware. Системе нужно немного времени, чтобы определить, какой компьютер дал сбой и какие хосты могут временно взять на себя его виртуальные машины. У этих хостов должно быть достаточно памяти и мощности ЦП, чтобы выдержать дополнительную нагрузку. Как только система заканчивает анализ, ВМ перезапускаются. Весь процесс автоматизирован и не требует вмешательства администратора.

  Подведём итог

  Как видите, терминологию VMware понять довольно просто, как и разницу между ESXi, vSphere и vCenter. Система лицензирования также ясна. Сам по себе гипервизор бесплатный, но его функционал ограничен, вследствие чего такое ПО не застраховано от потери данных. Поэтому ESXi предназначен для использования только в тестовых средах.

  Читайте также:

    
  • Webp converter for media ошибка конфигурации сервера
    
  • Почему бортовой компьютер показывает большой расход топлива на холостых
    
  • Компьютер включается больше часа
    
  • Как на ноутбуке packard bell включить камеру на ноутбуке
    
  • Как отключить микрофон в скайпе