Материалы по тегу: виртуализация

02.12.2021 [18:46], Андрей Крупин

Система защиты виртуализированных сред Tionix Virtual Security получила крупное обновление

Компания «Тионикс» (является дочерним подразделением ГК «Ростелеком-ЦОД») сообщила об обновлении программного комплекса Tionix Virtual Security.

Tionix Virtual Security представляет собой комплексное решение для защиты от несанкционированного доступа к информации в виртуализованной инфраструктуре. Продукт обеспечивает идентификацию и аутентификацию субъектов доступа и объектов доступа, выполняет проверку подлинности сетевых соединений, поддерживает механизм двухфакторной аутентификации с использованием алгоритма создания одноразовых паролей и позволяет противодействовать брутфорс-атакам. Постоянный мониторинг записей регистрации (аудита) из разных источников информационной системы помогает IT-службам своевременно выявлять инциденты безопасности и оперативно противодействовать угрозам.

Архитектура Tionix Virtual Security

Архитектура Tionix Virtual Security

В новой версии Tionix Virtual Security появился инструмент Security Proxy, позволяющий настроить защиту для внешних сегментов информационной системы и взаимодействие между ними по защищённому каналу передачи данных. Также разработчики добавили режим экономии аппаратных ресурсов, благодаря которому, как утверждается, значительно повысилась производительность системы. Дополнительно был улучшен сервис описания API, что сделало интеграцию продукта с другими информационными системами более удобной, в том числе появилась возможность использования протокола аутентификации данных LDAP. Ряд изменений получил пользовательский интерфейс программного комплекса.

Продукт сертифицирован ФСТЭК России и включён в реестр российского ПО как рекомендованный к закупкам государственными предприятиями и органами власти.

Постоянный URL: http://servernews.ru/1055052
05.10.2021 [01:50], Владимир Мироненко

VMware аноносировала обновление vSphere 7 Update 3

VMware представила VMware vSphere 7 Update 3, очередное обновление (U3) своей популярной платформы vSphere, а также vSAN. Перечень новых возможностей VMware vSphere 7 довольно обширен. В первую очередь следует отметить появление в платформе поддержки NVMe/TCP. Напомним, что ранее о запуске поддержки NVMe-over-TCP сообщила Dell.

VMware рассматривает Kubernetes (K8s) как направление для своего дальнейшего роста. С выходом обновления vSphere 7 Update 3, как сообщается, значительно упростилась настройка VMware Tanzu. В vSAN 7 Update 3 была добавлена поддержка доступа ReadWriteMany в vSphere с помощью Tanzu. Ранее платформа поддерживала только режим доступа к томам ReadWriteOnce. Также было объявлено о расширенной поддержке кластеров vSAN для кластеров Kubernetes.

Также были добавлены улучшения в популярный программный продукт VMware vSAN. VMware интегрировала виртуальный модуль для анализа статистики по вводу-выводу VMware I/O Analyzer в vCenter Server. В U3 VMware также «представила новый интеллект для обеспечения плавного завершения работы кластера vSAN, чтобы данные и уровень контроля и управления оставались в желаемом состоянии».

Обновление также коснулось планировщика Distributed Resource Scheduler (DRS), в котором VMware изменила алгоритм в отношении обработки операции обслуживания. Благодаря этому более крупные и критически важные рабочие нагрузки будут перемещаться как можно меньше.

Кроме того, в обновлении был добавлен дополнительный инструмент для мониторинга PMem-пулов, более глубокая интеграция с NSX, улучшения в PowerCLI, расширенная поддержка AI Enterprise + Bitfusion 4.0 для управления GPU-ресурсами, улучшенный механизм сопровождения ПО и оборудования, также более удобные инструменты для развёртывания локальных и гибридных облаков (включая также и cloud-init для более простой работы с гостями), переход к UEFI 2.4 и поддержку AMD VBS.

Полный перечень новых возможностей vSAN можно найти здесь, а более подробно о новых функциях vSphere можно узнать по этой ссылке. Напоследок отметим, что с выходом 7u3 начинается прекращение поддержки бездисковых конфигураций, имеющих только USB- или SD-накопитель. Даже загрузка с vSAN в данном случае не рекомендуется. Связано это с изменением разбивки на разделы — единый том ESX-OSData подвержен гораздо более высоким IO-нагрузкам, что может привести к быстрому износу USB-диска или SD-карты.

Постоянный URL: http://servernews.ru/1050543
16.07.2021 [17:00], Андрей Галадей

Platform9 объединила в KubeVirt контейнеры и виртуальные машины

Компания Platform9 объявила, что её программное обеспечение KubeVirt с открытым исходным кодом теперь может запускать контейнеры и виртуальные машины вместе. В качестве инструмента оркестровки используется Kubernetes. Эта система отличается от инициативы VMware Tanzu, которая объединяет контейнеры и виртуальные машины в рамках vSphere.

Как утверждается, решения вроде Tanzu дороги и сложны, а управление стеком виртуализации в дополнение к Kubernetes подтверждено ошибкам. При этом отметим, что KubeVirt избавляет разработчиков от необходимости переносить все свои приложения в контейнеры или управлять двумя полностью отдельными стеками. А открытый исходный код не требует привязки к поставщику ПО или оборудования.

В техническом плане KubeVirt — это надстройка управления виртуальными машинами для Kubernetes, использующая KVM. Отметим, что проект изначально запустили как решение для Red Hat OpenShift, а затем перевели на CNCF. Непосредственно Platform9 предлагает облачную службу Kubernetes и с KubeVirt. Компания полагает, что её новая система пригодится телекоммуникационным операторам, которые разворачивают сети 5G.

В числе особенностей отметим:

  • Автоматический мониторинг виртуальных машин с использованием встроенного инстанса Prometheus для каждого кластера, а также автоматическое облачное обновление;
  • Поддержка SR-IOV и OVS-DPDK для приложений, чувствительных к производительности;
  • Консоль SaaS для работы ВМ;
  • Возможности управления виртуальными машинами, образами, предустановками и снапшотами;
  • Система контроля доступа на основе ролей, мультитенантность и квоты использования ресурсов;
  • Повышение производительности за счёт работы на «голом» железе.

Что касается функциональных возможностей, то в их числе есть:

  • Поддержка IPv6 для всех нативных сервисов и пользовательских кластеров Kubernetes;
  • Автоматическое управление IP-адресами на основе API (IPAM);
  • Множество опций для сети — SR-IOV, DPDK, PCI-passthrough, MACvLan и IPvLAN;
  • Полностью управляемый Kubernetes для автоматизации настройки хоста, его физической сети и всех необходимых компонентов;
  • Расширенное планирование модулей и детерминированная производительность с привязкой к ЦП, планированием с учетом NUMA, HugePages, топологии и CPU.
Постоянный URL: http://servernews.ru/1044402
14.07.2021 [12:15], Алексей Степин

DPU Kalray пропишутся в облаке Scaleway

Kalray, Vates и облачный провайдер Scaleway объявили о заключении союза с целью разработки новых решений в области виртуализации, в основе которых будут лежать DPU. На практике DPU действительно можно назвать востребованной технологией, достаточно вспомнить о том, какие объемы данных сегодня генерируются и обрабатываются в крупных ЦОД — к примеру, астрономы говорят уже о петабайтах , и весь этот объём тяжёлым бременем ложится на процессоры, которые могли бы быть заняты более полезной работой.

Основания для оптимизма у нового тройственного союза есть: Kalray уже анонсировала NVMe-oF-ускорители K200-LP на базе процессора Coolidge MPPA, способные «переварить» поток данных на скорости до 12 Гбайт/с с задержками в районе 30 мкс, а на случайных операциях развивающие около 2 миллионов IOPS. Поскольку речь идёт о системах виртуализации, Vates отвечает за разработку гипервизора нового поколения, способного пользоваться ресурсами DPU, коих немало — 80 ядер MPPA и до 32 Гбайт памяти DDR4-3200. В основу ляжет гипервизор XCP-ng с открытым кодом.

Kalray K200-LP

Kalray K200-LP

Ну а крупный поставщик облачных сервисов Scaleway должен внедрить разработанные Vates и Kalray технологии на практике. Как считает компания, сочетание DPU и XCP-ng является идеальным выбором для энергоэффективных ЦОД. Коммерческий продукт на базе этих решений должен увидеть свет уже во второй половине этого года.

Постоянный URL: http://servernews.ru/1044188
10.07.2021 [20:08], Андрей Галадей

Релиз Proxmox Virtual Environment 7.0 — новое ядро и другие улучшения

Proxmox анонсировала крупный выпуск платформы управления виртуализацией — Proxmox Virtual Environment 7.0. Эта версия получила ряд обновлений и базируется на Debian 11 Bullseye. Дистрибутив полагается на ядро Linux 5.11 и включает QEMU 6.0, LXC 4.0 и OpenZFS 2.0.4. Версии остального ПО обновлены до актуальных сборок.

В списке изменений отметим переход к Ceph Pacific 16.2 (15-я версия оставлена в качестве опции), расширенную поддержку файловой системы Btrfs (поддерживается не только на вторичных накопителях и разделах, но и на корневом), панели управления репозиториями APT с графическим интерфейсом и улучшения системы контроля доступа.

В частности, теперь администраторы могут интегрировать внешний сервер авторизации, используя существующие общедоступные службы или собственное решение для управления идентификацией и доступом. Также улучшена работа с SSH-ключами и токенами, которые используются при создании контейнеров и облачных образов. К примеру, появились поддержка YubiKey. Помимо этого, реализована поддержка Single Sign-On (SSO) для организации единой точки входа. Для этого применяется OpenID Connect.

Из мелочей отметим переработанное окружение инсталлятора, замену chroot на switch_root, поддержку Markdown для заметок в веб-интерфейсе, поддержку экранов высокого разрешения и выбор шрифтов, использование zstd для сжатия образов initrd и squashfs, а также поддержку плагином ACME, который используется для получения сертификатов Let's Encrypt, IPv6.

Постоянный URL: http://servernews.ru/1043895
23.06.2021 [16:11], Андрей Галадей

Для Linux предложены патчи поддержки локальной миграции ВМ с AMD SEV/SEV-ES

Инженеры Google подготовили набор исправлений для ядра Linux, позволяющих расширить использование функций AMD Secure Encrypted Virtualization (SEV) и SEV-ES. Безопасная виртуализация SEV на процессорах EPYC отделяет ВМ от гипервизора и использует зашифрованную память. Также используются функции SEV-ES, которые защищают состояние регистров CPU.

Патчи обеспечат поддержку локальной миграции зашифрованных виртуальных машин (ВМ). Несмотря на то, что речь идёт о перемещении ВМ строго в рамках одного хоста, именно процесс передачи и является самым уязвимым местом, так как надо безопасно передать и метаданные SEV.

teknoblog.com

teknoblog.com

А сама миграция такого рода чаще всего нужна для динамического изменения и обновления доступных ВМ ресурсов. Дополнение, предложенное специалистами Google невелико — около 500 строк. Оно поддерживает миграцию с SEV/SEV-ES для гипервизора KVM. Впрочем, это только начало, в будущем наверняка появятся иные наработки по теме.

Постоянный URL: http://servernews.ru/1042644
16.06.2021 [15:03], Андрей Галадей

Red Hat Migration Toolkit упростит миграцию ВМ в гибридное облако

Компания Red Hat сообщила о выходе общедоступного набора инструментов миграции Red Hat для виртуализации. Он должен помочь компаниям облегчить перенос существующих рабочих нагрузок в гибридное облако. Идея состоит в том, чтобы перенести в облачную инфраструктуру на базе Red Hat OpenShift критически важные приложения на основе виртуальных машин (ВМ).

Это даст компаниям более простой способ модернизации, повышение эффективности и снижение издержек за счёт уменьшения простоев. Компания анонсировала поддержку виртуализации в OpenShift ещё в 2020 году, что позволяет воспользоваться ВМ всеми преимуществами OpenShift и Kubernetes в единой среде, позволив компаниям преодолеть барьеры между традиционными и облачными рабочими нагрузками.

Набор инструментов миграции проанализирует и автоматически определит любые потенциальные проблемы, связанные с переносом ВМ, а также предоставит информацию о том, как их решить. После этого ВМ можно отфильтровать и запустить миграцию. На данный момент поддерживается перенос ВМ из VMware vSphere 6.5/6.7 в OpenShift 4.7 посредством VDDK.

Набор средств миграции для виртуализации дополняет существующие наборы инструментов Red Hat:

  • Набор инструментов миграции для приложений — включает массу средств для миграции и модернизации приложений и позволяет, в частности, перенести нагрузки на платформы Red Hat JBoss Enterprise Application Platform и Red Hat Quarkus.
  • Набор средств миграции для контейнеров — нужен для переноса приложения с отслеживанием состояния и без него из исходного кластера в целевой. Работает с кластерами OpenShift Container Platform 3 и 4.
Постоянный URL: http://servernews.ru/1042114
14.06.2021 [14:22], Владимир Агапов

Liqid создала плагин управления композитными серверами для VMware vCentre

С помощью нового плагина Liqid ИТ-администраторы смогут создавать инфраструктуру серверных систем, на которой работают виртуальные машины vSphere, непосредственно в vCentre. Он заменяет пользовательский интерфейс ПО Liqid Matrix fabric. В дальнейшем планируется добавить поддержку и других гипервизоров: AHV, KVM и Hyper-V.

Liqid, напомним, занимается разработкой системы компонуемой инфраструктуры, то есть сборки сервера «на лету» из пула временно свободных компонентов. Такая композитная система представляется ОС и приложениям как обычный физический сервер, с которым можно работать без каких-либо изменений ПО.

blocksandfiles.com

blocksandfiles.com

Для выведения своей технологии на рынок компания сотрудничает с одним из крупнейших производителей серверов, Inspur, и пока неназванным японским поставщиком серверного оборудования. Также Liqid заключила OEM-соглашение с Dell и добавила поддержку её платформы MX7000.

Liqid использует PCIe- и Ethernet-фабрики для сборки серверов из отдельных пулов дезагрегированных компонентов — узлов CPU+RAM, различных шасси, заполненных сетевыми картами, ускорителями, FPGA, накопителями Optane и NAND SSD и так далее. Следующим этапом может стать «плотная» работа с NVIDIA над концепцией GPU-over-Fabrics, аналогичной NVMe-oF и использующей RDMA для прямого обмена данными поверх Ethernet. Кроме того, Liqid планирует добавить полноценную поддержку NVMe 2.0, что позволит упростить компоновку хранилищ и легко добавить пулы с жёсткими дисками.

В планах компании также значится разработка моделей машинного обучения для автокомпоновки серверов и добавление новых возможностей управления на основе политик и данных телеметрии оборудования. Это позволит корректировать конфигурацию серверов в зависимости от условий работы. Например, если загрузка GPU превысит 80%, то к системе будет добавлен еще один GPU.

Компания Liqid получила довольно скромное финансирование — с момента основания в 2015 году она привлекла около $60 млн. Последние поступления, $25 млн. в рамках раунда B, состоялись в 2019 году. Руководство компании надеется, что сможет провести еще один раунд привлечения средств, с целью доведения общей суммы инвестиций до $150 млн.

Постоянный URL: http://servernews.ru/1041898
18.05.2021 [00:36], Андрей Галадей

В технологии защиты виртуальных машин AMD SEV найдены уязвимости — проблема решена только в третьем поколении AMD EPYC

AMD опубликовала уведомление о двух найденных уязвимостях, которые позволяют обойти механизмы защиты SEV (Secure Encrypted Virtualization) и SEV-ES в процессорах AMD EPYC всех трёх поколений, а также в EPYC Embedded. Эта технология реализует шифрование памяти виртуальных машин (ВМ), а также следит за тем, чтобы доступ к расшифрованным данным был только у гостевой системы. Однако уязвимости этой защиты позволяют злоумышленнику обойти эти ограничения.

AMD отдельно отмечает, что для использования этих уязвимостей нужно иметь права администратора в системе, где запущены виртуальные машины и гипервизор. Компания пометила новые «дыры» как имеющие средний уровень опасности. Наибольшие неприятности они потенциально могут доставить гиперскейлерам и облачным провайдерам.

Первая атака получила название undeSErVed (CVE-2021-26311), она позволяет незаметно выполнить код внутри гостевой ОС и получить над ней полный доступ. Вторая атака, SEVerity (CVE-2020-12967), позволяет напрямую внедрить код в ядро гостевой системы, после чего передать ему управление и опять-таки незаметно получить полный контроль над ВМ. Подробности об обеих уязвимостях будут представлены 27 мая в рамках мероприятия WOOT'21.

Производитель отмечает, что под угрозой находятся системы первого, второго и третьего поколений AMD EPYC. При этом у последних имеется новое расширение SEV-SNP (Secure Nested Paging), которое позволяет защититься от подобного рода атак. Для более старых моделей, у которых этого расширения нет, AMD рекомендует «следовать лучшим практикам безопасности».

Прямо сейчас проводится реорганизация и очистка кода AMD SEV в рамках подготовки новой версии ядра Linux 5.13. Это нужно, чтобы упростить внедрение поддержки SEV-SNP в основную ветку ядра. Пока что изменения находятся на рассмотрении, потому неизвестно, будут ли они добавлены в 5.13 или уже в 5.14.

Постоянный URL: http://servernews.ru/1039756
03.05.2021 [21:57], Андрей Галадей

Microsoft готовит Linux для работы в качестве гостевой системы Hyper-V на 64-бит ARM-платформах

Ресур Phoronix обратил внимание на любопытный патч от Microsoft для готовящегося ядра Linux 5.13. Он добавляет возможность запуска Linux в качестве гостевой системы Hyper-V на ARM64-платформе. Важно отметить, что внесённые изменения не касаются кода, непосредственно зависящего от архитектуры процессора, однако сам факт таких работ интересен.

Это косвенно может указывать на будущую поддержку ARM64-хостов Hyper-V и Azure. На данный момент система виртуализации Hyper-V от Microsoft работает только на архитектуре x86-64, как и облако Azure, построенное на этом гипервизоре. Ранее компания также представила ещё один важный патч, позволяющий использовать ядро в качестве корневого раздела Hyper-V.

Ранее Microsoft неоднократно проводила различные эксперименты с серверными ARM-платформами, в том числе для нужд облака Azure, где уже давно доминирует Linux. Несколько лет назад компания рассказала о ARM-форке Windows Server для серверов на базе почившего Qualcomm Centriq. Затем компания переключилась на ThunderX 2 и даже взялась за оптимизацию Linux для этих чипов, всего за несколько месяц до отказа Marvell от развития этой серии CPU.

Теперь же, по слухам, компания взялась за проектирование собственных ARM-чипов для серверов и мобильных устройств. В этом свете нельзя не отметить, что у AWS уже давно есть процессоры Graviton. Что интересно, по словам компании, уже 14% всех EC2-инстансов в облаке Amazon базируются именно на этих чипах, а в 2020 году почти половина новых инстансов тоже использовала ARM. При этом VMware тоже смотрит в сторону ARM.

Постоянный URL: http://servernews.ru/1038725
Система Orphus