Différences entre les versions de « Esxi »

Doc de configuration Esxi 4.1 / Doc officielle

Guide de sécurité Vsphere 4.1 Guide de sécurité Vsphere 5 Hardening guides

Autres doc pour la version 3.5 : https://wiki.blaxeen.com/BENPERSO/doc-manuel/system/virtualisation/Vmware_formation

Gestion des ressources

Cours Esxi Cours Esxi bis

Il faut que l'option VT (Intel Virtualization Tech) soit mise en enable dans le bios. Il faut éteindre & rallumer electriquement le serveur pour que cette option soit prise en compte. Si cette option n'est pas activée, il ne sera pas possible de créer des VM.

Rentrer en mode console[modifier]

- At the console of the ESXi host, press ALT-F1 to access the console window.
- Enter unsupported in the console and then press Enter. You will not see the text you type in.
- If you typed in unsupported correctly, you will see the Tech Support Mode warning and a password prompt. Enter the password for the root login.
- Nous pouvons maintenant taper des commandes en ligne.

Activer snmp & ssh[modifier]

Tout cela peut sinon se faire depuis l'interface graphique avec Vsphere Client

vi /etc/vmware/snmp.xml
modifier :
<enabled>false</enabled>
en :
<enabled>true</enabled>

Puis modifier :
<communities></communities>
en :
<communities>public</communities>
Il ne reste plus qu'à relancer le service : /sbin/services.sh restart

Pour ssh : vi /etc/inetd.conf & décommentez la ligne qui commence par #ssh (puis relancer inetd)

Connexion root ssh[modifier]

Depuis la version 3.0, on ne peut plus se connecter en ssh avec le login root. Apres avoir activé le ssh dans l'interface graphique (configuration / security profil / service) :
 - Log in to the vSphere Client as a root user.
 - Click Users & Groups.
 - Right-click on a blank area and click Add.
 - Enter a username and password. Confirm your password. (Note: Starting in ESX 4.0, the password needs to be at least 8 characters in length.)
 - Add this user to group root
 - Select Grant shell access to this user and click OK. 

Configuration syslog[modifier]

Cela peut se faire via l'interface graphique, sinon aussi en cli.
* Récupérer la config : esxcli system syslog config get
* Paramétrage : esxcli system syslog config set --loghost='udp://10.11.12.13:514,udp://192.168.5.2:514' (si tcp mettre tcp à la place d'udp)
* Redémarrer le service : esxcli system syslog reload

>

Crontab[modifier]

La mise en place de la crontab est un peu particulière sous les Esxi

Modifier le fichier de configuration "/var/spool/cron/crontabs/root", exemple : 10 00 * * * /ghettoVCB/ghettoVCB.sh -f /ghettoVCB/list_vm_to_backup -g /ghettoVCB/ghettoVCB.conf -l /vmfs/volumes/4f2a8feb-f893adfe-8db3-d4bed9b510ae/backup/ghettoVCB_backup.log > /dev/null

Pour que le fichier de configuration cron soit pris en compte, il faut redemarrer le service avec les commandes suivante : Kill $(cat /vaar/run/crond.pid) Busybox crond

Attention, lors du prochain redemarrage, le fichier de configuration cron sera reinitialisé. Pour eviter de perdre la configuration, il faut rajouter dans /etc/rc.local :

/bin/kill $(cat /var/run/crond.pid)
/bin/echo '10 00 * * * /ghettoVCB/ghettoVCB.sh -f /ghettoVCB/list_vm_to_backup -g /ghettoVCB/ghettoVCB.conf -l /vmfs/volumes/4f2a8feb-f893adfe-8db3-d4bed9b510ae/backup/ghettoVCB_backup.log 2>&1' >> /var/spool
/bin/busybox crond

Puis lancer la commande "auto-backup.sh" (présente dans /sbin) pour que le rc.local survive au reboot. Chaque fois que l'on change la cron, il faut mettre à jour le rc.local et relancer auto-backup.sh.

Raid[modifier]

Pour les esx >= 5.0, recuperer le package vmware-esx-MegaCli-8.04.07.vib present sur package1.infra.agarik.com dans /home/sites/default/ESXI. ier et le copier sur l'esxi (en se 
logguant en vsphere, puis un browse des datastore et upload). Installer le package : esxcli software vib install -v /tmp/vmware-esx-MegaCli-8.04.07.vib --no-sig-check
Verifier que le binaire est bien present dans /opt/lsi/MegaCLI/ et qu'il accede a la carte : ./MegaCli -ldinfo -l0 -a0
Cela permettera d'avoir une supervision raid des esx uniforme quelque soit la version d'esx

Se connecter sur le serveur qui fera la supervision, recuperer le fichier /root/.ssh/id_dsa.pub. Se connecter sur l'esx, ajouter le contenu du fichier recuperer au fichier
/etc/ssh/keys-root/authorized_keys

Sur le serveur qui fait la supervision, ajouter une entree <nom esx>:<ip esx> dans [https://{{{wiki.blaxeen.com/index.php/Check_raid_esxi ce script]

Backup de la configuration[modifier]

http://slymsoft.com/esxi-conf-backup/

Perte d'un datastore[modifier]

Il peut arrive après un reboot que l'on ait "perdu" un datastore car ce dernier n'a pas été créé de facon permanente, ou aussi lorsque l'on change de carte raid. Pour le remonter de facon permanente, il faut alors récuperer l'uid du vmfs en question.

On peut procéder de plusieurs facon pour récuperer l'uid :
 - esxcfg-volume -l : parfois ne remonte rien bizarement
 - esxcfg-scsidevs -m
naa.600605b000a41a10ff000037038357e3:3                           /vmfs/devices/disks/naa.600605b000a41a10ff000037038357e3:3 4f3a6e5e-138f8954-8a9c-001d926dd313  0  datastore1

L'uid est ici 4f3a6e5e-138f8954-8a9c-001d926dd313

On peut alors faire : esxcfg-volume -M 4f3a6e5e-138f8954-8a9c-001d926dd313 Le datastore sera à nouveau visible dans la console vsphere et les vm accessibles.

Autre exemple :
~ # esxcfg-volume -l
VMFS UUID/label: 4fc8ce84-60b3a6ec-319f-00242102a853/datastore1
Can mount: Yes
Can resignature: Yes
Extent name: naa.600605b000e6ffe0ff0000360378a60b:3     range: 0 - 566015 (MB)

~ # esxcfg-volume -M 4fc8ce84-60b3a6ec-319f-00242102a853
Persistently mounting volume 4fc8ce84-60b3a6ec-319f-00242102a853

Vmkernel & Vswitch[modifier]

Normalement lorsque l'on créé un vmkernel c'est juste pour administrer l'esxi. Il se peut parfois qu'une des vm hébergées soit sur le même subnet que l'esxi, et donc sur le même vlan.
On ne peut pas ajouter une vm dans le switch du vmkernel, car celui-ci n'est pas reconnu comme un vswitch. Il faut juste alors créér un nouveau networking en "virtual machine" que 
l'on tagguera avec le même vlan que celui du vmkernel, cela ne pose pas de problème.

Interface en aggrégation[modifier]

Lorsque l'on configure le vswitch (ou plutot les vm) avec de l'aggrégation, il faut vérifier que le type d'aggrégation se fasse bien par ip et non par id, sinon chaque port réseau va avoir un id et on va avoir des soucis. Dans "Networking" / "properties", puis double cliquez sur "vswitch", et dans l'onglet "NIC teaming", dans "load balancing" ("route based on the originating virtual port id" ou "route based on ip hash"). En mode failover de base, utiliser "use explicit failover order"

Upgrade OS[modifier]

• 1ere méthode

Pris sur le site

Ces commandes sont à envoyés depuis une vma spécifique qu'il faut installer : vSphere Management Assistant

Assurez-vous que vous disposez d'une machine virtuelle vSphere Management Assistant (ci-après vMA) dont le numéro de vers est au moins égale a celui de l'ESXi que vous voulez mettre à 
jour et que celle-ci peut accéder à l'ESXi à mettre à jour. Une machine virtuelle vMA nommée vma-ins.agarik.com est installé sur esxi-ins.agarik.com.

Téléchargez le patch depuis le site de VMware, vous obtiendrez un fichier .zip, ne l'extrayez pas pas et utilisez WinSCP ou SCP pour le copier sur l'ESXi à mettre à jour. Nous 
supposerons pour la suite de ce document que le patch se trouve dans /vmfs/volumes/datastore1 et que l'ESXi à l'adresse IP 10.253.6.40. 

Vérifiez si l'ESXi doit être mis en mode maintenance :
    # esxcli --server=10.253.6.40 --username=root software sources vib get -d /vmfs/volumes/datastore1/ESXi500-201209005.zip | grep "Maintenance Mode Required: True"

Si le résultat est Maintenance Mode Required: True utilisez les commandes suivantes pour placer l'ESXi en mode maintenance et vérifier qu'il y est :
    # vicfg-hostops --server 10.253.6.40 --operation enter
    # vicfg-hostops --server=10.253.6.40 --operation info

    vSphere Client peut également être utilisé pour celà. 

Vérifiez quels VIBs sont installé sur l'ESXi :
    # esxcli --server=10.253.6.40 --username=root software vib list | more

Vérifiez quels VIBs sont disponible dans le patch :
    # esxcli --server=10.253.6.40 --username=root software sources vib list --depot=/vmfs/volumes/datastore1/ESXi500-201205001.zip | more

Mettez à jour l'ESXi avec le patch téléchargé :
    # esxcli --server=10.253.6.40 --username=root software vib update --depot=/vmfs/volumes/datastore1/ESXi500-201205001.zip

Une fois l'installation complète, vérifiez les informations retournées. Si demandé, redémarrez l'ESXi avec la commande suivante :
    # vicfg-hostops --server 10.253.6.40 --operation reboot

Vérifiez que le patch à bien été installé :
    # esxcli --server=10.253.6.40 --username=root software vib list | more

Si l'ESXi a été mis en mode maintenance, sortez-le :
    # vicfg-hostops --server 10.253.6.40 --operation exit

• 2eme méthode

Sinon il est possible d'upgrader plus facilement ses Esxi depuis "update manager", mais c'est un plugins qui s'installe uniquement sur un Vcenter. Voir

Il faut bien sur faire attention à ne pas se connecter à un Vcenter qui serait sur une vm qui est sur l'esxi que l'on upgrade ! :)

Se connecter au VCenter. Dans la vue "VMs and Templates", vérifier quelles sont les vm up et celles arrêtées, car on doit rester dans cette configuration par la suite.

Dans la vue "Hosts and Clusters", sélectionner un esx, puis se rendre dans l'onglet "update manager". 
- attacher la baseline "esxi update"
- scanner le serveur pour chercher les upgrades
- une fois la mise à jour trouvée (1 compliance), faire un remediate

L'esxi vas alors entrer en maintenance mode et éteindre les vms présentes sur cet hyperviseur. Si cela échoue, éteindre les vms une à une puis laisser l'esxi retenter le maintenance 
mode. Il fait ensuite sa mise à jour et sort du mode maintenance. S'assurer que les vms redémarrent comme précédemment. Attendre que l'ESXi soit mis à jour et de nouveau up.

Enfin, via le vCenter update manager vérifier les mises à jour pour veso4esx01 et veso4esx02 sur les autres baselines. Faire un esx à la fois.

Backup Vcenter[modifier]

Voici la liste des données à backuper pour sauvergarder les infos vitales d'un vcenter + backup des dumps sql

C:\Program Files\VMware\Infrastructure\Inventory Service\conf\sso.ini
C:\Program Files\VMware\Infrastructure\Inventory Service\ssl\*
C:\Program Files\VMware\Infrastructure\Orchestratorvco.properties
C:\Program Files\VMware\Infrastructure\Profile-Driven Storage\conf\*
C:\Program Files\VMware\Infrastructure\Profile-Driven Storage\server\config\*
C:\Program Files\VMware\Infrastructure\SSOServer\conf\*
C:\Program Files\VMware\Infrastructure\tomcat\conf
C:\Program Files\VMware\Infrastructure\SSOServer\security\*
C:\Program Files\VMware\Infrastructure\VirtualCenter Server\ssoregtool\vcsso.properties
C:\Program Files\VMware\Infrastructure\VirtualCenter Server\endpointsqs-endpoint.xml
C:\ProgramData\VMware\*

Usb storage[modifier]

Il n'est pas possible de voir un disque dur usb branché sur l'esxi dans le vsphere client de l'esxi, au niveau storage. Par contre on peut monter le disque usb sur les vm (il faut que la vm soit en version 7 minimum). Pour se faire :

Cela peut etre fait à chaud (la vm est deja démarré)
 - brancher le disque dur usb ou clé usb sur l'esxi
 - faire un dmesg en ssh sur l'esxi pour être sur qu'il ait vu le disque usb
 - allez dans les setting de la vm, puis "Add hardware" / "Usb controleur", puis "Add hardware" / "Usb device" et il devrait vous faire voir la clé ou le disque dur
 - ne reste plus qu à faire un mount du disque usb dans la vm (si c est une vm sous linux)

Utilitaires Vmware[modifier]

• VMware OVF tool : On peut les installer sous windows ou alors sous la forme d'une vm dans esxi. Ces tools vont servir à exporter ou importer des fichiers de format ovf, ova...
• VMware Com­pli­ance Checker for vSphere : Analyse de sécurité de votre infra­struc­ture (à installer sur le vCen­ter ou votre poste de tra­vail)
• Vmware VSA : Permet de partager le stockage local d'un esxi