Trend Micro Deep Security Agentless e VMware Vcloud Director

Trend Micro Deep Security è un prodotto in grado di fornire funzionalità di antimalware, firewall, intrusion prevention, web reputation ed integrity monitoring ad un infratruttura vSphere utilizzando una Virtual appliance installata in ogni host e senza la necessità di dover installare un  agente nelle VM. Il prodotto si integra con ambienti VMware vCloud in modalità multitenant: dà quindi la possibilita agli amministratori deglle varie organizations di proteggere autonomamnete le loro vm/vapp , senza vedere o interferire con le vm/vapp di altre org utilizzando un unico deep security server (deep security manager o DSM) ed una deep security virtual appliance (DSVA) presente in ogni host. Vediamo insieme i passi per implementare come implementare queste funzionalità.

L’amministratore di vCloud dovrà integrare il vCenter con il DSM entrando nella  DSM web GUI, nell’area ‘computers’  e cliccando col tasto desto sull’albero ‘computers’ preme il tasto ADD VMWARE VCENTER

Verranno chieste anche le specifiche di vShield manager:

Un prerequisito necessario è il vShield endpoint installato in ogni host ESX: Lo si fa facilmente dal client vShield:

Ora dobbiamo importare nel DSM i due software che andremo ad installare negli host: il trend micro filter driver e la deep security virtual appliance

Sempre dalla gui di DSM, selezionando col tasto destro i vari host ESXi, potremo installare il filter driver premendo ‘prepare ESX

ATTENZIONE: per installare il filter driver gli host verranno messi in maintenance mode e successivamente riavviati.

Dopo aver preparato un host, il wizard ci propone di installare (deploy) e successivamente attivare la DSVA

Ci viene proposto di attivare la protezione per le VM presenti nell’host ma, per ora, proseguiamo senza proteggere le VM

E’ il momento di attivare la Multi Tenancy in DSM (è richiesto un codice di licenza specifico)

Ora possiamo creare un tenant per ogni organizzazione cloud a cui vogliamo offrire la protezione. Nel mio esempio abbiamo due organizzazioni ed attiveremo la protezione per la organizzazione QA

Nella DSM creiamo il tenant per l’org QA inserendo un account name, uno username con relativa password che serviranno all’organization administrator per loggarsi nella DSM web GUI.

A questo punto l’organization administrator può loggarsi alla DSM gui

Per ora non vedrà nessun computer protetto

Dovrà quindi aggiungere le proproe risorse cloud

In Provider Type scegliamo vCloud Private Cloud

Il Name e la Description sono due campi descrittivi

Endpoint IP è l’indirizzo del server vcloud

User Id è l’utenza del organization administrator, la corretta sintassi è utenza@organizzazione

Password del organization administrator

L’organization administrator vede le proprie vapp e le VM che le compongono, cliccando col tasto destro su ognina di esse può attivare la protezione agentless.

 

Horizon Mirage Bandwith Limit

Dalla versione 5.1 di Horizon Mirage, è stata introdotta la possibilità di impostare un limite di banda in upload/download per i client che si trovano in alcune subnet o in alcuni domini.

Chiaramente è una funzionalità molto utile per far si che i clients che si trovano in uffici remoti non consumino tutta la banda con le attività mirage.

Per impostare il limite, nella mirage console, clicchiamo col tasto destro su system configuration e selezioniamo SETTINGS. Ora ci spostiamo sul tab BANDWITH LIMITING

Come vedete, per default non c’è nessun limite impostato. Ora, per impostare i limiti desiderati, creiamo un file csv contenente le regole nel formato:   SubnetMaskV4,Site,Download limit,Upload limit.

 

Nell’esempio, impostiamo un limite di 500KB/s in upload e di 350KB/s in download per tutti i clients della subnet 172.16.0.0/16.

Impostiamo un limite di 300KB/s in entrambe le direzioni per il client 172.16.0.11

Impostiamo un limite di 200 e 100 KB/s per i cliient del dominio sitoA ed un limite di 2048 1024 per i client del dominio sitoB. Importando il file otteniamo:

La regola di precedenza è la più restrittiva. Se ,ad esempio, un client appartiene al sitoA, alla subnet 172.16.0.0  ed il suo indirizzo è 172.16.0.111, i suoi limiti saranno 200 KB/s in upload e 100 KB/s in download. Vince questa regola, NON perchè è stata inserita per ultima ma perchè è la più restrittiva.

Impostare la banda in upload e in download per una intera subnet (o dominio) , significa che se all’interno della subnet ci sono attività parallele di download ed upload, la banda massima utilizzabile sarà la sommo dei due limiti.

PernixData FVP nel Partner Verified and Supported Products (PVSP) di VMware

In un post precedente, si diceva che il software PernixData FVP viene installato a livello di hypervisor, quindi si tratta di un estensione, di un modulo che estende le funzionalità del vmkernel.

Alcuni clienti mi hanno chiesto se un modulo di terze parti installato a livello di vmkernel, potrebbe provocare ‘problemi’ di supporto da parte di VMware ad eventuali problemi aperti. La risposta è che da marzo 2014 FVP è stato aggiunto al VMware Partner Verified and Supported Product Program, ed è quindi riconosciuto da VMware come prodotto ufficialmente pronto per essere installato nella piattaforma vSphere. Maggiori informazione le potete trovare in una press release di PernixData, nell‘elenco dei Partner Verified and Supported Products (PVSP) sul sito VMware e nella VMware  KB 2073257.

VMworld USA 2014 – General Session: review (parte 3)

Questo articolo riprende le tematiche anticipate nei precedenti post:

La presentazione passa ai temi legati all’End-User Computing (EUC), dove vengono mostrate le milestones raggiunte da VMware mese dopo mesi evolvendo da VDI al DaaS (Desktop as a Service). Oltre a Horizon 6 ed alle nuova pacchettizzazione della suite, già nota prima del VMworld, è stata annunciata la Workspace Suite. Questa nuova suite è un “soft bundle”, una somma di prodotti più che un’unica soluzione, che comprende:

  • AirWatch Management Suite: per i dispositivi mobile e per le applicazioni (MDM MAM);
  • Horizon 6: VDI e RDS;
  • Secure Content Locker: sincronizzazione e condivisione file;
  • VMware Workspace Portal: aggiornamento dell’attuale workspace

Per maggiori informazioni è possibile andare alla pagina: “VMware Unifies Mobile, Desktop and Content Management With VMware Workspace Suite

L’ultima parte dell’intervento è stata dedicata al Cloud Ibrido.

In materia di Hybrid Cloud il servizio vCloud Hybrid Services (VCHS) viene rinominato in vCloud Air e, oltre a fornire servizi IaaS avrà speciali declinazioni per DRaas, DaaS e PaaS.

Smarcata la nuova denominazione vengono argomentati i motivi a sostegno del passaggio ad un ambiente cloud ovvero: agilità, efficienza e contenimento dei costi. In riferimento al mercato viene mostrata una slide con le proiezioni numeriche e VMware indica che negli ultimi mesi si è assistita ad una progressione esponenziale nelle migrazioni tali da far credere che sia l’inizio di un trend:

VMW-VMWORLD2014-CLOUDAIR-NUMBERS

Riguardo gli obiettivi i servizi VMware si vanno ad integrare a quelli già esistenti in azienda e questo rappresenta punto di forza nella proposta VMwara rispetto alle proposte cloud di altri provider che non si avvalgono della piattaforma del vendor:

VMW-VMWORLD2014-CLOUDAIR-PLATFORM

Nel corso dell’anno rafforzerà la presenza in EMEA e aprirà in Asia, attualmente a livello mondiale ci sono 3900 partner che offrono soluzioni cloud basate su tecnologia VMware. Inoltre i Datacenter VMware avranno ulteriori “specializzazioni”: per i soli Stati Uniti, creerà nei prossimi mesi appositi ambienti idonei ad ospitare i servizi del Governo Federale in ottemperanze delle specifiche norme sulla compliance e si assisterà all’introduzione di altri servizi per le aziende (attualmente sono in beta) quali:

  • DBaaS: al momento MY SQL e MS-SQL:
  • Object Storage: basato su EMC ViPR
  • Servizi per la mobility: basati su Air Watch
  • Cloud Management: basato su vRealize Air Automation

VMW-VMWORLD2014-CLOUDAIR-SERVICES

Per ulteriori informazioni è possibile consultare le pagine:

VMworld USA 2014 – General Session: review (parte 2)

Questo articolo riprende le tematiche anticipate nel post precedente: VMworld USA 2014 – General Session: review (parte 1).

Pur rimanendo sul pilastro Software Defined Data Center, la discussione si è spostata “sul come” sfruttare le potenzialità dell’infrastruttura ed in modo particolare sono state messe a confronto le le “applicazioni tradizionali” vs “le applicazioni sviluppate per il cloud”.

Torna in gioco il concetto del “potere dell’AND” e il CEO VMware riferisce che non ci devono più essere separazioni tra questi mondi/visioni. Rimarcando la via aperta gli anni addietro sull’apertura dei prodotti VMware al cloud multi piattaforma Pat Gelsinger ha annunciato la beta per il supporto di infrastrutture basate su OpenStack. Questa apertura è rivolta anche ad altre tecnologie come Frameworks e Containers che permetteranno alle tecnologie VMware di diventare il punto di ingresso della “piattaforma allargata” idonea soddisfare i requisiti sia di sviluppo sia di consumo per tutte le applicazioni.

One Platform for any App

Per maggiori informazioni è possibile consultare la pagina: “VMware Teams With Docker, Google and Pivotal to Simplify Enterprise Adoption of Containers

Ulteriore argomento trattato è quello della sicurezza. La Security rappresenta sicuramente uno dei punti di resistenza nell’approcciare il cloud, nel corso degli anni e delle release dei prodotti l’infrastruttura VMware è stata migliorata intorno a questo aspetto partendo dalla famiglia vShield, passando da vCloud Network and Security (vCNS) arrivando ai giorni nostri a parlare di Software Defined Network e di NSX.

Slogan come “coraggio ed innovazione” tornano ad essere un tema centrale e, per rafforzare il messaggio, viene riferito che intono a NSX ci sono più di 40 partner tecnologici e 14 soluzioni integrate con ben 150 clienti corporate a livello mondiale che già sfruttano questa tecnologia, inoltre sono state rafforzate le partnership con Arista, HP, Dell e F5.

Per maggiori informazioni è possibile consultare le pagine:

Ulteriore distintivo per VMware è il riconoscimento da parte di Gartner che colloca il vendor come primo ISV ad entrare nei quadranti magici relativi al networking, nell’area visionari, con una soluzione 100% software.

Proseguire con “VMworld USA 2014 – General Session: review (parte 3)

VMworld USA 2014 – General Session: review (parte 1)

Il 25 Agosto è iniziata l’edizione americana del VMworld 2014 e nella Geneal Session VMware conferma i pilastri della propria offerta: SDDC, EUC e Hybrid Cloud. Il messaggio introduttivo è molto “personale”: si parla di amministratori IT coraggiosi, vincenti; si parla anche del “potere dell’AND” in contrapposizione a quello del “contro”, rimarcando l’apertura verso altre piattaforme cloud. VMW-VMWORLD2014-ANDPOWER Questo post è la prima parte della review relativa alla General Session che entra nel merito dei 3 pilastri menzionati poco sopra.

Software Defined Data Center

Il SDDC si basa su un serie di stack:

  • Computing: area coperta da vSphere, annunciata la versione 6.0 anche se in beta;
  • Networking: stack in gestione a NSX;
  • Storage: terreno per Virtual SAN, annunciata la beta 2.0, e introdotti i Virtual Volumes quale tecnologia Software Defined Storage aperta agli storage vendor;
  • Management: al vCenter Operations Manager si aggiunge la vRealize Suite che contiene tutti gli strumenti di gestione di ambienti cloud ibridi (automazione ed operations)

Sull’ultima componente VMware ha precisato che i prodotti nell’area “Management Operations”  verranno ribrandizzati sotto il nome vRealize, mentre in tema di nuovi rilasci oltre, a vSphere 6 e vSAN 2 entrambe in beta, è stata annunciata la vCloud Suite 5.8, per maggiori dettagli è possibile cosultare la pagina: “VMware Delivers New Innovations for the Open, Agile, Secure Software-Defined Data Center

Nel corso della presentazione VMware ha dato molto rilievo all’hardware, quale elemento basilare la messa in opera dell’infrastruttura, infatti il SDDC rappresenta la meta che può essere raggiunta con tre differenti approcci in relazione alle componenti fisiche:

  • Built Your Own: ambienti tradizionali basati su singoli dispositivi disgregati;
  • Converged Infrastructure: soluzioni come VCE;
  • Hyper Converged Infrastructure: in questo contesto è stata presentata la famiglia VMware EVO.

Con la famiglia EVO, VMware  non intende entrare nel mercato dell’hardware, ma propone un bundle di software ad una lista di partner qualificati. VMware EVO ha 2 specifiche declinazioni:

  • VMware EVO Rail: il cui principio è di rendere facile e veloce (si parla di 15 minuti) il deployment di Datacenter Software Defined. Per maggiori dettagli http://www.vmware.com/files/pdf/products/evo-rail/vmware-evo-rail-introduction.pdf
  • VMware EVO Rack: trattasi di una technology preview, l’idea è di sviluppare il principio di EVO RAIL e di scalare ancora più grandi anche grazie all’aggiunta di ulteriori pacchetti software.

L’annuncio relativo a VMware EVO è disponibile alla pagina “VMware Unveils EVO: RAIL — The Fastest Way to Build and Deploy a Software-Defined Data Center

Proseguire con “VMworld USA 2014 – General Session: review (parte 2)

Pernixdata FVP: accellerare con semplicità

Pernixdata FVP permette di accellerare gli I/O di qualsiasi VM ututilizzando schede flash (SSD o PCIe) presenti nelgli host ESXi. Il prodotto  è stato pensato per essere semplice e ridurre al minimo le possibilità di scelta:

Innanzi tutto possiamo scegliere se accellerare una VM o un DATASTORE.

Una VM viene accellerata nella sua interezza, non c’è necessità/possibiltà di scegliere uno specifico VMDK, è sicuramente MEGLIO accellerare tutti gli I/O generati da una VM piuttosto che un sottoinsieme di I/O.

Basta selezionare la VM e scegliere la policy di accellerazione: questa può essere write-through o write-back, con quest’ultima devo specificare il livello di ridondanza (numero di repliche) e nient’altro. Appunto MOLTO SEMPLICE.

 

Da qui in poi, tutti gli I/O generati dalla VM vengono accellerati. Non c’è necessità di spostare la VM in un datastore più performante, o altre attività complesse.

Accellerare un DATASTORE permette di creare una policy d’accellerazione per quel datastore, seguendo la stessa metodologia usata per le singole VM: selezionare ADD DATASTORE nel flash cluster, selezionate il datastore e scegliete la write policy desiderata, la policy verrà assegnata a tutte le VM presenti in quel datastore.Di nuovo MOLTO SEMPLICE.

Pernixdata FVP lo si installa semplicemente (è un VIB da importare con update manager), non richiede reboot degli host, dopo l’installazione basta aggiungere le VM (o I datastore ) al FLASH CLUSTER ed iniziare a beneficiare dell’aumento di performances.

Atlantis ILIO per VDI: pronti…partenza…

…VIA; il traguardo è visibile ma l’arrivarci potrebbe essere complicato.

Nella progettazione di un ambiente per la virtualizzazione dei desktop il corretto dimensionamento dello storage è un argomento tanto chiave quanto complicato e se lo storage è già presente e non idoneo i margini d’azione sono pochi.

Atlantis ILIO per VDI è una prodotto che può venire in aiuto e rendere realizzabili progetti che altrimenti dovrebbero essere abortiti. La proposta di Atlantis Computing prevede 2 soluzioni:

  • Atlantis ILIO Diskless VDI;
  • Atlantis ILIO Persistent VDI

Atlantis ILIO Diskless VDI è l’unica soluzione 100% software che permette di creare vDesktop senza la necessità di usare storage, sfruttando la RAM locale del server. L’uso della memoria e della tecnologia di ottimizzazione dello storage in-memory (Atlantis ILIO In-Memory Storage Optimization Technology) consente di ottenere postazioni virtuali economiche e con prestazioni superiori a quelle dei PC fisici. La RAM, in qualità di storage primario per i vDesktop, assicura che tutte le attività disco avvengano alla velocità della memoria eseguendo task come accensioni, logon, avvio di applicazioni in pochi secondi ed eliminano il traffico IO sugli apparati dello storage. Spostando l’attenzione dall’esperienza utente all’amministrazione, il personale proposto alla gestione potrà eseguire operazioni che coinvolgono centinaia di VM, come il deploy, refersh e recompose, senza dover attendere ore per il compimento del task.

Atlantis ILIO Persistent VDI, respetto al prodotto precedente, è la soluzione per gli utenti che desiderano disporre in un desktop persistente, che possa comunque avere notevoli prestazioni. Come per il pacchetto precedente la RAM può essere utilizzata per assorbire il carico di lavoro prima che questo tocchi lo storage primario, riducendo notevolmente (fino al 95%) la richiesta di IO da parte di un virtual desktop. Atlantis ILIO Persistent VDI può di fatto funzionare in 2 modalità:

  • In memory: la RAM del server viene usata come storage primario per garantire la massima esperienza utente, mentre una piccola parte di storage esterno persistente viene sfruttata per la protezione del dato e la sua disponibilità;
  • VDI Disk-Backed: rappresenta l’opzione migliore per le infrastrutture che dispongono già di storage che necessitano di uno strumento che possa ottimizzare l’ambiente. In questo scenario una parte della RAM viene usata in qualità di cache per assorbire tutte le richieste IO, mente lo storage persistente rimarrà lo storage primario.

In sintesi l’adozione Atlantis per ambienti VDI produce i seguenti benefici:

  • eccezionali prestazioni dei vDesktop;
  • drastica riduzione dei requisiti dello storage;
  • eliminazione dei rischi dovuti ai colli di bottiglia dello storage esistente;
  • possibilità di utilizzare qualsiasi tipo di storage (DAS, NAS, SAN) e sistema;
  • supporto multivendor: Citrix XenDesktop e VMware Horizon View con qualsiasi hypervisor (VMware, Microsoft e Citrix).

Per Maggiori informazioni è possibile consultare le seguenti pagine sul sito del produttore:

Horizon Daas Architecture

Il prodotto Horizon Daas, permette la fornitura di desktop windows (e linux) come servizio cloud.  In questo articolo approfondiamone l’architettura:

daas service grid

Come vedete nella grafica, l’ambiente è composto da macchine fisiche, appliances virtuali e reti.

MACCHINE FISICHE:

VIRTUAL DESKTOP HOSTS: macchine ESXi che ospitano le VM desktop (windows) di un singolo tenant.

SHARED DESKTOP HOSTS:  macchine ESXi che ospitano le VM (linux o windows 2008 Terminal server per RDSH) di diversi tenant.

NAS STORAGE: Storage utilizzato per ospitare le VM. E‘ richiesta una NAS NFS e non una SAN in quanto il prodotto daas può gestire direttamente gli hosts senza passare da vCenter, in questo caso si occupa direttamente della clonazione delle VM accedendo al file system del datastore voa NFS.

HORIZON  MANAGEMENT HOSTS:  alcune macchine ESXi cshe ospitano diverse copie delle Horizon Daas management virtual appliances .

APPLIANCES  VIRTUALI (Horizon DaaS Management Appliances) :

SERVICE PROVIDER APPLIANCE: è la prima appliance installata nel Data Center, è la console utilizzata dal Service Provider per amministrare l’intero ambiente  e, tra l’altro si occupa di fare il deploy delle altre appliances.

RESOURCE MANAGER APPLIANCE: si occupa di collezzionare ed astrarre le risorse fisiche e di metterle a disposizione die diversi tenants.

TENANT APPLIANCE: appliance amministrativa del Tenant, e connection broker del singolo tenant.

dRAM APPLIANCE: permette agli utenti che si trovano fuori dalla rete del tenant, di accedere ai virtual desktop senza dover utilizzare una VPN

Tutte le appliances sono macchine Linux, molto leggere, e con un DB propietario, hanno un meccanismo di alta affidabilità implicito.

SERVIZI DI RETE:

DNS, DHCP, NTP ed Active Directory  sono componenti fondamentali, e richieste, da Horizon Daas. Possono essere implementate internamente nella rete del Tenant o accessibili attraverso un’estensione (VPN/MPLS) della rete del Tenant verso il Data Center del Tenant stesso.

La rete deve supportare il VLAN TAgging ed il VRF per poter separare i diversi Tenant.

Le reti visibili nella grafica sono:

SERVICE PROVIDER NETWORKRete principale del service provider, mette in comunicazione le diverse service provider appliances e deve avere accesso alla MANAGEMENT NETWORK per poter gestire gli hosts e lo storage.

BACKBONE LINK LOCAL NETWORK: rete non rutabile, che connette le appliances die tenant con le appliances del service provider. E‘ gestita dal service provider.

TENANT NETWORK: trattasi di un VLAN separata da tutte le altre reti, viene gestita direttamente dal tenant, non è accessibile dal Service Provider.

VMware & Veeam: il bundle ideale l’on-premises SDDC

Systematika è promotrice di una iniziativa specifica VMware & Veeam pensata per le aziende che intendono gestire e proteggere la propria infrastruttura virtuale facendo leva sui principi del software defined data center.

Il bundle unisce in un’unica soluzione i prodotti:

  • VMware vSphere with Operations Management Standard Acceleration Kit, per 6 CPU/socket;
  • Veeam Backup & Replication, per 6 CPU/socket, per questo prodotto è possibile scegliere tra le edizioni Standard, Enterprise ed Enterprise plus.

Nei passaggi seguenti andremo a descrivere le caratteristiche dei 2 prodotti.

VMware vSphere with Operations Management è la fusione della tecnologia core di VMware in materia di virtualizzazione e la componente di gestione delle operazioni, vCenter Operations Manager, il software di analisi delle metriche raccolte dall’ambiente che, oltre a fornire una migliore interpretazione dei dati grazie ad un meccanismo di autoapprendimento dovuto alla continua collezione dei dati, permette di ottenere la lista delle VM sotto o sovradimensionate e visualizzare i trend dei consumi della propria infrastruttura anche con fine di comprendere quanto è possibile virtualizzare ancora.

Veeam Backup & Replication: è la soluzione pluripremiata per la protezione e la replica dei propri dati con un’ampia dotazione di funzionalità già a partire dall’edizione standard. Il bundle consente di scegliere tra l’edizione Standard o di passare ad una edizione superiore optando tra:

  • Enterprise che rispetto alla Standard aggiunge features quali: SureBackup e SureReplica, Veeam Explorer per MS-Exchange e SharePoint, interfaccia WEB ed il supporto nativo per il nastro;
  • Enterprise Plus che rispetto alla Enterprise aggiunge: supporto per i backup dalle snapshot dello storage, la WAN Acceleration e la delega per il restore dei file delle VM.

Il bundle in oggetto si riferisce a Veeam Backup & Replication versione 7, tuttavia l’acquisto comprende l’aggiornamento gratuito alla versione 8 quando verrà rilasciata.

Per maggiori informazioni è possibile consultare: