воскресенье, 3 апреля 2011 г.

vShield Manager login failed

Слегка смахивает на анекдот.

С разницей пару дней и у меня и в переписке -
свежеимпортированный vShield Manager не дает авторизоваться в веб-интерфейсе заведомо правильными учетными данными (login failed).

Нагуглены были последовательно следующие два шаманства:
1) сделать процедуру erase database
2) Импортировать заново

Мне комбинация этих методов помогла, а потом мне показали ссылку на статью в базе знаний VMware со слегка забавной, на мой взгляд, информацией (cannot log in to the vShield Manager web user interface by using default credentials after initial import from OVF):
Проблема.
Не могу авторизоваться в веб-интерфейсе свежеимпортированного vShield Manager.
Решение.
Такое бывает если vShield Manager был помещен на не очень быстрое хранилище. Дайте ему ЛУН побыстрее и все будет ок.

:-)
Просто для справки - у меня не сразу заработало на RAID 10 из четырех SCSI дисков - не самая медленная комбинация. (Нагрузки с других ВМ не было, ребилд был завершен.) 

На всякий случай вкратце о чем речь.

У VMware в линейке продуктов присутствует линейка продуктов защиты:
  • vShield Zones;
  • vShield Edge with Port Group Isolation;
  • vShield App;
  • vShield Endpoint;
Какой функционал для чего предполагается

    Если слегка углубиться в подробности что это и зачем:
    С сайта VMware можно скачать vShield Zones\Manager
    vShield Manager – vAppliance, управлялка. Стандартной процедурой (FIle -> Delpoy OVF Template) его следует загрузить на vSphere.

    После этого через консоль этой ВМ настраиваем параметры IP, через веб-интерфейс настраиваем интеграцию с vCenter, через элементы управления vShield, появившиеся в интерфейсе клиента vSphere инициируем установку vShield Zones на каждый сервер ESX(i).

    vShield Zones это брендмауэр, в его правилах можно указывать source IP, destination IP, source port, destination port, and service. Лицензией на его использование обладает любой владелец vSphere Advanced, Enterprise или Enterprise Plus.
    Настройка правил vShield Zones


    Реализован он в виде ВМ, т.е. на каком-то одном сервере ESX(i) у нас будет работать vShield Manager, и на каждом ESX(i) будет работать vShield Zone.
    Первый управляет вторыми.

    Так вот, когда у нас есть произведены вышеописанные действия, трафик всех ВМ может обрабатываться правилами брендмауэра vShield Zones.


    А если мы укажем дополнительные лицензии, то vShield Zones внезапно обретет супердополнительные способности, и превратится еще и в vShield App.

    vShield App позволит нам создавать правила не только для групп портов, но и для отдельных портов, и даст возможность получать данные анализа - что за трафик ходил через интересующий нас порт.



    vShield Edge with Port Group Isolation - предоставляет такие сервисы как DHCP, VPN, NAT, and Load Balancing.
    Как можно заметить в иллюстрации выше, он предоставляется под использование вместе с VMware vCloud Director,

    Ну а vShield Endpoint – "дырка в гостя". Это тот самый механизм, который позволяет осуществлять схемы "антивирус в одной ВМ сканирует память и диски двадцати других ВМ на этом хосте." Для реализации такой схемы со стороны VMware требуется vShield Endpoint (насколько я понимаю, Endpoint это название лицензии, дающей право использовать т.н. VMSafe API), и потребуется сам антивирус от партнера VMware.

    Сложная картинка, призванная проиллюстрировать крутость Endpoint


    Кстати, о поддержке соответствующих API недавно заявил Касперский (правда, о сроках реализации молчок).

    А вот тут можно прочесть про ввод в эксплуатацию этого хозяйства на примере продукта от TrendMicro - Как установить Trend Micro Deep Security?.





    8 комментариев:

    1. Михаил, на Вашем месте в качестве ответной шутки я бы в feedback на http://kb.vmware.com/kb/1032712 спросил: "how much different must be "different shared storage location"? ;)

      ОтветитьУдалить
    2. На одном локальном SAS диске у меня все было нормально.

      ОтветитьУдалить
    3. видать поправку на карму надо делать :)

      ОтветитьУдалить
    4. Кстати, о карме: как там продается давеча рекламируемый Вами УКТ-9000К? ;)
      Себе еще не прикупили?

      ОтветитьУдалить
    5. я очень, очень надеюсь что вы вот это не всерьез говорили :)

      ОтветитьУдалить
    6. Михаил, я серьзен ровно настолько, насколько был серьезен Ваш пост об УКТ-9000К. :)

      ОтветитьУдалить
    7. Михаил, у меня точно такая же проблема возникла сегодня, нашел Ваш пост, импортировал заново, не помогло, стоит 1 сервер ESXi с RAID-1 с двумя SATA дисками, как я понял почти нереальный вариант для запуска, из GUI вообще не хочет логиниться, как я понял можно еще удалить базу данных, только не очень понял, что это значит... Может есть какие мануалы по этому поводу...

      ОтветитьУдалить