管理ESXi的多个终端会话超时

Recently one of my previous customer asked me for tips on how to systematically control remote session timeouts to ESXi的 hosts. 的context was around standardizing console sessions timeout across multiple ESXi的 hosts across an enterprise. This is a common requirement for enterprise environments with regulated security postures. I figured this may be useful, so I decided to share this information to a wider audience than just my customer and good friend Todd (@tdamore).

的security requirement can be satisfied 通过 leveraging a new security advanced  setting included in the new vSphere 5.1 platform called “ESXiShellInteractiveTimeOut”。任何具有特权(管理员级别)的vCenter用户都可以利用称为 “ESXiShellInteractiveTimeOut” to address the ESXi的 host remote session timeout systematically. This advanced feature allows you implement a standardized timeout value for interactive session to ESXi的 hosts. 的timeout values could be dictated 通过 a standardized corporate security policies or whatever fits your organization. Overall, the use of this advanced setting could can facilitate automating the termination of idle sessions after a defined period of time (time definition is based in seconds).

Now getting to the Advanced Setting location is very simple, even if your new to the new vSphere Web Client. 的screen shots below illustrate the location and configuration option.

高级设置位置

高级设置位置


ESXi的高级设置配置

屏幕截图2012年10月23日下午3 02 46

从上面的屏幕截图可以看出,高级设置是按主机分配的。如果在大型环境中使用此设置(如果基于每个主机使用并且管理不当)可能会很难管理。我建议将此配置作为主机配置文件实施的一部分进行部署。这将是一种简化,经过验证且一致的方法。

的process for adding the ESXi的ShellInteractiveTimeOut 列出如下:

  • 转到ESXi上的高级设置,然后输入ESXiShellInteractiveTimeOut的适当值
  • 创建一个主机配置文件,引用修改后的主机“ESXi的ShellInteractiveTimeOut” 设定
  • 验证“ESXi的ShellInteractiveTimeOut” 设置值在“高级配置”选项下列出
  • 的UserVars.ESXiInteractiveTimeOut should be visible in the Host Profile as illustrated below

带有UserVars.ESXiShellInteractive的主机配置文件

UserVars ESXi的

希望每个人都觉得这有用和方便。

– Enjoy

要获取有关我的博客文章的更多信息,请在Twitter上关注我: @PunchingClouds

 

继续前进:新角色,更多激情

六年前,我获得了加入一家注定动摇IT行业基础的公司的机会。该公司将引入一系列颠覆性技术,这些技术将改变我们所知的IT世界。那家公司是VMware。我加入VMware是因为我想成为这一颠覆性变革的一部分,并希望将这种类型的变革影响到IT领域。自上船以来,我’我已经加入了专业服务组织’我有幸与整个公司的一些才华横溢的杰出人士一起工作和合作。

I’从为合作伙伴和客户提供培训的日子,到架构,设计,评估和审查vSphere和vCloud基础架构的短期和漫长的白天和黑夜,我都非常享受我在专业服务组织中的时间。

现在我’在VMware内部给我们带来了难以置信的机遇,这使我成为了一支由才华横溢,充满激情和敬业精神的团队组成的团队的一部分。成为Duncan Epping,Frank Denneman,Cormac Hogan,William Lam,Alan Renouf等人的团队的一员’自身的特权和巨大机会。从周一开始,我将加入VMware的Cloud Infrastructure技术营销团队。作为团队的一部分,我的职责范围主要是与产品团队和R紧密合作的Storage 虚拟化技术。&D organization.

我将能够专注于教育和支持VMware客户,合作伙伴和社区,同时也为产品团队和工程师提供了额外的服务。这将使我能够代表客户及其需求影响产品和功能的方向。这是我的事’我非常热情,我’我期待着它。

我要对使我有这个巨大机会的人们以及为我提供机会的人们表示由衷的感谢。

我可以 ’t believe I’m saying this but, 我可以 ’等到星期一上班。

再次,非常感谢大家!

罗林森

 

为vCloud Director 5.1设计存储产品

在发布vCloud Suite和vCloud Director 5.1之前,构建与vCloud Director和存储产品相关的云的讨论基于围绕性能和容量的分层模型。

的access to tiered offerings was previously achieved 通过 creating multiple provider virtual datacenters (PVDC) that would consist of different storage characteristics that could be offered to different tenants.

存储 offerings revolve around disk types, protocols, capacity, performance, and other items which are then bundled into a service level grouping. 的majority of the time they are packaged and labeled as a precious metal or tiered level (e.g Gold, Silver, Bronze, or Tier 1, Tier 2, Tier 3).

Predominantly the goal is to design storage offerings comprised of multiple or even a single service that would satisfy any tenants application’s requirements. In the previous version of vCloud Director multi-tier storage offerings were designed and made accessible via separate PVDC constructs. 的illustration below is an example of the approach utilized with the previous version of vCloud Director.

由于vCloud Director 5.1现在可以利用某些vSphere存储功能,例如存储配置文件和数据存储群集,因此,应该修改用于构建存储产品的方法。存储配置文件和存储群集是vSphere核心平台的本机功能,而不是vCloud Director的本机功能。这意味着,与存储功能和存储硬件设计有关的大多数决策都在一定程度上在vSphere层做出。

多个PVDC设计

 

通过利用存储配置文件和数据存储群集’现在,可以设计能够提供多层存储产品的vCloud Director PVDC的单个实例。通过将多个PVDC设计用于多层存储产品,此方法可以降低以前遇到的复杂性。这种新方法也可能通过提高运营效率和部署准确性而产生影响。

从可管理性的角度来看,这两种存储功能的使用可能会对初始实施工作产生影响。可以使用vSphere 存储 API进行存储感知(VASA),系统地确定存储阵列的属性和功能。从性能的角度来看,VASA可以处理数据存储分类配置文件,但是如果未利用vSphere 存储 API的存储意识,则手动完成用户定义的存储功能是完成任务的另一种选择,这会导致更大的努力。

在vSphere层上充分利用这两项功能,vCloud Director可以简单地利用该多层存储设计。存储配置文件将负责设计中与vApp /工作负载性能相关的部分,而数据存储群集可用于根据其特定的存储配置文件或层来组织或分组数据存储。这样做的另一个可能的好处是,由于vApp /工作负载将被迫停留或移动到预定义的存储群集并保留在合规的数据存储上,因此该方法也可以用作vApp及其各自工作负载部署的风险缓解策略。下图说明了vSphere Web Client中存储配置文件和存储群集的用法。

vSphere Web Client中的存储配置文件和存储群集

的three 存储 Profiles and Datatore clusters illustrated above will be available  in vCloud Director during the creation a PVDC. When creating a PVDC you can select the options that are applicable to a specific service offering. 的image below illustrates the options presented to vCloud Director during the creation of a PVDC.

在vCloud Director 5.1中创建提供商VDC

 

的“*(Any)”默认情况下有存储配置文件,但在不考虑可能的性能和操作风险的情况下,不应将其包含在任何PVDC中。这是我将在以后的单独博客文章中介绍的内容。一旦PVDC’s have been created, the utilization and capacity metrics can be tracked directly in vCloud Director as well as in vSphere. 的images below illustrate the 存储 Profiles and Datastore Cluster view within vCloud Director 5.1.

vCloud Director存储配置文件视图

 

vCloud Director数据存储群集视图

任何体系结构设计的目标之一就是始终尽可能地降低复杂性。它’从操作角度来看,平衡使用的技术将如何影响设计始终是一件好事。现在,您可以考虑使用vCloud Director来探索简化存储产品设计的可能性’的功能,可以利用vSphere功能并最终获得不太复杂的解决方案,如此处讨论和下面说明的那样。

新的PVDC设计

我希望你们中的一些人发现这篇文章对您的云设计旅程有帮助和帮助。

请享用!

在Twitter上关注我,以获取有关我的博客发布的通知: @PunchingClouds

ESXi的 5.1主机安全性改进

上周在巴塞罗那举行的VMworld 2012上,我有机会与客户进行了多次对话,讨论了有关vSphere 5.1平台的许多主题和问题,其中之一是安全性永远重要的主题。尽管要付出很多努力来维持高安全性标准,但始终会担心任何基础架构的访问,审核和可追溯性。

随着vSphere 5.1平台的发布,VMware为该平台引入了许多安全增强功能。这些努力中有一些是围绕提高审计和安全能力而进行的,而另一些则超出了我的能力范围’我试图在这篇文章中讨论。

组织必须处理的众多关注问题之一是围绕与帐户,密码和审核功能有关的系统安全性和可访问性。 vSphere 5.1通过改进平台许多区域的安全框架来解决了许多此类问题。这个事实不是某种保守的秘密,也不是我能够找到 博客文章 on the vSphere 博客 page 通过 Kyle Gleed, the Sr. Technical Marketing Manager at 的VMware responsible for the ESXi的 platform. 的article talks about the security enhancements as well as some other great details which I recommend reading.

我的意思是说明对ESXi 5.1所做的一些安全性改进,这些是我在巴塞罗那VMworld上的一些讨论中讨论的主题。

ESXi的 5.1允许创建单个本地用户帐户。能够在ESXi主机上创建单个本地用户帐户,从而无需共享或使用“root”帐户和密码。这种方法有助于减轻最常见的安全风险之一。此方法可促进ESXi主机更好的审核和可跟踪性功能。

ESXi的托管多个本地帐户

 

需要通过vSphere C#客户端创建和自定义本地ESXi帐户以及访问角色,而新的vSphere Web Client则不需要’t直接连接到ESXi主机。

ESXi的主机本地访问角色

Any local account granted the administrator role will automatically receive remote shell (SSH) and local DCUI access. 的use of individual access accounts simplifies auditing as remote, local logins as well as the execution of individual tasks can be easily tracked.

DCUI本地用户访问

 

的recommended approach for auditing and log parsing is to send all ESXi的 logs to a centralized syslog server better manageability and search capabilities. The new vSphere Web Client 日志浏览器 is also a pretty handy tool for searching ESXi的 logs.

日志浏览器

与vSphere 5.1中引入的安全性增强功能相关的主题很多,而且涉及很多内容,这只是其中之一。

– Enjoy

 

 

X