18-01-14 19-51-32 1795

Spectre et Meltdown, suite : Intel Sightings, patchs VMware, Restons calme …

Bon, alors, c’est compliqué !

Vous l’avez sans doute vu passer très récemment, après l’annonce des vulnérabilités Spectre et Meltdown, Intel a sorti “en catastrophe” (même si visiblement, pas mal de mon était au courant depuis la fin 2017) de nouveaux microcodes pour les générations de processeurs les plus récents. Ce deuxième ascenseur émotionnel a conduit notamment VMware à revenir sur les correctifs initialement produits en début de semaine dernière pour y inclure les microcodes en question, histoire de filer un coup de main supplémentaire à ses clients (bonne idée a priori).

SAUF QUE, Intel a averti plus récemment encore que lesdits microcodes étaient susceptibles de provoquer des instabilités sur certains processeurs (notamment Haswell et Broadwell) qui conduisaient à des reboots intempestifs. Joie. Du coup, troiiiisième ascenseur chez VMware qui fait machine arrière et recommande désormais de ne PLUS UTILISER les dernières versions des patchs fournis en fin de semaine dernière mais revenir au patchs initiaux produit le 9 Janvier. Vous suivez ? Non ? C’est normal, mais je résume, au 15 Janvier 2018, 16h26 :

Si vous n’avez pas encore passé les patchs, la bonne version se trouve ici :
https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html
Si vous avez déjà passé les patchs en question, il faut “bidouiller” vos serveurs (pas de mis en maintenance nécessaire) pour ne plus exposer aux VMs les nouveaux registres qui participent à la mitigation des failles Meltdown et Spectre (ne m’en demandez pas plus, c’est à la limite de mes compétences).

L’explication technique de VMware qui présente le contexte, les solutions de contournement et les recommandations actuelles :
https://kb.vmware.com/s/article/52345

Enfin, jetez vous sur le dernier billet de William Lam (Virtually Ghetto guy) qui vous a concocté un outil en PowerShell pour vérifier l’exposition de vos ESXi et d’appliquer la solution de contournement, si vous êtes allez “trop vite” en besogne :) . Au passage, un grand merci à lui pour ce genre d’outils qui fait gagner un temps fou dans des situation comme celles-là ou il ne faut jamais confondre vitesse et précipitation !
https://www.virtuallyghetto.com/2018/01/automating-intel-sighting-remediation-using-powercli-ssh-not-required.html

EDIT du 17/01 :
VMware centralise l’ensemble des infos sur Spectre et Meltdown dans le KB52245.
Le KB centralisant l’ensemble des informations sur les impact performance des mitigations opérées par les patchs : KB52337.

PS : Mmh ? Pardon ? Ah, oui ! La photo de chaton, c’est cadeau, pour rester zen et parce que vous le valez bien ^^

IMG_1766

Meltdown et Spectre fixées par microcode et patch ? edit: confirmé !

A l’heure où j’écris ces lignes, il semblerait qu’Intel ait trouvé un moyen de produire une mise à jour du microcode qui permette de rendre les serveurs et PC immunisés contre les deux vulnérabilités #Meltdown et #Spectre. Cela reste à confirmer évidement, d’autant que la mise à jour du microcode en question ne sera pas disponible avant la semaine prochaine, visiblement. Il faudra aussi vérifier quelles générations de processeurs auront droit à cette mise à jour…

Il n’en reste pas moins une inconnue : quel impact sur les performances de nos hyperviseurs au quotidien ? Devra-t-on revoir en profondeur nos capacity plannings concernant l’axe CPU et augmenter nos investissements en conséquence ? Pour l’instant, mystère…

Quoi qu’il en soit, une bonne nouvelle en perspective après une journée anxiogène à souhait ;)

Enfin, histoire de clôturer la journée avec exhaustivité, je ne saurais que trop vous recommander l’article de MacGénération qui me semble résumer parfaitement la situation sur le problème, les conséquences connues et l’état des publications/patchs des principales entreprises de l’IT à ce sujet, à lire ici.

Source 1 : Le blog de Online/Scaleway à lire ici (update 1)
Source 2 : Article de PCworld à lire ici.
Source 3 : Article complémentaire chez MacGénération, ici.
Source 4 : confirmé par Intel, himself, ici.

Intel-logo

Faille des processeurs Intel : quid des hyperviseurs ?

UPDATE du 4/01/2018 : plein de news en fin d’article… ça sent vraiment pas bon du tout (cf exploit Meltdown et Spectre). VMware vient de publier des patchs pour chacun de ses hyperviseurs …. patch party, yeeeah :(

Bonsoir à tous ! Tout d’abord et comme de coutume, je vous souhaite une excellent année 2018 tant sur le plan professionnel que personnel, bien évidemment.

En parlant de nouvelle année, elle commence pas génial pour Intel avec la divulgation très récente d’une faille de sécurité présente sur les designs des puces depuis – a priori – plus de 10 ans déjà. Outch ! Le pire dans cette affaire, dont on ne mesure pas encore toutes les conséquences tant techniques que commerciales et financières, c’est que ce bug concerne une partie du fonctionnement interne des processeurs impossible à patcher via une modification du microcode. De plus, il semble acquis que la plupart des patchs nécessaires auront un impact non négligeable sur les performances générales des processeurs. On parle de 5 à plus de 30% dans certains cas, qu’il faudra vérifier sur le terrain …

Lire la suite …

17-12-13 17-59-42 1659

ProphetStor : un gentil oracle dans votre datacenter !

Le maître mot lorsqu’on porte la responsabilité de l’architecture générale d’un production aussi complexe et riche que celle que j’ai la chance de suivre au quotidien, c’est de ne surtout pas s’endormir sur des technologies “faciles” et historiques. Pourquoi ? Tout simplement parce que l’accélération du développement numérique dans notre secteur ne peut être supportable qu’à la condition de choisir, au bon moment, des options en toute connaissance de cause et de manière éclairée par rapport au marché de l’IT et ses tendances.

Un des moyens de rester à la page c’est notamment de prendre le temps de recevoir régulièrement des fournisseurs et/ou intégrateurs inconnus qui vous contactent spontanément pour vous présenter leurs produits. C’est dans ce contexte que j’ai eu la chance de rencontrer la société ProphetStor, une jeune pousse spécialisée dans les solution de Software Defined Storage, mais pas que, on va le voir.

Petit compte-rendu d’entretien avec l’équipe commerciale Française.

Lire la suite …

IMG_5526

Veeam : what else ?

Qui dans le monde de l’IT aujourd’hui ne connait pas Veeam, le leader et pure player historique de la sauvegarde de machine virtuelle ? Sans doute personne. Mais est-ce que vous saviez que désormais Veeam propose également tout une gamme de services étendus autour du cloud public pour les clients et les service providers ? Saviez-vous que Veeam se développe également dans la sauvegarde d’environnements physiques, postes de travail comme serveurs x86 et même bientôt AIX et Solaris ? Ou qu’il est désormais capable de piloter le quotidien de votre PRA, documentation comprise ?

Là, déjà, ceux qui ne suivent pas l’actualité de manière régulière se feront plus curieux je pense. Il se trouve que même si nous n’utilisons pas actuellement les solution de l’éditeur (je sais, c’est mal …), je me fais un devoir de recevoir régulièrement ses représentants, ne serait-ce que pour suivre son évolution et rester à l’affut de toute opportunité qui légitimerait de choisir une de leurs solutions, backup en tête évidemment.

Je vous propose aujourd’hui, justement, après avoir fait moi-même un point avec l’équipe commerciale, de vous redessiner globalement l’orientation actuelle de Veeam, ses solutions et ses principaux atouts en 2017/2018.

Lire la suite …

Photo-2016-06-01-09-39-03_8570

Quotidien VPlex : utilisation de la fonction cache-invalidate

Ceux qui travaillent sur VPlex et qui suivent un peu les actualité des versions savent sans doute que depuis la 5.2, GeoSynchrony a introduit une nouvelle fonction permettant de vider le cache cohérent (qu’il soit local ou distribué) d’un LUN donné. L’objectif ici est de pouvoir utiliser directement des LUNs de type snapshot, sans être obligé, à chaque refresh ou revert, de les dé-configurer complètement puis de les provisionner à nouveau. Un gain de temps non négligeable et qui rend désormais cette fonctionnalité de nos baies de stockage particulièrement simple à travers VPlex.

Je vous propose de revenir sur un cas d’usage chez nous qui nous a donné l’occasion d’utiliser la commande en question sur VPlex : cache-invalidate.

Lire la suite …

17-12-01 15-06-55 1565

Rognotudju du Vendredi : Allo, le support VxRail ?

EDIT du 04/12/2017 à 10h25 : Quelques précisions concernant la panne et les nouveaux délais … buarh.

Hé oui… désolé pour Dell EMC, ça tombe encore sur vous, mais vous cherchez un peu par moment, aussi, hein, en même temps ! Après le joli troll du service logistique en Mars/Avril dernier, c’est désormais du coté du support VxRail que ça se passe. Le 10 Octobre dernier, nous avons eu un gros incident sur l’un de nos clusters : un des nœuds a perdu d’un coup tout ses disques VSAN. Oops ! Bon, déjà quand un comportement de ce type se produit, a priori, comme ça, à vue de nez, en mode intuition, avez la réserve nécessaire … on s’imagine que ça sent quand même pas mal le problème hardware, un fond de panier en vrac, par exemple ou carte SAS plantée. Ceci étant, le SR est ouvert et le travail de collecte et de diagnostic commence de la part de la hotline.

En terme de fonctionnement, pas d’impact majeur, grâce au FTT1 appliqué sur l’ensemble des machines virtuelles, mais assez sérieux pour que nous suivions le call de près, même si par définition, un VxRail, ça s’installe … et ça s’oublie ou presque, en théorie du moins. De plus, comme cela ne concernait que les disques du nœud, la partie Hyperviseur pur continuait à marcher. Nous avions donc un compute opérationnel mais un VSAN sur 2 pattes au lieu de trois, pas si gênant que cela vu le workload hébergé sur ce VxRail : des machines de Test/Pré-production.

Maintenant, comme vous pouvez le constater, nous sommes le 1er décembre et le noeud n’est toujours pas remplacé. Pendant ces derniers 50 jours, nous avons eu droit à des tonnes de tests sur VSAN, des bascules diverses, des reboots, sessions Webex, des visites sur site de nos chers collègues d’EMC Nantes (qui font ce qu’ils peuvent pour nous aider) et j’en passe. Aujourd’hui, le nouveau noeud de remplacement (ENFIN ! c’était si dur de le changer plus tôt en se posant un peu moins de questions métaphysiques sur l’univers et tout le reste ?) est chez nous depuis 10 jour, à la louche, mais toujours pas branché et pas de news récente… désespérant :(

Alors, bon, je veux bien être early adopter sur des workload non critiques, mais faut pas pousser le bouchon un peu trop loin Michael…

Bonne fin de Vendredi et bon week-end à tous !

EDIT : L’aventure continue ! En fait, j’avais effectivement oublié, comme me l’ont justement rappelé mes collègues de la production, que ce n’était pas le noeud seul, mais carrément tout le fond de panier qu’il fallait changer (oops !). On vient de nous annoncer qu’en plus le nouveau chassis ne sera pas disponible avant la mi-décembre. Et bien sûr, il va falloir arrêter tout le bouzin pour pouvoir réinsérer les noeuds dans le nouveau hardware… chouette !

arletre-orage-805x453

Microsoft Azure Migrate : les orages ne sont pas loin…

Coup de tonnerre dans le monde du cloud !

Microsoft vient tout juste d’officialiser un nouvel outil gratuit de migration d’environnements VMware vers Azure : Azure Migrate. L’objectif à peine voilé de Redmond consiste simplement à “piquer” des clients potentiels du service VMware cloud on AWS fraîchement présenté lors du dernier VMworld, au nez et à la barbe de l’éditeur, évidemment.

Du coup, les nuages noirs s’amoncellent du coté de la Silicon Valley. En effet, par la voix de son responsable des services cloud Ajay Patel, VMware rejette totalement toute responsabilité ni – a forcieri – un hypothétique travail commun ou sponsorisé avec Microsoft dans la construction de cette offre. On s’en serait douté ! Non obstant, cet “affront” est une preuve de plus de la concurrence acharnée qui sévit au sein du marché des grands fournisseurs de cloud en ce moment. Il faut aussi mettre en perspective ce nouveau coup d’éclat avec les annonces récentes des chiffres d’affaires prévisionnels de 2017 pour Amazon, Google et Microsoft : en effet, il semblerait bien que le chiffre d’affaire total de Microsoft Azure combiné à Office 365 surpasse celui d’Amazon Web Services d’ici la fin de l’année, plus de 20 Milliard de dollars (voir ici) !

Azure confirme ici sa bonne santé et ses ambitions de, sinon détrôner Amazon encore loin devant, du moins confirmer et consolider sa deuxième place sur ce segment.

Sources :
Microsoft – Azure Migrate : ici.
VMware – The Platform of Choice in the Cloud : ici.
L’informaticien – Azure Migrate, VMware n’approuve pas : ici.

17-11-27 11-33-44 1555

Présentation de la Tech Preview de l’admin HTML5 XtremIO

Bonjour à tous ! Je le dit assez régulièrement, mais une fois de plus, désolé de vous avoir laissé si longtemps (depuis presque un mois, inadmétable !) sans nouveaux billets à vous mettre sous le flux RSS. Il est vrai que la fin d’année est particulièrement chargée pour nous et la priorité va évidemment à notre chère institution, plutôt qu’à vagabonder sur la toile et écrire des grandes diatribes …

Mais rassurez-vous, j’ai de gros billets en préparation pour le mois de décembre ! Histoire de vous faire patienter, je vous propose une petite news tech concernant nos “bonnes vieilles” AFA XtremIO. C’est vrai que je n’en parle pas beaucoup en ce moment, d’une part, parce que le buzz n’est plus trop sur les AFA aujourd’hui (leurs heures de gloire sont passées) mais également parce que, tout simplement, it just works ! Dans les faits, nous maintenons à jour nos baies régulièrement, en suivant les target firmware de Dell EMC et elles ronronnent depuis plus de 3 ans maintenant.

Aujourd’hui, nous sommes en version 4.0.15 et hormis les corrections de bugs diverses zé variées, une des grosses nouveautés (depuis la 4.0.10), concerne l’intégration d’un portail HTML5 d’administration en remplacement de la console Java historique. Certes, il n’est encore proposé qu’en “Tech Preview”, mais il fonctionne déjà très bien. Petit tour d’horizon ensemble !

Lire la suite …