18-01-14 19-51-32 1795

Spectre et Meltdown, suite : Intel Sightings, patchs VMware, Restons calme …

Bon, alors, c’est compliqué !

Vous l’avez sans doute vu passer très récemment, après l’annonce des vulnérabilités Spectre et Meltdown, Intel a sorti “en catastrophe” (même si visiblement, pas mal de mon était au courant depuis la fin 2017) de nouveaux microcodes pour les générations de processeurs les plus récents. Ce deuxième ascenseur émotionnel a conduit notamment VMware à revenir sur les correctifs initialement produits en début de semaine dernière pour y inclure les microcodes en question, histoire de filer un coup de main supplémentaire à ses clients (bonne idée a priori).

SAUF QUE, Intel a averti plus récemment encore que lesdits microcodes étaient susceptibles de provoquer des instabilités sur certains processeurs (notamment Haswell et Broadwell) qui conduisaient à des reboots intempestifs. Joie. Du coup, troiiiisième ascenseur chez VMware qui fait machine arrière et recommande désormais de ne PLUS UTILISER les dernières versions des patchs fournis en fin de semaine dernière mais revenir au patchs initiaux produit le 9 Janvier. Vous suivez ? Non ? C’est normal, mais je résume, au 15 Janvier 2018, 16h26 :

Si vous n’avez pas encore passé les patchs, la bonne version se trouve ici :
https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html
Si vous avez déjà passé les patchs en question, il faut “bidouiller” vos serveurs (pas de mis en maintenance nécessaire) pour ne plus exposer aux VMs les nouveaux registres qui participent à la mitigation des failles Meltdown et Spectre (ne m’en demandez pas plus, c’est à la limite de mes compétences).

L’explication technique de VMware qui présente le contexte, les solutions de contournement et les recommandations actuelles :
https://kb.vmware.com/s/article/52345

Enfin, jetez vous sur le dernier billet de William Lam (Virtually Ghetto guy) qui vous a concocté un outil en PowerShell pour vérifier l’exposition de vos ESXi et d’appliquer la solution de contournement, si vous êtes allez “trop vite” en besogne :) . Au passage, un grand merci à lui pour ce genre d’outils qui fait gagner un temps fou dans des situation comme celles-là ou il ne faut jamais confondre vitesse et précipitation !
https://www.virtuallyghetto.com/2018/01/automating-intel-sighting-remediation-using-powercli-ssh-not-required.html

EDIT du 17/01 :
VMware centralise l’ensemble des infos sur Spectre et Meltdown dans le KB52245.
Le KB centralisant l’ensemble des informations sur les impact performance des mitigations opérées par les patchs : KB52337.

PS : Mmh ? Pardon ? Ah, oui ! La photo de chaton, c’est cadeau, pour rester zen et parce que vous le valez bien ^^

17-10-23 11-10-44 1344

De vSphere 6.0 à vSphere 6.5 – Seconde partie : raison et sentiments

Mercredi 18 Octobre, 6h00.
Ciel dégagé.
Beaucoup de stress après les complications de la veille (voir la première partie ici). Mais, diantre ! Nous sommes des professionnels et la raison doit l’emporter sur les sentiments !
Arrivée au bureau à 7h00, histoire de préparer tout cela avant l’arrivée des collègues.

Lire la suite …

1

De vSphere 6.0 à vSphere 6.5 – Première partie : orgueil et préjugés

Démarrée le Mardi 17 à 9h02 précise, la migration vSphere 6.5 de notre environnement de production n’a pas été de tout repos. Et en matière de repos, je ne parle pas seulement des 3 jours consécutifs de 12/13 de travail quotidien, mais également des rebondissements et du stress engendré par ceux-ci. Le fait est que c’était prévisible, malgré une grosse préparation et des tests largement anticipés, nous avons été contraint de faire quelques choix disruptifs du type “on continue/on revert”… quand l’orgueil et les préjugés sur votre conviction d’avoir “tout prévu” vous joue des tours, quoi qu’il arrive. Le fait est que la loi de Murphy et la complexité vous rattrapent souvent !

Histoire d’exorciser cette semaine mouvementée mais qui finalement se finira bien, voici un résumé des événements de la première journée. J’espère qu’il seront riches d’enseignement pour vous qui n’avez pas encore franchi le pas ou qui êtes justement en train de planifier cette opération sur vos propres environnements.

Lire la suite …

C9rfXDbXYAACkF_

Quand une mise à jour de Flash nous interdit d’administrer vSphere …

EDIT : petite précision sur la manipulation avec Chrome
EDIT 2 : J’ai rajouté un lien vers le KB VMware spécifique à ce problème
EDIT 3 du 25/10 : Adobe vient de sortir une nouvelle release de Flash estampillée 27.0.0.183 qui corrige le souci ! Merci à Alexis pour l’info toute fraiche :)

Le titre aurait pu être un nouveau “Rognotudjuuu”, un de mes coups de gueule, mais bon, je vais rester calme pour cette fois. Ceux qui ont récemment mis à jour leur Flash Player ou juste leur Chrome (celui-ci intégrant le plugin en question) se sont peut-être rendu compte qu’il ne pouvaient plus accéder au vSphere Web Client Flash, le client se plantant lamentablement via un “Shockwave Flash has crashed”. J’ai rencontré cela personnellement ce week-end sur mon Mac perso en tentant d’aller sur mon vLab. Pour le coup, j’ai pas mal galéré et fini par utiliser le client à travers une de mes VMs Windows. Jusque là, comme toujours quand on est sur macOS, on se dit “c’est encore un souci spécifique à notre plate-forme”.

Sauf que …

Lire la suite …

C6Rn3k2U4AA79N2

vCenter 6.5 en production : J-6 !

Quasiment un an, jour pour jour, après son annonce lors du VMworld 2016 (voir ici), 11 mois après sa disponibilité effective en Novembre 2016 (voir ici), toutes les conditions sont maintenant réunies pour que nous puissions migrer notre production sous vSphere 6.5. L’échéance est d’ores et déjà posée et le RFC est validé : ce sera le 17 Octobre 2017.

Chronique d’une mise à jour majeure annoncée.

Lire la suite …

IMG_1311

Runecast : vous ne pourrez plus dire que vous ne saviez pas !

EDIT: quelques compléments d’info sur le mode de licensing, comme prévu.

La virtualisation a envahi l’ensemble des segments de nos productions, y compris les plus sensible comme les DMZ d’une solution de pare-feu périmétrique, jusqu’à la publication de machines virtuelles directement exposées aux réseaux publics, Internet en tête.

Mais, comme vous le savez certainement, tout cela repose sur le principe qu’un hyperviseur tel qu’ESXi assure les fonctions d’isolation sans faille et, par extension, que toute la chaîne de virtualisation reste le plus sécurisé et à jour possible. Autant dire que le travail quotidien d’entretenir et maintenir ces environnements est extrèmement chronophage et impose une rigueur à toute épreuve dans le suivi des KB et des best-practices VMware.

Dans ce contexte, la société Runecast a développé un outil assez génial pour automatiser au moins tout le travail d’audit de cette conformité, autant en matière de sécurité qu’en matière de correctifs plus généraux.

Voyons cela de plus près !

Lire la suite …

IMG_1069

Zerto : protection et DR pour les petits et les grands !

Il existe beaucoup de solutions dans le monde de la virtualisation qui ambitionnent de résoudre définitivement le problème du disaster recovery. Chacune dispose de ses forces et faiblesses, certaines mettant en avant leur rapidité, d’autres leur fiabilité et la reproductibilité des scénario en simulation etc. Zerto est assez particulier au sein de cet ensemble notamment par sa philosophie full-software et les plateformes qu’il supporte.

En effet, Zerto est à ma connaissance une des seules entreprise à traiter VMware et Hyper-V (et plus récemment les cloud Azure et AWS) au même niveau : comme des hyperviseurs, ni plus, ni moins. Voyons cela de plus près.

Lire la suite …

IMG_5515

En attendant VMworld …

Update 15:30 : quelques précisions sur NSX 6.3.3 et 6.3.2

Bonjour à tous ! De retour de congés, je prends ma plus belle plume pour vous proposer un petit tour (sans doute non exhaustif) des actualités VMware depuis le début de l’été, en attendant le VMworld qui approche à grand pas. Pas d’annonces tonitruantes ou de versions majeures, mais des mises à jour importantes et remarquables : vSphere 6.5 update 1, vRealize Operations 6.6.1 et VMware NSX 6.3.3.

Faisons le point ensemble.
Lire la suite …

photo-2016-11-21-17-40-16_9642

VxRail ou l’art difficile de faire du plug’n play

Je vous ai conté à plusieurs reprises ici notre volonté d’investir en 2016 dans VxRail. L’objectif était à l’époque de pouvoir réellement confronter cette plateforme Hyper-Convergée à la situation d’une production réelle (en prévision d’un investissement éventuel beaucoup plus massif en 2018). Cela s’est traduit à l’époque par l’acquisition de deux clusters VxRail séparés : un cluster 3 Noeuds autonome pour héberger notre “pré-production” et un cluster 2×3 Noeuds en mode stretched pour absorber l’ensemble de nos “machines d’administration” (rendez-vous dans la section VxRail de ce blog pour plus d’info).

Même si l’architecture VxRail est, au départ, basée sur un regroupement de logiciels issus du même éditeur, VMware en l’occurence, placé sur une plateforme hardware industrielle, il ne faut pas sous-estimer la difficulté pour un constructeur, fut-il EMC, de produire et assurer la maintenance de tels environnements. On imagine souvent, à tord, qu’il s’agit juste de monter un bundle, y affecter une ligne de support dédié et “zou, on peut faire du business”. Non, définitivement, l’affaire n’est pas si simple.

Preuve en est, appuyée par notre propre expérience récente de client VxRail, que cet exercice reste un travail complexe et de longue haleine.

Lire la suite …