Conoce sobre VMware Cloud Foundation y vRealize Lifecycle Manager

Creo que a muchos quienes trabajamos en TI, somos entusiastas y nos gusta aprender varios temas nuevos o quizás no tan nuevos, nos pasa lo mismo… no alcanzamos a asimilar tanto producto y solución que existe y sale al mercado constantemente – A mí personalmente me pasa que quisiera aprender muchos temas de los cuales escucho, pero usando la noción de un dicho muy común en inglés - es imposible beber agua de un hidrante - simplemente no hay suficientes horas en el día para aprenderlo todo. 😊

Recientemente quise conocer más acerca de 2 productos ofrecidos por VMware de los cuales no sabia mucho, y aunque no les he dado uso en producción, hasta ahora lo que he visto, me ha parecido realmente valioso y muy útil. Se trata de vRealize Suite Lifecycle Manager y VMware Cloud Foundation, este último incluye SDDC Manager.

Estos dos productos son diferentes e independientes, pero vRealize Suite Lifecycle Manager o vRSLCM como es abreviado, puede ser usado bajo VMware Cloud Foundation/SDDC Manager.

Un resumen corto de lo que cada uno te brinda:


  •    vRealize Suite Lifecycle Manager: Solución que facilita desplegar, mantener y actualizar todos los productos de vRealize Suite, los cuales incluyen vRealize Operations, vRealize Automation, vRealize Log Insight y vRealize Business for Cloud. Lo que obtendrás con esta solución es agilizar y simplificar considerablemente el despliegue y posteriores actualizaciones de todos o cualquiera de los productos de la vRealize Suite que tengas instalados o pienses instalar nuevos. Te ofrece una consola principal para controlarlos desde instalación fresca hasta actualizaciones posteriores.


  •       VMware Cloud Foundation: VCF es similar en el sentido en que ofrece la capacidad para administrar una solución de amplio despliegue, pero esta es enfocada e incluye la infraestructura (servidores, switches, etc.) y el resto del software del pilar de Software-Defined Data Center (SDDC). Todo esto con una herramienta llamada SDDC Manager la cual potencialmente puede también usar Lifecycle Management para controlar también vRealize Suite desde un solo lugar.


Con la intención de compartir con la comunidad entusiasta hispanohablante que se pueda beneficiar de mis notas, al igual que con el interés de educarme más, quiero hacer de este tema un par de publicaciones en las cuales intentare explicar de la mejor manera el uso y los beneficios de estos productos, que facilidades traen, como se usan y lo que tienen en común.

Mantente atento a las futuras publicaciones detallando cada uno de estos productos.




Remediar Spectre y Meltdown en ambientes vSphere - Nueva información

A principio de este año cuando la industria estuvo en llamas de fuego, particularmente Intel, al hacerse público las vulnerabilidades Spectre y Meltdown; todo el mundo pensó que estábamos a punto de pasar por el peor año en la industria y que necesitaríamos remplazar los procesadores físicos de la mayoría de los servidores en nuestros datacenters porque se decía que no había solución sistemática que pudiera corregir los problemas. 

La segunda y tercer semana de Enero fueron de especulaciones. Cuando finalmente Intel lanzo los parches de una manera afanada, muchos corrimos a instalarlos en un afán jamás visto – vi como en 4 días se actualizaban cientos de servidores cuando normalmente se tomaban meses.  Todo esto por la sensación de urgencia que se había generado, quizás sin tanta razón, puesto que no se supo de ataques mayores.

Yo escribí un blog post con los pasos que en aquel momento eran requeridos para actualizar ambientes vSphere; ese resumen era lo recomendado y muchos los sugirieron completar rapido. Días después se supo que el microcódigo  incluido estaba causando problemas y entonces la recomendación siguiente fue: No hacer nada y esperar, o en caso de ya haber aplicado los parches, hacer una modificacion manual en cada host bajo /etc/vmware/config

Cerca de 2 meses después, Intel ha entregado nuevos parches de microcódigo, los cuales hoy han sido lanzados por VMware y cuya informacion completa se encuentra en VMSA-2018-0004.03

Esta es la nueva información a seguir para remediar tu ambiente vSphere, en este orden: 

1. Actualizar tu vCenter Server a las siguientes versiones:

          6.5 U1g
          6.0 U3e
          5.5 U3h


2. Instalar ambos parches en tus hosts ESXi, dependiendo cual versión utilices:

        ESXi 6.5: ESXi650-201803401-BG y ESXi650-201803402-BG
        ESXi 6.5: ESXi600-201803401-BG y ESXi600-201803402-BG
        ESXi 5.5: ESXi550-201803401-BG y ESXi550-201803402-BG


Los bundles ***3402-BG son los que contienen el microcódigo; los ***3401-BG instalan los requisitos para que los Guest VMs puedan usar los nuevos mecanismos de CPU presentados.

3. Si aún no lo has hecho, aplicar los parches de los sistemas operativos en tus maquinas virtuales - bien sean Linux o Windows, el proveedor debe ya haber lanzado estos parches. 


Ciertos detalles a tener en cuenta:

  • Si después de aplicar los parches que salieron mal, tuviste que implementar la solución alternativa de modificar /etc/vmware/config, estos parches harán la ‘limpieza’ de esa modificación, Pero, ten presente que si usas Host Profiles o AutoDeploy, habrá que verificar que no se re-aplique dicho cambio por error.
  • Los parches de sistema operativo en las VMs no son opcionales para protegerse; de no actualizar el OS en tus VMs, no estarás cumpliendo con todos los requisitos y la remediación quedara a medias.
  • La nueva actualización para vCenter es necesaria para EVC, aun si no usas EVA en tus clúster, es recomendable aplicarlo – aunque no requerido para estar protegido.
  • Ambos parches de los hosts pueden ser instalados conjuntamente y solo necesitaras reiniciar una vez.
  • Recuerda que la versión de Virtual Hardware de tus VMs debe ser 9 minimo, pero 11 es recomendable. Si usas Virtual Appliances y no estan en version 9, no la actualices manualmente, debes esperar por la nueva version, completa.
  • La lista de procesadores para los cuales hay microcódigo la puedes ver en la tabla en https://kb.vmware.com/s/article/52085
  • Ten presente que asi apliques los parches, incluyendo el microcódigo, es recomendable instalar el BIOS completo una vez el proveedor de hardware lo haga disponible. 
  • Si actualizas el sistema operativo antes de aplicar los parches de ESXi (Hypervisor-Assisted Guest Mitigation) las VMs requerirán ser apagadas e iniciadas de nuevo.

El mismo KB52085 contiene los pasos para confirmar que tus hosts tienen ambos parches requeridos, pero acá los dejo igual:
           Enciende una VM de versión de hardware 9 o mas alta y examina en su archivo vmware.log para verificar que alguna de las siguientes líneas existe:

            “Capability Found: cpuid.IBRS”
            “Capability Found: cpuid.IBPB”
            “Capabliity Found: cpuid.STIBP”

Con encontrar una sola de las 3 anteriores lineas, indicara que ambos parches han sido instalados.



============


Si tienes preguntas, dudas o deseas agregar/compartir algo, te invito a interactuar conmigo en Twitter o dejar tu mensaje en los comentarios.

Gracias por leer y compartir este post. :-)






Como remediar Spectre y Meltdown en ambientes de vSphere / VMware.


La última semana se ha hablado mucho de Spectre y Meltdown, vulnerabilidades de procesadores modernos que cuando son explotados, permiten que programas puedan obtener información que otros programas han almacenado en memoria como passwords, emails, fotos y otra información personal que normalmente no deberían poder ser accedidos por otros procesos corriendo en el mismo servidor…..hasta ahora.


Puedes leer más acerca de Spectre y Meltdown aquí: https://meltdownattack.com/

Estos bugs están catalogados bajo CVE-2017-5753, CVE-2017-5715 y CVE-2017-5754 (Spectre y Meltdown)

Estas variaciones de bugs han sido categorizadas como unas de las más grandes y masivas para la industria ya que afecta procesadores generados en la última década, es decir, millones de sistemas en todo el mundo, desde computadores personales, celulares y servidores en la nube, estos últimos considerados los más susceptibles ya que en la mayoría de los casos son compartidos por diferentes clientes and ambientes virtualizados. 


A pesar de que ciertas fuentes conocían esta vulnerabilidad hace unos meses, el tema se hizo público el pasado 3 de Enero (Puedes leer mas aqui:  https://googleprojectzero.blogspot.ca/2018/01/reading-privileged-memory-with-side.html) y como era de esperarse, se convirtió en urgencia para compañías de hardware y software desarrollar parches para remediar en lo posible dichas vulnerabilidades. Aunque inicialmente se escuchó que habría que reemplazar cada uno de los procesadores físicos, lo cual sería algo que tomaría años; rápidamente, la combinación de actualizar todos los componentes en los servidores (BIOS/CPU Microcode, Hypervisor, VM Guest e incluso versión de hardware en el caso de VMware) al parecer serían suficientes para estar protegido. A juzgar por los blogs y documentos oficiales, al menos de VMware, si se actualizan todos los componentes, se estará a salvo - Esperemos que así sea.

Aquí dejo descripción de los diferentes pasos requeridos al día de hoy, si buscas remediar tu ambiente de vSphere:

VMworld 2017 - First day

Although VMworld doesn’t officially start until Sunday or depending how you look at it, Monday; the whole weekend leading to it is an amazing opportunity to get familiar with the huge Mandalay complex, find out where the different places are located and of course one of the best parts of the show… meet fellow technology enthusiasts. This is one of the most valuable things of attending the conference in my opinion.

A day and a half in and I have probably already met 20+ new vFriends from the community and have had excellent conversations about the cloud, infrastructure, automation and even great personal experiences.

One of the anticipated moments for me was to meet Al Rasheed who won the conference pass I was able to donate to the vCommunity last month; Al had never attended VMworld before and just 24 hours in, he is thrilled and having a lot of fun. He has already taken a picture with VMware CEO Pat Gelsinger.




This time around it is also very important to me to be here to meet my new team and continue learning about the TAM role and the organization in general. On Sunday, I attended the TAM Reception, talked and learned a bunch from TAM customers, their feedback about the program and how much they value the relationship.






The first official party of VMworld 2017 was the VMUG Party and as expected, it didn't disappoint; the food was great and the band was simply amazing. They rocked the house and gave us an awesome time to start the week with the right foot.



Getting together with my vBrownBagLATAM friends is always a pleasure and we had a chance to have dinner after the VMUG party. As usual we had a great time.




I am looking forward to the coming days being as amazing as the first one, to the different announcements VMware will have, specially related to the partnership with AWS and to meeting new friends in the community and create lasting relationships.



Opportunity knocks


-CHANGE-

"Is a necessary part of life. Be willing to surrender what you are for what you could become."


After three amazing and worthwhile years as a Sr. Infrastructure Engineer leading the VMware platforms at Bain Capital, I will be leaving at the end of this week to take on a new and exciting opportunity for my career.
Not only am I leaving the company but the city of Boston and the State of Massachusetts where I have grown professionally and have met truly amazing people.

I will be relocating 500 miles south to the Washington Metropolitan area and join VMware as a Sr. Technical Account Manager.

This will certainly be a life changing event for me and my family, but it is one that we're all looking forward to positively and with great enthusiasm.

There is a lot we are giving up, but in my mind, is not what we are leaving behind but the possibilities of what we could gain; in my mind, I see a great future for me and my loved ones and hopefully a lot less snow to shovel during winters. 😊



VMworldbound Contest

After some consideration, here is how the winner of the #VMworldbound contest will be selected.

On Tuesday August 1st, seven finalists will be picked by William Lam and myself; these people will be notified and expected to confirm no later than Wednesday morning at 9am EST that if they win the VMworld Pass, they will be able and planning to attend, for sure.
The idea and point of this giveaway is to make sure this pass is not wasted and provide someone in the community the opportunity to enjoy a great conference. 
If any of the finalists can't make it for whatever reason, another person not initially picked will enter the "Selected 7".

Announcements for finalists will be made on Twitter and/or via the medium the finalist used to submit her/his entry. The soonest a confirmation of attendance is received the better.

On Wednesday night I will be broadcasting on Periscope the actual drawing and selection of the winner. The names of finalists will be placed in a bag/hat/box (or whatever container I find) and a lucky one will be pulled. 

If you want to be notified and watch the live broadcast, even if you're not participating, you'll need to enable account notifications on Twitter.

Give this a try, you never know what the future may bring.

Good luck to all participants!




Free VMworld Pass Contest

Would you like to go to VMWorld and don't have a pass? 
If your answer is yes, read on... You may be the lucky winner of a free registration code for it.

I want to give someone the possibility of attending VMworld 2017 in Las Vegas next month, so I'm giving away a validated registration code for the big conference to a lucky person in the vCommunity and hopefully make a difference in that person's career.

Ideally, the gal or guy would be someone who has not attended VMworld before, although having attended in the past doesn't disqualify you from participating :) 

Would like to see a person who is enthusiastic about virtualization, eager to learn and to take full advantage of everything this event has to offer.


Having attended my first and only VMworld last year made me realize the immense value this conference presents if you take advantage of its opportunities; you get to see great stuff on the different breakout sessions, practice and learn the latest products and/or features from VMware in the Hands-on-Labs, meet amazing and smart people and have tons of fun in the process.

When the additional registration code became available to me this week, I thought of contributing it to somebody who may not have the chance of attending and giving that individual the opportunity to experience the awesomeness that I enjoyed last August.

So, for a chance to win, comment on this blog or use hashtag #VMworldbound on Twitter and list the reasons why you would like to attend VMworld 2017. Make sure you tag @lamw and myself @j_kolkes if using Twitter.


Community leader William Lam will be picking and announcing the winner on August 2nd.

The only requirements are:
  • You want and are able go to VMworld2017 in Las Vegas.
  • You can cover flight and hotel expenses. They're not included in this giveaway.
  • You promise to meet with William and myself for a drink and picture while at the event ;)

Update: Click here to learn how the winner will be selected.