Пришел я как-то на объект проверить настройки сети, дело плевое — подключиться ноутом к свитчам и задокументировать, делов на 10 минут…
В итоге при включении ноута ждал минут 30 пока все обновится :(
В другом случае нужно было быстро что-то проверить и требовалась перезагрузка после установки спец. по, но вместо перезагрузки — подождите, я сначала обновлюсь…
Этот ноут «общественный» и используется раз в месяц, поди запомни как его выключали.
Это вопрос чисто организационный:
назначаете ответственного, он после каждого второго вторника, достаёт NB из шкафа и т.д.
И контролируете исполнение.
Или нескольких ответственных, но тогда ещё заводите журнал и под роспись
P.S. Это как в анекдоте: сколько надо программистов на одну лампочку?
Всё-таки, мы обсуждаем как избежать, например, "«оригинальных» SAS-дисков от HPE за $900 штучка" и/или 3PAR StoreServ 8400 ( возможно, для 17Tb «крупного агрохолдинга» подойдёт и одна из «младших» линеек)
NVMe — согласен, сегодня решающий фактор
Поэтому почему бы и не рассмотреть PetaSAN? MS Storage Spaces Direct (S2D)?
( «Аналог 2ух контроллерной СХД, когда каждый узел одновременно видит все диски из jbod», но не LSI и не *nix, — тоже эксплуатировал. Выразимся так: Starwind HA показал себя лучше, более удобным)
СХД: 2 контроллера, куча RAM кэша, рабочие dedup
...
Чтобы построить что-то хоть немного аналогичное
Купив лицензию на StarWind HA ( про SAS «диски» не уверен, но не совсем «эконом класс»: RAID10, SCSI с «батарейкой» и SSD Cache, 10Gb Eth)
«грамотный инженер»... соберёт... производительную и оптимизированную под конкретные задачи клиента систему на железе от... Supermicro
«2-х узловую резервированную СХД» на 30% дешевле ( а в сравнении с 3PAR — будет ещё больший отрыв)
P.S. «Грамотные инженеры» по «сети», и по «железу» СХД — мои коллеги
Я, «грамотный инженер» который успешно эксплуатировал комплект как СХД для Hyper-V кластера ( к слову, Hyper-V — ещё один пункт экономии)
P.P.S. Кстати, это 3/5-тых Ж-) ИТ-подразделения
К видео прилагается таблица, в последней колонке iperf
у XEN 74mb/s
у Hyper-V 845mB/s
Производительность гипервизора Xen в принципе на 15% выше во всем чем Hyper-V
Т.е. уже «не во всём»
и в самом конце плелся Hyper-V
И, как минимум ( т.к. хотелось бы данных iperf c оптимизированными установками для всех участников теста), предпоследнее место
`
P.S. На 01:05 демонстрируется графики загрузки CPU в Task Manager на хосте
( в VM, судя по названию, «Centos7»). Есть одно «но» — в «гипервизорах 1 типа» и, уж абсолютно точно в Hyper-V, так получать данные просто неправильно
P.P.S. Есть предложение «сменить лошадь», т.е. benchmark
только браузеры не работают с ускорителем под Windows Server 2016
Я тоже сперва так понял утверждение:
В качестве гостевой операционной системы использовалась Windows 10 PRO, так как, к сожалению, в серверной версии Windows 2016 браузеры не начинают использовать графический ускоритель, несмотря на то, что он фактически присутствует.
In Windows Server 2016, you have two graphics virtualization technologies available with Hyper-V that let you leverage the GPU hardware:
— Remote FX vGPU
— GPU Discrete Device Assignment (DDA)
в статье этот пример только для того, чтобы наглядно показать работу графики в обычном браузере.
+
В качестве гостевой операционной системы использовалась Windows 10 PRO, так как, к сожалению, в серверной версии Windows 2016 браузеры не начинают использовать графический ускоритель, несмотря на то, что он фактически присутствует.
Это:
Enable the Group Policy Setting
Administrative Templates\Windows Components\Remote Desktop Services\
Remote Desktop Session Host\Remote Session Environment\
Use the hardware default graphics adapter for all Remote Desktop Services sessions
•Гипервизор 1 типа – устанавливается непосредственно на аппаратную платформу, к таким гипервизорам по ГОСТ относятся VMware vSphere, Hyper-V, Citrix XenServer и пр.
•Гипервизор 2 типа – устанавливается в хостовую операционную систему. К таким гипервизорам можно отнести VirtualBox, VMWare Workstation и пр.
Я понял в чём дело: «трудности перевода» ( хотя перевести run как инсталлируется(!)... )
Type-1, native or bare-metal hypervisors
These hypervisors run directly on the host's hardware to control the hardware and to manage guest operating systems.
Type-2 or hosted hypervisors
These hypervisors run on a conventional operating system (OS) just as other computer programs do.
Если хотя бы заменить одно слово install-руется на правильный термин:
•Гипервизор 1 типа – выполняется непосредственно на аппаратной платформе, к таким гипервизорам по ГОСТ относятся VMware vSphere, Hyper-V, Citrix XenServer и пр.
•Гипервизор 2 типа – выполняется поверх хостовой операционной системы. К таким гипервизорам можно отнести VirtualBox, VMWare Workstation и пр.
То, что ESXi отдельная песня, это и ежу понятно. Но тем не менее его относят к первому типу. Я бы отнес его к отдельной категории внутри 1-го типа.
Да, есть и такое подразделение:
monolithic(VMSphere) and microkernalized(Hyper-V) Hypervisors
См. superuser.com Q 836116 — неплохая подборка информации и URLs
•Гипервизор 1 типа – устанавливается непосредственно на аппаратную платформу, к таким гипервизорам по ГОСТ относятся VMware vSphere, Hyper-V, Citrix XenServer и пр.
•Гипервизор 2 типа – устанавливается в хостовую операционную систему. К таким гипервизорам можно отнести VirtualBox, VMWare Workstation и пр.
Все деление, фактически, сводится к одному пункту: является ли роль гипервизора основной и единственной данного сервера
По мнению авторов деления — вовсе нет Ж-)
Лично я в 2008 задумался над похожей ситуацией:
Q: на этом хосте есть виртуальная машина с 8-ю виртуальными процессорами.
Виртуальная машина иногда заметно грузит свои виртуальные процессоры, но в taskmgr на хосте не вижу значительной нагрузки на процессоры
A: из-за особенностей архитектуры Hyper-V этот самый Task Manager покажет... всего-лишь навсего загрузку процессора хостовой ОС. Виртуальные машины при этом учитываться не будут – поскольку хостовая ОС, точно так же, как и все виртуальные машины – работает в своем изолированном разделе
Так я узнал, что «Virtual PC Server» ( оффициально у него др.название) — это был 2-ой тип, а вот Hyper-V — прогрессивный Ж-) 1-ый
Sorry, не хотел в пятницу на столько уж «озадачивать»...
Всё о чем писал ( кроме iPXE) «испытано на себе». Можете «брать на вооружение», а не подходит к конкретной ситуации — «забыть как страшный сон» Ж-)
А ведь гипервизор это то что надо ставить ручками на голое железо и если нет KVM(ilo) — большой кусок работы.
просто процитирую:
Если что, подъем хоста Hyper-V с нуля взамен упавшего — дело 5-10 минут щелканья кнопками в стиле next-next-next, получаса установки, ну и еще полчаса на аттач виртуалок и проверку, что всё поднялось.
—
Петя вроде да, ходил через SMB. Про RPC я написал т.к. все равно в нем есть
Входящий SMB по умолчанию заблокирован. ( RPC — по памяти не скажу)
патчи придется накатывать и лишний раз перезагружать гипервизор.
Решаемо: сделайте Hyper-V кластер и перезагружайте хост за хостом Ж-)
... платформы виртуализации в контексте «лучше-хуже»...
Я... оперирую понятием «сильные и слабые стороны», «целесообразность» в каждой конкретной ситуации....
Вот пример. Есть удаленный офис. Помещение, где стоит сервер, не оборудовано системой кондиционирования, железо сервера не мониторится, местного админа либо нет либо бывает редко. О чем в первую очередь нужно задуматься?
Это практический вопрос.
возвращаясь к вопросам выбора ESX/Hyper-V: конкретно в этом случае, Windows c GUI.
Т.к. для него реально обучить не-IT работников делать shutdown.
Да, кстати, сервер придётся из кладовки вынести
What Windows Server 2016 Shielded VMs include:
1.Shielded VM mode. In this mode, Secure Boot and vTPM are enforced, Saved State file and Live Migration traffic are encrypted. Also, some potentially unsecure VM extensions like Console access, keyboard and mouse drivers, COM/Serial ports and debugger are disabled.
2.BitLocker Virtual Disk encryption using vTPM. No need to provide an unlock code after reboot — use guest disk encryption everywhere without any administration overhead. Encryption keys are securely sealed inside virtual TPM device, that moves when the VM moves to another host.
3.Host Guardian Service (HGS). HGS is a Windows Server role that measures the health of Hyper-V hosts and releases keys to healthy Hyper-V hosts when powering-on or live migrating Shielded VMs. These two capabilities are fundamental to a Shielded VMs solution and are referred to as the Attestation service and Key Protection Service (KPS) respectively. HGS won't allow Shielded VMs to boot on any host that is not a part of pre-authorized guarded fabric (e.g. personal laptop of a rogue admin) or on a compromised host. It is expected that HGS service will be managed by different group of people inside service provider organization to keep the keys to the kingdom away from the kingdom.
К аппаратной платформе VBS предъявляет следующие требования: наличие UEFI 2.3.1c для безопасной и контролируемой загрузки, TPM v2.0 для защиты ресурсов, расширения виртуализации (Intel VT-X, AMD-V), трансляция адресов (Intel EPT, AMD RVI), защита памяти гипервизором.
Benefits of shielded VMs
•A hardened VM worker process which helps in preventing tampering and inspection.
•Console access is blocked along with blocking Guest File Copy Integration Components, PowerShell Direct as well as other services providing potential paths with administrative rights to the VM from a user or process.
•Disks encrypted with BitLocker (keys protected by vTPM)
•Live migration traffic is automatically encrypted and providing encryption of saved state, checkpoints, runtime state file and even Hyper-V Replica documents.
А эхо привычно отозвалось:
«Обновления безопасности!... мать!... мать!... мать!»
Это вопрос чисто организационный:
назначаете ответственного, он после каждого второго вторника, достаёт NB из шкафа и т.д.
И контролируете исполнение.
Или нескольких ответственных, но тогда ещё заводите журнал и под роспись
P.S. Это как в анекдоте: сколько надо программистов на одну лампочку?
NVMe — согласен, сегодня решающий фактор
Поэтому почему бы и не рассмотреть PetaSAN? MS Storage Spaces Direct (S2D)?
( «Аналог 2ух контроллерной СХД, когда каждый узел одновременно видит все диски из jbod», но не LSI и не *nix, — тоже эксплуатировал. Выразимся так: Starwind HA показал себя лучше, более удобным)
Купив лицензию на StarWind HA ( про SAS «диски» не уверен, но не совсем «эконом класс»: RAID10, SCSI с «батарейкой» и SSD Cache, 10Gb Eth)
«2-х узловую резервированную СХД» на 30% дешевле ( а в сравнении с 3PAR — будет ещё больший отрыв)
P.S. «Грамотные инженеры» по «сети», и по «железу» СХД — мои коллеги
Я, «грамотный инженер» который успешно эксплуатировал комплект как СХД для Hyper-V кластера ( к слову, Hyper-V — ещё один пункт экономии)
P.P.S. Кстати, это 3/5-тых Ж-) ИТ-подразделения
у XEN 74mb/s
у Hyper-V 845mB/s
Т.е. уже «не во всём»
И, как минимум ( т.к. хотелось бы данных iperf c оптимизированными установками для всех участников теста), предпоследнее место
`
P.S. На 01:05 демонстрируется графики загрузки CPU в Task Manager на хосте
( в VM, судя по названию, «Centos7»). Есть одно «но» — в «гипервизорах 1 типа» и, уж абсолютно точно в Hyper-V, так получать данные просто неправильно
P.P.S. Есть предложение «сменить лошадь», т.е. benchmark
Про S2D в 1709 Denis Dyagilev 19 декабря 2017 сообщил следующее:
Windows Server 1709/1803/1809/1903/etc ( принадлежность к каналу SAC)
P.S. Информация достаточно редкая ( и не очевидная).
Я тоже сперва так понял утверждение:
Но, как говаривал, Рональд Р. "… но проверяй"
Скачал сборник примеров WebGL Установка и настройка и рекомендуемый Web-сервер
В Chrome всё работает
вот здесь, например, буквы F крутятся:
http://127.0.0.1:8080/webgl/webgl-text-texture-separate-opaque-from-transparent.html
P.S. RemoteFX ( не DDA) P.P.S. Не RDP
P.P.P.S. Basic Session
In Windows Server 2016, you have two graphics virtualization technologies available with Hyper-V that let you leverage the GPU hardware:
— Remote FX vGPU
— GPU Discrete Device Assignment (DDA)
Т.е. ограничимся Remote FX vGPU? По причине?
Это:
как советуют, например, в статье
Measuring GPU Utilization in Remote Desktop Services
было сделано?
Я понял в чём дело: «трудности перевода» ( хотя перевести run как инсталлируется(!)... )
Если хотя бы заменить одно слово install-руется на правильный термин:
•Гипервизор 1 типа – выполняется непосредственно на аппаратной платформе, к таким гипервизорам по ГОСТ относятся VMware vSphere, Hyper-V, Citrix XenServer и пр.
•Гипервизор 2 типа – выполняется поверх хостовой операционной системы. К таким гипервизорам можно отнести VirtualBox, VMWare Workstation и пр.
уже многое становится понятным
monolithic(VMSphere) and microkernalized(Hyper-V) Hypervisors
См. superuser.com Q 836116 — неплохая подборка информации и URLs
По мнению авторов деления — вовсе нет Ж-)
Лично я в 2008 задумался над похожей ситуацией:
Так я узнал, что «Virtual PC Server» ( оффициально у него др.название) — это был 2-ой тип, а вот Hyper-V — прогрессивный Ж-) 1-ый
Всё о чем писал ( кроме iPXE) «испытано на себе». Можете «брать на вооружение», а не подходит к конкретной ситуации — «забыть как страшный сон» Ж-)
— Входящий SMB по умолчанию заблокирован. ( RPC — по памяти не скажу)
Решаемо: сделайте Hyper-V кластер и перезагружайте хост за хостом Ж-)
Например, на небольшом филиале:
UPC обычно есть, но со с батареями более 3-х лет
GoTo
работать по RDP на мощностях головного офиса
на головном ( и на крупных филиалах) батареи в UPS мы таки заменим...
P.S.
Загружайтесь по iPXE c iSCSI
Наслышан, но, наверно, «что-то делаю не так»
Ни разу в жизни не приходилось ничего откатывать
( WSUS Security + Critical)
А с ESX поднялся? И даже VM целы?
P.P.S. Про «мониторинга от вендора железа» беру timeot на обдумывание ( + см. в «Диалогах» надо уточнить детали )
возвращаясь к вопросам выбора ESX/Hyper-V: конкретно в этом случае, Windows c GUI.
Т.к. для него реально обучить не-IT работников делать shutdown.
Да, кстати, сервер придётся из кладовки вынести
На небольших филиалах сервера просто не нужны:
Var B
«Сервер на филиале» есть
( Лирическое отступление:
Агенты, к примеру, MS OpsMgr есть и под Win, и под Linux. Датчики температуры есть и в оборудовании CISCO )
Использовать Starwind HA, тот узел где идёт перестройка RAID
на время отключать от соседа
Для атаки, скорее, потребуется менять код прошивки UEFI + драйвера OS
На практике лучше и Shielded VMs, и огородить стойку сетчатым забором
И собственное видеонаблюдение
Эдакое частное облако на «удалённой площадке»
И слегка Ж-) дополню про механизмы защиты:
Технология Shielded VM в Windows Server 2016
How Shielded VMs make Hyper-V Environment Secure