Pull to refresh
-3
0
Send message
Мои старые рабочие компы с XP и семеркой, с их аптаймом по шесть-восемь месяцев
Aнекдот просто: «Красота-то какая!»
А эхо привычно отозвалось:
«Обновления безопасности!... мать!... мать!... мать!»
Пришел я как-то на объект проверить настройки сети, дело плевое — подключиться ноутом к свитчам и задокументировать, делов на 10 минут…
В итоге при включении ноута ждал минут 30 пока все обновится :(
В другом случае нужно было быстро что-то проверить и требовалась перезагрузка после установки спец. по, но вместо перезагрузки — подождите, я сначала обновлюсь…

Этот ноут «общественный» и используется раз в месяц, поди запомни как его выключали.
Это вопрос чисто организационный:
назначаете ответственного, он после каждого второго вторника, достаёт NB из шкафа и т.д.
И контролируете исполнение.

Или нескольких ответственных, но тогда ещё заводите журнал и под роспись

P.S. Это как в анекдоте: сколько надо программистов на одну лампочку?
Всё-таки, мы обсуждаем как избежать, например, "«оригинальных» SAS-дисков от HPE за $900 штучка" и/или 3PAR StoreServ 8400 ( возможно, для 17Tb «крупного агрохолдинга» подойдёт и одна из «младших» линеек)

NVMe — согласен, сегодня решающий фактор

Поэтому почему бы и не рассмотреть PetaSAN? MS Storage Spaces Direct (S2D)?

( «Аналог 2ух контроллерной СХД, когда каждый узел одновременно видит все диски из jbod», но не LSI и не *nix, — тоже эксплуатировал. Выразимся так: Starwind HA показал себя лучше, более удобным)
( по Ceph — можно попробовать PetaSAN )
СХД: 2 контроллера, куча RAM кэша, рабочие dedup
...
Чтобы построить что-то хоть немного аналогичное

Купив лицензию на StarWind HA ( про SAS «диски» не уверен, но не совсем «эконом класс»: RAID10, SCSI с «батарейкой» и SSD Cache, 10Gb Eth)
«грамотный инженер»... соберёт... производительную и оптимизированную под конкретные задачи клиента систему на железе от... Supermicro
«2-х узловую резервированную СХД» на 30% дешевле ( а в сравнении с 3PAR — будет ещё больший отрыв)

P.S. «Грамотные инженеры» по «сети», и по «железу» СХД — мои коллеги
Я, «грамотный инженер» который успешно эксплуатировал комплект как СХД для Hyper-V кластера ( к слову, Hyper-V — ещё один пункт экономии)
P.P.S. Кстати, это 3/5-тых Ж-) ИТ-подразделения
я скорее поверю
трясущемуся видео за 2016 год https://www.youtube.com/watch?v=-sp7Li9q3Ao
К видео прилагается таблица, в последней колонке iperf
у XEN 74mb/s
у Hyper-V 845mB/s
Производительность гипервизора Xen в принципе на 15% выше во всем чем Hyper-V
Т.е. уже «не во всём»
и в самом конце плелся Hyper-V
И, как минимум ( т.к. хотелось бы данных iperf c оптимизированными установками для всех участников теста), предпоследнее место
`
P.S. На 01:05 демонстрируется графики загрузки CPU в Task Manager на хосте
( в VM, судя по названию, «Centos7»). Есть одно «но» — в «гипервизорах 1 типа» и, уж абсолютно точно в Hyper-V, так получать данные просто неправильно
P.P.S. Есть предложение «сменить лошадь», т.е. benchmark
[Обсуждение] Windows Server version 1709 ( 2 комплекта RSAT, S2D)
Про S2D в 1709 Denis Dyagilev 19 декабря 2017 сообщил следующее:
VVM>> Кстати, из «Windows Server, version 1709» убрали S2D
VVM>> ( а через пару недель S2D вернулся в insider сборки )
Обновлённый до 1709 кластер прекрасно работает с S2D.
Windows Server 1709/1803/1809/1903/etc ( принадлежность к каналу SAC)
пока один релиз, где S2D нельзя развернуть с нуля. В 1803 эта возможность будет
P.S. Информация достаточно редкая ( и не очевидная).
только браузеры не работают с ускорителем под Windows Server 2016

Я тоже сперва так понял утверждение:
В качестве гостевой операционной системы использовалась Windows 10 PRO, так как, к сожалению, в серверной версии Windows 2016 браузеры не начинают использовать графический ускоритель, несмотря на то, что он фактически присутствует.
Но, как говаривал, Рональд Р. "… но проверяй"

Скачал сборник примеров WebGL Установка и настройка и рекомендуемый Web-сервер

В Chrome всё работает

вот здесь, например, буквы F крутятся:
http://127.0.0.1:8080/webgl/webgl-text-texture-separate-opaque-from-transparent.html

P.S. RemoteFX ( не DDA) P.P.S. Не RDP
P.P.P.S. Basic Session
NVIDIA Quadro P6000

In Windows Server 2016, you have two graphics virtualization technologies available with Hyper-V that let you leverage the GPU hardware:
— Remote FX vGPU
— GPU Discrete Device Assignment (DDA)

Т.е. ограничимся Remote FX vGPU? По причине?
в статье этот пример только для того, чтобы наглядно показать работу графики в обычном браузере.
+
В качестве гостевой операционной системы использовалась Windows 10 PRO, так как, к сожалению, в серверной версии Windows 2016 браузеры не начинают использовать графический ускоритель, несмотря на то, что он фактически присутствует.

Это:
Enable the Group Policy Setting
Administrative Templates\Windows Components\Remote Desktop Services\
Remote Desktop Session Host\Remote Session Environment\
Use the hardware default graphics adapter for all Remote Desktop Services sessions

как советуют, например, в статье
Measuring GPU Utilization in Remote Desktop Services
было сделано?
Решил посмотреть как в оригинале. Там видим:
3.13 гипервизор I типа: Гипервизор, устанавливаемый непосредственно на аппаратное обеспечение в качестве системного программного обеспечения.

3.14 гипервизор II типа: Гипервизор, устанавливаемый в среде хостовой операционной системы в качестве прикладного программного обеспечения.
ГОСТ Р 56938-2016 определяет 2 типа гипервизоров:

•Гипервизор 1 типа – устанавливается непосредственно на аппаратную платформу, к таким гипервизорам по ГОСТ относятся VMware vSphere, Hyper-V, Citrix XenServer и пр.
•Гипервизор 2 типа – устанавливается в хостовую операционную систему. К таким гипервизорам можно отнести VirtualBox, VMWare Workstation и пр.

Я понял в чём дело: «трудности перевода» ( хотя перевести run как инсталлируется(!)... )

Type-1, native or bare-metal hypervisors

These hypervisors run directly on the host's hardware to control the hardware and to manage guest operating systems.

Type-2 or hosted hypervisors

These hypervisors run on a conventional operating system (OS) just as other computer programs do.

Если хотя бы заменить одно слово install-руется на правильный термин:

•Гипервизор 1 типа – выполняется непосредственно на аппаратной платформе, к таким гипервизорам по ГОСТ относятся VMware vSphere, Hyper-V, Citrix XenServer и пр.
•Гипервизор 2 типа – выполняется поверх хостовой операционной системы. К таким гипервизорам можно отнести VirtualBox, VMWare Workstation и пр.

уже многое становится понятным
То, что ESXi отдельная песня, это и ежу понятно. Но тем не менее его относят к первому типу. Я бы отнес его к отдельной категории внутри 1-го типа.
Да, есть и такое подразделение:
monolithic(VMSphere) and microkernalized(Hyper-V) Hypervisors
См. superuser.com Q 836116 — неплохая подборка информации и URLs
ГОСТ Р 56938-2016 определяет 2 типа гипервизоров:

•Гипервизор 1 типа – устанавливается непосредственно на аппаратную платформу, к таким гипервизорам по ГОСТ относятся VMware vSphere, Hyper-V, Citrix XenServer и пр.
•Гипервизор 2 типа – устанавливается в хостовую операционную систему. К таким гипервизорам можно отнести VirtualBox, VMWare Workstation и пр.

Все деление, фактически, сводится к одному пункту: является ли роль гипервизора основной и единственной данного сервера

По мнению авторов деления — вовсе нет Ж-)

Лично я в 2008 задумался над похожей ситуацией:
Q: на этом хосте есть виртуальная машина с 8-ю виртуальными процессорами.
Виртуальная машина иногда заметно грузит свои виртуальные процессоры, но в taskmgr на хосте не вижу значительной нагрузки на процессоры

A: из-за особенностей архитектуры Hyper-V этот самый Task Manager покажет... всего-лишь навсего загрузку процессора хостовой ОС. Виртуальные машины при этом учитываться не будут – поскольку хостовая ОС, точно так же, как и все виртуальные машины – работает в своем изолированном разделе

Так я узнал, что «Virtual PC Server» ( оффициально у него др.название) — это был 2-ой тип, а вот Hyper-V — прогрессивный Ж-) 1-ый
Sorry, не хотел в пятницу на столько уж «озадачивать»...
Всё о чем писал ( кроме iPXE) «испытано на себе». Можете «брать на вооружение», а не подходит к конкретной ситуации — «забыть как страшный сон» Ж-)
TPM 2.0... можно ли это вообще в российских реалиях
Есть с Shielded VMs и вариант «lite», для родной серверной. Там требования к оборудованию менее жесткие...
А ведь гипервизор это то что надо ставить ручками на голое железо и если нет KVM(ilo) — большой кусок работы.
просто процитирую:
Если что, подъем хоста Hyper-V с нуля взамен упавшего — дело 5-10 минут щелканья кнопками в стиле next-next-next, получаса установки, ну и еще полчаса на аттач виртуалок и проверку, что всё поднялось.
Петя вроде да, ходил через SMB. Про RPC я написал т.к. все равно в нем есть
Входящий SMB по умолчанию заблокирован. ( RPC — по памяти не скажу)
патчи придется накатывать и лишний раз перезагружать гипервизор.
Решаемо: сделайте Hyper-V кластер и перезагружайте хост за хостом Ж-)
Давайте определимся с численностью работников нашего условного филиала...

Например, на небольшом филиале:
ИБП нет
UPC обычно есть, но со с батареями более 3-х лет

GoTo
работать по RDP на мощностях головного офиса

на головном ( и на крупных филиалах) батареи в UPS мы таки заменим...

P.S.

Какой Starwind HA, какая перестройка RAID, какой сосед.
Я же конкретно пишу про диски, на которых стоит система.
Загружайтесь по iPXE c iSCSI
И также некому будет откатывать обновления, если после них винда начинает работать не корректно.
Наслышан, но, наверно, «что-то делаю не так»
Ни разу в жизни не приходилось ничего откатывать
( WSUS Security + Critical)
Ток отрубили, ИБП нет, все легло. И после хост с Hyper-V не поднялся.
А с ESX поднялся? И даже VM целы?

P.P.S. Про «мониторинга от вендора железа» беру timeot на обдумывание ( + см. в «Диалогах» надо уточнить детали )
( Рискну и напишу, то что делал бы на самом деле)
... платформы виртуализации в контексте «лучше-хуже»...
Я... оперирую понятием «сильные и слабые стороны», «целесообразность» в каждой конкретной ситуации....
Вот пример. Есть удаленный офис. Помещение, где стоит сервер, не оборудовано системой кондиционирования, железо сервера не мониторится, местного админа либо нет либо бывает редко. О чем в первую очередь нужно задуматься?
Это практический вопрос.
возвращаясь к вопросам выбора ESX/Hyper-V: конкретно в этом случае, Windows c GUI.
Т.к. для него реально обучить не-IT работников делать shutdown.
Да, кстати, сервер придётся из кладовки вынести
Var A
На небольших филиалах сервера просто не нужны:
удаленный офис. Помещение, где стоит сервер, не оборудовано
Q: О чем в первую очередь нужно задуматься?

A: задуматься надо о том, что мешает работать по RDP на мощностях головного офиса?

Var B
«Сервер на филиале» есть
( Лирическое отступление:
железо сервера не мониторится
VVM>>> Но что мешает установить агента системы мониторига?
агенты? куда это вы их ставить собрались?
Агенты, к примеру, MS OpsMgr есть и под Win, и под Linux. Датчики температуры есть и в оборудовании CISCO )

Q: умрет диск, даже если он в зеркале,.. ., то все может оказаться очень грустно. Что делать?

Использовать Starwind HA, тот узел где идёт перестройка RAID
на время отключать от соседа
Мы говорим про облако те про ВМ, внедрить код в вм возможно, снять дамп оперативной памяти еще проще.
Простым способом невозможно, и не проще. Да, обойти механизмы защиты можно..., но для этого хостер должен целенаправленно готовить атаку

Для атаки, скорее, потребуется менять код прошивки UEFI + драйвера OS

На практике лучше и Shielded VMs, и огородить стойку сетчатым забором
И собственное видеонаблюдение

Эдакое частное облако на «удалённой площадке»

И слегка Ж-) дополню про механизмы защиты:
О чем речь то?
Об этом.
Shielded VMs in Windows Server 2016 ( by Kirill Kotlyarenko [MSFT] )

What Windows Server 2016 Shielded VMs include:
1.Shielded VM mode. In this mode, Secure Boot and vTPM are enforced, Saved State file and Live Migration traffic are encrypted. Also, some potentially unsecure VM extensions like Console access, keyboard and mouse drivers, COM/Serial ports and debugger are disabled.
2.BitLocker Virtual Disk encryption using vTPM. No need to provide an unlock code after reboot — use guest disk encryption everywhere without any administration overhead. Encryption keys are securely sealed inside virtual TPM device, that moves when the VM moves to another host.
3.Host Guardian Service (HGS). HGS is a Windows Server role that measures the health of Hyper-V hosts and releases keys to healthy Hyper-V hosts when powering-on or live migrating Shielded VMs. These two capabilities are fundamental to a Shielded VMs solution and are referred to as the Attestation service and Key Protection Service (KPS) respectively. HGS won't allow Shielded VMs to boot on any host that is not a part of pre-authorized guarded fabric (e.g. personal laptop of a rogue admin) or on a compromised host. It is expected that HGS service will be managed by different group of people inside service provider organization to keep the keys to the kingdom away from the kingdom.

Технология Shielded VM в Windows Server 2016
К аппаратной платформе VBS предъявляет следующие требования: наличие UEFI 2.3.1c для безопасной и контролируемой загрузки, TPM v2.0 для защиты ресурсов, расширения виртуализации (Intel VT-X, AMD-V), трансляция адресов (Intel EPT, AMD RVI), защита памяти гипервизором.

How Shielded VMs make Hyper-V Environment Secure
Benefits of shielded VMs
•A hardened VM worker process which helps in preventing tampering and inspection.
•Console access is blocked along with blocking Guest File Copy Integration Components, PowerShell Direct as well as other services providing potential paths with administrative rights to the VM from a user or process.
•Disks encrypted with BitLocker (keys protected by vTPM)
•Live migration traffic is automatically encrypted and providing encryption of saved state, checkpoints, runtime state file and even Hyper-V Replica documents.

Information

Rating
Does not participate
Registered
Activity