Category: vSphere

Posted on

Kritiska Säkerhetsuppdateringar för VMware vCenter Server

Den 21 oktober 2024 släppte Broadcom en uppdaterad säkerhetsrådgivning som adresserar två allvarliga säkerhetsproblem i VMware vCenter Server och VMware Cloud Foundation: en heap-överflödes-sårbarhet (CVE-2024-38812) och en privilegieförhöjnings-sårbarhet (CVE-2024-38813).

Båda sårbarheterna har en kritisk CVSSv3-poäng på upp till 9,8, och kan potentiellt leda till fjärrkörning av skadlig kod eller ge en angripare högre systembehörighet. VMware har uppmanat alla kunder att installera de senaste säkerhetsfixarna så snabbt som möjligt för att skydda sina system.

Heap-overflow och Privilegieförhöjning: CVE-2024-38812 är en heap-overflow-sårbarhet i DCERPC-protokollet som kan användas för att skicka specialdesignade nätverkspaket och möjliggöra fjärrkodexekvering. CVE-2024-38813 är en sårbarhet som gör det möjligt för en angripare att eskalera sina privilegier till root genom att skicka särskilda paket till vCenter Server.

Påverkade Produkter och Uppdateringar:

  • VMware vCenter Server och VMware Cloud Foundation är de primära produkterna som påverkas.
  • Uppdateringar finns nu tillgängliga för versionerna 8.0 och 7.0. Broadcom har också bekräftat att tidigare utgivna patchar från september 2024 inte helt löste sårbarheterna, vilket gör att de nu tillhandahåller uppdaterade patchar.

Rekommendation: Alla VMware-användare uppmanas starkt att omgående tillämpa de senaste patcharna som anges i Broadcoms svarsmatris för att skydda sina system mot potentiella hot.

För mer information, besök Broadcoms säkerhetsrådgivning här.

Posted on

Kritiska Sårbarheter i VMware vCenter Server

Broadcom har nyligen utfärdat en säkerhetsrådgivning för att varna användare om två kritiska sårbarheter som upptäckts i VMware vCenter Server: CVE-2024-38812 och CVE-2024-38813. Båda dessa sårbarheter har potential att allvarligt påverka systemets säkerhet och integritet, och därför är det avgörande att förstå vad de innebär och hur de kan åtgärdas.

Sårbarheter i Detalj

  1. CVE-2024-38812 – Heap Overflow i DCERPC
    • Denna sårbarhet är kopplad till ett heap-overflow i DCERPC-protokollet. Den kan utnyttjas av en illasinnad aktör som har nätverksåtkomst till vCenter Server för att köra godtycklig kod. Med andra ord kan angripare få kontroll över systemet genom att utnyttja denna brist. I och med att DCERPC är ett viktigt protokoll för kommunikation mellan nätverkstjänster, gör detta sårbarheten mycket allvarlig.
    • Sårbarheten kan användas för att kompromettera hela systemet, vilket innebär att den ger möjlighet till fjärrkodkörning utan att användaren behöver interagera aktivt med en infekterad fil eller länk.
  2. CVE-2024-38813 – Eskalering av Privilegier
    • Den andra sårbarheten kan utnyttjas för att eskalera rättigheter till root-nivå. Detta innebär att om en angripare har lyckats få någon form av åtkomst till systemet kan denne uppgradera sina rättigheter för att få full kontroll över vCenter Server. En eskalering till root-nivå kan innebära att angriparen får möjlighet att göra omfattande systemändringar, vilket ytterligare ökar risken för dataförlust och manipulation.

Potentiella Konsekvenser

Om dessa sårbarheter utnyttjas framgångsrikt kan det leda till att en angripare tar full kontroll över hela den virtuella infrastrukturen. Med fjärrkodkörning kan skadlig programvara installeras, och med privilegieförhöjning kan kritiska systemfiler och tjänster manipuleras. Detta utgör ett allvarligt hot, särskilt i miljöer där VMware vCenter Server hanterar stora mängder data och virtuella maskiner.

Rekommendationer för Åtgärd

  • Uppdatera omedelbart: Broadcom rekommenderar starkt att administratörer omedelbart uppdaterar till den senaste versionen av VMware vCenter Server. Uppdateringar och patchar är de mest effektiva sätten att åtgärda dessa kritiska sårbarheter.
  • Segmentera Nätverkstillgången: Begränsa åtkomsten till vCenter Server till endast betrodda nätverk eller VPN-anslutningar. Genom att segmentera nätverkstrafiken kan risken för utnyttjande minskas.
  • Övervakning av System: Implementera noggrann övervakning för att snabbt identifiera misstänkt aktivitet som kan indikera försök till intrång eller utnyttjande av sårbarheter.

Varför Detta Är Viktigt

VMware vCenter Server är ett centralt system för hantering av virtuella miljöer, och många företag är beroende av det för sina molntjänster och interna system. En attack som utnyttjar dessa sårbarheter kan få förödande konsekvenser, inklusive driftstopp, dataförlust och potentiella kostnader kopplade till återställning och incidenthantering. Därför är det avgörande att snabbt agera för att minimera riskerna.

Slutsats

De nyligen identifierade sårbarheterna, CVE-2024-38812 och CVE-2024-38813, utgör en betydande säkerhetsrisk för VMware vCenter Server-användare. Att snabbt applicera de senaste uppdateringarna och stärka säkerhetsåtgärderna kring nätverksåtkomst är avgörande för att minimera dessa risker. Organisationer som är beroende av vCenter bör se över sina säkerhetsprotokoll och implementera proaktiva säkerhetslösningar för att skydda sin virtuella infrastruktur.

Posted on

Teknisk preview av memory tiering i VMware vSphere 8.0U3

Med lanseringen av vSphere 8.0 Update 3 (U3) har VMware introducerat en revolutionerande funktion: Minnesnivellering (Memory Tiering). Denna teknik är utformad för att optimera minnesanvändningen genom att utnyttja NVMe-enheter som ett andra lager av minne, utöver traditionellt DRAM. Här är en djupdykning i hur denna funktion fungerar och vad den innebär för ditt datacenter.

Vad är Minnesnivellering?

Minnesnivellering är en metod som introducerar ett andra minneslager, där DRAM fungerar som det första och snabbaste lagret, och NVMe-enheter fungerar som ett större, men något långsammare, andra lager. Genom att använda detta andra lager kan ESXi-värdar hantera större arbetsbelastningar utan att behöva investera i dyrare DRAM-moduler.

Tekniken Bakom

Minnesnivellering utnyttjar NVMe-enheternas höga I/O-prestanda för att agera som en förlängning av systemets minne. När DRAM-minnet börjar ta slut, flyttar hypervisorn automatiskt mindre aktiva data till NVMe-lagret, vilket frigör DRAM för mer kritiska uppgifter. Detta sker dynamiskt och transparent för användaren, vilket ger en sömlös upplevelse.

Fördelar med Minnesnivellering

  1. Kostnadseffektivitet: Genom att minska beroendet av dyrt DRAM kan datacenter minska sina minneskostnader samtidigt som de behåller hög prestanda.
  2. Förbättrad Skalbarhet: Med minnesnivellering kan fler virtuella maskiner köras på samma hårdvara, vilket ökar konsolideringsgraden och effektiviteten i datacentret.
  3. Optimerad Prestanda: Även om NVMe är långsammare än DRAM, är det fortfarande betydligt snabbare än traditionella hårddiskar eller SSD. Detta gör att systemet kan upprätthålla en hög prestandanivå även under tunga arbetsbelastningar.

Användningsfall

Minnesnivellering är särskilt användbart i miljöer där arbetsbelastningarna är mycket varierande och kan kräva stora mängder minne vid vissa tidpunkter, som exempelvis databasservrar, in-memory databaser och AI/ML-beräkningar.

Konfiguration och Administration

Att aktivera och konfigurera minnesnivellering i vSphere 8.0U3 är en relativt enkel process, men det kräver noggrann planering för att säkerställa att rätt NVMe-enheter används och att arbetsbelastningarna hanteras på ett optimalt sätt. Administratörer bör överväga de specifika behoven i sina miljöer innan de implementerar denna funktion.

Slutsats

Minnesnivellering i vSphere 8.0U3 representerar ett stort steg framåt för datacenter som vill maximera sin prestanda utan att explodera sina kostnader. Genom att kombinera DRAM och NVMe i en dynamisk och transparent arkitektur kan VMware leverera en lösning som både är kostnadseffektiv och högpresterande, vilket ger nya möjligheter för modern IT-infrastruktur.

För en djupare förståelse och tekniska detaljer kan du läsa den fullständiga artikeln här.

Posted on

Veeam Backup & Replication 12.1.2 nu supporterat för VMware vSphere 8.0 U3

Veeam Backup & Replication 12.1.2 har genomgått omfattande tester för att säkerställa kompatibilitet med vSphere 8.0 U3. Även om grundläggande funktionalitet är bekräftad, finns det vissa begränsningar att beakta:

Automatiska Exkluderingar av vCLS VMs

Efter uppgradering till vSphere 8.0 U3 fungerar inte den automatiska exkluderingen av vCLS VMs som förväntat. Detta beror på en ändring i VM-identifieraren i den nya vSphere-versionen.

Lösning: För att undvika problem rekommenderas att manuellt lägga till vCLS VMs i den globala exkluderingslistan.

NSX-T 4.2.0 Kompatibilitet

Kompatibilitet med NSX-T 4.2.0 har ännu inte testats. Det rekommenderas att vänta på ytterligare testresultat innan implementering i produktionsmiljöer.

Mer detaljer och instruktioner finns på Veeams supportsida.

Posted on

VMware vSphere 8 Update 3: Initial Availability

Den senaste uppdateringen av VMware vSphere, version 8 Update 3, har nu officiellt nått sin initiala Availability. Denna uppdatering lovar att leverera förbättrad prestanda, säkerhet och hanteringsfunktioner som gör det enklare för organisationer att driva och säkra sina applikationer både i molnet och på plats. Här är en sammanfattning av vad du kan förvänta dig av denna uppdatering.

Förbättrad Prestanda och Effektivitet

vSphere 8 U3 har introducerat flera nya funktioner som syftar till att superladda arbetsbelastningarnas prestanda och förbättra driftseffektiviteten. Några av de mest framstående förbättringarna inkluderar:

  1. Heterogena vGPU-profiler: Administratörer kan nu tilldela olika typer av applikationer till samma fysiska GPU, vilket minskar kostnader och förbättrar GPU-användningen.
  2. Förbättringar i Skyline Health Diagnostics: Integrering med vCenter gör det möjligt för administratörer att enkelt diagnostisera och lösa problem utan att behöva kontakta supporten, vilket sparar tid och ökar tillgängligheten​(VMware Blogs)​​ (VMware Blogs)​.

Säkerhetsförbättringar

Säkerheten i vSphere 8 U3 har också förstärkts med flera nya funktioner:

  1. Okta Federated Identity Management: Utökat stöd för Okta gör att administratörer kan logga in på både vCenter och NSX Manager med en enda autentisering, vilket ökar både effektivitet och säkerhet.
  2. Stöd för Fault Tolerance med vTPM: Säkerställer kontinuerlig tillgänglighet för virtuella maskiner som använder vTPM-moduler, vilket är avgörande för verksamhetskritiska miljöer​ (The Cloud Platform Tech Zone)​​ (VMware Blogs)​.

Nyheter inom Livscykelhantering

Livscykelhantering har också förbättrats i denna uppdatering med snabbare uppdateringar och mindre driftstopp:

  1. Quick Boot med TPM 2.0: Nu kan TPM 2.0 användas utan att behöva inaktiveras för Quick Boot, vilket minskar tiden för uppdateringar och eliminerar säkerhetsluckor under processen​ (VMware Blogs)​.

Slutord

vSphere 8 U3 representerar ett stort steg framåt för VMware med fokus på att förbättra prestanda, säkerhet och driftseffektivitet. Med dessa uppdateringar kan organisationer dra nytta av en stabilare och mer effektiv IT-infrastruktur, vilket stödjer både traditionella och moderna applikationer. För mer detaljerad information och för att ladda ner uppdateringen, besök VMwares officiella blogg och dokumentationssida​ (VMware Blogs)​​ (The Cloud Platform Tech Zone)​​ (VMware Blogs)​.

Posted on

Förstå skillnaden mellan VMware vSphere 8.0 och VMware Cloud Foundation 5.1

När det kommer till virtualiserings- och molnteknologi är VMware en ledande aktör med produkter som VMware vSphere 8.0 och VMware Cloud Foundation 5.1. Trots att båda dessa produkter syftar till att optimera IT-infrastrukturer, tjänar de olika syften och erbjuder unika funktioner. I detta blogginlägg utforskar vi de grundläggande skillnaderna mellan vSphere 8.0 och Cloud Foundation 5.1, med fokus på tekniska, operationella och licensmässiga aspekter.

Tekniska skillnader

VMware vSphere 8.0:

  • Virtualisering: vSphere 8.0 är en plattform som huvudsakligen används för servervirtualisering. Det erbjuder kraftfulla verktyg för att skapa och hantera virtuella maskiner (VM).
  • Hypervisor: Inkluderar den senaste versionen av ESXi-hypervisorn, som erbjuder förbättrad prestanda och säkerhet.
  • Funktioner: Stöd för Kubernetes och avancerade säkerhetsfunktioner med vSphere Trust Authority.
  • Skalbarhet: Passar bäst för organisationer som vill virtualisera sin serverinfrastruktur och som behöver en robust och skalbar lösning för att hantera sina virtuella maskiner.

VMware Cloud Foundation 5.1:

  • Integrerad Plattform: Cloud Foundation är en integrerad hybridmolnplattform som kombinerar vSphere, vSAN, NSX och vRealize Suite.
  • Automatisering: Erbjuder automatiserade livscykelhantering och orkestrering av hela datacenterstacken.
  • Molnberedskap: Designad för att skapa en konsistent infrastruktur och drift över privata och offentliga moln.
  • Funktioner: Full stack HCI (Hyper-Converged Infrastructure), molntjänstintegration, och inbyggt stöd för moderna applikationer med Kubernetes och Tanzu.

Operationella skillnader

VMware vSphere 8.0:

  • Hantering: Kräver ofta manuell hantering och konfiguration, även om vissa automatiseringsverktyg finns tillgängliga.
  • Uppdateringar och Underhåll: Uppdateringar och patchar måste hanteras individuellt för varje komponent (t.ex. ESXi, vCenter).
  • Implementering: Idealisk för företag som söker en stabil och högpresterande virtualiseringsplattform utan att nödvändigtvis behöva full molnintegration.

VMware Cloud Foundation 5.1:

  • Hantering: Erbjuder en centraliserad hantering med SDDC Manager, som förenklar drift och underhåll.
  • Uppdateringar och Underhåll: Automatiserad livscykelhantering gör uppdateringar och patchning enklare och mer pålitlig.
  • Implementering: Perfekt för organisationer som vill skapa en hybridmolnmiljö med sömlös integration mellan olika molnplattformar och som vill utnyttja full stack HCI.

Licensmässiga skillnader

VMware vSphere 8.0:

  • Licensiering: Licenseras per processor. Några olilka licensnivåer finns tillgängliga, beroende på funktioner och supportbehov.
  • Kostnad: Kan vara mer kostnadseffektivt för mindre installationer eller organisationer som endast behöver grundläggande virtualisering.

VMware Cloud Foundation 5.1:

  • Licensiering: Licenseras som en hel plattform, vilket inkluderar alla komponenter (vSphere, vSAN, NSX, vRealize). Detta gör det mer omfattande men också potentiellt dyrare.
  • Kostnad: Inkluderar kostnader för full stack-lösningen och kan innebära en högre initial investering, men erbjuder större värde för organisationer som behöver en integrerad och automatiserad molnplattform.

Sammanfattning

VMware vSphere 8.0 och VMware Cloud Foundation 5.1 är båda kraftfulla verktyg men tjänar olika behov. vSphere 8.0 är idealiskt för traditionell servervirtualisering med hög prestanda och skalbarhet. Cloud Foundation 5.1, å andra sidan, erbjuder en fullständig integrerad lösning för hybridmolnmiljöer, med avancerade automatiserings- och hanteringsfunktioner.

Att välja mellan dessa beror på din organisations specifika krav och framtida strategi. För en stabil och högpresterande virtualiseringsplattform är vSphere 8.0 ett utmärkt val, medan Cloud Foundation 5.1 passar bäst för dem som strävar efter att implementera en helhetslösning för molnintegration och automatisering.

För mer detaljer och vägledning, besök VMwares officiella webbplats.

Posted on

PowerShell for the win!

Who doesn’t love PowerShell and PoweCLI? I use it to automate as much as I can. Building demo environments, upgrading stuff or just playing around. The list is just a few examples of available modules from the Microsoft PowerShell Gallery, you can spend hours exploring interesting modules there. The list below is mostly a reminder for myself but feel free to explore!

VMware

vSphere

https://www.powershellgallery.com/packages/Vester/

https://www.powershellgallery.com/packages/vDocumentation/

https://www.powershellgallery.com/packages/Get-VMotion/

https://www.powershellgallery.com/packages/createsnapshots/

https://www.powershellgallery.com/packages/VMW_RemoveOldSnapshots/

https://www.powershellgallery.com/packages/Virten.net.VimAutomation/

https://www.powershellgallery.com/packages/install-vmwworkstation/

 

vRA

https://www.powershellgallery.com/packages/UMN-VMWareRA/

 

vCloud

https://www.powershellgallery.com/packages/Invoke-vCloud/

 

NSX

https://www.powershellgallery.com/packages/PowerNSX/

https://www.powershellgallery.com/packages/TestNBPNSX/

 

Log Insight

https://www.powershellgallery.com/packages/LogInsight/

Veeam

https://www.powershellgallery.com/packages/Get-VeeamBackupReport/

https://www.powershellgallery.com/packages/Set-VeeamBackupWindowOptions/

 

Pure Storage

https://www.powershellgallery.com/packages/PureStoragePowerShellToolkit/

https://www.powershellgallery.com/packages/PureStoragePowerShellSDK/

Amazon Web Services

https://www.powershellgallery.com/packages/AWSPowerShell/

https://www.powershellgallery.com/packages/AWSPowerShell.NetCore/

Dell

https://www.powershellgallery.com/packages/DellBIOSProvider/

https://www.powershellgallery.com/packages/DellWarranty/

Övrigt

https://www.powershellgallery.com/packages/WinSCP/

https://www.powershellgallery.com/packages/SSH/

https://www.powershellgallery.com/packages/Posh-SSH/

https://www.powershellgallery.com/packages/TreeSize/

https://www.powershellgallery.com/packages/PowershellBGInfo/

https://www.powershellgallery.com/packages/Tesla/

https://www.powershellgallery.com/packages/Ravello/

https://www.powershellgallery.com/packages/Telldus/

https://www.powershellgallery.com/packages/PSSpotify/

Posted on

In 5 minutes: VMware ROBO

Continuing the “In 5 minutes”-series with a discussion relating more to licenses than technology. A talk about licensing remote offices and branch offices for use with vSphere, vSAN and NSX.

Swedish only.

 

Posted on

A new series: How and why – Starting with VMware vSAN

I’ve been thinking about creating and sharing short (no more than say 30 minutes) videos of how certain functions or features works and how to set it up. I’m going to create a series of video content that might be useful over the next few week. I’ve decided to name the series “how and why” since this is the angle I’m taking – how do you setup the feature and whats the benefit of actually using the feature.

So the inaugural video will be based on VMware vSAN. Feel free to drop me tweet on future videos you’d like to see.

The video is in swedish only at the moment.

Posted on

(Re)claim your space!

In one of my previous posts, Is Bitlooker from Veeam a game-changer?, I wrote about the benefits of using Bitlooker for backup jobs when using Veeam Backup & Replication v9.x however Bitlooker is a feature that is not only available for backup jobs – you can use it for replication jobs as well.

So I thought it’d be fun to see what difference, if any, it makes. The goal of my tests is to figure out the most effective way of copying/replicating a VM from one host to another.

The set up for the test:

A virtual machine is installed with Windows Server 2016 standard edition. 100 GB disk assigned to the VM, thin provisioned. The disk is then filled with files (a bunch of iso-files of different sizes). That’s the baseline, then roughly 85 GB will be deleted (all the added iso-files) – then trashcan will be emptied. So we’ll have some blocks containing stale/old data, the blocks are marked as available to be reused from the operating system point of view but they haven’t been zeroed out so from any hypervisor (outside the VM) it just looks as any other block containing data.

Operating system installed (Windows Server 2016) and updated. The VM now consumes 13,5 GB worth of storage.

Then a bunch of files were added (almost) filling the entire disk.

From the vSphere side of it:

At this point the just added files were removed and trashcan emptied.

And from vSphere:

Now the command ‘ls’ will not show the actual size, so ‘du’ can be used instead to see the actual size of the vmdk file:

I’m going to test 4 different scenarios:

  1.  Migrate the VM from one host to another offline (VM will be shutdown).
  2. Replicating the virtual machine with VMware vSphere Replication 6.5.
  3. Replicating the virtual machine with Veeam Backup & Replication without Bitlooker enabled.
  4. Replicating the virtual machine with Veeam Bitlooker enabled.

The thesis, or point to prove, is that test 1-3 will have no or little impact on the size of the vmdk file however – magic will happen on test 4. So lets perform the tests and find out for real!

Test 1:

VM moved to another host while offline and now let’s explore what can be seen using different methods.

Inside the VM:

From the host:

So no change in vmdk file size as expected.

Test 2:

The virtual machine will be replicated to another host using VMware vSphere Replication 6.5.

VMware vSphere has been configured using the following settings:

Not alot of settings, in fact, the above settings will have no impact on the vmdk size. They will only have control how the snapshot on the VM will be generated (crash consistent vs consistent backup) and the impact the replication job will have on the network.

Inside the VM:

From the host:

Since ‘ls’ doesn’t show the actual size on a thin disk, disk usage ‘du’ is used instead:

So no change in vmdk file size as expected.

Test 3:

The virtual machine is replicated to another host using Veeam Backup & Replication v9.5.

Replication from a Veeam perspective has been set up, to make a fair comparison to the VMware replication test (test 2), the Veeam job will not use exclude swap file blocks:

Processed and read data in the picture below tells us that Veeam doesn’t know the difference between blocks in use and blocks marked as deleted (the same applies for almost all backup vendors):

Inside the VM:

From the host:

And using ‘du’:

So no change in vmdk file size as expected.

 

Test 4:

Know time for the fun stuff. The virtual machine will be replicated to another host using Veeam Backup & Replication v9.5. We will use both space saving techniques we can enable on the job (with application-aware processing we can also exclude specific files, folders, file extensions but we’re not using that feature in this test)

Now, this is the magic we were looking for! The  proxy server has processed all of the data but it has only read data that contain used blocks!

From the VM:

From the host:

Now the vSphere web client combine the .vmdk and -flat.vmdk file into one (like it’s done forever):

And the disk usage utility shows:

Yikes! That’s cool stuff!

Conclusion:

Bitlooker is a feature you should have enabled on any relevant job. It certainly can be used to reclaim that precious storage space you so desperately need.  Heck, why no use it as part of your normal failover testing, cause you’ll already doing that right? Once a month (or how often you feel appropriate) do a planned failover using Veeam Backup & Replication, verify that you DR plan works and as an added bonus you reclaim disk space in the process!

And yet another benefit is the spent replicating the virtual machine, without Bitlooker it took 30 minutes to replicate the VM from one host to another but it was just shy of 7 minutes with Bitlooker enabled.

So seriously, why are you not using this magic thing? There’s only one drawback, Bitlooker supports only NTFS file system (=Windows VMs).