Schulenburg-IT

Wanneer een VMware vCenter omgeving van een patch of nieuwe versie voorzien moet worden, is het belangrijk te weten welke afhankelijkheden en aandachtspunten er zijn wanneer deze VMware vCenter omgeving beschermd wordt door middel van Trend Micro DeepSecurity.

1. Zorg ervoor dat de laatste Trend Micro Filter Driver versie en DeepSecurity Virtual Appliance (DSVA) software geïnstalleerd is op de betreffende VMware vCenter host.
• Zet DRS uit en verplaats alle actieve systemen. Laat de DSVA als laatste staan, zonder DSVA zal een vMotion tot 30 minuten duren voor door DeepSecurity beschermde systemen!
  
• Breng de laatste Trend Micro Filter Driver aan te door de VMware vCenter host in maintenance te zetten en via host scherm in de Trend Micro DeepSecurity Management Console te laten upgraden. Na upgrade zal de host eerst opnieuw gestart moeten worden.
  
• De DSVA kan alleen voorzien worden van een nieuwe versie als deze actief is. Haal de VMware vCenter host uit maintenance mode en zoek de betreffende DSVA op. Na starten kan deze van de laatste software versie voorzien worden door naar de bijbehorende DSVA te zoeken in de Trend Micro DeepSecurity Management Console. Van daaruit kan de DSVA geupdate worden.
• Zet na de update de DSVA uit en zet de VMware vCenter host weer in maintenance.
  
2. Breng de laatste patches op de betreffende VMware vCenter host aan. Nadat de host opnieuw gestart is, zou deze nog steeds in maintenance mode moeten staan. Via het tabblad vShield is dan de vShield Endpoint naar een nieuwere versie te updaten.
3. Zet nu als eerste de DSVA weer aan en verplaats een aantal minder belangrijke systemen, zoals test of acceptatie systemen.

Het is vervolgens vrij normaal om een week aan te kijken of er wel of niet problemen ontstaan en pas daarna de andere VMware vCenter hosts bij te werken.

Toegegeven, dit is een verzameling van VMware Tuning Tips die ik her en der gehoord heb, op beurzen en webinars, dus alle credits gaan vooral naar anderen. Het zijn echter in sommige gevallen snelle quick wins, vooral voor Microsoft Windows Server omgevingen, dus doe er je voordeel mee.

1. Gebruik de VMware VMXNET3 netwerk drivers binnen je VM. Deze zijn sneller dan de standaard Intel 1000 netwerk drivers, en stuk stabieler bij zware belasting en hebben minder overhead. Installatie is vrij simpel:
• Ken een extra netwerkkaart toe binnen vSphere, type VMXNET3. Binnen de VM wordt deze automatisch herkend en toegevoegd (mits de VMware Tools geïnstalleerd zijn).
  
• Zet de lokale netwerkkaart op DHCP, maar noteer eerst het IP-nummer.
• Shutdown de VM.
• Verwijder de oude netwerkkaart en start de VM.
• Binnen de VM moet het originele IP-nummer  op de nieuwe netwerk interface gezet worden.
  
2. Stel als SCSI controller de VMware Paravirtualized SCSI in binnen je VM. Eigenlijk hetzelfde liedje als bij de VMXNET3 netwerk driver, deze levert tot 12% betere performance en tot 18% minder resource gebruik! De installatie gaat als volgt (en ik gebruik hier de veilige variant):
• Shutdown de VM.
• Voegeen nieuw SCSI device toe, bijvoorbeeld gekoppeld een CD/DVD, maar dan wel gekoppeld aan een vituele device node SCSI (1:0) of SCSI (2:0) en als SCSI Controller Type de VMware Paravirtual SCSI (PVSCSI).
  
• Start de VM, en het nieuwe device wordt herkend (mits de VMware Tools geïnstalleerd zijn).
• Shutdown de VM.
• Verwijder het nieuwe SCSI device, bijvoorbeeld de CD/DVD) en pas de bestaande SCSI Controller 0 aan naar VMware Paravirtual SCSI (waarschijnlijk vanaf LSI Logic Parallel).
• Start de VM. De VM zou normaal moeten opstarten.
  
3. Zorg dat je disks aligned zijn. Vooral voor Windows 2003 en ouder, Red Hat Linux 5 en ouder en veel andere OS'en zorgt dit voor minder IOPS, wat een mindere belasting van de gedeelde opslag betekend. Een mooie tool hiervoor is UberAlign van Nicholas Weaver. Met behulp van deze tool zijn rapportages te maken en verbeteringen door te voeren, voor zowel Windows als Linux systemen. Het geheel wordt geleverd als een appliance (OVA formaat) en een console. Een tweede tool is vDisk Informer, echter alleen om te bepalen of VM's correct aligned zijn. Hiervoor is wel .Net vereist.
   
4. Zet geen geheugen limieten op de VM's waardoor ze gaan swappen. Als je één ding wilt voorkomen is het wal swappen.
   
5. Beperk het aantal snapshots voor VM's. Snapshots zorgen voor vertraging, soms wel tot 50% bij high-IOPS VM's.
   
6. Gebruik CBT (Change Block Tracking) voor je back-up oplossing. Dit zorgt voor een zeer kleine toename is opslag en geheugen gebruik, maar kan ervoor zorgen dat de back-up oplossing stukken sneller is.
   
7. Verspreid je high IOPS VM over de VMware Storage Repositories.
   
8. Verwijder onnodige hardware van de VM. Wie gebruikt er nu nog floppy devices? Binnen het OS kan het lonen niet aanwezige devices te verwijderen. De stappen hiervoor zijn:
• Start de command prompt
• set DEVMGR_SHOW_NONPRESENT_DEVICES=1
• devmgmt.msc
• Zet binnen Apparaatbeheer aan dat ook verborgen apparaten worden weergegeven (Beeld, Verborgen apparaten weergeven)
• Verwijder niet meer in gebruik zijnde devices. Dit speelt vooral bij P2V VM's
  
9. Gebruik Resource Pools niet als verzamelmappen.
   
10. Stop onnodige services binnen je VM. Hierover zijn een aantal interessante artikelen te vinden op Internet, maar dit kan per geval en OS weer verschillen.
    
11. Schakel onnodige franje op je VM uit, zoals schaduwen, fade-out, fade-in e.d. Zeker op een server OS voegt dit niets toe.

Zorg er als laatste voor de de tuning tips verwerkt zijn in de templates die je binnen VMware gebruikt, zodat je maar eenmaal deze hoeft uit te voeren.

De afgelopen weken ben ik ben mijn huidige werkgever druk geweest met een aantal hardnekkige Trend Micro DeepSecurity problemen op onze VMware vSphere 4 omgeving. Voor diegene die niet weten wat Trend Micro DeepSecurity nu precies doet, eerst een korte uitleg.

Trend Micro DeepSecurity

Door Trend Micro DeepSecurity te gebruiken wordt, onder andere, de anti-virus en anti-malware scanning verplaatst van virtuele machines naar een zogenaamde DeepSecurity Virtual Appliance. Hierdoor hoeft er op de virtuele machine geen anti-virus of anti-malware oplossing meer te draaien, en dat scheelt o.a. CPU, memory en disk resources. Ook wordt er een ander probleem, het tegelijkertijd scannen of updaten van alle virtuele machines met als gevolg resource problemen, opgelost. Al met al zou het ontzettend veel resources moeten schelen, zodat er meer virtuele machines per fysieke host gedraaid kunnen worden.

Om Trend Micro DeepSecurity aan de praat te krijgen, moeten de onderstaande zaken geregeld worden:

1. Trend Micro DeepSecurity licenties, per fysieke host één DeepSecurity Virtual Appliance. Trend Micro DeepSecurity komt in verschillende smaken, de anti-virus en anti-malware is de meest simpele en goedkoopste. Neem contact op met uw Trend Micro reseller voor meer informatie.
2. VMware Endpoint licenties per virtuele machine. Dit kunt u regelen met uw VMware partner.
   
3. De VMware VShield Manager appliance moet geïnstalleerd staan op de VMware omgeving. Deze is te downloaden bij VMware (indien u een account hebt).
   
4. Er moet voldoende ruimte zijn om fysieke hosts vrij te maken, want tijdens de installatie moet er per fysieke host een Trend Micro DeepSecurity filter driver geïnstalleerd worden.
5. De virtuele machines mogen geen BusLogic SCSI controller gebruiken (zie dit artikel van Trend Micro). Als dat niet geregeld is, wordt je geconfronteerd met de melding 'Anti-Malware Driver Offline' en moet de controller omgebouwd worden.
   
6. Per virtuele machine moet er een VMware vShield Endpoint driver geïnstalleerd worden, waarvoor een herstart van de virtuele machine nodig is.
   

De installatie van Trend Micro DeepSecurity wordt normaliter gedaan door een partner en beschrijvingen zijn ook op Internet te vinden. Hieronder een screenshot van onze DeepSecurity omgeving (moment opname).

Problemen

Zoals ik aan het begin al vertelde, zijn we de laatste weken druk geweest met een aantal hardnekkige problemen met betrekking tot Trend Micro DeepSecurity. De bedoeling is dat er geen critical meldingen zijn (zoals ze in het screenshot hierboven nog wel zijn).