Общие принципы CPU Scheduling

Что это такое и с чем его едят можно очень подробно почитать в исходном посте.

Углядел очень интересную мысль:

Распределение vCPU
CPU Scheduler распределяет vCPU между pCPU по принципу хорошего бутерброда с маслом. Что это значит? Это значит, что vCPU «размазываются» по как можно большему количеству pCPU ровным слоем. Без комков и дырок. Больше задействованных pCPU – больше кэша. Однако, такое поведение может не подойти под какую-нибудь конкретную задачу. Например, на виртуальной машине работает многопоточное приложение и его потоки активно взаимодействуют между собой. Преимущества общего кэша для такой ВМ очевидны. Осталось дать понять CPU Scheduler-у, что все vCPU этой ВМ было бы неплохо запускать на ядрах одного физического процессора. Намеки CPU Scheduler воспринимает при помощи параметров виртуальной машины. Параметр, отвечающий за консолидацию vCPU:
sched.cpu.vsmpConsolidate = true

Настройка статического MAC-адреса для VM

Иногда бывает необходимо задать статический MAC адрес для VM. Например при P2V миграции, когда лицензия приложения привязывается к MAC адресу.

С помощью VMware vSphere Client можно задать статический MAC, но только из диапазона 00:50:56:00:00:00 - 00:50:56:FF:FF:FF.

Изменить можно так же с помощью редактирования VMX-файла VM, при этом можно присвоить любой MAC-адрес.

Алгоритм:

1. Выключаем VM.

2. копируем vmx-файл на рабочую станцию.

3. Меняем значение ethernet0.addressType с “vpx” на “static”.

4. Меняем ethernet0.GeneratedAddress на ethernet0.Address и пишем нужный MAC:

ethernet0.address = "00:10:43:45:14:CC"

5. Включаем VM.

PS: иногда система не перечитывает vmx файл при запуске - как итог имеем случай, что VM оказывается со старым MAC-адресом.

Такой случай решается очень просто:

1. Выключаем VM

2. заходим в консоль ESXi по SSH.

3. Выполняем 2 команды:

vim-cmd vmsvc/getallvms |grep

Результат будет примерно таким:

32 SRVTST [Test] SRVTST/SRVTST.vmx rhel5Guest vmx-07 Test Server

32 - это Inventory ID виртуальной машины.

Перезагружаем файл VM:

vim-cmd vmsvc/reload 32

Copy/Paste в vSphere Client 4.1

В лабе часто приходиться копиравать фаилы с виртуальной машины на комп и обратно. Что бы мы смогли копиравать фаилы когда подключены к виртуальной машине с помощью vSphere Client 4.1 консоли вам надо будет сделатъ следующее:
Залогиниться на vCenter Server и выключить ту машину на которой нам понадобился даный функционал
Кликаем Edit Settings
Заходим Options > Advanced > General а потом Configuration Parameters
Добавляем новый Raw: isolation.tools.copy.disable – false
Добавляем новый Raw: isolation.tools.paste.disable – false
Кликаем два раза ОК и запускаем нашу машину.

А что бы данный функционал заработал бы на всех машинах на ESX/ESXi хосте делаем следующее:
Заходим на консоль ESX-а и открываем файл /etc/vmware/config
Добавляем линии: isolation.tools.copy.disable=”FALSE”, isolation.tools.paste.disable=”FALSE” и запоминаем наш фаил.
Делаем рестарт нашим машинам.

P.S. Не хорошо использовать данный функционал в продакшене. В целях безопасности не стоит его включать.

Источник

Параметры VMX или защита ВМ

Очень нужная статья о дырах безопасности из-за vmware-tools.

Для VMXNet3 нужно писать: vmxnet3.noOprom="true"

USB safely remove virtual nic

Те из вас, кто работает с vSphere, уже наверное сталкивались с особенностью виртуальных сетевых контроллеров - они теперь USB.
Теперь мы не ограничены количеством PCI слотов, и можем добавлять до 10 vNIC на одну ВМ, но так же пользователь даже с юзерскими правами можеть удалить vNIC как USB устройство.

Решение:

в свойствах VM -> Options -> General -> Configuration Parameters

добавить параметр:

Name: devices.hotplug

Value: false

К сожалению этим мы отключаем возможность горячего добавления устройств.

Источник

Рекомендации по правке VMX файлов с точки зрения безопасности

Автор рассказывает про недоработки\уязвимости в VMware tools для некоторых ситуаций.
Например, пользователь на терминальном\citrix сервере без прав администратора может запустить VMware tools, затем отключить сетевую карту. Отключится она для всего сервера(всей ВМ).

Лечится прописыванием в vmx параметров

isolation.device.connectable.disable = "true"

isolation.device.edit.disable = "true"

Еще, пользователь не администратор может там же изменить настройку "Синхронизовать время с SC". Опять же, это может доставить неприятностей.

Рекомендации:

isolation.device.connectable.disable = "true"
isolation.device.edit.disable = "true"
isolation.tools.setOption.disable = "true"
isolation.tools.log.disable = "true"
isolation.tools.diskWiper.disable = "true"
isolation.tools.diskShrink.disable = "true"
isolation.tools.copy.disable = "true"
isolation.tools.paste.disable = "true"
isolation.tools.setGUIOptions.enable = "false"
log.rotateSize = "100000"
log.keepOld = "10"
vlance.noOprom = "true"
vmxnet.noOprom = "true"

# PXE boot on the e1000 vNIC can be disabled with this directive:
ethernet0.opromsize = "0"
Источник

и еще один - Hardening the VMX File: How Your Servers May Already be 0wned by Your Users