von Redaktion IT-A…
Lesezeit
4 Minuten
Seite 2 - vSphere: Best Practices für Infrastruktur, Betrieb & Troubleshooting (3)
Potenzielle Probleme suchen mit Runecast Analyzer
Kommt es zu einer Störung in der VMware-Umgebung, können Kapazitäts- und Performanceoptimierungswerkzeuge nur bedingt weiterhelfen, da die allermeisten Ausfälle durch Bugs, Inkompatibilitäten, Treiberprobleme oder auch Fehlkonfigurationen verursacht werden. Würden Sie sich die Mühe machen, die Logdateien, die vSphere und seine Managementplattform vCenter erzeugen, zu analysieren, könnten Sie viele Probleme bereits im Vorfeld identifizieren, da die bekannten Probleme in der VMware-Knowledge-Base (KB) ausführlich dokumentiert sind. Doch dies scheitert zumeist an der Zeit und an der niedrigen Personaldecke in der IT-Abteilung. Die VMware-KB umfasst weit über 30.000 Einträge und fast täglich kommen neue hinzu. Da ist es nahezu unmöglich, die eigene Infrastruktur proaktiv auf Probleme zu untersuchen. Oftmals entstehen Probleme durch spezielle Hardware-, Firmware- und Treiber-Kombinationen. Diese zu finden ist eine Sisyphos-Aufgabe für eine Person.
Hier kann das Werkzeug "Runecast Analyzer" [5] helfen: Der Runecast-Erfinder Stanimir Markov hat zusammen mit einem Team von sehr erfahrenen VMware-Architekten und Supportspezialisten im Jahr 2014 das Unternehmen gegründet, um die zeitaufwendige Analyse und Fehlersuche in vSphere-Umgebungen zu automatisieren. Um es vorwegzunehmen: Runecast Analyzer ist kein Monitoringtool im herkömmlichen Sinne. Es ist vergleichbar mit einer Abteilung, die permanent die VMware-KB durchforstet, mit der eigenen Infrastruktur abgleicht und auf potenzielle Probleme, Sicherheitslücken, Unverträglichkeiten oder Empfehlungen von Sicherheitsbehörden hinweist.
Herkömmliche Monitoringtools filtern Log-Daten und zeigen Einträge an. Runecast Analyzer geht einen Schritt weiter. Es zeigt das Problem, erklärt was es bedeutet, wer davon betroffen ist (welche VM, welcher Host) und wie Sie es beseitigen sollten. Hinter der Runecast-Datenbank stehen Algorithmen und erfahrene Experten, die die Datenbank permanent pflegen und erweitern.
Installation und initiale Konfiguration
Die Einfachheit der Bedienung von Runecast fängt bei der für VMware-Administratoren trivialen Installation an: Wie nahezu alle Produkte, die vSphere in seiner Funktionalität erweitern, kommt Runecast als Appliance im OVF-Format daher und wird assistentengeführt bereitgestellt. Danach müssen Sie den Runecast Analyzer nur noch mit den zu analysierenden vSphere-Umgebungen verbinden. Dazu ist ein vSphere-Benutzer notwendig, prinzipiell genügen bereits Leserechte auf der virtuellen Infrastruktur.
Nach der Einrichtung kann auch der erste Analysevorgang sofort starten. Schon nach dem ersten Scan sehen Sie im Dashboard, wo potenzielle Probleme schlummern. Runecast Analyzer prüft gegen die VMware-KB, scannt vSphere-Logdateien, gibt Best-Practices-Empfehlungen oder Ratschläge zum Security Hardening. Die aktuelle Version begutachtet vSphere, vSAN, NSX und Horizon. Die Compliance wird geprüft gegen DISA-STIG, PCI DSS, HIPAA und VMware Guidelines. Die Lizensierung erfolgt auf Basis der ESX-CPU-Sockel.
Auch im Hinblick auf Datenschutz ist die Arbeitsweise von Runecast interessant. Es werden zu keinem Zeitpunkt Daten nach außen gegeben. Die Appliance kann komplett offline arbeiten und auch die regelmäßige Aktualisierung kann über ein ISO-Image erfolgen. Eine Internetverbindung erleichtert also nur die Aktualisierung der Appliance, Daten über die Umgebung verlassen dabei nie das Unternehmen.
Aus Sicht von vSphere ist Runecast ein einfacher Syslog-Server, der entweder exklusiv oder zusätzlich zu anderen Syslog-Zielen konfiguriert werden kann. Zusätzlich bedient sich Runecast noch der vSphere-API, um Konfigurationen, Versionsnummern und Hardware-Informationen auszulesen.
Analyse der Konfiguration
Wenn Sie einen ersten oberflächlichen Blick auf die Liste der problematischen Konfigurationen werfen, finden Sie dort vieles, was sie bereits erwartet haben, sofern Ihnen Hardening Guides und Best-Practice-Dokumente nicht fremd sind. MAC-Adressänderungen sollten doch verboten sein, der SSH-Zugang verschlossen und natürlich ein NTP-Server konfiguriert und der NTP-Dienst auch aktiv sein. Diese Information ist meist bereits im Bewusstsein des versierten Administrators und ein Health Check der Umgebung fördert sie auch schnell zu Tage. Runecast geht aber hier die entscheidenden Schritte weiter.
So werden manche Konfigurationen erst aufgrund einer bestimmten Kombination von Komponenten und Versionen zum Problem. Durch das Auslesen der Konfiguration von Host und VM wird Runecast auf diese Zusammenhänge aufmerksam und warnt den Administrator eindringlich. Erweitern Sie diese Ansicht, können Sie die Details des dazugehörigen KB-Artikels oder Guides nachlesen und sehen, welche Objekte genau von diesem Problem betroffen sind. Mit Hilfe von Runecast werden Sie somit auf riskante Konfigurationen aufmerksam und können sie beheben, bevor sie Schlimmeres verursachen.
Die Unterstützung durch Runecast geht sogar so weit, dass die Software durch das Vergleichen der bestehenden Konfiguration mit der Knowledge Base etwaige Fallstricke schon deutlich macht, bevor Sie tatsächlich darauf stoßen. So können Sie beispielsweise Fault Tolerance (FT) nicht auf einer VM aktivieren, wenn Ihre virtuelle Netzwerkkarte eine Intel E1000e ist. Wenn die vSphere-Administratoren nichts von diesem Sachverhalt wissen, kann es in Umgebungen ohne Runecast zu längerem Troubleshooting und Neukonfigurieren der VM kommen. Runecast hingegen zeigt bereits dann, wenn es Maschinen mit dieser speziellen Netzwerkkarte findet, dass dieses Feature nicht möglich ist, also noch bevor jemand FT aktivieren möchte.
Jede VMware-Umgebung ist anders. So sind Best Practices und Sicherheitsempfehlungen eben konfigurierbar und nicht statisch gesetzt. Nicht alle dieser Einstellungen passen für alle Umgebungen. Im Umgang mit Runecast bedeutet dies, dass Sie Filter für die Übereinstimmungen mit den Empfehlungen setzen können. Ist es nicht möglich, sich für jede Portgruppe an den Hardening Guide zu halten, blenden Sie dies global oder nur für einzelne Objekte im vSphere-Inventar aus.
Je nachdem wie sehr Sie sich bis dato also an Hardening Guides und Best Practices gehalten haben, verfügen Sie eventuell jetzt schon über eine lange Liste, wie Sie Ihre Umgebung optimieren – und das, bevor Runecast eine einzige Logdatei analysiert hat. Um auch dies zu tun, müssen Sie das Senden der Logs von ESXi Hosts und VMs im Einstellungsmenü konfigurieren, wo Sie unter anderem auch die E-Mail-Benachrichtigung aktivieren und die Filter bearbeiten. Hat der dementsprechende User nun die bereits erwähnten Rechte, ist dies mit ein paar Klicks für die gesamte Umgebung aktiviert.
Nun werden zusätzlich zur Konfiguration auch die Logs untersucht, das heißt Runecast vergleicht die Meldungen mit Textmustern aus der Knowledge Base und spürt dabei Probleme auf, die so erstmal nicht als Fehlkonfiguration aufschlagen. Eine ungünstige Kombination von ESXi, NetQueue und Jumbo Frames beispielsweise zehrt den Arbeitsspeicher des Hosts auf. Ohne die Loganalyse von Runecast würden Ihnen bei diesem Problem zunächst die Arbeitsspeicherauslastung des Hosts und die Verbindungsabbrüche der Netzwerkkarte auffallen, eine offensichtliche Fehlkonfiguration wäre nicht ersichtlich. Manuelle Fehlersuche oder der VMware-Support und viel Zeitaufwand wären die Folge. Runecast-Anwender werden hier bereits dann informiert, wenn die ersten Symptome in den Logs auftauchen.
Fazit
Schnell schleichen sich auch in gut geplante und gewartete virtuelle Umgebungen Fehler ein, die sich auf den stabilen Betrieb auswirken. Dabei muss längst nicht immer die Schuld beim Administrator liegen, auch unerwartete Inkompatibilitäten legen möglicherweise Server oder Netzwerke lahm. Glücklicherweise bietet die VMware-Landschaft praktische Werkzeuge, mit denen sich Fehler teilweise sogar proaktiv aufspüren und beheben lassen.
Seite 2: Probleme suchen mit Runecast Analyzer
Im ersten Teil des Workshops warfen wir einen Blick auf die Hardware Compatibility List und gingen Fehlerquellen in DNS und LAN auf den Grund. In der zweiten Folge schauten wir uns die Erzeugung von vSwitches und Distributed Switches an und haben das Ressourcen-Pool-Paradoxon erklärt.
dr/ln/Dr. Jens Söldner und Dr. Michael Schröder
[5] www.runecast.com
Kommt es zu einer Störung in der VMware-Umgebung, können Kapazitäts- und Performanceoptimierungswerkzeuge nur bedingt weiterhelfen, da die allermeisten Ausfälle durch Bugs, Inkompatibilitäten, Treiberprobleme oder auch Fehlkonfigurationen verursacht werden. Würden Sie sich die Mühe machen, die Logdateien, die vSphere und seine Managementplattform vCenter erzeugen, zu analysieren, könnten Sie viele Probleme bereits im Vorfeld identifizieren, da die bekannten Probleme in der VMware-Knowledge-Base (KB) ausführlich dokumentiert sind. Doch dies scheitert zumeist an der Zeit und an der niedrigen Personaldecke in der IT-Abteilung. Die VMware-KB umfasst weit über 30.000 Einträge und fast täglich kommen neue hinzu. Da ist es nahezu unmöglich, die eigene Infrastruktur proaktiv auf Probleme zu untersuchen. Oftmals entstehen Probleme durch spezielle Hardware-, Firmware- und Treiber-Kombinationen. Diese zu finden ist eine Sisyphos-Aufgabe für eine Person.
Hier kann das Werkzeug "Runecast Analyzer" [5] helfen: Der Runecast-Erfinder Stanimir Markov hat zusammen mit einem Team von sehr erfahrenen VMware-Architekten und Supportspezialisten im Jahr 2014 das Unternehmen gegründet, um die zeitaufwendige Analyse und Fehlersuche in vSphere-Umgebungen zu automatisieren. Um es vorwegzunehmen: Runecast Analyzer ist kein Monitoringtool im herkömmlichen Sinne. Es ist vergleichbar mit einer Abteilung, die permanent die VMware-KB durchforstet, mit der eigenen Infrastruktur abgleicht und auf potenzielle Probleme, Sicherheitslücken, Unverträglichkeiten oder Empfehlungen von Sicherheitsbehörden hinweist.
Bild 4: Alles auf einen Blick: Das übersichtliche Dashboard von Runecast Analyzer.
Herkömmliche Monitoringtools filtern Log-Daten und zeigen Einträge an. Runecast Analyzer geht einen Schritt weiter. Es zeigt das Problem, erklärt was es bedeutet, wer davon betroffen ist (welche VM, welcher Host) und wie Sie es beseitigen sollten. Hinter der Runecast-Datenbank stehen Algorithmen und erfahrene Experten, die die Datenbank permanent pflegen und erweitern.
Installation und initiale Konfiguration
Die Einfachheit der Bedienung von Runecast fängt bei der für VMware-Administratoren trivialen Installation an: Wie nahezu alle Produkte, die vSphere in seiner Funktionalität erweitern, kommt Runecast als Appliance im OVF-Format daher und wird assistentengeführt bereitgestellt. Danach müssen Sie den Runecast Analyzer nur noch mit den zu analysierenden vSphere-Umgebungen verbinden. Dazu ist ein vSphere-Benutzer notwendig, prinzipiell genügen bereits Leserechte auf der virtuellen Infrastruktur.
Nach der Einrichtung kann auch der erste Analysevorgang sofort starten. Schon nach dem ersten Scan sehen Sie im Dashboard, wo potenzielle Probleme schlummern. Runecast Analyzer prüft gegen die VMware-KB, scannt vSphere-Logdateien, gibt Best-Practices-Empfehlungen oder Ratschläge zum Security Hardening. Die aktuelle Version begutachtet vSphere, vSAN, NSX und Horizon. Die Compliance wird geprüft gegen DISA-STIG, PCI DSS, HIPAA und VMware Guidelines. Die Lizensierung erfolgt auf Basis der ESX-CPU-Sockel.
Auch im Hinblick auf Datenschutz ist die Arbeitsweise von Runecast interessant. Es werden zu keinem Zeitpunkt Daten nach außen gegeben. Die Appliance kann komplett offline arbeiten und auch die regelmäßige Aktualisierung kann über ein ISO-Image erfolgen. Eine Internetverbindung erleichtert also nur die Aktualisierung der Appliance, Daten über die Umgebung verlassen dabei nie das Unternehmen.
Aus Sicht von vSphere ist Runecast ein einfacher Syslog-Server, der entweder exklusiv oder zusätzlich zu anderen Syslog-Zielen konfiguriert werden kann. Zusätzlich bedient sich Runecast noch der vSphere-API, um Konfigurationen, Versionsnummern und Hardware-Informationen auszulesen.
Analyse der Konfiguration
Wenn Sie einen ersten oberflächlichen Blick auf die Liste der problematischen Konfigurationen werfen, finden Sie dort vieles, was sie bereits erwartet haben, sofern Ihnen Hardening Guides und Best-Practice-Dokumente nicht fremd sind. MAC-Adressänderungen sollten doch verboten sein, der SSH-Zugang verschlossen und natürlich ein NTP-Server konfiguriert und der NTP-Dienst auch aktiv sein. Diese Information ist meist bereits im Bewusstsein des versierten Administrators und ein Health Check der Umgebung fördert sie auch schnell zu Tage. Runecast geht aber hier die entscheidenden Schritte weiter.
So werden manche Konfigurationen erst aufgrund einer bestimmten Kombination von Komponenten und Versionen zum Problem. Durch das Auslesen der Konfiguration von Host und VM wird Runecast auf diese Zusammenhänge aufmerksam und warnt den Administrator eindringlich. Erweitern Sie diese Ansicht, können Sie die Details des dazugehörigen KB-Artikels oder Guides nachlesen und sehen, welche Objekte genau von diesem Problem betroffen sind. Mit Hilfe von Runecast werden Sie somit auf riskante Konfigurationen aufmerksam und können sie beheben, bevor sie Schlimmeres verursachen.
Die Unterstützung durch Runecast geht sogar so weit, dass die Software durch das Vergleichen der bestehenden Konfiguration mit der Knowledge Base etwaige Fallstricke schon deutlich macht, bevor Sie tatsächlich darauf stoßen. So können Sie beispielsweise Fault Tolerance (FT) nicht auf einer VM aktivieren, wenn Ihre virtuelle Netzwerkkarte eine Intel E1000e ist. Wenn die vSphere-Administratoren nichts von diesem Sachverhalt wissen, kann es in Umgebungen ohne Runecast zu längerem Troubleshooting und Neukonfigurieren der VM kommen. Runecast hingegen zeigt bereits dann, wenn es Maschinen mit dieser speziellen Netzwerkkarte findet, dass dieses Feature nicht möglich ist, also noch bevor jemand FT aktivieren möchte.
Jede VMware-Umgebung ist anders. So sind Best Practices und Sicherheitsempfehlungen eben konfigurierbar und nicht statisch gesetzt. Nicht alle dieser Einstellungen passen für alle Umgebungen. Im Umgang mit Runecast bedeutet dies, dass Sie Filter für die Übereinstimmungen mit den Empfehlungen setzen können. Ist es nicht möglich, sich für jede Portgruppe an den Hardening Guide zu halten, blenden Sie dies global oder nur für einzelne Objekte im vSphere-Inventar aus.
Je nachdem wie sehr Sie sich bis dato also an Hardening Guides und Best Practices gehalten haben, verfügen Sie eventuell jetzt schon über eine lange Liste, wie Sie Ihre Umgebung optimieren – und das, bevor Runecast eine einzige Logdatei analysiert hat. Um auch dies zu tun, müssen Sie das Senden der Logs von ESXi Hosts und VMs im Einstellungsmenü konfigurieren, wo Sie unter anderem auch die E-Mail-Benachrichtigung aktivieren und die Filter bearbeiten. Hat der dementsprechende User nun die bereits erwähnten Rechte, ist dies mit ein paar Klicks für die gesamte Umgebung aktiviert.
Nun werden zusätzlich zur Konfiguration auch die Logs untersucht, das heißt Runecast vergleicht die Meldungen mit Textmustern aus der Knowledge Base und spürt dabei Probleme auf, die so erstmal nicht als Fehlkonfiguration aufschlagen. Eine ungünstige Kombination von ESXi, NetQueue und Jumbo Frames beispielsweise zehrt den Arbeitsspeicher des Hosts auf. Ohne die Loganalyse von Runecast würden Ihnen bei diesem Problem zunächst die Arbeitsspeicherauslastung des Hosts und die Verbindungsabbrüche der Netzwerkkarte auffallen, eine offensichtliche Fehlkonfiguration wäre nicht ersichtlich. Manuelle Fehlersuche oder der VMware-Support und viel Zeitaufwand wären die Folge. Runecast-Anwender werden hier bereits dann informiert, wenn die ersten Symptome in den Logs auftauchen.
Fazit
Schnell schleichen sich auch in gut geplante und gewartete virtuelle Umgebungen Fehler ein, die sich auf den stabilen Betrieb auswirken. Dabei muss längst nicht immer die Schuld beim Administrator liegen, auch unerwartete Inkompatibilitäten legen möglicherweise Server oder Netzwerke lahm. Glücklicherweise bietet die VMware-Landschaft praktische Werkzeuge, mit denen sich Fehler teilweise sogar proaktiv aufspüren und beheben lassen.
Seite 2: Probleme suchen mit Runecast Analyzer
Im ersten Teil des Workshops warfen wir einen Blick auf die Hardware Compatibility List und gingen Fehlerquellen in DNS und LAN auf den Grund. In der zweiten Folge schauten wir uns die Erzeugung von vSwitches und Distributed Switches an und haben das Ressourcen-Pool-Paradoxon erklärt.
| << Vorherige Seite | Seite 2 von 2 |
dr/ln/Dr. Jens Söldner und Dr. Michael Schröder
[5] www.runecast.com
