SyntaxHighlighter

2015年11月22日日曜日

仮想マシンが起動しない

vR Ops のレポートで過剰ストレスの仮想マシンをでっちあげるためにずっと高負荷状態で運用していたのが悪かったのか、いつのまにか vCenter から仮想マシンの起動・停止操作ができない状態になっていました。

症状:

  • vCenter Server から仮想マシンの起動やシャットダウンができない。
  • vSphere Web Client では何もエラーは表示されず、ただ無視されるような状態。
  • vSphere Client で見ると「一般的なシステムエラーが発生しました:Connection refused」というエラーが出ている。
  • vSphere Client で ESXi に接続して操作すれば、起動・停止共に可能。
  • ESXi Shell での起動・停止も勿論可能。

解決方法:

ESXi Shell で、
# /etc/init.d/vpxa restart

2015年11月21日土曜日

vRealize Operations Manager 6.1 感想

別にこれで vR Ops ネタ終了というわけでないのですが、とりあえずこれまで使ってみた感想を。
vR Opsは非常に高機能なツールだと思います。使いこなせれば値段分の価値は充分あると思います。
ただ、じゃあ誰でも簡単に使いこなせるかというと、個人的にはとても難しいと思います。直感的に操作できるなどと謳われていますが、私は全く直感的には扱えませんでした。まず、設定が非常に難しいです。本番環境なのか検証環境なのかや、負荷の発生の仕方によって適切にポリシーを設定すべきとされているのですが、その「ポリシーを適切に設定する」ことが、まず素人には難しすぎます。どういうポリシーが適切なのか、抽象的な表現はあれど、具体的な設定について教えてくれる資料も人も存在しません。ググってもそういう情報は無いです。稀にあっても古くて使えなかったり・・・。購入前であれば VMware 社の SE が協力して多少は教えてくれるかもしれませんが、売れてしまえば終わりでしょう。サポートとやり取りして理解するには酷すぎるレベルですし、サポートは顧客の環境に適したポリシーのアドバイスなどしてくれはしないでしょう。無償のハンズオントレーニングなどに参加しても、インストールしてちょっと触ってみる程度で、使いこなすレベルまではいきません。
データの見方も難しいです。技術者向けの資料なんかには、vR Ops が出してくるデータの計算方法を理解しろ、そうしないと正しい評価はできないとか書いてあるんですよ。そんなの vR Ops 専門にやってるような技術者じゃないと無理でしょ・・・。用語も非常にとっつきにくい。「シンプトム」とか「アノマリ」とか言われてすぐピンとくる人ってどれだけいるんですかね。
なので、vR Ops を導入するなら、入れておしまいではなく、環境に合わせた適切なポリシーを設定し、初回のレポーティングをするところまでを導入業者の責任範囲として指定して、教育もしてもらうのがベストだと思います。そうじゃないと、入れただけ、無駄にリソース食ってるだけで使ってない、という存在になってしまう可能性が高いと思います。無料版を使うならまぁそれでもいいかもしれないですけど。有料版を入れるなら。勿論その分のコストは請求されることになるので、ライセンス費用+その分のコストまで含めた金額で、要・不要を判断するのがいいかと。

以上を踏まえたうえでも、やっぱりそもそもの性質として向いてると思う環境と、向いていないと思う環境があるので条件を書いてみます。

向いてると思う環境の条件
1個でもあてはまれば。

  • vR Ops のライセンス費用や消費リソースなど誤差の範囲だ。フハハハ。
  • 中~大規模(目安として100仮想マシン以上)な環境。
  • クラウド事業者、もしくは(半)自動運用されているプライベートクラウド提供基盤。
  • 仮想マシンの増減が激しい。
  • パフォーマンス問題がそれなりの頻度で発生している。
  • 定期的にリソース増強を行っている。
  • 現状より統合率を高めたい。
  • 平常時からオーバーコミット状態で運用している。
  • vCenter のパフォーマンスグラフに常々不満を抱いている。
  • IT技術者で構成される運用チームが存在する。
  • VMware もしくは SIer の営業やSEをいつでも呼びつけられるお得意様である。
  • 新しいもの好き、分析好き、凝り性、マニアック、積極的、チャレンジ精神旺盛、自己解決、難しいことにわくわくする、といったキーワードにあてはまる。

向いていないと思う環境の条件

  • 小規模環境。
  • 仮想マシンの増減がほとんどない。
  • 1度構築したらハードウェアの EOSL を迎えてリプレースになるまでそのまま運用する可能性が高い。
  • パフォーマンスが問題になることがめったにない。あってもすぐに解決できる。
  • 統合率を向上する必要性を感じていない。
  • vCenter もしくは他の既存ツールのパフォーマンスグラフで得られる情報で満足している。
  • 運用チームが無い、もしくは一般職員で構成される運用チーム。
  • 製品サポート以外にサポートを受けられそうにない。
  • 難しいことや複雑なことが嫌いである。
  • 買っておいて使いこなせなかったら問題になる/責任を問われる。

買う前に既存の環境に評価版を入れてみるのが一番いいと思います。 自力で入れて設定できるような運用部隊をお持ちの場合は全く問題なし。 そうでない場合は、買うときの候補となる SIer に頼めば導入から評価まで手伝ってくれるでしょう。手伝ってくれないような SIer からは買わないほうがいいです。ただ、完全に SIer にお任せにしてしまうと、結局買った後に使いこなせないので、買った後の運用を意識して、うまく SIer を使いつつナレッジを得られるように頑張りましょう。

2015年11月17日火曜日

vRealize Operations Manager 6.1 カスタムレポート

デフォルトのレポートのままだと1レポート1ビューなので、見たい情報をまとめたカスタムレポートを作成してみます。

  1. レポート対象にしたい環境を表示した状態で、右ペインで[レポート]タブを開き、[レポートテンプレート]ボタンをクリックして[+]のアイコンをクリック。
  2. [名前]にレポート名を入力して[2.ビューとダッシュボード]をクリック。
  3. レポートに出力したいビューを左ペインから右ペインにドラッグ&ドロップで配置する。右ペインに配置した際に、実際に出力される情報のプレビューも表示される。右ペイン内で項目をドラッグ&ドロップして並び順も変えられる。ビューを配置し終わったら[3.形式]をクリック。
  4. ファイル形式が選べるが特に変更する必要がなければ[4.レイアウトオプション]をクリック。
  5. [表紙][目次][フッター]にチェックを入れる。表紙の画像を差し替えたい場合は[参照]ボタンを押して画像ファイルを指定する(画像を変える場合は下の詳細も参考にしてください)。終わったら[保存]ボタンをクリック。
  6. 作成したテンプレートを選択した状態で、[テンプレートの実行]ボタンをクリックしてレポート作成。

オリジナルレポートのサンプルを2つのっけておきます。表紙の写真はフリー写真素材ぱくたそさんからもらってきました。

表紙の画像差し替えについての詳細。差し替えられる画像は1つだけ。サイズは 5MB までで、対応フォーマットは png, gif, jpg, bmp で、画像のサイズは 8.5 インチ× 11 インチ。サイズがあっていない場合は勝手にリサイズされ、上のサンプルレポートを見てわかる通り、横幅は一杯、縦は上から下 5 分の 4 ぐらいまでの背景にされます。レポート名は白字、レポート対象や生成日時などの情報は黒字固定なので、コントラストを考慮した背景にしないと見にくいです。レポートテンプレート編集時のプレビュー画面は実際に生成されるものとは画像の位置も文字色も合っていないので、実際にレポート生成して確かめる必要があります。以下は、横は 0.5 インチ単位、縦は 1 インチ単位でグリッドを引いた、8.5 インチ× 11 インチ画像を使ったレポートです。

上から 6 インチ~ 7 インチがレポート名、7 インチ~ 9 インチが生成情報部分ですね。というわけで、以下のサンプルのように、6 インチ~ 7 インチの部分に暗い背景が、7 インチ~ 9 インチの部分に明るい背景が来るようにデザインを調整するといいです。

2015年11月15日日曜日

vRealize Operations Manager 6.1 のレポートのサンプル

vR Ops 6.1 のデフォルトのレポートテンプレート53個のレポートを生成してみました。複数の対象範囲を指定できるレポートは、一番広い範囲を対象にしています。 タイトルをクリックするとサンプルのレポートPDFをダウンロードできます。

▼対象:vSphere World

VMware Tools のステータスのサマリ
仮想マシンの一覧。仮想マシン名、電源状態、VMware Toolsの状態、ゲストOSの種類、IP、所属クラスタ、所属vCenter。
アイドル中の仮想マシン レポート
電源が入っているもののアイドル状態の仮想マシンの一覧。仮想マシン名、CPUのアイドル時間(%)、ネットワークIOのアイドル時間(%)、ディスクIOのアイドル時間(%)、ディスク領域の使用可能なキャパシティ(GB)、消費メモリ。
クラスタのキャパシティ リスク予測レポート
クラスタ名、電源ONの仮想マシンの数、実行中のESXiホストの数、残りキャパシティ(30日/60日/90日の予測%)。
クラスタ構成のサマリ
クラスタの構成情報。クラスタ名、CPUリソース、メモリリソース、HA/DRSの設定、ESXiホスト数、仮想マシン数、データストア数、所属DC、所属vCenter。
データストア インベントリ - IO レポート
データストアのIOに関する統計情報。データストア名、最大/平均IOPS、最大/平均読み書き速度。
データストア インベントリ - ディスク領域レポート
データストアの使用量に関する情報。データストア名、総容量、使用量、プロビジョニング済み容量、オーバーヘッド、キャパシティ競合(%)。
データストアのキャパシティ リスク予測レポート
仮想マシン数の増加予測。30日/60日/90日での予測仮想マシン数。仮想マシンの追加が頻繁にある環境でないと意味ないレポート。
データストアの最小最大平均 IOPS 30 日リスト ビュー レポート
データストアごとのdevices:Aggregate of all instances|commandsAveraged_average(Max/Min/AVG)。
データストアの使用領域(%)の分布レポート
何なのかよくわからない棒グラフ。
データストアの浪費リスト ビュー レポート
データストア単位で、アイドル・パワーオフ・過剰サイズの仮想メモリ領域のサイズ、テンプレート領域のサイズ、スナップショット領域のサイズを表示。
ホスト ステータスのサマリ
ESXiホストの一覧。名前、接続状態、メンテナンスモードかどうか、ESXiのバージョン、所属クラスタ、所属vCenter。
ホスト ハードウェアのサマリ
ESXiホストのCPU、電力管理技術、メモリ、NIC、BIOSバージョンの一覧。
ホストの CPU デマンド(%)の分布レポート
何なのかよくわからない棒グラフ。
ホストのメモリ使用量(%)の分布レポート
何なのかよくわからない棒グラフ。
ホストの重要なサービスのサマリ
ESXiホストごとに、SSH/NTP/ESXiシェル/ダイレクトコンソールUIが実行中かどうかを表示。
仮想マシン インベントリ - CPU レポート
仮想マシンごとにCPUの競合(%)、デマンド(%)、使用量(%)、残り時間(日)、残りキャパシティ(%)を表示。
仮想マシン インベントリ - ディスク領域レポート
仮想マシンごとのディスクの割当サイズ(GB)と使用量(%)と節約可能な領域(スナップショット領域)のサイズ(GB)。パワーオン状態の仮想マシンしか表示されない。
仮想マシン インベントリ - データストア IO レポート
仮想マシンごとのIOに関する統計情報。最大/平均IOPS、最大/平均読み書き速度(Bps)、読み書き遅延(ms)。
仮想マシン インベントリ - メモリ レポート
仮想マシンごとにメモリの競合(%)、使用量(%)、残り時間(日)、残りキャパシティ(%)を表示。
仮想マシン ハードウェアのサマリ
仮想マシンの構成情報一覧。仮想マシン名、パワー状態、ゲストOSの種類、vCPU・メモリ・ディスク・NICの割当て、IP、所属クラスタ、所属vCenter。
仮想マシンによって構成された OS とゲスト内 OSの比較
仮想マシン作成時に指定したゲストOSの種類と実際にインストールされているゲストOSの種類の比較。実際のほうはVMware Toolsから情報を取ってくるようで電源OFFのマシンについては - になる。
仮想マシンの CPU 使用量(%)の分布レポート
仮想マシンのCPU使用量(%)を横軸に、仮想マシンの個数を縦軸にとった棒グラフ。目盛りが切りのいい数字じゃないしなんか微妙。
仮想マシンの IOPS の分布レポート
仮想ディスク:Aggregate of all instance|1秒あたりのコマンド数の円グラフ。なんだかよくわからないうえに分類の数値も微妙。
仮想マシンのメモリ使用量(%)の分布レポート
仮想マシンのメモリ使用量(%)を横軸に、仮想マシンの個数を縦軸にとった棒グラフ。目盛りが切りのいい数字じゃないしなんか微妙。
仮想マシンの最小最大平均 IOPS 30 日リスト ビュー レポート
仮想マシンごとのvirtualDisk:Aggregate of all instances|commandsAveraged_average(Max/Min/AVG)。
仮想マシンの最小最大平均ネットワーク使用量(KBps) 30 日リスト ビュー レポート
仮想マシンごとの Network I/O|Usage Rate(KBps)(Max/Min/AVG)。
仮想マシンの構成サマリ リスト ビュー レポート
仮想マシンの構成情報一覧(簡易版)。仮想マシン名、パワー状態、vCPU・メモリ・ディスク・NIC数の割当て。
過剰サイズ仮想マシン レポート
仮想マシンごとのCPU・メモリ・ディスクの現在の割当てと節約可能リソースの表示。
過剰ストレスの仮想マシン レポート
仮想マシンごとのCPU・メモリ・ディスクの現在の割当てと推奨値の表示。こちらは割当が不足している仮想マシンが表示される。
長時間パワーオフ状態の仮想マシンの節約可能なディスク領域レポート
ディスク領域という名称になっているが、実際の中身はパワーオフ状態の仮想マシンのCPU(MHz)とメモリ(KB)の表示。

▼対象:vCeter Server

vCenter ホストの成長トレンド ビュー レポート
vCenter Server 数の増加予測。
vCenter 仮想マシンの成長トレンド ビュー レポート
レポート対象の vCenter Server 配下の仮想マシン数の増加予測。

▼対象:データセンター

データセンター ホストの成長トレンド ビュー レポート
データセンター数の増加予測。
データセンター仮想マシンの成長トレンド ビュー レポート
レポート対象のデータセンター配下の仮想マシン数の増加予測。
データセンターの CPU 使用量(MHz)トレンド ビュー レポート
レポート対象のデータセンターのCPU使用量と予測の線グラフ。
データセンターのネットワーク使用量(KBps)トレンド ビュー レポート
レポート対象のデータセンターのネットワーク使用量(KBps)と予測の線グラフ。

▼対象:クラスタ

クラスタの CPU デマンド(%)トレンド ビュー レポート
レポート対象のクラスタのCPUデマンドと予測の線グラフ。
クラスタの IOPS トレンド ビュー レポート
レポート対象のクラスタのIOPS(ディスク|1 秒あたりのコマンド数)と予測の線グラフ。
クラスタのネットワーク使用量(KBps)トレンド ビュー レポート
レポート対象のクラスタのネットワーク使用量(KBps)と予測の線グラフ。
クラスタのメモリ使用量とデマンド(%)トレンド ビュー レポート
レポート対象のクラスタのメモリ使用量、ストレスなしのデマンド、デマンド、と予測の線グラフ。
クラスタの仮想マシン成長トレンド ビュー レポート
レポート対象のクラスタ配下の仮想マシン数の増加予測。
クラスタの平均遅延(ms)トレンド ビュー レポート
レポート対象のクラスタの平均遅延(ms)と予測の線グラフ。
ホストのメモリ使用量とデマンド(%)トレンド ビュー レポート
バグなのか?クラスタを対象に出力できるのでしたが、そうするとタイトルは「ホストの」だが、ホスト単位に出力されるわけではなく、「クラスタのメモリ使用量とデマンド(%)トレンド ビュー レポート」と全く同じになる。多分本来はホストを対象に出力する想定のレポート。

▼対象:ホスト

ホストの CPU デマンドおよび使用量 (%) トレンド ビュー レポート
レポート対象のホストのCPUデマンドと使用量と、予測の線グラフ。

▼対象:リソースプール

リソース プールの CPU デマンド(MHz)トレンド ビュー レポート
レポート対象のリソース プールのCPUデマンドと予測の線グラフ。
リソース プールのメモリ使用量(%)の予測トレンド レポート
レポート対象のリソース プールのメモリ使用量(%)と予測の線グラフ。

▼対象:データストア

データストア IOPS トレンド ビュー レポート
レポート対象のデータストアのIOPS(デバイス:Aggregate of all instances|1 秒あたりのコマンド数)と予測の線グラフ。
データストアの平均遅延(ms)トレンド ビュー レポート
レポート対象のデータストアの平均遅延(ms)と予測の線グラフ。

▼対象:仮想マシン

仮想マシンの CPU デマンド(%)トレンド ビュー レポート
レポート対象の仮想マシンの CPU デマンド(%)と予測の線グラフ。
仮想マシンの IOPS トレンド ビュー レポート
レポート対象の仮想マシンのIOPS(デバイス:Aggregate of all instances|1 秒あたりのコマンド数)と予測の線グラフ。
仮想マシンのネットワーク使用量(KBps)トレンド ビュー レポート
レポート対象の仮想マシンのネットワーク使用量(KBps)と予測の線グラフ。
仮想マシンのメモリ使用量(%)トレンド ビュー レポート
レポート対象の仮想マシンのメモリ使用量(%)と予測の線グラフ。
仮想マシンの平均遅延(ms)トレンド ビュー レポート
レポート対象の仮想マシンの仮想ディスク:Aggregate of all instancesの平均遅延(ms)と予測の線グラフ。

2015年11月14日土曜日

vRealize Operations Manager 6.1 ポリシー設定編

インストールが完了したらポリシーを設定します。本来は、常時アクセスがある系の本番仮想マシン、バッチ処理系の本番仮想マシン、検証用の仮想マシン、てな具合に複数ポリシーを作成するのがベストプラクティスらしいのですが、よくわからないのでとりあえず取れる情報は全部取る!ポリシーを1つだけ作ります。本番環境では真似しないでください。

  1. https://vROpsのIPアドレス/ui/ の管理画面にログインして、左ペインで[管理]-[ポリシー]をクリックします。
  2. 右ペインに[アクティブなポリシー]タブが表示されていて、[vSphere Solution のデフォルト ポリシー (インストールした日時)]というポリシーがぽつんと表示されているはずです。
  3. 右ペインで[ポリシーライブラリ]タブをクリックし、[アクティブなポリシー]に表示されていたポリシー名をクリックして選択し、鉛筆アイコンをクリックします。
  4. 左ペインのドロップダウンリストで、[vCenter アダプタ]で始まっているものを選択しては横のロートに+のマークが付いているアイコンをクリックしていきます。使用していない機能のものは選択しなくていいです。以下の画像は、分散スイッチは使用していないので選択していません。
  5. こんな感じにアダプタが並んだはずです。(一番上のアダプタ設定が開いている状態だと思いますが、以下の画像では複数アダプタあることがわかりやすいように閉じています。)
  6. 小見出しの左側に展開できそうなマークがある項目の横の鍵アイコンをクリックします。
  7. チェックが入っていない項目に片っ端からチェックを入れていきます。これを、全部のアダプタの全部の項目に対して行います。
  8. 終わったら右下の[保存]ボタンをクリックして編集画面を閉じます。

後は放置してデータを貯めるだけです。

2015年11月13日金曜日

vRealize Operations Manager 6.1 インストール編

OVFをデプロイするところまでは省略。コンソール画面を開いて電源を入れ、起動が完了するまで待ちます。起動が完了すると、ESXiやvCenter Server ApplianceやData Protectionの起動後画面と同じような画面になります。コンソールを閉じる。

管理画面のURLは https://IPアドレス。ウイザード形式でマスターノードの名前やadminパスワードやNTPサーバについて聞かれるので適当に答える。

その後管理画面からログインしたらまずはマスターノードを起動する。スペックにもよると思うがかなり時間がかかるので気長に待つ。飯でも食いに行ったほうがよいと思われる。

その後が問題で、起動しきった後の続きの設定をするには https://IPアドレス/ui/ にアクセスする必要がある。vROpsの管理画面は2種類あって、最初にアクセスした /admin/ と普段利用する /ui/ がある。マニュアルには、初期セットアップまでは https://IPアドレス にアクセスすると /admin/ が表示され、終われば /ui/ にリダイレクトされるようになり、/admin/ にアクセスするためには /admin/ を付けなければいけないと書いてあるが、これは嘘。初期セットアップが終わってもパスなしでアクセスすると /admin/ に飛ばされる。

https://IPアドレス/ui/ のほうの管理画面にログインして設定の続き。ウイザード形式でEULA同意、ライセンスキーの入力、VMwareに統計情報を送信するかを選択して完了するとダッシュボード画面になる。左ペインの[ソリューション]を選択して、右ペインの上の段で[VMware vSphere]を選択して歯車アイコンを押す。

アダプタタイプで[vCenterアダプタ]を選択し、適当に情報を入力する。注意点としては、[表示名]に vCenter とだけ入れると予約語なのかエラーになって登録できないので別の名前にすること。[接続をテスト]ボタンは必ず押すこと(そのとき証明書を受け入れる処理が入る)。[次へ]を押す前に[設定の保存]ボタンを押すこと。
次の画面はお好みに応じて変更するのだと思いますが、よくわからないのでデフォルトのまま[次へ]。
その次の画面では[完了]を押すだけです。
もう1度[VMware vSphere]を選択して歯車アイコンを押す。
今度はアダプタタイプで[vCenter Python Actionsアダプタ]を選択して適当に情報を入力。注意事項は[vCenterアダプタ]のときと同じ。こっちのアダプタは次の画面は無くてこの画面だけで[閉じる]ボタン。
閉じた後の画面。2つのアダプタが動き始めているのがわかる。
続いてポリシーを設定します。待て次回。

2015年11月10日火曜日

NetApp 監査ログ設定 (7-mode) (2/2)

前回の続き。NetApp 側の設定は完了しているので今回は Windows 側で監査対象フォルダの設定をする。これは別にファイルサーバが NetApp でなくとも共通の手順。例えば Windows Server をファイルサーバとして使用している場合、ファイルサーバとして動いている Windows Server の設定(AD兼務でなければローカルポリシー)で、オブジェクト監査を有効にする必要があるが、それが前回の NetApp の設定にあたる。その後、監査対象としたいフォルダに監査設定をするのが今回の手順で、ファイルサーバが NetApp であってもWindows Server であっても同じである。以下の手順は Windows Server 2012 R2 で設定した際のものだが基本的には古いバージョンのOSでも設定方法は同じ。

  1. 監査対象にしたいフォルダのプロパティを開き、[セキュリティ]タブの[詳細設定]ボタンをクリック。
  2. [監査]タブで[追加]ボタンをクリック。
  3. [プリンシパルの選択]をクリック。
  4. 監査対象にしたいアカウントやグループを入力して[OK]をクリック。
  5. [種類]と[適用先]を選択。監査なので[種類]は「成功」または「すべて」にするのが一般的。[適用先]はそのままで良い。監査したい処理を[基本のアクセス許可]で選択。これは「フルコントロール」にチェックを入れておけば良い。[OK]をクリック。
  6. [監査]タブに追加したエントリが表示されていることを確認して[OK]をクリック。プロパティも[OK]をクリックして閉じる。これで設定完了。

ちなみに、ファイルサーバのウイルスフルスキャンを行っている場合や、robocopy のようなファイルレベルのバックアップなどを行っている場合は、それらの実行ユーザーを監査の対象から外さないとエライことになる。ファイルサーバが Windows Server 2012 以降の場合は、先程の手順 5 の画面の下のほうにある、[条件の追加] で細かい制御が可能。それ以外の場合は、手順 4 のところで、Everyone ではなく、除外ユーザーを除いたグループを指定してやる必要がある。

これで監査ログが出力されるようになったはずだが、出力されたログを人力で解読するのはかなりしんどい。普通はツールを使うことになるが、その話はまたいずれ。

2015年11月9日月曜日

NetApp 監査ログ設定 (7-mode) (1/2)

ONTAP 8.2 7-mode で監査ログ設定。多分 8.X なら挙動は同じ。7.X は異なる可能性がある。

監査ログを取るためには、NetApp 側での設定と、Windows での設定の両方を行う必要がある。まずは NetApp 側の設定から。 デフォルトの監査関連の設定は以下のようになっている。

> options cifs.audit
cifs.audit.account_mgmt_events.enable off
cifs.audit.autosave.file.extension
cifs.audit.autosave.file.limit 0
cifs.audit.autosave.onsize.enable off
cifs.audit.autosave.onsize.threshold 75%
cifs.audit.autosave.ontime.enable off
cifs.audit.autosave.ontime.interval 1d
cifs.audit.enable            off
cifs.audit.file_access_events.enable on
cifs.audit.liveview.allowed_users
cifs.audit.liveview.enable   off
cifs.audit.logon_events.enable on
cifs.audit.logsize           1048576
cifs.audit.nfs.enable        off
cifs.audit.nfs.filter.filename
cifs.audit.saveas            /etc/log/adtlog.evt

GUI(OnCommand System Manager)でも有効/無効とファイル名ぐらいは設定できるが、ローテートに関する部分は設定できないので、全部まとめてコマンドラインで設定したほうが早い。

監査ログの種類
options cifs.audit.account_mgmt_events.enable on
アカウント操作に関するログ
options cifs.audit.file_access_events.enable on
ファイルアクセスに関するログ
options cifs.audit.logon_events.enable on
ログオンイベントに関するログ
監査ログをリアルタイムに見る必要がある場合
options cifs.audit.liveview.enable on
これを on にすると、他の Windows マシンの Event Viewer から直接 ONTAP に接続してリアルタイム(実際は 1 分ごとの flush)に監査ログを確認できるが、ファイル出力ができなくなる。そのため普通は有効にしない。
options cifs.audit.liveview.allowed_users ユーザ名
liveview を有効にした場合にイベントログへのアクセスを許可するユーザ名を指定。指定しなくても ONTAP の管理者権限があるアカウントは表示できる。
監査ログの保存設定
options cifs.audit.saveas ログファイルのフルパス
ログファイルの保存場所とベースとなるファイル名を定義する。保存場所はデフォルトではルートボリュームになっていて、万が一溢れると危険なので専用のボリュームを作ったほうが良い。設定する前に予めボリュームを作って share して格納フォルダを作っておく必要がある。ファイル名は任意だが拡張子の .evt は変更しないこと。
options cifs.audit.logsize ログファイルの最大サイズをバイト単位で
デフォルトは 1048576(1MB)。設定可能な最小値は 524288(512KB)、最大値は 68719476736(64GB)。
監査ログの自動保存設定
自動保存設定はサイズをトリガーにする方式と時間をトリガーにする方式の2種類ある。自動保存設定をしない場合は、cifs audit save コマンドを実行したタイミングでファイル出力される。
options cifs.audit.autosave.onsize.enable on
options cifs.audit.autosave.onsize.threshold N%
cifs.audit.autosave.onsize.enable を on にすると、イベントログのサイズが、cifs.audit.logsize で指定したサイズの cifs.audit.autosave.onsize.threshold で指定した % 分のサイズになったらファイル出力される。
options cifs.audit.autosave.ontime.enable on
options cifs.audit.autosave.ontime.interval 期間
cifs.audit.autosave.ontime.enable を on にすると、cifs.audit.autosave.ontime.interval で指定した期間ごとにファイル出力される。期間の指定は、分単位が m、時間単位が h、日単位が d のサフィックスを付ける。設定が有効になった時間からの間隔になるため、日単位にした場合でも綺麗に 0 時から 23時59分までのログが 1 ファイルになるわけではない。
監査ログのローテート設定
options cifs.audit.autosave.file.extension timestamp|counter
ファイルが出力される際に、ファイル名にタイムスタンプを付与する場合は timestamp、連番を付与する場合は counter を設定する。デフォルト値は空欄になっているが timestamp である。timestamp の形式は年月日時分秒(YYYYMMDDhhmmss)。拡張子の前に付く。例えば cifs.audit.saveas が /etc/log/adtlog.evt の場合、実際に出力されるファイル名は /etc/log/adtlog.YYYYMMDDhhmmss.evt になる。
options cifs.audit.autosave.file.limit 保存ファイル数
指定の場所に保存するファイル数。超えた場合は古いものから上書きされる。0 を指定した場合は無制限となる。最大値は 999。
監査を有効にする設定
options cifs.audit.enable on
これを打つと監査が始まるので他の設定を済ませてから最後に打つこと。

例として、アカウント操作のログは取らない、ファイルアクセスとログオンのログは取る、ログサイズは 100MB で 80% のサイズトリガーでファイル出力、/vol/vol1/log フォルダに audit.YYYYMMDDhhmmss.evt というファイル名で 999 個まで出力、という設定にするコマンドは以下になる。なお、デフォルト値そのままのものはコマンド入力する必要は無いので記載していない。

> options cifs.audit.saveas /vol/vol1/log/audit.evt
> options cifs.audit.autosave.file.extension timestamp
> options cifs.audit.autosave.file.limit 999
> options cifs.audit.logsize 104857600
> options cifs.audit.autosave.onsize.enable on
> options cifs.audit.autosave.onsize.threshold 80%
> options cifs.audit.enable on

これで NetApp 側の設定は OK。次は Windows から監査対象フォルダの設定をする。

おまけ:監査ログ関連のコマンド

cifs audit start
監査サービスの開始コマンド。
cifs audit stop
監査サービスの停止コマンド。
cifs audit save
監査ログをファイル出力させるコマンド。
cifs audit clear
監査ログをクリア(消去)するコマンド。

2015年11月8日日曜日

wbadmin をタスクスケジューラで動かすときの注意

wbadmin コマンドをタスクスケジューラに登録するときは『最上位の特権で実行する』にチェックを入れないと動きません。

2015年11月7日土曜日

Linuxのパスワードポリシーの設定

Red Hat Enterprise Linux 6.7 で確認。

以下の文中の『login.defs』のフルパスは『/etc/login.defs』です。 『system-auth』のフルパスは『/etc/pam.d/system-auth』ですがこれはシンボリックリンクになっていて実体は『/etc/pam.d/system-auth-ac』というファイルです。

パスワードの長さ
login.defs の PASS_MIN_LEN パラメータと system-auth の pam_cracklib.so モジュールの minlen パラメータで設定。minlen のほうが優先。PASS_MIN_LEN パラメータのデフォルト値は 5。minlen のデフォルト値はないが、pam_cracklib に先んじてパスワードチェックを行う crack ライブラリが強制的にパスワード長 6 未満を拒否するため、実質的に下限は 6。minlen パラメータの設定可能範囲は 5 から 2^31 -1(2147483647) まで。ただし 5 にしても前述した通り 6 未満は受け付けられない。
パスワード変更禁止期間
login.defs の PASS_MIN_DAYS パラメータ。設定可能範囲は -2147483648 から 2147483647。ただし、0 以下の値は 0 と同様に禁止期間を無効化(すぐに変更可能)する。
パスワードの有効期間
login.defs の PASS_MAX_DAYS パラメータ。設定可能範囲は -2147483648 から 2147483647。ただし、-1 および 10000 以上の値は無期限を意味する。
パスワードの履歴を記録する回数
system-auth の pam_unix.so モジュールの remember パラメータ。設定可能範囲は 0 から 400 まで。
パスワードの複雑さ
system-auth の pam_cracklib.so モジュールの ucredit(英大文字の数), lcredit(英小文字の数), dcredit(数字の数), ocredit(記号の数), minclass(最小限含まなければならない文字種の数), difok(変更前のパスワードと異なる文字の数) パラメータ(他にもあるがよく使うものだけ記載。残りは man を見てくださいな)。xcredit で文字種を指定するときに含まなければいけない数は負の整数で書く。例えば数字2文字以上なら dcredit=-2。含める文字種を指定するときに、複数のパラメータを並べることになるが、条件は論理積(&&)になる。論理和(||)の設定はできない。例えば、『英大文字または英小文字から最低1文字と、数字または記号から最低1文字』といったルールは『または』が入っているので設定できない。minclass と併用することで、『英大文字または英小文字から最低1文字と、数字を最低1文字と、記号を最低1文字』なら設定できる(minclass=3 dcredit=-1 ocredit=-1)。
アカウントがロックされるまでの失敗回数
system-auth の pam_tally2.so モジュールの deny パラメータ。設定可能範囲は 0 ~ 65535 まで。
アカウントロックが解除されるまでの秒数
system-auth の pam_tally2.so モジュールの unlock_time パラメータ。設定可能範囲は -2147483648 から 2147483647。0 以下の値にすると、アカウントロックされなくなる。

パスワード長8文字、変更禁止期間0日、有効期間180日、履歴記録回数1回、アカウントロックまでの失敗回数5回、ロック10分、複雑さの要件は、各文字種を最低1文字、前回のパスワードと最低2文字異なる、という条件だと以下のようになります。

/etc/login.defs ※関連箇所のみ抜粋

PASS_MAX_DAYS   180
PASS_MIN_DAYS   0
PASS_MIN_LEN    8

/etc/pam.d/system-auth-ac

auth        required      pam_env.so
auth        sufficient    pam_fprintd.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        required      pam_deny.so
auth        required      pam_tally2.so deny=5 unlock_time=600

account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so
account     required      pam_tally2.so

password    requisite     pam_cracklib.so try_first_pass retry=3 type= minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 difok=2
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=3
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

2015年11月4日水曜日

vSphere 5.5u2e から 5.5u3a へのバージョンアップ

vSphere 5.5u2e から 5.5u3a へバージョンアップしたので手順メモ。特にはまるところは無かったです。

順番は、vCenter Server ⇒ ESXi ⇒ VMware Tools です。vCenter ServerはWindows版を使っています。

まず vCenter Server。注意点としては、途中で何回かサービスの再起動があるので、vCenter Server経由のコンソール画面でバージョンアップ操作をすると途中で接続が切れてしまいます。繋ぎなおせばOKなのですが、vSphere Clientの機能でISOを読み込ませていた場合は繋ぎなおすたびにISOも読み込ませなおさないといけないので、RDPで繋ぐか、コンソールを使用する場合はvCenter ServerではなくESXiに繋いだほうがいいです。
全部入りのISOを落としてきて、vCenterサーバでインストーラを起動します。バージョンアップではシンプルインストールは使えません。カスタムインストールに表示されている4つのモジュールを、上から順番にインストールしていけばいいだけです。入力はEULAに同意するところぐらいで、キーボードを使って何かを入力するような項目はありません。次へ次へで終わっちゃいます。サーバの再起動はありませんが、前述したとおりサービスの再起動は何度か行われますのでサービス監視等行っている場合は気をつけてください。

次にESXi。基本はサーバメーカーが出しているカスタムイメージを使用します。ISOではなくオフラインバンドルと書かれているzipパッケージのほうをダウンロードしてください。zipは解凍せずそのままローカルデータストアの中に置きます。
全ての仮想マシンをシャットダウンし、ESXiをメンテナンスモードにします。
ESXiにsshでログインします。
以下のコマンドでプロファイル名を確認します。出力の中のNameというカラムがプロファイル名です。

# esxcli software sources profile list -d /vmfs/volumes/データストア名/zipファイル名
プロファイル名を指定してアップデートします。
# esxcli software profile update -d /vmfs/volumes/データストア名/zipファイル名 -p プロファイル名
再起動します。
# esxcli system shutdown reboot -r
起動してきたらメンテナンスモードを解除して完了です。

最後にVMware ToolsはvSphere Clientから仮想マシンを右クリックしてVMware Toolsのアップグレードを実行すれば良いです。自動アップグレードでOSの再起動なしでいけました。

2015年11月3日火曜日

vCenter Serverの統計情報について

vCenter Serverで表示できる統計情報の保存期間と容量について確認してみました。バージョンは6.0u1です。

デフォルトでは、5分間隔:1日、30分間隔:1週間、2時間間隔:1ヶ月、1日間隔:1年、レベルは全て1となっています。ホスト10台、仮想マシン100台で見積もると1.27GB必要と出ます。

統計レベルについて
レベルは4段階あります。
レベル1は、CPU、メモリ、ディスク、ネットワークの平均使用量、システムアップタイム、システムハートビート、DRSメトリックが含まれます。レベル2は、レベル1の内容に加え、ネットワークカウンタ(平均、合計、最新ロールアップタイプ(最大および最小ロールアップタイプは除く))が含まれます。レベル3は、全てのカウンタグループのデバイスを含む全てのメトリックが含まれます。レベル4は、vCenter Serverがサポートする全てのメトリックが含まれます。ただし、レベル4はデバッグ目的でのみ使用するようマニュアルに記載されています。デフォルトの間隔と保存期間のまま、レベルを全て4に統一するとサイズは12.44GBになります。3だと9.04GBです。2だと4.45GBです。間隔が短い統計情報のレベルを、間隔が長い統計情報のレベルより小さくすることはできません。逆は可能です。
間隔について
「間隔」は、一番短いものを除いて変更できません。一番短いものは、1分、2分、3分、5分から選択可能です。
保存期間について
一番短い間隔の統計情報の保存期間は1日~5日まで1日刻みで選択可能です。30分間隔のものは1週間固定です。2時間間隔のものは1ヶ月固定です。1日間隔のものは1年~5年まで1年刻みで選択可能です。レベルは全て3で、一番短い間隔のものを5日、1日間隔のものを5年保存するように設定すると、サイズは26.54GBになります。
保存容量の見積もりにおけるホストと仮想マシン数について
数が増えれば容量も増えるのは当たり前ですが、何パターンか試してみた限り、直線グラフにはならなそうです。文系エンジニアなので数式までははじき出せませんでした。レベルは全て3、5分間隔:5日、30分間隔:1週間、2時間間隔:1ヶ月、1日間隔:5年で何パターンか見積もってみましたのでご参考までに。厳密な見積もりが必要であれば実際に評価版で見積もられることをお勧めします。
ホスト3、仮想マシン30:8.68GB
ホスト5、仮想マシン50:13.82GB
ホスト5、仮想マシン100:23.59GB
ホスト8、仮想マシン320:68.3GB
ホスト10、仮想マシン100:26.54GB
ホスト10、仮想マシン150:36.31GB
ホスト10、仮想マシン200:46.08GB
ホスト10、仮想マシン300:65.62GB
ホスト10、仮想マシン400:85.16GB

2015年11月2日月曜日

HotAddについて

VMware vSphereのHotAdd機能についてのメモ。

  • Standard以上で使える。Essentials(Plus)では使えないので要注意。
  • ゲストOSを起動したままCPU,メモリを追加できる。HDDはHotAdd機能が無くてもオンライン追加可能(Essentials Plus環境で確認)。
  • HotRemoveはできない。

2015年11月1日日曜日

vCenter Server 5.5u2e デフォルトアラーム一覧

vSphere 5.5 u2e のデフォルトアラーム一覧です。見つからないので自力で作りました。ods形式とxlsx形式の2種類置きましたが中身はどちらも同じです。Googleスプレッドシートで作ったのでodsのほうが見た目の崩れは少ないかな?いずれにせよ崩れてはしまうので見てくれはご自分で調整してくださいってことで。6.0版は現在作成中ですが結構増えてます。

2015年10月31日土曜日

HinemosにMIB取り込み

オープンソースソフトウェアのHinemosは有料オプション買わないとMIBの取り込みができません。 デフォルトで多数のMIBを持っているのですが、それに無いTrapを受けると全部重要度が「不明」になって正直使い物にならないので、SNMP Trap監視をHinemosでやろうとする場合は要注意です。

2015年10月12日月曜日

雅購入&みおふぉんSIMサイズ変更

Freetel 雅 購入しましたー。3万弱クラスのスペックを持ちながら2万で買えて、日本メーカーだから某国産のように勝手にデータがどこかに送られているんではという心配もないし、5インチというお手ごろサイズだし、電池パック交換可だから長く使えそうだし、ハイスペック求めてないユーザーにはとても有り難い機種ですね。ハイスペックじゃないと言っても、これまで使っていたSO-03Dに比べるとちょっとハイスペック。サクサク動きます。嫁さんはホワイト、私はブラックなんですが、ブラックめちゃくちゃ指紋つきます、というか目立ちます。

SIMはみおふぉん使ってます。SO-03Dは標準SIMでしたが雅はマイクロSIMなので、サイズ変更を申し込みました。ちょうどキャンペーン中で変更手数料無料。ラッキー。変更にかかった期間をメモしておきます。

  • 木曜の夜にWEBから申し込み。
  • 土曜の昼過ぎに旧SIMが使えなくなる。
  • 日曜の朝6:30にIIJから到着予定日のメール(ちなみに到着予定日は当日でした)。
  • 日曜の午前中に新SIM到着(ヤマト)。

てっきり平日日中のみの対応だろうと思ったら、24時間365日体制なんですね・・・。すごい。

2015年10月11日日曜日

VSC 5.0 / 6.0 での Single File Restore 手順

VSC は 5.0 から Single File Restore 機能が無くなってしまいました。噂では 6.2 で復活するらしいですが、まだ少し先の話です。で、今回は手動で Single File Restore を行ってみたのでその手順を説明します。責任は取れませんので参考までに。検証に使用した環境は clustered Data ONTAP 8.3P1、VSC6.0、vSphere6.0 です。
尚、対象は Windows のみです。Linux の場合の手順は非常に複雑かつ環境依存が激しいので汎用的な手順を作るのは難しそうです。どうしても Linux で Single File Restore しなければならない状況になってしまった場合は英語ですが参考になりそうなリンクを貼っておきますので見てみてください。

では Windows での Single File Restore 手順です。尚、リストア対象の仮想マシンは電源ONの状態で作業を開始し、完全に作業が完了するまでは再起動をしないでください。

  1. vSphere Web Client でリストア対象の仮想マシンを右クリックして、[NetApp VSC]->[Backup]->[Mount Backup]をクリックします。
  2. リストアしたいバックアップを選択して、対象の仮想マシンが所属している ESXi ホストを選択し、[OK]をクリックします。
  3. [OK]をクリックします。
  4. 対象の仮想マシンを右クリックして、[Edit Settings...]をクリックします。
  5. [New device]で[Existing Hard Disk]を選択して[Add]をクリックします。
  6. マウントされたバックアップデータストアから対象の仮想マシンを選択し、[Contents]で VMDK ファイルを選択して[OK]をクリックします。画像では見切れていますが、2番目と3番目のファイルは -00000x.vmdk すなわち VMware snapshot ファイルです。無視して『仮想マシン名.vmdk』を選択してください。
  7. [OK]をクリックします。
  8. 仮想マシンの再構成が始まって数秒すると、画面に警告メッセージが表示されます。[Answer Question...]をクリックします。
  9. UUID が重複しているという警告です。[Yes]を選択して[OK]をクリックします。
  10. [Recent Tasks]で仮想マシンの再構成が完了したことを確認します。
  11. 対象の仮想マシンにログインし、ディスクの管理画面を開きます。以下の画像は2012の場合で、[サーバーマネージャー]->[ツール]->[コンピューターの管理]をクリックします。
  12. 追加されたディスクを右クリックして、[オンライン]をクリックします。
  13. 2012では自動的にドライブレターが割り当てられました。OSバージョンや設定(自動マウントを無効にしている)によっては手動でドライブレターを割り当ててください。
  14. エクスプローラに追加ディスクが表示されました。目的のファイルをコピーしてリストアします。
  15. リストアが完了したら、ディスクの管理画面で追加ディスクを右クリックして[オフライン]をクリックします。
  16. オフライン表示になったことを確認します。
  17. vSphere Web Client で対象の仮想マシンを右クリックして、[Edit Settings...]をクリックします。
  18. 追加したハードディスクの[×]をクリックします。
  19. [OK]をクリックします。
  20. [Recent Tasks]で仮想マシンの再構成が完了したことを確認します。
  21. 対象の仮想マシンからディスクが見えなくなったことを確認します。
  22. vSphere Web Client で対象の仮想マシンを右クリックし、[NetApp VSC]->[Backup]->[Unmount Backup]をクリックします。
  23. アンマウント対象のバックアップを選択して[OK]をクリックします。
  24. [OK]をクリックします。
  25. マウントしたバックアップデータストアが見えなくなっていることを確認します。以上で完了です。

ちなみに、電源OFFで始めてしまった場合や、途中で再起動した場合など、バックアップディスクを仮想マシンにくっつけた状態でOS起動してしまうと、色々と不具合が出ます。その場合は一度追加したディスクを取り外してやり直してください。もしくは、リストア対象の仮想マシンとは別の仮想マシンにバックアップディスクをくっつけて、ファイル共有でリストアするのもありだと思います(サイズによっては帯域と時間とを消費しますが)。

2015年10月10日土曜日

VSC 4.2.X での Single File Restore 手順

NetApp の Virtual Storage Console (VSC) 4.2.X は Single File Restore という、ファイルレベルでのリストア手段を持っています(ただし Windows のみ。Linux はダメ)。
リストアは管理者が実行するモードとユーザ自身に実行させるモードがあるのですが、よほど頻度が高くない限りは管理者が実行したほうが安パイかなと思います(少なくともバックアップディスクがOSから見えるようになるところまでは)。よって管理者が実行する前提で手順を説明します。メールおよび Restore Agent は使用しない前提です。
VSC のバージョンは 4.2.1、英語環境なので UI が英語ですが勘弁してください。
バックアップは取得してある前提で、リストアするところから始めます。

  1. vSphere Client で対象の仮想マシンを右クリックし、[NetApp]->[Backup and Recovery]->[Single File Restore]をクリックします。
  2. [Source VM]と[Destination VM]にリストア対象の仮想マシンを選択し、メールアドレス欄にダミーのメールアドレスを入力します。このメールは管理者がリストアを実行する場合には使用しませんが、空欄にすることはできません。送れないメールアドレスであっても特にエラーなどは出ません。[Mount expiration]はデフォルトのままでOKです。
  3. [Limited Self-Service]を選択して[Next]をクリックします。
  4. リストアしたいバックアップを選択して[Next]をクリックします。
  5. 内容を確認して[Finish]をクリックします。これでリストア対象の仮想マシンにバックアップ当時の仮想ディスクが追加されます。
  6. リストア対象の仮想マシンにログインし、ディスクの管理画面を開きます。新しいオフラインのディスクが見えているはずです。ディスクを右クリックして、[Online]をクリックします。
  7. Windows Server のバージョンと設定によっては、自動的にドライブレターが割り当てられることもあります。その場合は★の手順までスキップしてください。割り当てられない場合はリストアしたいファイルが入っているパーティションの上で右クリックし、[Change Drive Letter and Paths...]をクリックします。
  8. [Add...]をクリックします。
  9. [Assign the following drive letter]を選択し、適当なドライブレターを選択して[OK]をクリックします。
  10. ★エクスプローラを開くと追加したディスクが表示されているはずです。目的のファイルをコピーしてリストアします。
  11. リストアが完了したら、vSphere Client に戻ってホーム画面から[NetApp]をクリックします。
  12. 左のメニューで[Backup and Recovery]->[Single File Restore]をクリックすると、右ペインにリストアセッションが表示されます。選択して、[Delete...]をクリックします。
  13. 警告画面が出ます。[Yes]をクリックします。
  14. [Recent Tasks]欄で、仮想マシンの構成変更とデータストアのアンマウントが完了したことを確認します。
  15. 仮想マシンでエクスプローラを開くとディスクが消えていることが確認できます。これで完了です。