• Introduction
• A Typical Single NIC DMZ Deployment
• Separating Unauthenticated User Traffic from Backend and Management Traffic
• Routing

Introduction

VMware UAG is a virtual appliance used by several End-User Computing products to support remote access from the Internet into applications and virtual desktops running in corporate data centres or in the cloud. It is a layer 7 security appliance that is normally installed in a De-militarized Zone (DMZ) and is used to ensure that the only traffic entering the corporate data center is traffic on behalf of a strongly authenticated remote user. You can read more details of this here Technical Introduction to UAG for Secure Remote Access - VMware End-User Computing Blog - VMware Blogs

UAG is usually installed by using a PowerShell command. This avoids the need to use a GUI and simplifies installation allowing all configuration settings to be precisely applied so that the appliance is secure and production ready on first boot. See Using PowerShell to Deploy VMware UAG.

One of the configuration settings for UAG is the number of virtual Network Internet Cards (NICs) to use. UAG has a deploymentOption settings which is specified as onenic, twonic or threenic. Each NIC must be on a separate segment so onenic, twonic or threenic corresponds to environments with one, two or three segments respectively.

The use of multiple physical networks or vLANS within a DMZ is not new. Reducing the number of open ports on each vLAN/segment and separating out the different types of network traffic can significantly improve security. This post describes the purpose of multiple NICs with UAG and outlines some of the security and performance benefits. The benefits are mainly in terms of separating and isolating the different types of network traffic as part of a defense-in-depth DMZ security design strategy. This can be achieved either by implementing separate physical switches within the DMZ, with multiple vLANs within the DMZ or as part of a full NSX managed DMZ.

A Typical Single NIC DMZ Deployment

The simplest deployment of UAG is with a single NIC where all network traffic is combined onto a single network. This works well for a simple DMZ. Traffic from the Internet facing firewall is directed to one of the available UAG appliances. Authorized traffic is then forwarded by UAG via the Inner firewall to resources on the internal network. Unauthorized traffic is discarded by UAG.

Figure 1 - UAG ONENIC Option

Separating Unauthenticated User Traffic from Backend and Management Traffic

An improvement over the single NIC deployment is to specify 2 NICs. The first is still used for Internet facing unauthenticated access, but the backend authenticated traffic and management traffic are separated onto a different network as shown in figure 2 below.

Figure 2 - UAG TWONIC Option

In this two NIC deployment, traffic going to the internal network via the inner firewall must have been authorized by UAG as any unauthorized traffic will not be on this backend network. Management traffic such as the REST API for UAG will only be on this second network.

If a device on the unauthenticated front-end network was compromised, such as the load balancer, then reconfiguring that device to bypass UAG would still not be possible in this two NIC deployment. It combines layer 4 firewall rules with layer 7 UAG security. Similarly, if the Internet facing firewall was misconfigured to allow TCP port 9443 through, this would still not expose the UAG Management REST API to Internet users. A defense-in-depth principle uses multiple levels of protection, such as knowing that a single configuration mistake or system attack will not necessarily create an overall vulnerability.

In a two NIC deployment, it is common to put additional infrastructure systems such as DNS servers, RSA SecurID Authentication Manager servers etc. on the backend network within the DMZ so that they can not be visible on the Internet facing network. This guards against layer 2 attacks from the internet facing LAN from a compromised front-end system and effectively reduces the overall attack surface.

Most UAG network traffic is the display protocols for Blast and PCoIP. With a single NIC, display protocol traffic to/from the Internet is combined with traffic to/from the backend systems. When two or more NICs are used, the traffic is spread across front-end and back-end NICs and networks. This can result in performance benefits by reducing the potential bottleneck of a single NIC.

VMware's own deployments of UAG such as for Horizon Air, uses the two NIC deployment approach.

UAG supports a further separation by also allowing separation of the management traffic onto a specific management LAN. HTTPS management traffic to port 9443 is then only possible from the management LAN. This final option is shown in figure 3 below.

Figure 3 - UAG THREENIC Option

Routing

During UAG deployment it is common to specify a default gateway. In complex environments involving multiple NICs and routing through more than one gateway, UAG also supports the ability to specify explicit IP routes. These are routes that don't use the default gateway.

For example, with a TWONIC UAG deployment, the network routing may involve a default gateway for all IP traffic destined for Internet located devices. Additionally network routing to the Internal Network may involving routing through a separate back-end gateway.

Front-end DMZ Network: 192.168.9.0/24

UAG Front-end IP address (ip0): 192.168.9.51

Internet Access gateway: 192.168.9.1

Backend and Management DMZ Network: 192.168.0.0/24

UAG Back-end IP address (ip1): 192.168.0.51

Internal network Access gateway: 192.168.0.1

Internal Network: 10.0.0.0/16

The configuration for UAG would be:

ip0=192.168.9.51

ip1=192.168.0.51

defaultGatteway=192.168.9.1

routes1=10.0.0.0/16 192.168.0.1

When UAG needs to connect to a host on the Internal network with an IP address of say 10.0.0.120, the routing entry on UAG would force this connection to go via the back-end gateway 192.168.0.1 on the second NIC (eth1). The NIC used by UAG for any outgoing IP traffic is selected based on the destination IP address and for destinations not on any local segment, the contents of the routing table. For any destination not on any of the local segments, UAG will look for an explicit route for that network. If no routes are found, it will direct traffic via the default gateway which is normally the gateway to the Internet.

From the UAG console, where you login as root, you can run "ifconfig" to look at the addresses for each NIC (eth0 and eth1 in a TWONIC setup) and run the "route -n" command to show the active routing table.

Figure 4 - UAG Console showing ifconfig and route commands

To check the routing table for any IP destination address you can run the "tracepath -n destination-ip-address-or-hostname" to see details of the route.

Figure 5 - UAG Console showing route and tracepath commands

この記事ではVxRail Gen3以降に採用されているiDRACリセットの手順を紹介します。

※VxRailのプラットフォームに利用されているPowerEdgeの世代によりiDRACバージョンが異なります。

-iDRAC8(PowerEdge 13Gモデル)

1. iDRACにログイン(デフォルト:root/calvin)

2. 概要 > サーバー より"iDRACのリセット"をクリック

3. 警告ダイアログでOKを選択

4. iDRACリセットが開始される

※しばらくの間iDRACにアクセスできなくなります。

5. 対象のESXiホストにSSHログイン

VxRailのSSH有効化手順についてはこちら

VxRail: ESXi、vCenter、PSCのSSH有効化

6. 下記コマンドを実行(ESXiで稼働している"sensor"のステータス確認)

[esxi-example:~] /etc/init.d/sensord status

出力が下記の場合は、手順7の実施

[esxi-example:~] /etc/init.d/sensord status

sensord is not running.

※"sensord is running"の場合は手順7の実施は必要ございません

7. 下記コマンドを実行（"sensor"のサービススタート）

[esxi-example:~] /etc/init.d/sensord start

sensord started

 

[esxi-example:~] /etc/init.d/sensord status

sensord is running

"sensord is running"になっていることを確認

-iDRAC9(PowerEdge 14Gモデル)

1. iDRACにログイン(デフォルト:root/calvin)

2. メンテナンス> 診断 > iDRACのリセット

3. 警告ダイアログでOKを選択

4. 成功ダイアログでOKを選択すると、ページからログアウトされる

※しばらくの間iDRACにアクセスできなくなります。

5. 対象のESXiホストにSSHログイン

VxRailのSSH有効化手順についてはこちら

VxRail: ESXi、vCenter、PSCのSSH有効化

6. 下記コマンドを実行(ESXiで稼働している"sensor"のステータス確認)

[esxi-example:~] /etc/init.d/sensord status

出力が下記の場合は、手順7の実施

[esxi-example:~] /etc/init.d/sensord status

sensord is not running.

※"sensord is running"の場合は手順7の実施は必要ございません

7. 下記コマンドを実行（"sensor"のサービススタート）

[esxi-example:~] /etc/init.d/sensord start

sensord started

 

[esxi-example:~] /etc/init.d/sensord status

sensord is running

"sensord is running"になっていることを確認

-CLIからのiDRACリセット

1. 対象のESXiホストにSSHログイン

VxRailのSSH有効化手順についてはこちら

VxRail: ESXi、vCenter、PSCのSSH有効化

2. 下記コマンド実行

[esxi-example:~] /opt/dell/DellPTAgent/bin/ipmitool_static mc reset cold

Sent cold reset command to MC

**** もし /opt/dell/DellPTAgent/bin/ipmitool_static が見つからない時は以下のコマンドをお試しください。

# /scratch/dell/DellPTAgent/bin/ipmitool_static mc reset cold

# /opt/vxrail/tools/ipmitool mc reset cold

3. 下記コマンドを実行(ESXiで稼働している"sensor"のステータス確認)

[esxi-example:~] /etc/init.d/sensord status

出力が下記の場合は、手順4の実施

[esxi-example:~] /etc/init.d/sensord status

sensord is not running.

※"sensord is running"の場合は手順4の実施は必要ございません

4. 下記コマンドを実行（"sensor"のサービススタート）

[esxi-example:~] /etc/init.d/sensord start

sensord started

 

 

[esxi-example:~] /etc/init.d/sensord status

sensord is running

"sensord is running"になっていることを確認

-付録

※iDRACリセットに伴い、vSphere Web ClientやVxRail Manager GUIに後述のようなアラームが表示される場合があります。

- ネットワーク接続のアラーム

iDRACリセットによってiDRACポートがDown/Upしたことによる影響です。

iDRACリセット完了に伴いポートも復帰しますので、本記事の手順を実施したタイミングでこのアラームが発生した場合はWeb Client上のアラームを"緑にリセット"してください。

-VxRail Manager上の関連アラーム

下記のようなアラームがリセットの際に発生した場合も、iDRACリセットの影響ですので既読にするか無視してください。

以上

###関連記事

Dell Japan ナレッジベース

[iDRAC] リセット手順 | Dell 日本

Dell EMC ナレッジベース

VxRail: How can I reset iDRAC and restart PTagent ? (公開範囲が限定されています)

https://support.emc.com/kb/511713

VxRail: How to reset the internal Dell Remote Access Controller (iDRAC) on a PowerEdge server?

https://support.emc.com/kb/512561

VxRail: After resetting the iDRAC, ESXi sensord does not start automatically

https://support.emc.com/kb/526623

本記事では、BMCを利用した電源制御 についてご紹介します。

※ 注意事項 ※

ESXiの電源を落とす際には、必ず事前にメンテナンスモード へ切り替える必要があります。

正しいNode停止手順についてはVxRail:nodeの停止/起動(メンテナンスモードの終了) 手順

をご参照下さい。

Dell Model BMC(iDRAC)

14G

1.Browserを開き、BMC GUI(https://<BMC IP>)へアクセスします(default user/passwordは root/calvin)

2.画面上部にある[正常なシャットダウン]横のプルダウンをクリックし、実行したい電源制御を選択します。

**電源ON時**

**電源OFF時**

3.警告が表示されます。"OK"をクリックし、選択した電源制御アクションを実行します
   ("システムの電源を入れる"を選択した際には表示されません)。

13G

1.Browserを開き、BMC GUI(https://<BMC IP>)へアクセスします(default user/passwordは root/calvin)

2.左ペインにある[電源/サーマル]をクリック

3.[電源設定タブ]をクリック

4.実行したい電源制御を選択し、[適用]をクリックして実行します。

Quanta Model BMC(MegaRACSP)

1.Browserを開き、BMC GUI(https://<BMC IP>)へアクセスします(default user/passwordは admin/admin)

   ポップアップがブロックされる場合、[常に許可]を選択します。

2.[Remote Control]タブ > [Server Power Control]を選択

3.実行したい電源制御を選択し、[Pertform Action]をクリックして実行します。

電源制御のオプションについて

各BMCの電源制御オプションは、下図の通り対応しています。

**注1**

ESXiの電源を落とす際には、必ず事前にメンテナンスモード へ切り替える必要があります。

正しいNode停止手順についてはVxRail:nodeの停止/起動(メンテナンスモードの終了) 手順をご参照下さい。

**注2**

ウォームブートでは、電源を切らずにシステムを再起動します。

コールドブートでは、電源を切ってからシステムを再起動します。

Reputation doesn’t matter because big names like Apple and Android could not even get rid of the bugs popping out of their OS updates. They might have lacked the crucial software testing services that are necessary to secure your favorite app’s performance and to make it entirely bug-free.

Let’s discuss some of the most famous apps with the 5-star rating, but still, some of their customers complained about them:

1. Netflix

Yes, you read it right, Netflix, an entertainment app that is liked by everyone here, but some of its users have issues.

The complaints we saw in the play store mostly reported about the connectivity errors, some require more user-friendly categories/options, some can’t just log in, some report the new version of the app goes blank and restarts their smartphones due to a random anomaly. Netflix requires some real-time need for software testing and continuous testing!

2. Musical.ly

The trendy app has literally pulled out the charismatic skills of the teenagers and it created a huge fan following for these teens. However, some users have concerns. Some customers require the musical.ly creators to form a similar version and features they released for iOS, some report the filters just go away when they upload it on another app, Android users are seriously not happy with its performance, it lacks quality on Android devices and whatnot.

It’s obvious that Android users are gravely uncontended with the app’s performance. The app needs some legitimate software testing services to make its customers happy again!

3. eBay

eBay is liked by everyone due to credible performance and CX optimization approach. But typically, its customers have some issues with the app such as demand for new user-friendly options, some object about the unnecessary features, some of its users hate the latest version due to functional issues, etc.

These popular applications will continue to face criticism until and unless they procure any Software Testing Services like Kualitatem.

This document highlights NSX-v 6.4 LB capabilities and provide detailed NSX LB configuration examples list such as:

• Healthchecks
  • ICMP
  • UDP
  • TCP
  • HTTP
  • HTTPS
• L4 VIP (using L4-LB-Engine)
  • with no persistence
  • with src-IP persistence
  • with SNAT (Proxy Mode)
  • without SNAT (Transparent Mode)
  • with Port Range
  • FTP
• L7 HTTP VIP (using L7-LB-Engine)
  • Insert client IP@ in header
  • with cookie persistence
  • with redirect to HTTPS site
  • with AppRules
    • block specific URLs
    • redirect specific URL/Host to specific pools
    • redirect to default page
    • redirect non authent clients
    • HTTP response header rewrite
    • sorry server
    • NTLM authentication server
  • with IPv6 VIP / servers IPv4
• L7 HTTPS VIP (using L7-LB-Engine)
  • with HTTPS passthrough
  • with HTTPS off-load
  • with HTTPS end-to-end
  • with HTTPS off-load + selection of ciphers
  • with HTTPS Client Authentication

In addition to detailed configuration examples, you can also find:

• Log format
• API calls examples
• Deep Troubleshooting

Dimitri

The included plug-in is a solution I have built for providing NSX Network & Security as a Service in vCAC. This is the second edition. The first one was built mostly manually, this one was built with the plug-in generator V2.

The advantages are that this one:

• Supports multiple NSX hosts
• Support multiple object levels hierarchy
• Is a lot more customizable than V1 : you can download the plug-in generator V2 package to add new objects and new methods

This plug-in is also a good way to learn more about the Dynamic Types technology. It is possible to extend the plug-in with REST operations that can be found in the NSX API guide.

Features:

Inventory objects:

Workflows :

Workflows are contextual to the inventory objects. You can right click on an object to run a workflow.

Sample workflows :

It can be easily extended with other operations and can use the workflows that are in the NSX plug-in delivered with vCO.

The advantage of using this plug-in is that it you have access to the source of the object definitions, the methods and can customize it at will.

Requisites:

• vCO 5.5 U1 build 1617127 or greater
• Dynamic Types plug-in 1951696 or greater
• NSX 6.X

Download

Since Flowgrab has shutdown, this file is currently attached to this thread until Christophe Posts it to the Sample Exchange

Installation / Configuration:

• Rename the downloaded package com.vmware.coe.plugin.dynamictypes.nsx.v2.package
• Import the package
• Run the "Plugin gen -1- Install plug-in" workflow, select the package you renamed
• Run the "Plugin gen -2- Add new host" workflow. Enter a host URL starting with https:// (and not just the host name or http://. Choose basic authentication - upon validation the "Add a REST host" workflow may expect you to answer an user interaction if you did not imported the certificate before AND if you are running an old version of the HTTP-REST plug-in).
• After a few minutes you can browse the inventory and right click on objects that have workflows associated with them

Disclaimers:

Material designed for PoC / educational / testing purposes. Use at your own risk.

I have Passed My CWNP CWT-100 exam in just first try by just learning from CWNP CWT-100 dumps pdf. it was difficult task for me to pass CWNP CWT-100 exam but thanks (realdumpspdf) for changing my life. i was not able to pass this exam but here iam happy and confident. I just want to thank (realdumpspdf) for making this possible. i surely recommend you CWNP CWT-100 dumps pdf. (realdumpspdf) are giving 100% passing guarantee and money back guarantee as well.  Don't think so much just go on this website and purchase CWNP CWT-100 dumps. I will guarantee you that you will surely gain 88% score in just first attempt.

This workflows disable VM time synchronization as described in VMware KB: Disabling Time Synchronization

It was designed to automate the operation to solve the following issue (but not exclusively).

Windows Active Directory provides a loose sync time management infrastructure for all machines joined to the AD Domain. This time-keeping capability is sufficient and reliable enough for Windows and AD’s operations, particularly in ensuring that Kerberos authentication succeeds in the Forest/Domain and in-guest applications that do not require strict time accuracy (in sub-seconds). All Windows machines that are joined to a particular Windows Domain default to using the Windows-provided w32time service which looks at the domain/forest time hierarchy for its authoritative time synchronization.

 

vSphere includes a configuration option to enable virtual machines to synchronize their time with the ESXi host through the VMware Tools. Modern ESXi versions have this feature disabled (unchecked) by default. Most customers mistake this newer default option to indicate that a VM will not perform any time synchronization with the ESXi host under any circumstances. We know that, under certain operations (e.g. at boot time, resume and VMotion), a VM will adjust its clock to match that of the ESXi on which it resides. This behavior is not universally known among our customers and it has also resulted in some unintended and undesirable consequences for customers who have not been diligent in adhering to the good recommended practices of ensuring that host’s CMOS clocks are correct and the ESXi host is configured to use an external NTP time source for time-keeping.

The workflow can be started from the VMware vRealize Orchestrator (vRO) client. If the vRO is already registered in a vCenter instance, then the workflow can also be initiated directly from the vSphere Web Client. In either case, you first need to import the attached workflow package  into the vSphere environment (using the vRO Client) before you can successfully use it in your vSphere environment.

Hi  i have got this piece of code that will list all VMDK files on a datastore weather attach to a VM or not, thought it might be useful for someone

$arrDS = Get-Datastore xxxxx

$strDatastore = $arrDS

Foreach ($strDatastore in $arrDS)

{

$strDatastoreName = $strDatastore.name

$ds = Get-Datastore -Name $strDatastoreName | %{Get-View $_.Id}

$fileQueryFlags = New-Object VMware.Vim.FileQueryFlags

$fileQueryFlags.FileSize = $true

$fileQueryFlags.FileType = $true

$fileQueryFlags.Modification = $true

$searchSpec = New-Object VMware.Vim.HostDatastoreBrowserSearchSpec

$searchSpec.details = $fileQueryFlags

$searchSpec.sortFoldersFirst = $true

$dsBrowser = Get-View $ds.browser

$rootPath = "["+$ds.summary.Name+"]"

$searchResult = $dsBrowser.SearchDatastoreSubFolders($rootPath, $searchSpec)

$myCol = @()

foreach ($folder in $searchResult)

{

foreach ($fileResult in $folder.File)

{

$file = "" | select Name, FullPath

$file.Name = $fileResult.Path

$strFilename = $file.Name

IF ($strFilename)

{

IF ($strFilename.Contains(".vmdk"))

{

$fldrPath = $searchResult | select * | where {$_.folderpath -match "carmel-a-paw04"}

$fldrPath.FolderPath + $file.Name

IF (!$strFilename.Contains("-flat.vmdk"))

{

IF (!$strFilename.Contains("delta.vmdk"))

{

$strCheckfile = "*"+$file.Name+"*"

IF ($arrUsedDisks -Like $strCheckfile){}

ELSE

{

#$strOutput = $strDatastoreName + " Orphaned VMDK Found: " + $strFilename

#$strOutput

}

}

}

}

}

}

}

}

We have added a new feature that shows the health of lab console connections. Enabling this feature will help customers to determine the console connection strength of the lab they are connected to.  VLP will be able to determine the ping latency between the end user’s device and the hosted VM in the cloud that they are connecting to.

The information can also help administrators to troubleshoot any lag or connectivity issues a user might experience in real time.

Tenant admins can enable this feature in two steps: 

Step 1:  Enable console connection monitoring for VLP.
              From the VLP Admin UI, select Tenant Management -> Tenant and click on your tenant name. Click Interface on the Update tenants pageand check the Console Connection Monitoring option.

Step 2:   Enable console connection monitoring for the cloud organization.  

               From the VLP Admin UI, select Cloud Management-> Clouds and click on the cloud where your labs are deployed. On the Edit Cloud Org tab, check Console Connection Monitoring.

After this feature is enabled, the students/user console displays the connection strength, from which you can monitor the console latency:  

The tenant administrators, can see the console benchmarks for active entitlements (once they are saved after a "leave") and transcripts. In the list pages there is a new column that looks like this:

Each session has the average, high, and low latency values as well as the reason for "leaving" the lab. When clicked or initiated from the item's "..." (three vertical dots) menu, a timeline view is shown that looks like this:

We come as a complete solution to all your lubricants needs and requirements. Ourlubricants companies in  angolais the only company, on an international basis, that produce and distribute standard quality lubricant products. Our grease and oil products are probably the world’s best and innovative products . Apart from other lubricant products, our specialized products can cut your maintenance cost and increase the productivity.  The lubricants companies in  Cameroonpreserve the environmental, health and safety values. There were so many reason exist behind the use of grease and oil products. It can act as an antiwear and antifoaming agent, rust and corrosion inhibitor. The lubricants are important for smooth running of any machine. It is the basic component of any machine. It helps to increase the functionality of machine and reduce the continuous maintenance.

The best possible oil is an important advance in each business firm. The correct grease upgrade the long existence of machine and lessen the personal time. With the correct specialized support,the ointment choice should be possible productively and adequately. The Renolin MR 140 and Reniso Triton SEZ 32 items have great oxidation and warm strength. The very much prepared research centers and experts guarantee the nature of grease products.The quality and execution of oil are relies upon the nature of base oils and added substances.

VMware vSphere is VMware's most-successful and longest-running certificate. This entry-level certification needs the applier to require a political candidate VMW education course.

VMware vSphere Certification Exams may be a part of a bigger certification matrix that features cloud, install, tack together and upgrade vCenter Server and VMW ESXi, vSphere networking, vSphere storage and to deploy and administer virtual machines and vApps, knowledge center and user computing. no matter the path you are taking, VMW Certifications Exams are an important piece of obtaining employment, keeping employment, and obtaining promoted.

VMware Certification Exams results providing several advantages together with designation and identification within the trade, honor from peers, increments in remunerations and validation of your skills, right to incorporate the VCP brand on business cards and websites, a complimentary license for VMware digital computer eight, invites to beta communication programs and discounts to VMware events.

The ongoing demand for IT professionals with knowledge center usefulness talents rises, it's obligatory to proceed and decipher yourself in the industrial world with a certification that corroborates and provides proof for your technical potentialities and ability is also developed. VCP certification is that the initial purpose of VMware's quick-growing cloud and virtualization certification program. Earning your VMW Certified skilled knowledge Center Virtualization certification will simply that indicating truth and preciseness.

This VMware vSphere certification needs completion of a VMware-authorized coaching course with VMware technologies. VCP-DCV certification confirms that you just have the education required to with success install, deploy, scale and manage VMW vSphere environments, also because of the skills obtained by a minimum of six months expertise with VMW infrastructure technologies.

この文書では、vSANクラスターのディスクリバランス(再分散)の手順を紹介します。

vSANの健全性テスト結果で頻繁に目にする"vSANディスクバランス"の警告ですが、

GUIのボタンから手動でリバランス(再分散)を実施しても、またすぐに警告が再発してしまうことがあります。

これは、ディスクバランスの警告発生の閾値が"最大分散値30"に設定されていることに起因しています。

分散について:

VxRail、及びvSANクラスターでは、より良いバランスでクラスターを使用するために、各ディスクの使用率の差分が全体で30%以下となるよう閾値を設けています。

例えば、ディスク A の使用率が 45% で、ディスク B が 10% の場合、ディスク A と B の負荷分散は 35 で、閾値を超えたとみなします。この使用率の差分を"分散"とVMwareでは表現しています。

最大分散は、上記の分散値が最も高いディスクの組み合わせ(=クラスター内で最も使用されているディスクと最も使用されていないディスク)を元に取られています。

つまり、最大分散は下記の計算式で導出されています。

最も使用率の高いディスクの使用率(%) - 最も使用率の低いディスクの使用率(%) = 最大分散

vSANはクラスター内のディスクの使用率を監視しており、分散が30を超えるディスクの組み合わせが発生すると健全性テストにディスクリバランスの警告を表示します。

GUIから行うリバランスでは、分散がデフォルトの閾値である30を上回るディスクがなくなった時点でプロセスが自動で完了しますので、

一旦警告が消えても再発しやすい状態のままになってしまうことがあります。

警告の再発を抑止する目的で、閾値である最大分散値30を更に下回った状態(例えば20、10等)のレベルにまでリバランスを実施する場合は、GUIからではなくCLIからリバランスを実施する必要があります。

※ただし、30を大きく下回る値にまでリバランスを実施する場合は、その分大量のデータの移行が発生し、処理により長い時間を要します。

よってこの様な大きなリバランスを行う際は、数日間かけてリバランスを複数回行う、または一晩リバランスを行った後に進捗を確認し、継続して行うか検討する、等ある程度計画的に実施することを推奨いたします。

※vSANディスクバランスの警告は、一般的には障害や不具合の発生を示すものではありません。通常運用内でvSANがI/Oを行った結果発生する場合が大半です。

また、一度警告が発生しても、その後に更にI/Oが行われた結果各ディスクの使用率が均等になり、警告が消える場合もあります。

**vSANディスクバランスの警告に関する包括的な内容については下記の記事を参照ください

VxRail: 「Virtual SAN ディスク バランス」の警告の詳細と対処

・CLIによるvSANリバランス手順

GUIでリバランスを実施した後すぐに警告が再発してしまった・ディスクバランスの警告の表示を可能な限り抑制したい・等の場合は、下記の手順でCLIでのリバランスを実施してください。

[1]. vCenter Server Appliance にSSHにてログイン後、Shellに遷移(プロンプトのマーカが#になっている状態)

    ※vCSAのSSHを無効化している場合は、下記手順にて有効化が必要です。

    ESXi、vCenter、PSCのSSH有効化

Command> shell.set --enabled True

Command> shell

Shell access is granted to root

root@vc [ ~ ]#

[2]. vCenter Server Appliance 上で、下記のコマンドでRuby vSphere Consoleにログイン

# rvc

Install the "ffi" gem for better tab completion.

Host to connect to (user@host): administrator@vsphere.local@localhost  < vCenter SSO ユーザー名@localhostを入力

password:                                                                                          < vCenter SSO パスワードを入力

0 /

1 localhost/

>

[3]. RVCにログイン後、一般的なUnixベースOSと同じ要領でlsコマンド、cdコマンドが使えるので、

/localhost/データセンター名/computers/ まで移動し、lsでvSANクラスターのリソースについているインデックスを確認

(例) ※画像はクリックで拡大してください

[4].下記コマンドを実施

vsan.proactive_rebalance

(例)

/localhost/データセンター名/computers/> vsan.proactive_rebalance 0 -sv 0.3

vsan.proactive_rebalanceはリバランスを手動で実行するコマンド、0は対象のvSANクラスタリソースのインデックスです。

-sオプションでリバランス開始、-vオプションでどこまでリバランスを実施するかの閾値を指定します。

-vの後に指定する数字がリバランスの閾値(=最大分散値)で、例では0.3、つまりデフォルトの30%を指定しています。

更に均等なリバランスを実行したい場合は、0.2、0.1等小さい数字を指定してください。

また、-tオプションを追加で指定することで、リバランスを実行する期間(秒単位)を設定できます。

ディスクのリバランスは大量のIOが発生するため、仮想マシンのパフォーマンスに影響を与える惧れがありますが、

-tオプションによって、終業後にコマンドを実行してリバランスを開始し、始業時間の前にリバランスを自動で停止する等、ユーザー環境に合わせて業務に影響のないペースでオペレーションを実施することができます。

-tオプションを指定しなかった場合は、デフォルトの24時間リバランスが実施されます。

例えば、最大分散値20までのリバランスを14時間(5万4百秒=終業時刻18時から翌日始業前の8時までを想定)実施したい場合は、下記のようなオプションを指定します。

> vsan.proactive_rebalance 0 -sv 0.2 -t 50400

[5].下記コマンドでリバランスの状態を確認

> vsan.proactive_rebalance_info 0

(例)

/localhost/データセンター名/computers/> vsan.proactive_rebalance_info 0

 

Proactive rebalance start: 2018-06-28 03:06:07 UTC                                    ←リバランス開始時刻

Proactive rebalance stop: 2018-06-28 17:06:07 UTC                                     ←リバランス完了予定時刻

Max usage difference triggering rebalancing: 10.00%                                       ←リバランス目標の分散閾値(※この例では0.1=10%に設定)

Average disk usage: 10.00%                                                                                                                               

Maximum disk usage: 20.00% (18.00% above minimum disk usage)                                                                   

Imbalance index: 8.00%                                                                                                               

Disks to be rebalanced:                                                                             ↓リバランス対象となっているディスクの一覧 +----------------------+----------------+----------------------------+--------------+                                                       

| DisplayName                      | Host                      | Disk usage above threshold           | Data to move      | 

+----------------------+----------------+----------------------------+--------------+                                                                       

| naa.xxxxxxxxxxxxxxxx         | sds-01.sds.lab         | 4.00%                                          | 44.7122 GB        |

| naa.xxxxxxxxxxxxxxxx         | sds-01.sds.lab         | 2.00%                                          | 22.3561 GB        |

+----------------------+----------------+----------------------------+--------------+                                                       

| naa.xxxxxxxxxxxxxxxx         | sds-03.sds.lab        | 3.00%                                           | 33.5341 GB        |

| naa.xxxxxxxxxxxxxxxx         | sds-03.sds.lab         | 8.00%                                          | 89.4244 GB        |

+----------------------+----------------+----------------------------+--------------+                                                                   

| naa.xxxxxxxxxxxxxxxx         | sds-04.sds.lab         | 1.00%                                          | 11.1780 GB        |        

+----------------------+----------------+----------------------------+--------------+

[5].下記のコマンド、またはGUIの[リバランスの中止]ボタンでいつでもリバランス処理の停止が可能です。

> vsan.proactive_rebalance 0 -o

以上

関連記事:

VxRail: 「Virtual SAN ディスク バランス」の警告の詳細と対処

参考文献:

rvcコマンドの詳細については、下記リファレンスを参照ください(リバランス関連の項目はp59,61)。

VMware® Ruby vSphere Console Command Reference for Virtual SAN

VMware ドキュメント

vSAN クラスタのリバランスについて

VMware ナレッジベース

vSAN 健全性サービス -クラスタの健全性 - vSAN ディスク バランス (2147613)

vSAN のプロアクティブなリバランス (2152028)

「Virtual SAN ディスク バランス」の概要

Virtual SAN（vSAN）では、各ディスクの使用率が均等であることが推奨されています。

通常、新しいVM（vmdkファイル等）がvSAN データストア上に作成される際に、各ディスクの使用率からバランスのとれた容量使用率となるように分散される形でvSAN Object（vmdkファイル等）が作成されますが、障害やvmdkファイルの拡張の不均衡などによって、vSANで使用されるDiskの容量使用率が徐々に不均等になり、閾値（30%）を超えると警告が発報され、vSANのヘルスチェック画面で「Virtual SAN ディスクバランス」の警告が表示されます。

この警告は仮想マシンの稼働やデータの可用性への影響はありませんが、容量使用率の不均衡があまりにも大きくなると、障害時のリスク増加や、パフォーマンス問題につながることがございます。

特に最大ディスク使用率が80％に達したときに、自動的にリバランス（データの再配置）が作動する仕組みとなっているため、予期せぬタイミングで自動リバランスが行われ、業務時間中であればパフォーマンス影響が出る可能性があります。

そのような事態を未然に防ぐため、最大分散が30％以上になったというアラームにより、業務影響のない時間帯に手動リバランスを実施したほうが良いことを知らせています。

以下が参考 KB です。

vSAN 健全性サービス - 物理ディスクの健全性 - ディスク容量 (2148593)

https://kb.vmware.com/s/article/2148593

vSAN のプロアクティブなリバランス (2152028)

https://kb.vmware.com/s/article/2152028

手動でのリバランス方法

GUIを使用した手動リバランス

自動リバランスは開始などの制御ができないため、vSAN Health Check時に最大分散(Maximum Variance)が30％を超えた場合にアラートを表示します。

まずは下図を参考に、vSANのヘルスチェック画面を開いてください。

Health Checkテスト名の ”クラスタ” を展開するとVirtual SAN ディスクバランスが表示されます。

警告が出ている場合、下記の”ディスクの再分散”のボタン（英語だとProactive Rebalance Disks）が有効になります。

※最大分散が30％で警告が出ていない場合はボタンはグレーアウトして押せません。

ディスクの再分散ボタンを押すと下図のようなポップアップが出ますが大したことは書かれていませんのでOKをおして進めてください。

実行が完了すると下図のように最近のタスクのペインにタスクが表示されます。

リバランスの進捗に関わらず常に5％で表示されます。

GUIから手動で開始したリバランスタスクは24時間稼働したのち停止します。

“ディスクのリバランスの中止” （英語だとStop Proactive Rebalance Disks）により、手動でリバランスタスクを停止することも可能です。

手動で停止した場合は下図のようにリバランスの中止タスクが生成され、中止タスクが完了したのちにリバランスタスクが完了となり、停止します。

rvcを使用したコマンドでの手動リバランス方法

※類似文書として下記もご参照ください。

VxRail: CLIによるvSANリバランス

rvc(Ruby vSphere Console)コマンドを使用することにより詳細な実行設定が可能です。

vsan.proactive_rebalance_info や vsan.proactive_rebalanceといったコマンドにより操作します。

vsan.proactive_rebalanceには、実行時間(-t単位：分)や1時間当たりのデータ移動量(-r 単位：MB)などのオプション指定があり運用管理に合わせて設定可能です。

例えば、 40ＧＢを指定する場合は 40960 という値で指定を実施します。

また、GUIからの実行では最大分散が30％の閾値に収まるようにリバランスされますが、より均等にリバランスしたい場合は、30％より小さい値を指定して実行することで可能となります。

下記のコマンドの場合は、最大分散が20％以下になるように、30時間リバランスを実行し、データ移動量を１時間あたり40ＧＢに指定する場合のコマンドとなります

vsan.proactive_rebalance -s -v 0.20 -t 108000 -r 40960 0

• 実行例

以下のコマンドリファレンスや、このコミュニティの他の Document を参考にしていただけます。

VMware Ruby vSphere Console Command Reference for Virtual SAN

https://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/products/vsan/vmware-ruby-vsphere-console-command-reference-for-virtual-san.pdf

VxRail: CLIによるvSANリバランス

Virtual SAN ディスクバランスの警告を静観・抑止する場合

このセクションでは警告の発報を抑止する手順を紹介しています。

しかしながら、先に記載した通りディスクバランスに関しては自動リバランスによる予期せぬ業務影響の可能性がありますので、お勧めできません。

従いまして、最大分散や最大ディスク使用率をお客様にて確認していただき、手動リバランス実施の有無の判断をしていただくことをお勧めします。

Virtual SANディスクバランスのHealth Checkをスキップする方法

最大分散が30％以上でアラームが出ないようにする方法ですはVxRail 4.5 (vSAN 6.6, vSphere 6.5) であれば下記リンクのようなの手順にて項目をスキップできます。

VxRail 4.5(vSAN 6.6, vSphere 6.5)のvSAN健全性テストの警告について

https://community.emc.com/message/1000585

しかし、VxRail 4.0では同様の手順は確認できませんでしたので、VxRail 4.0 (vSphere 6.0/vSAN 6.2) に関しては続く「アラーム定義を無効にする方法」をご検討ください。

なお、アラーム定義を無効にする方法」 はVxRail 4.5 (vSAN 6.6, vSphere 6.5)  でも使用可能です。

アラート定義を無効にする方法

VxRail 4.0 (vSphere 6.0/vSAN 6.2) ではHealth Checkを無効にすることはできませんが、アラート定義を無効にすることで、インベントリでの警告アイコンや、サマリタブでのメッセージを抑止できますのでパッと見、Cleanになります。

※この方法はVxRail 4.5 (vSAN 6.6, vSphere 6.5)  でも使用可能です。

※この方法を実施した後でも、vSAN健全性テストの項目にはディスクバランスの警告は表示されます。

まず下図を参考にVirtual SAN ディスクバランスのアラーム定義の編集ボタンを押してください。

編集ボタンを押すと編集ウインドウが出ますので、「このアラームを有効にする」のチェックを外してください。

警告メッセージを消す方法

アラーム定義の無効化や、vSAN ヘルスチェックのスキップを実施した後に、まだ警告メッセージが残存している場合は、下図を参考にクラスタの警告メッセージを確認してください。

”Virtual SAN ディスクバランス” の警告メッセージを確認したら、右クリック > 緑にリセット を選択し、メッセージを消してください。

留意事項

• リバランス処理が完了した後も、使用率の低いディスクが1つでも存在する場合には他のディスクとの使用率の差分が閾値に達し、警告メッセージが消えない場合も想定されます。
• リバランスに関する挙動（移動するデータの選定や完了時刻見込み、データの移動先）に関しては情報が公開されていません。