Microsegmentación con Firewall Distribuido de NSX (DFW)

Revisemos primero los tipos de FW que disponemos:

-Fisicos: aunque aun son necesarios, los cortafuego perimetrales tienen limitaciones sobre el ancho de banda que pueden gestionar asi como la carga de analisis que obliga a una escalabilidad horizontal compleja y que aumenta la complejidad del entorno.

-Virtuales, mismo servicio que los fisicos pero en formato virtual, son un buen complemento para los FW fisicos aunque estan limitados a una mdia de 1 y 4 Gb de ancho de banda.

-Distribuidos: son el complemento perfecto para los fw fisicos en un entorno de vSphere. EL FW de NSX esta basado en el rendimiento del kernel del hypervisor (ESXi), permiten una gran escalabilidad horizontal muy agil y que no implica aumentar la complejidad del entorno y que permite un ancho de banda de hasta 20Gbps por host.

Gracias al nuevo paradigma que presentan los servicios distribuidos de NSX, como en este caso el de FW,  es posible plantear otros escenarios a donde las capas de los servicios fisicos tradicionales no estaban llegando, en este caso, el esquema de firewall perimetral se amplia a un esquema de una relacion 1:1 entre VM y FW como vemos en al siguiente imagen:

De la idea anterior nace el concepto de "microsegmentación": el trafico se inspecciona ahora en las tarjetas de las maquinas virtuales a nivel de capa 2, 3 y 4 gracias a NSX.

Ademas permite integración con soluciones de terceros que aumentan la capacidad de analisis de las aplicaciones como de capa 7.

Por ultimo es importante destacar que si la VM se mueve de host hypervisor (ESXi), las reglas de esta VM se van con ella, y no es necesario ningun tipo de reconfiguracion con lo que es 100% compatible con las tecnicas de asignacion dinamica de recursos (DRS) y de caracteristicas como HA de VMware para dotar de alta disponibilidad a las maquinas virtuales. 

La microsegmentacion nos permite aislar y segmentar las aplicaciones de diferentes formas como podemos ver en la siguiente imagen:

Rendimiento del Firewall Distribuido (DFW) de NSX

En los siguientes post, desmontaremos algunos de los mitos que existen sobre el rendimiento y la visibilidad de operaciones que existen relacionadas con NSX, en este caso nos centraremos el el rendimiento del cortafuegos implementado por NSX.

Una buena metrica para analizar el rendimiento del DFW de NSX; es medir las conexiones por segundo que puede alcazar un firewall con un numero determinado de reglas.

En el siguiente grafico vemos como incluso con 100 reglas de firewall por host se alcanzan sin problemas las 80.000 conexiones por segundo.

En la siguiente gráfica podemos observar como apenas hay perdida de rendimiento incluso cuando se transmiten 20Gbps a través de un solo host (con dos enlaces de 10 Gbps)

Es importante tener en cuenta que con el DFW (Firewall Distribuido de NSX) la carga que debe soportar y gestionar cada FW es el de las VMs que residen en ese host o del trafico que se envia y/o recibe en un solo host; a diferencia de los FW fisicos tradicionales que tienen que soportar el trafico de todo el entorno tanto fisico como virtual ya que son un punto único de filtrado de trafico. Esto ademas obliga a que el trafico circule por toda la ed hasta llegar la FW fisico, en cambio con el DFW de NSX, se llega al extremo de que si el trafico es entre VMs ubicadas en el mismo no host no tengan ni que salir del host para comunicarse entre ellas.

Ademas, la posibilidad de combinar las vRealize Automation (vRA) con NSX, nos permite implementar las aplicaciones y los servicios de forma muy ágil y flexible:

-implementaciones de aplicaciones multinivel en redes aisladas.

-implementaciones de VMs en redes planas.

-implementaciones de reglas para aplicaciones que se apliquen en el momento de su activación.

-implementar servicios combinados de FW y LB o VPNs

vRealize Operations Manager 6 - Part IV - How import LDAP users

See previous Part I - vRealize Operations Manager 6 - Part I - OVA deployment

See previous Part II- vRealize Operations Manager 6 - Part II - Express Installation

See previous Part III  - vRealize Operations Manager 6 - Part III - Manage Solution

vExpert 2015 ....my second year :-)

The vExperts 2015 list was published the last month and this is the second year for me :-)

"...Each of these vExperts have demonstrated significant contributions to the community and a willingness to share their expertise with others. Contributing is not always blogging or Twitter as there are many public speakers, book authors, script writers, VMUG leaders, VMTN community moderators and internal champions among this group.

     I want to personally thank everyone who applied and point out that a “vExpert” is not a technical certification or even a general measure of VMware expertise. The judges selected people who were particularly engaged with their community and who had developed a substantial personal platform of influence in those communities. If you feel like you were not selected in error, that’s entirely possible."

You can find the whole list on this link:

http://blogs.vmware.com/vmtn/2015/02/vexpert-2014-announcement-2.html

Moving apps to the cloud with AppZero

Nueva certificacion: VMware Certified Associate - Cloud (VCA-Cloud) ...exam passed !!!

VMware: "Whether you simply want to become more conversant in virtualization technologies or ultimately want to be a recognized virtualization expert, VMware certification is now an essential step for your career"

Esta es una de las nuevas certificaciones de VMware que recientemente he superado con exito :-)

El examen es online a través de PearsonVUE y no requiere ningún curso obligatorio:

El primer paso es solicitar el poder hacer el examen desde la pagina de VMware: 

http://mylearn.vmware.com/quiz.cfm?item=47439  

Una vez tengamos el OK de VMware accedemos a la web de PearsonVUE y ya nos encontramos con el examen "VCAC510: VCA-Cloud" (120mins & English) y solo hasta fin del mes de Octubre es gratuito con el codigo VCA13ICS.

Links:  http://mylearn.vmware.com/mgrReg/plan.cfm?plan=41165&ui=www_cert

...enjoy!

How to test network performance with Netperf

As we can read at the offcial webpage: "Netperf is a benchmark that can be used to measure the performance of many different types of networking. It provides tests for both unidirecitonal throughput, and end-to-end latency"

It´s so usefull to test network performance between two virtual machines , for example from a database server to the aplicacion client.

First, download Netperf for Linux or Windows O.S and install or unzip it:

    Linux:  http://www.netperf.org/netperf/DownloadNetperf.html
    Windows: https://i18n-zh.googlecode.com/files/NetPerf-2.4.5-w32.zip

See a Windows example:

-Start server side. You can specified a port with -p

-Start client side. With -h you can see all the options.

In this case, we get a test with the result 524,55 Mbit/s (Mbps) between two virtual machines.

The simple test run for 10seconds, but this can be changed to. Netperf -h:

E:\datos\NetPerf-2.4.5-w32>netperf -h

Usage: netperf [global options] -- [test options]

Global options:

    -a send,recv      Set the local send,recv buffer alignment

    -A send,recv      Set the remote send,recv buffer alignment

    -B brandstr       Specify a string to be emitted with brief output

    -c [cpu_rate]     Report local CPU usage

    -C [cpu_rate]     Report remote CPU usage

    -d                Increase debugging output

    -D [secs,units] * Display interim results at least every secs seconds

                      using units as the initial guess for units per second

    -f G|M|K|g|m|k    Set the output units

    -F fill_file      Pre-fill buffers with data from fill_file

    -h                Display this text

    -H name|ip,fam *  Specify the target machine and/or local ip and family

    -i max,min        Specify the max and min number of iterations (15,1)

    -I lvl[,intvl]    Specify confidence level (95 or 99) (99)

                      and confidence interval in percentage (10)

    -l testlen        Specify test duration (>0 secs) (<0 bytes="" font="" trans="">

    -L name|ip,fam *  Specify the local ip|name and address family

    -o send,recv      Set the local send,recv buffer offsets

    -O send,recv      Set the remote send,recv buffer offset

    -n numcpu         Set the number of processors for CPU util

    -N                Establish no control connection, do 'send' side only

    -p port,lport*    Specify netserver port number and/or local port

    -P 0|1            Don't/Do display test headers

    -r                Allow confidence to be hit on result only

    -t testname       Specify test to perform

    -T lcpu,rcpu      Request netperf/netserver be bound to local/remote cpu

    -v verbosity      Specify the verbosity level

    -W send,recv      Set the number of send,recv buffers

    -v level          Set the verbosity level (default 1, min 0)

    -V                Display the netperf version and exit

For those options taking two parms, at least one must be specified;

specifying one value without a comma will set both parms to that

value, specifying a value with a leading comma will set just the second

parm, a value with a trailing comma will set just the first. To set

each parm to unique values, specify both and separate them with a

comma.

* For these options taking two parms, specifying one value with no comma

will only set the first parms and will leave the second at the default

value. To set the second value it must be preceded with a comma or be a

comma-separated pair. This is to retain previous netperf behaviour.

E:\datos\NetPerf-2.4.5-w32>

Take care with the units (about caudal, no about velocity):

106 bit = 1 000 000 bit/s = 1 Mbit/s

1 megabyte/s = 8 megabit/s

1 megabit/s = 1000 kilobit/s = 125 kilobyte/s

Unit	Bits	Bits / 1,000,000
Mega-bit	1,000,000	1.0
Mebi-bit	1,048,576	1.05
Mega-byte	8,000,000	8.0
Mebi-byte	8,388,608	8.39

Links:

Units http://en.wikipedia.org/wiki/Data_rate_units

Training NetPerf http://www.netperf.org/netperf/training/Netperf.html

Ya esta disponible VMware View 5 (full support)

Recordaros que actualmente existen dos versiones:

-VMware View 5.0 Premier Edition (Basica....)

-VMware View 5.0 Enterprise Edition (Full equip....)

http://downloads.vmware.com/d/info/desktop_end_user_computing/vmware_view/5_0

Key features:

• View Media Services for 3D Graphics enables basic 3D applications in View desktops without like Aero, Office 2010 or those requiring OpenGL or DirectX without the need for specialized graphics cards or client devices. 
• 
  
• View Media Services for Integrated Unified Communications enables and integrated VOIP and View desktop experience for the end-user with an architecture to provide optimized performance for both the desktop and unified communication.
•  
• View Persona Management (View Premier editions only) dynamically associates a user persona to stateless floating desktops. IT administrators can deploy easier to manage stateless floating desktops to more use cases while enabling user personalization to persist between sessions.
•  
• PCoIP Extension Services allow WMI based tools to collect over 20 session statistics for monitoring, trending and troubleshooting end-user support issues. 
•  
• PCoIP Optimization Controls deliver protocol efficiency and enables IT administrators to configure the bandwidth settings by use case, user or network requirements to consume up to 75% less bandwidth.
•  
• PCoIP Continuity Services deliver a seamless end-user experience regardless of network reliability by detecting interruptions and automatically reconnecting the session.

• View Client for Android enables end-users with Android based tablets to access View virtual desktops.
•  
• Enhanced Security Settings enable client certificate handling customization using established browser certificate model to reinforce corporate policy.
•  
• vSphere 5 support ensures that View desktop services run on the industry’s most complete and robust cloud infrastructure platform for flexible, reliable IT services.

Que tener en cuenta al virtualizar un dominio con Active Directory

Bajo el curiosos titulo "Cosas a tener en cuenta cuando se alojan los controladores de dominio de Active Directory en entornos de alojamiento virtuales", Microsoft nos deja el articulo KB888794 con varios puntos que no debemos descuidar.
Os dejo el link para que le deis un vistazo porque seguro que aunque tengais varios AD virtualizados a vuestras espaldas, algun punto os servira de ayuda.

http://support.microsoft.com/kb/888794

Nuevo Veeam vPower 5 en dos dias....tic tac...tic tac...

La novedad principal de la nueva version de Veeam Backup & Replication reside en que:

-permite verificar que un backup de una maquina virtual funcionaria en caso de ser necesaria su restauracion, lo llaman SureBackup Recovery Verification

-perimte restaurar una maquina virtual en minutos, lo llaman Instant Recovery

-recuperar objetos de cualquier aplicacion virtualizada, lo llaman U-AIR.



¿Virtualizar y Virtualizacion existen en el diccionario? Pues va aser que no.

A estas alturas donde la virtualizacion ya no es "el gran desconocido", resulta que me entero que no existe en el diccionario... la culpa la tenemos por dejarnos llevar tanto por el corrector de google....aishhhh!

La Fundación del Español Urgente (Fundéu BBVA), en una nota difundida hoy, aclara que los términos "virtualizar" y "virtualización", empleados en el ámbito de la informática, son construcciones correctas en español.
La Fundéu BBVA, que trabaja con el asesoramiento de la Real Academia Española, aclara que en ambos sentidos, "virtualizar" y "virtualización" son, pese a no figurar en los diccionarios, términos correctos y que, por tanto, pueden usarse sin vacilación en las informaciones

La Fundación del Español Urgente (www.fundeu.es), patrocinada por la Agencia Efe y el BBVA, cuyo principal objetivo es el buen uso del español en los medios de comunicación, cuenta con la colaboración, entre otros, del Instituto Cervantes, la Fundación San Millán, El Corte Inglés, Red Eléctrica de España, Gómez-Acebo & Pombo, CEDRO, CELER Soluciones, Hermes Traducciones, Linguaserve y Abengoa.