Writing Virtual Life

仮想化(VMware)などについて、重箱の隅をつつくタイプのブログ。

Apache Struts 2脆弱性(CVE-2017-9805、CVE-2017-9793など)とVMware製品の影響について

9月5日頃、Apache Software Foundationから「Apache Struts 2」に関する脆弱性3件に関するアドバイザリが公開されました。そしてVMware社側でもその事項に関するナレッジを公開しています。
 
 
VMware Response to CVE-2017-9805, CVE-2017-12611, and CVE-2017-9793 in Apache Struts (2151626)
※KB削除のため
VMware Response to CVE-2017-9805, CVE-2017-12611, and CVE-2017-9793 in Apache Struts (2151608)
 
VMware社自身の調査により、合致するVMware製品は現在見つかっていません。
上記脆弱性の原因となるStruts RESTプラグインをそもそもインストールしていないため、合致しないそうです。
 
とりあえずは安心と考えておきますが、こういうセキュリティ系のKBは不定期に更新される可能性があるので、しばらく監視しようと思います。
 
以下本脆弱性に関する参考:
 
今回挙がっている脆弱性とは、CVE-2017-9805、CVE-2017-9804、CVE-2017-9793の三種類。
特に9805は”Critical”に分類されるため、もし該当すればパッチ対応などが重要となっていました。
 
Apache Struts2脆弱性対策について(CVE-2017-9805)(S2-052)
Apache Struts 2」に危険度の高いRCE脆弱性、修正バージョンの適用を推奨
 

VM on vSAN バックアップ製品のコンパチガイド

ふと見かけたのでご紹介。
 
VMware vSANクラスタを利用する上で、VMバックアップは重要な考慮事項です。
どんなバックアップができるのかというと、、vADP連携のバックアップ製品を用いたものが主流かと思います(外部ストレージのようなLUNバックアップは不可)。
 
しかし各ベンダの製品がどれだけvSANをサポートしているのかが気になるところではあります(データは正しくバックアップできるのか、ベンダがvSAN環境のVMを保守してくれるのか)。
 
そういったvSANバックアップ製品のリストを、VMware社は互換性リストの一つとして用意しています。
 
VMware Compatibility Guide - vSAN Partner Solutions
 
要するにvSANと連携可能なパートナーソリューションの互換性ガイドなのですが、現状バックアップ製品しか登録されていないので実質バックアップ製品リストです。
※2017年9月時点ではEMCのAvamar, Networker, Veeamの Veeam Backup& Replicationの三種。
 
互換性リスト以外にもVM on vSANをバックアップできるという製品はあると思いますが(arcserveやvDPなど)、VMware社の認証を受けているものはリストのものになります。
 
vSAN設計の参考にご利用ください。

Web Client 6.5でファイルのアップロードに失敗する現象

 vSphere 6.5 のWeb Clientでは、プラグインなしでデータストアブラウザからファイルアップロードできるようになっています。
 しかし一部アップロードが失敗する現象があったので記録。


以下はWeb Clientのデータストアブラウザ。ファイルアップロードの進行状況がエラーになっています。

f:id:writinglife:20170903230616p:plain


エラーの内容は以下。
「不明な理由で操作が失敗しました。通常この問題は、ブラウザが証明書を信頼できない場合に発生します。自己署名証明書またはカスタム証明書を使用している場合は、下記のURLを新しいブラウザ タブで開いて証明書を受け入れてから、操作を再試行してください」

f:id:writinglife:20170903230653p:plain

 

原因はESXiの証明書をブラウザに適用できていないこと。
Web Client経由でデータストアにアクセスするにしても、最終的には端末-ESXi間のデータのやり取りになります。そのため、ESXiの証明書をクリアしないと、エラーになってしまいます。
エラー画像記載の通り、同ブラウザの別タブでESXiホストのHost Clientにアクセスし、Webブラウザ証明書を対処することで、アップロードができるようになります。


証明書のインストール手順については以下URLをご参照ください。


・vCenter Server ルート証明書をダウンロードしてインストールして、Web ブラウザ証明書の警告を防ぐ方法
 https://kb.vmware.com/kb/2148936

vSphere Client(C#)とHost Clientとの機能比較例

 vSphere 6.5がGAからしばらく経ちますが、まだHost Clientでできることできないことをあまり把握していないと思い、とりあえずわかった範囲で記録します。
 VMware Hands on Labの環境から抜粋しますので、あくまで参考程度に見ていただけると幸いです(権限を制限されているかもしれないため)。
 
 対象バージョンはvSphere 6.5 GA同梱のHost Client 1.8。
 比較対象はESXiホストに接続するvSphere Client C# (ESXiホスト相手になら6.5でも使えるんですよね・・・)。
 まずリリースノートによるHost Clientでの使用可能な機能は以下。
 
======
 
ESXi 6.5 には、次の追加機能を実装する VMware Host Client のアップデート済みバージョンが含まれています。
・ホストや仮想マシンのユーザー、ロール、権限割り当ての追加、削除、編集
・ディスクおよびネットワークのパフォーマンス監視
・Virtual SAN メンテナンス モード オプションのサポート
自動起動構成のユーザー インターフェイス設定
仮想マシンの編集、センサー監視、データストア ブラウザ、列表示、ログ検索、ハイライトにおける画面およびユーザー エクスペリエンスの向上
・注釈やゲスト OS など、仮想マシン テーブルで追加情報を表示するための新規列の追加
・異なるブラウザやユーザー マシン間での VMware Host Client 設定の保持
・フル スクリーン コンソール モードでの仮想マシンへのアクセス アクションの許可
・アプリケーション内からすぐにフィードバックとスクリーンショットを提供できるビルトイン フィードバック ダイアログの設置
======
 
以下、HOL環境で比較した上での主な機能差異について。 

 

○ネットワーク検出プロトコルの設定(標準スイッチ)
・vSphere Client(C#)
 分散スイッチにしかない設定、という認識。
・Host Client
 Host Clientで標準スイッチを作る時に設定できる様子。

f:id:writinglife:20170703020023p:plain

 
TCP/IP スタックの設定
・vSphere Client(C#)
 Web Clientが本稼働してからの機能なのでvSphere Clientには含まれていません。
・Host Client
 TCP/IP Stackそのものの作成はできないものの、デフォルトのStackは設定変更できる様子。

f:id:writinglife:20170703020148p:plain

 
○ストレージ デバイスのマルチパス設定
・vSphere Client(C#)

f:id:writinglife:20170703020225p:plain

・Host Client 
 マルチパスポリシー設定が見当たらず。アダプタ側を見ても出てこない様子。見ているのはiSCSIディスクなので、隠れているのでしょうか? HOLでは確認できず。

f:id:writinglife:20170703020259p:plain

 
○vibパッケージの閲覧
・vSphere Client(C#)
 なし。
・Host Client
 以前も別記事で書きましたが、vibパッケージをHost Clientで見れますね。

f:id:writinglife:20170703020334p:plain

 
※参考までに。Host Clientのバージョンを見る方法を記載。
 vibパッケージより「esx-ui」を探し、バージョンの項を見てください。

f:id:writinglife:20170703020356p:plain

 
 vCenter Serverを構築してからなら気にする必要はありませんが、ESXi構築直後に設定したいもの(ストレージ・ネットワーク)もあるため、気に留めておくと良いと思います。
 
とりあえずこんな感じで。
他にもあったら教えていただけると幸いです。

ESXiに警告「廃止されたVMFSボリュームが〜」が表示される

ESXi 6.0ホストにて以下のメッセージが表示される事例があります。
 
「廃止されたVMFSボリュームがホスト上に見つかりました。ボリュームを最新バージョンにアップグレードすることを検討してください。」
 
・ESXi ホストに廃止された VMFS ボリュームの警告が報告される (2115503)
 
 当初このメッセージのワークアラウンドとして「管理エージェントを再起動」のみが記載されていましたが、今はパッチ「ESXi 6.0 Patch Release ESXi600-201608401」の適用で解決できると英語KBで挙がっています。
 日本語KBだけ見ていると見逃してしまうことがあるため、ご注意ください。
 
英語KB
・“Deprecated VMFS volume(s) found on the host” error in ESXi hosts (2109735)

vsphere clientにてストレージのアクティブパスが見えない現象

Active path information (I/O) missing after update to 6.0 Update 3 (2149992)
 
vsphere client / web clientにて、ストレージパスを表示する時に「アクティブ(I/O)」が表示されないという現象があります。現状vSphere 6.0 update 3でのみ発生(6.0u2では確認されず)。
fixed path の優先パスも出てきません。
 
KBにもある通り表面上の問題であるため、ESXi Shellであればアクティブパスが見えます。
なので運用管理上は問題ないと思うのですが、ちょい気になったので。

Win版vCenter Server 6.5の起動サービス

 vCenter Serverは5.1、5.5、6.0、6.5と大きなアップデートのたびにコンポーネント構造が変わっています(SSOやInventory Serviceなど)。
 その関連かと思っていますが、Windows版vCenter Serverのサービスの項目数はバージョンによってよく変動します。
※ここでいうサービスはWindowsOSで見える”サービス"を指します。
 Web Clientで見えるシステム構成のサービスとは異なります。
 
vCenter Server 6.0では20個ほどの個々のサービスが表示されていましたが、6.5になって一気に集約されました。
具体的には”VMware Service Lifecycle Manager サービス”のみ。
 
続きを読む