Writing Virtual Life

仮想化(VMware)などについて、重箱の隅をつつくタイプのブログ。

Apache Struts 2脆弱性(CVE-2017-5638)に関するVMware製品の対応状況

VMware
VMware社では、セキュリティ アドバイザリ ページにて脆弱性対策の更新情報を掲載されています。
今回は3月頭に公開された、Apache Struts 2脆弱性(CVE-2017-5638)の対策について。
そろそろ情報が確定したかと思い記載(以下アドバイザリページは7回ほど更新されていました)。
 
VMSA-2017-0004.7
VMware product updates resolve remote code execution vulnerability via Apache Struts 2
 
対象製品:
・Horizon Desktop as-a-Service Platform (DaaS)
VMware vCenter Server (vCenter)
・vRealize Operations Manager (vROps)
・vRealize Hyperic Server (Hyperic)
 
特にvCenter Server 6.0,6.5、crops 6.xが関連しやすいと思いますが、
現在はパッチ、もしくはワークアラウンドが揃っています。
 
CVE-2017-5638については以下をご参照。
 
IPA - 更新:Apache Struts2脆弱性対策について(CVE-2017-5638)(S2-045)(S2-046)
 

VMware KBの短縮URL取得

VMware
技術では一切ない小ネタではありますが、VMware KBの短縮URL取得方法について。
 
VMware KBのページを開いた時にURL欄に表示されるものは、パラメータがいくつかついた状態になっています。
例:
 
このURLに対し、KBページ内に以下のようなパーマリンク(Permalink)が用意されています。
こちらを使えばよりスマート(?)なリンクを取得することができますね。
 

 

f:id:writinglife:20170311214650p:plain

 

ESXiのvibパッケージをブラウザ上で確認する方法(Host Client)

VMware
 ESXi 専用クライアントであるHost Client。このクライアント独自の機能として、vibパッケージリストを見ることができます。
 使っているハードウェアの関係でvibのバージョンを確認することがあるのですが、これがSSHでログインすることなくGUIで見えるようになったという点が嬉しいですね。

f:id:writinglife:20170301231605p:plain

 
 また、vibファイルのインストール/アップデートもできます。
 手順については下記URLをご覧ください。
 
VMware Host Client 最新バージョンへのアップデート
 

vSphere 6.0/6.5とVMware NSXの互換性

VMware vSphere6.0 vSphere6.5
 vSphere6.5という新しいバージョンが昨年公開されましたが、GA直後ではVMware NSXと連携できないという互換性問題がありました。
 それが6.5.0aになってようやくNSXとの連携ができるようになりまして、NSXを提案する人にとっては嬉しい限りかと思います。
 ただ互換性の良いバージョンは依然限られているため、KBと相互互換性ガイドからほんの少しご紹介。
 
VMware vSphere 6.5 を実行するサイトの場合、vSphere Update 6.5a が NSX for vSphere 6.3.0 でサポートされる最小バージョンとなる (2148970)
 
VMware Product Interoperability Matrixes / vCenter Server and VMware NSX
 
 まず一点。
 現時点でvSphere 6.5と組み合わせられるNSXは、NSX 6.3.0のみです。他のバージョンのNSXは対応していないのでご注意ください。
 
 次に、先日公開されたvSphere 6.0U3の対応するNSXは、NSX 6.2.4〜6.2.6までとなっています。このバージョンだけNSX 6.3.0に対応していません。残念。
※2017/3/1 NSX6.3.1が公開され、互換性ガイドにてvCenter Server 6.0U3-VMware NSX 6.3.1が対応されました。
 ただしESXi 6.0U3-VMware NSX 6.3.0は未対応。ESXi 6.0U3-VMware NSX 6.3.1は対応しています。
 
 こういったバージョンの縛りが若干発生しているので、間違いに注意しましょう。

ESXiのSSH警告を無効化する方法

VMware
 ESXiのSSH / ESXi Shellを有効化していると、ESXiのサマリで警告が表示されます。
 もちろんSSHが有効ということはセキュリティ対策として気にすべき点かと思いますが、有効にしておきたい評価環境ような場合ではこれが気になってしまいます。また、常時警告が出てしまうことで、他の警告が気づきにくくなってしまうといった懸念もあり。
 なのでこの警告表示を無効化する手順をご紹介します。
 
 以下画像では、ホストのサマリにて「ホストのESXi シェルは有効になっています」と言った警告が出ています。

f:id:writinglife:20170226213347p:plain

 
 ホストを選択し「管理」タブ、「設定」タブ、「システムの詳細設定」をクリック。

f:id:writinglife:20170226213402p:plain

 
 パラメータ「UserVars.SuppressShellWarning」を探します。「Shell」でフィルタすると見つけやすいです。
 そしてこの値を「1」に設定し、「OK」をクリックします。

f:id:writinglife:20170226213434p:plain

 
 警告が表示されなくなりました。

f:id:writinglife:20170222225327p:plain

 
 この方法は以下KBに記載されております。
 KB上はバージョン5.5.xまでとなっていますが、6.5でも適用可能です。
 
 
・ESXi 5.x ホストで ESXi Shell と SSHクラスタ警告が表示される (2080326)

vCSA6.5アプライアンス シェルのAPI

VMware vSphere6.5
 vCSAをコンソールで開くと、まず始めにアプライアンス シェル画面が表示されます。
 そこからshellコマンドを実行してBashに切り替えるのがいつもやることなのですが、アプライアンス シェルは意外と使えそうだという紹介です。
 
vCenter Server Appliance シェルの API コマンド
vCenter Server Appliance の API コマンドを使用すると、vCenter Server Appliance のさまざまな管理タスクを実行できます。これらの API コマンドは、vCenter Server Appliance のアプライアンス管理サービスによって提供されます。時刻同期設定の編集、プロセスとサービスの監視、SNMP 設定のセットアップなどを実行できます。
 

 

例:
・com.vmware.appliance.version1.system.version.get
 
アプライアンスのバージョンを取得します。
 
・com.vmware.appliance.version1.system.time.get
 
システム時刻を取得します。
 
また、割と統計情報や健全性情報をCUIで得られるのがポイント高めです。その紹介は後日。
 

仮想マシンメモリのオーバーヘッド

VMware
 仮想マシンをパワーオンする際、仮想マシンのメモリ及びvCPU数によってオーバヘッドメモリを消費します。最近はメモリを大量に積める関係であまり意識しないのですが、ちょっと気になった点をご紹介。
 
 vSphere5.5まではオーバーヘッドメモリの一覧表がドキュメントに記載されていました。6.0では一覧表がなくなってしまいましたが、6.5になってまたドキュメントに記載されるようになっていました。
 
vSphere 5.5の場合
 
vSphere 6.0の場合
 
vSphere 6.5の場合
 
 数字としては5.5 - 6.5で変わらないようです。ドキュメントに復帰した理由は不明ですが、ちゃんと記載されることでオーバーヘッドを意識できるようになったのは少し嬉しいですね。