Архив рубрики: techtalk

Как это работает?

Диаграммы соединения сетевых портов для разных гипервизоров в Nutanix

Отличный пост в блоге коллеги, который я не буду копировать сюда, а просто оставлю на него ссылку:
сборник диаграмм сетевых портов Nutanix для разных гипервизоров.
Может основательно помочь в сетевом траблшутинге, настройке правил файрволлов и проброса портов на сетевой подсистеме датацентра, и так далее.

Картинка вам для привлечения внимания, а полный сборник всех диаграмм, для ESXi, Hyper-V, конечно же AHV, и даже для Xen Server — по ссылке:
vmwaremine.com/2014/09/19/nutanix-network-port-diagram/

Как изменить приоритеты или отключить HA для VM в Acropolis Hypervisor?

Как вы знаете, для всех VM в среде AHV включен HA, High Availability, который перезапускает VM в случае, например, выхода из строя хоста, где эта VM работает, и в ряде других случаев. Но что делать, если нужно для каких-то VM эту HA отключить, или, например, изменить приоритеты запуска, когда группа VM перезапускается в условиях ограниченных ресурсов, и мы хотим задать, какие VM должны быть обязательно перезапущены, а какие могут обойтись?

А вот как. На помощь придет командный интерфейс acli. Вы помните, что кроме красивого и визуального Prism, у нас есть еще и командная строка, проще всего доступная из интерфейса непосредственно CVM. Некоторые редкие и мало используемые команды, а также некоторые особо новые, находятся именно там.

Войдем в интерфейс aCLI, например в консоли CVM, просто напишем в командной строке acli и попадем в него, поймем, что мы уже там, по изменившемуся виду подсказки (ну и зелененький он)
nutanix@cvm$ acli
<acropolis> _

Допустим, наша VM называется winxpsp3vmw. Отдадим команду, указав в качестве параметра ha_priority значение -1 (минус один). Это значение отключает работу HA для этой указанной нами VM (и только для нее)

nutanix@cvm$ acli
<acropolis> vm.update winxpsp3vmw ha_priority=-1
winxpsp3vmw: complete

Положительное же значение — включает HA, причем, чем меньше оно, тем выше приоритет HA, то есть VM со значением ha_priority=1 будет иметь выше приоритет выполнения HA, чем VM с ha_priority=2

Вернем нашей VM возможность перезапуска средствами HA

<acropolis> vm.update winxpsp3vmw ha_priority=2
winxpsp3vmw: complete

Наконец, раз уж мы заговорили про HA, стоит упомянуть, что в Nutanix есть возможность резервировать ресурсы в кластере, обеспечивая гарантированный перезапуск VM вышедшего из строя хоста, например. В этом случае, вы можете задать для инфраструктуры лимит, при наличии которого система не даст вам создать больше VM, занимающих ресурсы, чем этих ресурсов есть в системе. Это гарантирует, что все созданные VM будут иметь возможность переехать и запуститься даже при потере заданного числа хостов.
В GUI есть просто соответствующая галка в диалоге. Но вообще-то настройки в системе более гибкие.

HAReserveHosts — один или более физический хост резервируется для выполнения VMHA.
HAReserveSegmentsресурсы (одного или более хоста) резервируются на кластере в целом.

Например:

<acropolis> ha.update reservation_type=kAcropolisHAReserveSegments

В данном случае мы переключили режим резервации на резервирование ресурсов по всему кластеру в целом.

Обновление до G6 получают новые линейки платформ Nutanix

Я уже писал ранее про то, что Nutanix (или, правильнее сказать, Supermicro, наш поставщик платформ) в несколько этапов проводит обновление платформы на Generation 6, с поддержкой Intel Skylake, и прочих интересных штук. Ранее обновилась линейка NX-3000, а теперь пришло время и для других платформ. Уже опубликованы спеки для 1000-й серии, и я бы хотел остановиться на них подробнее.
Обычно мы привыкли, что «новая коллекция» это всегда лучше, мощнее, совершеннее, но в случае Nutanix G6 важно понимать, что «не все так однозначно»(tm). Давайте взглянем на спеки на https://www.nutanix.com/products/hardware-platforms/.

Мы пока сохранили, как и в случае NX-3000-G6, в продаже также и модели G5, и вот почему.
Надо сказать, что NX-1000-G5 получилась весьма удачной. Их и продается очень много у нас по всем миру, и, объективно говоря, получилась «вишенка».
Смотрите сами: два доступных процессора для этой, недорогой системы подобраны как E5-2620 [16 cores / 2.1 GHz] и E5-2640v4 [20 cores / 2.4 GHz]. То есть и ядер ОК, и гигагерцы, например в 2640, вполне ничего себе. Это не 3.4, но тоже, для «энтрилевела», очень неплохо.
А для G6 у нас для NX-1000 пойдут также два процессора, но это: Silver 4108 [8 cores / 1.8 GHz] и Silver 4114 [10 cores / 2.2 GHz]. Как видите, тут и частота меньше, и ядер меньше (спасибо за поправку в комментах, ошибочно у нас на сайте в спеке для G5 указано число ядер для пары CPU, а для G6 — на один CPU). Да, SkyLake. Но если вам нужны именно pCPU cores или частоты, тут есть над чем подумать.

Второе: система NX-1000-G6 будет доступна только в «гибридном» виде, а G5 можно было заказать в AllFlash (причем были доступны даже SSD на 3.84TB), и это была бомба для entry-level, с нашими эффективными и быстрыми SSD такой AllFlash рвал все подряд. Для такой конфигурации это дает нам 41TB usable space на 4 нодах и при компрессии 2:1

Кроме этого, в «гибридном» для G5 были доступны диски 8TB, а для G6 максимум — это 6TB. Это, в свою очередь, 62.28TB гибридной емкости на тех же 4 нодах.

Наконец, в третьих, для G6 будет доступна максимальная память — 384GB RAM, а для G5 были возможны объемы и 512, и даже 1TB на ноду.

В общем, по всему видно, что в G6 наши инженеры попробовали сделать серию NX-1000 более «энтрилевелной», чтобы не каннибализировать «мидрендж» NX-3000, потому что, очевидно, многие смотрели на линейку G5, и всерьез зависали над тем, нужно ли им взять NX-1000 в топовой набивке, например, или allflash для скорости, или с дисками 8TB для емкости, да еще и с таким богатством по RAM, или идти в 3000-ю, которая может получиться заметно дороже просто потому что это более старшая платформа. Если не нужны CPU выше 2640, то тут есть на чем зависнуть.

Из хорошего, ну, конечно, кроме новых CPU, в новых платформах G6 будет пара 10G портов «в базе», на модуле SIOM, и, в принципе, это позволяет не добавлять порты на add-on card. Но можно добавить еще пару или аж четыре 10G, так что с 6 портами 10G это будет довольно упакованная сетевыми интерфейсами система.

В общем, выводы мои такие: если вы раздумывали, нужно ли вам NX-1000-G5, или стоит дождаться G6, то, как мне кажется, есть немало случаев, когда купить сейчас G5 будет выгоднее. Хотя, конечно, если вы глядите на конфигурацию, не превышающую лимиты G6, то такая может выйти и дешевле, чем G5.
Так что думайте, но не слишком долго, не для того мы выпускали G6, чтобы продолжать продажи G5. Распродадим имеющиеся платформы, и — ага.

Кстати, чтобы два раза не вставать: обратили ли вы внимание, что в линейке Dell появилась 4-процессорная модель XC940?
У нас такой модели пока нет, и хотя на сайте DellEMC теперь нужно постараться, чтобы найти модели XC (у меня такое ощущение, что человек не знающий о существовании этой линейки просто так их вообще не найдет, в особенности на русскоязычном сайте), она есть и продается.
Это Nutanix на платформе R940, с ЧЕТЫРЬМЯ процессорами SkyLake, вплоть до Platinum 8180, с 24 местами под 2.5″ диски, с поддержкой NVMe up to 3.2TB, до 60TB на ноду дисковой емкости, и до 4TB (!) RAM. Офигенная молотилка для сверхмощных баз данных, в особенности memory-based.

А в следующем посте я расскажу вам про нашу новую инициативу, которую мы вместе с Dell назвали DellEMC XC core.

UPD: В ближайшее время все же будет доступна конфигурация с 512GB RAM на ноду, модулями по 32GB.

Обновляете vSphere на v6.5? Проверьте HCL!

Я не раз встречаю пользователей, которые «засиделись» на 5.5, и вынуждены мигрировать на 6.х, откладывая это до последнего. «Последнее» начинает пригорать. vSphere 5.5 прекращает поддерживаться уже в сентябре, так что если осенью вы не хотите оказаться с неподдерживаемой системой — пора начинать бегать по потолку готовить процесс миграции на актуальные версии.
И тут я хотел бы в очередной раз напомнить о штуке, про которую, как я заметил, вспоминают всегда в последнюю очередь. Дело в том, что VMware с выходом каждой новой версии и Updates «чистит» свой HCL, не только добавляя новые, но и удаляя из него старые модели серверов. И в этом есть некоторая засада, так как вы вполне можете столкнуться с ситуацией, когда хорошие, еще не старые серверы, выполняющие свою задачу, на которых работает и поддерживается, скажем, vSphere 5.5, после обновления на 6.5 будут считаться неподдерживаемыми, и вы, в процессе апгрейда, получите инфраструктуру, которой будет отказано в вендорской поддержке, хотя, казалось бы, обновлялись, «чтобы было как лучше».

Так, например, на сайте HPE есть специальная страница, в которой вы можете обнаружить, что, например, популярные серверы HPE DL320e Gen8, ML350e Gen8, DL360e Gen8, и уж, понятное дело, DL360 Gen7 — не поддерживаются для ESXi 6.5 и новее.
Аналогичный список есть и у Cisco, и у других вендоров. А у самой VMware он расположен тут: VMware Compatibility Guide.

Так что, надеюсь, вы обойдетесь без сюрпризов в процессе обновления и миграции.
Ну и, как принято говорить, «чтобы два раза не вставать», хочу напомнить, что на платформах Nutanix вы можете также использовать vSphere, причем в одном кластере даже разные версии, например 5.5 и 6.0 или 6.5, что может быть хорошим вариантом для плавной и постепенной миграции инфраструктуры «сервер за сервером». Ну и, наконец, у нас есть «однокнопочная» конвертация кластера vSphere в кластер AHV, решающая окончательно проблему с апгрейдом на новую vSphere с ее веб-клиентом, и прочим админским геморроем.

Почему SSD на СХД «классике» такие медленные?

Вот что пишет, например, HPE в своем официальном гайде по сайзингу HPE 3Par в отношении SSD:

На странице 11 написано:

1100 IOPS с диска 480GB MLC и 4000 IOPS для дисков 1920 и 3840GB ?!! Да, это официальный гайдлайн для сайзинга 2-Tier storage SSD+FC.
При этом знаете, сколько эти «SSD на 4000 IOPS» в листе у HPE стоят?

Ну, ОК, допустим в стритпрайсе эти диски не 26 тысяч долларов, существенно меньше. Может даже на 80% дешевле. ;)

Но как вы думаете, сколько этот же диск дает IOPS, по спекам вендора, то есть, будучи вставленным в обычный тестовый сервер, как локальный диск?

Вот диски, которые мы используем у себя в Nutanix, это популярная «серверная», энтерпрайзная серия Samsung SM863A, с высокими показателями надежности при большом трафике записи. Официальный сайт говорит следующее:

28 тысяч на запись блоками 4K, и 95 тысяч — чтения.

Куда делась разница?
Съелсь в latency.

Длинный путь блока, от приложения в OS, в буфера, в HBA, в буфера коммутатора, в кэш OS СХД, на диски, а, затем, в обратный путь, не позволяет приложению продолжать ввод-вывод со скоростью, которую мог бы обеспечить SSD, будь он «поближе» к серверу.

Но все меняется в случае архитектуры HCI, где диск расположен локально к процессору, где путь к данным от приложения в памяти сервера до дисков гораздо короче.

Это как раз то, что дает нам возможност показывать вот такие результаты:

Два с половиной миллиона IOPS на random read блоком 8K, используемым на нашей файловой системе DSF, при median latency менее 1ms.
На скриншоте — недавно установленный у заказчика 18-узловой кластер. Таким образом средняя производительность ОДНОГО сервера-ноды (с парой SSD включенных локально) в данном кластере 2 500 000 / 18 = 139 000 IOPS random read 8K, при тестовом datasize 12GB, то есть, в среднем, 69 500 IOPS с каждого SSD.

Как мне кажется, более чем убедительная иллюстрация, насколько важна архитектура HCI с новыми быстрыми flash-дисками. Старая, «классическая» архитектура просто не в состоянии дать им показать все, на что они потенциально способны. Устанавливая SSD в «классику» мы, по сути, хороним большую часть их потенциальной производительности.
Именно HCI потенциально способен дать SSD и NVMe шанс показать их скорость.

Nutanix Flow — микросегментация виртуальной сети

Микросегментация — это, наряду с другим нашим ключевым продуктом, облачным оркестратором Nutanix Calm, одна из наиболее важных новинок в вышедшем в конце декабря релизе AOS 5.5 (codename Obelix).
Так как Microsegmentation слишком длинное имя для коммерческого продукта, как продукт данная технология будет носить имя Nutanix Flow.

В релизе 5.5 мы, как это у нас принято, представили Tech Preview, своеобразную «гамма»-версию для ознакомления в тестовой среде, а в следующем обновлении, выходящем в конце февраля-марте, и называющемся 5.5.1, микросегментация будет объявлена финальным, «продакшн-реди» релизом, готовым к использованию.

Nutanix Microsegmentation (Flow) можно рассматривать как своеобразный встроенный в систему виртуализации AHV распределенный файрволл виртуальных машин, защищающий виртуальные машины внутри «облака» инфраструктуры.
Вместо привычной схемы, когда внешним файрволлом защищается «периметр» облака, но при этом, как правило, внутри облака сетевая защита обычно либо довольно примитивна, либо вовсе не используется, и «зловред», попавший внутрь облачного пространства имеет все возможности «гулять по буфету» среди слабозащищенных VM и перехватывать любой трафик, в Nutanix предлагают использовать защиту не только периметра инфраструктуры, но всей инфраструктуры, каждой виртуальной машины, причем эта защита встроенная, легко конфигурируема с помощью групп VM и назначаемых политик, не использующая механизма оверлейных сетей, типа VXLAN, и не требующая перенастройки сетевого оборудования.

Возможно вы возразите, что, при необходимости, изоляцию групп VM можно реализовать с помощью механизмов VLAN. Однако, сетевики не дадут соврать, для инфраструктур даже в несколько десятков VM, конфигурирование, а также поддержание в случае нормальной жизни фермы хостов виртуализации, сложной схемы десятков сегментов VLAN-ов скоро превращается в серьезную головную боль. А что говорить не о десятках, а сотнях, тысячах виртуальных машин, мигрирующих между десятками хостов виртуализации датацентра, в зависимости от их загрузки, или даже перемещающихся между датацентрами!
Сегодня в крупном бизнесе, не только хостинговом, это уже реальность.

Было бы здорово, если бы можно было привязывать сегмент сети не на уровне внешнего коммутатора, а применяя политику в конкретной VM в среде виртуализации! И, разумеется, такие решения начали появляться. Наиболее известным таким решением является VMware NSX, который, несмотря на свою высокую цену и сложность, нашел себя на рынке, хотя, безусловно, сложность реализации, как и цена, затрудняют его широкое использование.
Nutanix в этой области, как и с нашим гипервизором AHV, пошел путем, когда реализуется наиболее востребованная функциональность в первую очередь, и не ставится задача сделать «швейцарский нож» (который обычно, давайте начистоту, как нож — никакой). Именно поэтому, поглядев на то, какая функциональность NSX пользователями виртуальных сред, используется более всего, мы начали делать свой «энэсикс» с поэтессами.

Итак, Nutanix Flow — это наша собственная реализация концепции микросегментации для нашего гипервизора AHV, и пока только для него. Если вы используете в качестве гипервизора на Nutanix vSphere — для вас есть NSX. Мы хотели бы реализовать Flow для vSphere, но пока это планы не ближайшего будущего.

Так как Flow — полностью софтверная реализация, он также будет работать на продуктах наших OEM-партнеров, например Dell XC, Lenovo HX, и так далее, в том числе и на Software-only инсталляциях.

Для использования Flow вам нужен AOS 5.5 и новее, свежая версия AHV и Prism Central, наш бесплатный инструмент администрирования, работающий из appliance VM, например, там же, в среде Nutanix. Несмотря на то, что Flow «встроен в ядро» AOS, и будет работать в том числе и без Prism Central, для настройки политик нужен Prism Central.

Основные возможности Flow это:

  • Распределенный stateful firewall, интегрированный в ядро AHV, минимально загружающий CPU и память при работе.
  • Централизованное управление этим firewall, встроенное в Prism Central, использующее схему политик, автоматически обновляемых в ходе жизненного цикла приложений и VM.
  • Встроенная визуализация правил и применяемых политик.
  • Возможность настраивать service chaining, например, перенаправлять сетевые потоки на системы контроля, аплаенсы файрволлов, антивирусов, помещать VM или их группы в карантин, простым назначением политики группе, и так далее.

Как происходит формирование и назначение политики для виртуальной машины? В отличие от классической настройки правил файрволла, состоящей из указания source IP address/port, destination IP address/port и протокола, то есть привязанных к категории IP-адреса, Nutanix Flow базируется на концепции «групп приложений». Вы создаете (или используете из предустановленных) категорию AppType (например: AppType:Microsoft Exchange), затем дополняете ее категорией AppTier (например: AppTier: Edge Transport Server или AppTier: Mailbox Server), и, наконец, связываете VM с соответствующей категорией в группу, которой в дальнейшем назначаете политику. В политике вы можете определить и задать inbound flows, которые могут быть ограничены набором источников, например, ими могут быть другие группы и категории, а также задать исходящие flows. Последние по умолчанию открыты, но вы также можете задать в них группы и категории.

В Nutanix Flows существует три типа политик: Application policies, Isolation policies и Quarantine policies.
Первая, application policy, может применяться для защиты приложений в VM, путем выборочного задания входящих и исходящих потоков к приложению и от него.
Вторая, isolation policy, применяется для изоляции всего трафика групп, например, отделить группу «DevTest» от «Production», «HR» от «Finance» или «MoscowDC» от «StPetersburgDC».
Наконец, третья, quarantine policy, применяется для полной изоляции группы или контейнера от всех прочих VM и приложений, например, в случае необходимости расследования инцидента взлома, подозрений на вирус, и так далее.
Политики могу комбинироваться между собой, при этом приоритет комбинирования политик осуществляется в порядке: Quarantine — Isolation — Application. То есть, например, назначение политики карантина автоматически перекрывает все действующие ниже по приоритету политики Isolation и Application, немедленно после ее применения.

Сложные схемы действия и комбинации упрощаются наличием специального monitoring mode, при котором созданные политики применяются в специальном тестовом режиме, позволяя проверить правильность настроек пред фактическим применением политик.

Ну и, конечно, облегчает процесс настройки и назначения политик наш интерфейс визуализации.

Например, мы хотим подразделению HR в группе San Jose разрешить доступ к отправке электронной почты на Edge-сервер по порту SMTP. Необходимая политика в визуальном редакторе будет выглядеть:

А если мы захотим пропускать исходящий трафик через service chain, например через application-level firewall, просто добавим его, щелкнув ниже на галку Redirect through service chain и выберем нужный firewall в списке.

Nutanix Flow не использует оверлейные сети, например, VXLAN, что существенно упрощает настройку и использование, и не требует специального отдельного контроллера SDN. Вся работа осуществляется на стандартных сетевых уровнях. Например, firewall в Flow работает на уровне L4 (TCP), и осуществляет stateful проверку сетевого трафика с L2 по L4 включительно. При этом, при необходимости более глубокой проверки на уровнях выше L4, возможна интеграция со сторонними продуктами, так, например, уже реализована совместная работа с Palo Alto Networks PANW VM-series firewall, для контроля трафика вплоть до Application Layer (L7). Если у пользователя уже развернуты свои средства firewall, они могут продолжать работать параллельно с Flow.

Обычно, для начала использования Flow не требуется изменений в топологии сети, если она уже сконфигурирована у пользователя. Все операции Flow происходят внутри виртуальной инфраструктуры, на AHV vSwitch. Политики, назначенные VM, продолжают исполняться даже в случае изменения выданного VM IP-адреса (при этом используется ARP spoofing, чтобы идентифицировать VM и ее новый IP, и обновить установки политики), и в случае переезда VM на другой хост.

Пока не поддерживается и не обрабатывается трафик IPv6 (но мы планируем добавить его обработку в будущем), поэтому сейчас, чтобы гарантировать отсутствие «бреши» через IPv6, и, если, как правило, ваша инфраструктура его не использует, лучше его полностью блокировать на файрволлах периметра.

Максимальное число политик, которые можно создать и применить достаточно велико и определяется доступной памятью CVM. При тестировании в Nutanix был создан однажды миллион правил на хосте, и это все работало, так что Flow готов работать даже в очень больших и сложных сетевых инфраструктурах.

Ну и самое приятное: в настоящий момент для Tech Preview микросегментация в AHV бесплатна. После выхода ее в статус GA, пользователю потребуется лицензия, приобретаемая отдельно. Квант — на хост, на срок от года до 5 лет (per-node, per-year), техподдержка включена в стоимость. Общая стоимость останется невысокой, я не могу говорить о ценах, но она будет минимум вдвое ниже чем, например, лицензия NSX Advanced, дающую схожую функциональность для vSphere. Будет существовать, конечно, и Trial (на 60 дней).

Для наших клиентов, у которых системы находятся на поддержке, обновление AOS и AHV приедет автоматически (его только останется скачать и установить обновление, без прерывания работы системы), и, если они уже используют Prism Central, обновление его позволит сразу же начать использовать Flow.

Таким образом, Acropolis Hypervisor — теперь сегодня это не только гипервизор, но и встроенная в гипервизор SDN (Software-defined Network), и если вы искали решение для микросегментации виртуальной среды, а NSX показался вам слишком дорогим и сложным, то самое время посмотреть на Nutanix Flow, возможно это то, что вам нужно.

Оригинал орубликован в блоге компании на Habrahabr: https://habrahabr.ru/company/nutanix/blog/348846/

Как протестировать HCI правильно?

Коллега опубликовал в блоге на Хабрахабре (который мы, к сожалению, в последнее время подзабросили), статью о правильных методах тестирования производтельности HCI и SDS, на примере VDI-инфраструктуры.

https://habrahabr.ru/company/nutanix/blog/348182/

Nutanix AHV и что мы будем делать с Meltdown/Spectre

«А теперь, Машенька, о главном…» (с)

Год начинается весело. Если вы пропустили все на свете, то, в двух словах: обнаружена крупная и довольно пакостная уязвимость в большинстве ныне используемых процессоров Intel (и некоторых других архитектур — тоже). Условно вся эта группа уязвимостей названа Meltdown/Spectre, и за подробным описанием я отсылаю на специализированные сайты. Связана эта уязвимость с технологией выполнения программного кода, широко применяемой в CPU сегодня, и, потенциально, может быть использована для доступа к пользовательским данным. Любым данным. Ключам, паролям, произвольным блокам данных, лишь бы в памяти. Процесс злоумышленника может потенциально извлекать из недоступной ему, в обычном состоянии, памяти соседних процессов (и других VM, например), ее содержимое. Самое плохое, что починить ее так, как это обычно делается, правкой микрокода CPU — невозможно.
Пока, в пожарном порядке, производители OS выкатывают патчи, изолирующие память ядра от памяти пользовательских процессов, разными способами. К сожалению, у всех этих патчей есть неприятное побочное свойство: они существенно ухудшают эффективность работы процессоров, и, потенциально (обратите внимание на то, что я часто использую выражение «потенциально», да?) могут заметно ухудшить общую производительность систем. Степень падения производительности разная. В наихудшем случае, при наихудшем стечении обстоятельств, говорят о 20% снижения. Впрочем, существуют задачи, сочетания оборудования и характера операций на CPU, на которых падение незначительно, или вовсе отсутствует.

Если вы используете в качестве гипервизора на Nutanix VMware ESXi или MS Hyper-V — устанавливайте патчи, разработанные VMware и Microsoft (для vSphere смотрите сюда: https://kb.vmware.com/s/article/52085). В этом случае платформа Nutanix для вас ничем не отличается от любой x86 платформы под этим гипервизором. ОЧЕНЬ внимательно читайте текущее состояние дел с порядком установок патчей, там сейчас творится форменный цирк с конями. Обязательно проверяйте ситуацию со стабильностью ваших задач перед выкаткой патчей в продакшн.

Если вы используете Nutanix AHV, то тогда смотрите ниже.

Уязвимость типа Meltdown (Rogue Data Cache Load (CVE-2017-5754 — CVSSv3 7.9)). Более простая в использовании, и поэтому, в принципе, более опасная, но, так как Meltdown не может напрямую использоваться из гостевой VM для атаки на гипервизор, он не опасен для AHV и поэтому фиксить Meltdown в Nutanix AHV нет необходимости.

Уязвимость типа Spectre. Ее использование более сложно реализуется, но она может быть использована для атаки на гипервизор, и ее необходимо пофиксить на уровне гипервизора.

Существует два вида уязвимости Spectre: Вариант 1 и Вариант 2.

Spectre Var1 (Bounds Check Bypass (CVE-2017-5753 — CVSSv3 8.2)) требует минимального изменения в коде, так как уязвимый код НЕ ПРИСУТСТВУЕТ в подсистеме KVM ядра.

Spectre Var2 (Branch Target Injection (CVE-2017-5715 — CVSSv3 8.2)) требует четыре отдельных фикса.

Кроме этих четырех фиксов будет добавлена конфигурируемая пользователем опция CPU IBRS mode (Indirect Branch Restricted Speculation). CPU IRBS может быть включен (on) или выключен (off).

Значение CPU IRBS по умолчанию — off. В этом состоянии замедление работы CPU отсутствует, но есть потенциальная, крайне малая, впрочем, из-за примененных выше фиксов в коде, закрывающих большинство «лазеек», возможность использовать уязвимость Spectre.

В значении CPU IRBS on использование Spectre, даже потенциальное, полностью исключается, однако может наблюдаться некоторое снижение производительности, из-за ухудшения эффективности выполнения кода процессором.

Выбор пользователя, какой именно режим предпочесть.

В Nutanix продолжают работать над более эффективным и элегантным способом решения задачи устранения уязвимости, вероятно результат будет опубликован в течение следующих нескольких недель.

Фиксы для AOS версий 5.0.x и 5.1.x применяются на AHV version 20160925.103, и доступны с Nutanix support portal, а также будут включены по умолчанию в AOS версий 5.0.5 и 5.1.4, выходящих вскоре.
Фиксы для AOS версий 5.5.x применяются на AHV version 20170830.85, и доступны с Nutanix support portal, а также будут включены по умолчанию с AOS версии 5.5.1.

Подробнее информацию по этой теме смотрите на странице Security Advisores. Официальный док — тут: SecurityAdvisory07-v6. Документ обновляется, текущая версия, на момент публикации этой записи — шестая, самую свежую версию смотрите на сайте Nutanix.

UPD: Версия Security Adisory по этой проблеме обновилась до v7.

UPD2: This updated microcode from Intel has been deemed problematic in certain scenarios, and in some cases, can cause further side effects that are undesirable in virtual environments.
Removed recently released AHV versions 20170830.85 and 20160925.103 from the portal. Instead we will be delivering these AHV versions by way of direct AOS version upgrades. AOS versions 5.5.0.4, 5.1.4 and 5.0.5 will soon be available and packaged with AHV versions 20170830.85 and 20160925.103 respectively. By packaging these updates directly with an AOS update we can default disable VM use of IBRS, the affected and problematic portion of the microcode update.
Remediation:
1) If you have already updated AHV to 20170830.85 or 20160925.103 then it is recommended you upgrade to AOS version 5.5.0.4, 5.1.4 or 5.0.5 once they are available, and reference KB#5104, or contact Nutanix Support, for further information.
2) If you have not yet upgraded AHV to the aforementioned versions then it is recommended to wait and upgrade to AOS version 5.5.0.4, 5.1.4 or 5.0.5 once they are available, and then upgrade your hosts to the packaged AHV version. In this scenario, it is unnecessary to contact Nutanix Support for additional information. Reference KB#5104 for additional information.

Nutanix принял решение в нашем продукте для борьбы с Meltdown/Spectre использовать технологию Retpoline, разработанную командой Google, вместо плохо себя зарекомендовавшего пути с «тремя патчами» Intel.

Конфигурация «1-Node» Nutanix

Как вы уже наверное слышали, у Nutanix появляется особый класс систем, которые я в целом затрудняюсь называть «кластер». Это однонодовые системы, которые, подобно тому, что вы уже, возможно, видели в Community Edition, могут работать как «кластер, состоящий из одной ноды». Раньше мы такое позволяли использовать в качестве Backup Target, а вот теперь, хорошо подумав, разрешили использовать и для запуска VM. Но подумали мы и правда тщательно, и вот ниже я перечислю все моменты, о которых вам будет нужно знать, прежде чем вы будете интересоваться предметно таким «сверхдешевым» Nutanix.

Пункт номер ноль. Это НЕ SMB решение. Это решение для рынка так называемого ROBO (Remote Office/Branch Office). Поэтому минимальная закупка таких 1-Node Nutanix — 10 штук.
То есть если у вас структура компании с множеством (десятком и более) небольших удаленных филиалов, и вы выбрали Nutanix в качестве решения для основной инфраструктуры, и при этом вам нужно оснастить Nutanix-ами филиалы и удаленные офисы, на которых практически нет вычислительной задачи, а данные для защиты все равно реплицируются на «большой» Nutanix в головной компании, то вот тогда это то, что вам нужно. В филиалы тогда идут недорогие однонодовые Nutanix, управляемые из Prism Central головного офиса. И в целом вы решаете задачу защиты данных через их репликацию в центральную систему, минимальная локальная защита у вас будет (об этом ниже). При этом типовая задача у вас для такого офиса — держать «AD, DHCP, DNS, Firewall, VPN до «головы», пять VDI операционистов, почту и файлопомойку» — то с этим вот сюда. Получается такой «филиальный допофис-ин-э-бокс», заливаемый за 30 минут и готовый к использованию «просто включи в сеть».

1. Пока мы подготовили две специальные модели для этого направления, это NX-1175S-G5 (1N1U) и NX-1155-G5 (1N2U). Обратите внимание, 1175S означает single socket, 1 pCPU. Модель 1155 уже была доступна, это 1-Node Backup Target, теперь на ней разрешено запускать Guest VMs.

Конфигурация NX-1175S-G5:
CPU: 1x 2620v4 (8-core) or 1x 2650v4 (12-core)
Memory: 64G or 96G or 128G or 256G
Hybrid:
SSD: 2x 480G or 2x 960G or 2x 1.9TB
HDD: 2x 2TB or 2x 4TB or 2x 6TB
All-Flash:
SSD: 4x 480G or 4x 960G or 4x 1.9TB
Network: 2x1GbE LOM (built-in) + Add-on NIC (Optional) : 2x1GbE or 2x10GbE (SFP+ or Base-T)
Power Supply: 1 (only!)

Сетевая конфигурация, доступная для NX-1155-G5:
4x1GbE, Add-on NIC (Optional): Dual-Port 10 GbE SFP+, Dual-Port 10 GbE BASE-T, or Quad-Port 10 GbE SFP+

2. «Расширение кластера» для 1-Node нет и не планируется. То есть, купить и установить 1-Node, потом докупить еще две и расширить на них, сделав «полный» кластер нельзя.
Однако можно собрать «большой» Nutanix Cluster из трех и более NX-1175S, но только НЕ расширением 1-Node, а переинсталляцией, с нуля. Дальше такой 1375S можно скейлить обычным для Nutanix способом, это будет обычный трех- и более нодовый кластер Nutanix из 1U Single CPU нод 1175S.

3. CVM на такой системе занимает 6 vCPU и 20GB RAM

4. Так как наша архитектура подразумевает репликацию блоков, то даже на 1-Node она будет, просто две копии блока будут храниться локально. Это не защитит от отказа контроллера или ноды целиком, но отказ одного HDD это может помочь пережить без потери данных. Отказоустойчивость предполагается решать репликацией на main cluster и локальными бэкапами, например с помощью Comtrade HYCU на сторонний NAS.
Так что репликация RF=2 будет, и usable space все равно будет ~50% от raw физических дисков.

5. Нет: дедупликации, ABS и AFS, Erasure Coding, Capacity Analysis на Prism Central.

6. Async DR (репликация на Nutanix в другом DC) — минимальный цикл 6 часов (RPO). Metro Availability конечно же нет тоже.

7. Отказ ноды — ожидаемо offline всего на ней содержащегося.

8. Отказ SSD (одного из двух) — переход хранилища в read only.

9. Гипервизоры: для 1175S — AHV и ESXi, для 1155 — только AHV. Hyper-V нет ни для одной модели.

10. Минимальная версия AOS — 5.5

Чуть позже, как только они будут объявлены, я расскажу и про вариант перечисленного, который будет носить название «2-Node».

AHV Turbo Mode — первые результаты

Интересные результаты показали наши разработчики для AHV Turbo Mode (AKA Frodo).

Напомню, AHV Turbo Mode, как внутренний project codename называвшийся Frodo, это новый способ работать с дисковым хранилищем в Nutanix AHV, оптимизация пути передачи данных и более высокая параллельность обработки очередей, которые теперь могут обрабатываться большим числом ядер CPU на хост-машине, чем было до того в vanilla QEMU. Он появился впервые в AOS 5.5, вышедшем на прошлой неделе.
Это улучшение особенно важно для AllFlash и NVMe машин, выходящих у нас в свет следующем году.
Как вы видите из графика, на обычной VM рост производительности ввода-вывода при увеличении числа параллельных операций практически останавливается в районе 30-40 Outstanding Requests, при этом с использованием AHV Turbo Mode он продолжает свой рост вплоть до 128. Это отличный потенциал для роста производительности для новых AllFlash, так как проявляется эта новая возможность прежде всего на них.