Non sono certo io a dover spiegare che parlare di security è ormai entrato nel day by day dei consulenti dei manager IT. Anche VMware da alcuni anni sta rilasciando guide di come rafforzare l’hardening degli ambienti vSphere. Ormai è da diffidare di chi considera l’installazione di ESXi e vCenter come dei semplici avanti avanti avanti ….
Author: fabio
HARD STOP VM
Quante volte in passato non siamo riuscuti a spegnere una virtual machine con:
Quindi ci siamo trovati nella necessita’ di utilizzare la command line per killare un’istanza di una VM (Collegarsi via SSH ecc..) vedi KB 1014565
Dalla versione 7 del vCenter possiamo utilizzare l’opzione HARD STOP
Error An Invalid Parameter was passed to a service of function” Horizon and TRUE SSO
When i try to use TrueSSO and Horizon i find this error:
We have install the last windows 10 comulative update
VMware and Flash End-of-Life
Horizon Personalizzazioni WEB
Nel dettaglio:
· Background
C:Program FilesVmwareVMware ViewServerbrokerwebappsportalwebclienticons-5622958bg_image.jpg
· Icona Horizon
C:Program FilesVmwareVMware ViewServerbrokerwebappsportalwebclienticons-5622958logo.png
· Testo VMware
C:Program FilesVmwareViewServerbrokerwebappsportalWEB-INFclassescomvmwarevdiinstalleri18nbundle_en.properties
FSLOGIX e HORIZON
Nelle nuove versioni di Horizon 8 (Formalmente chiamato anche 2006) ci troveremo per l’ultima volta il supporto per i linked clone. Dalle prossime versioni siamo indirizzati ad utilizzare le funzionalità di instant clone.
L’utilizzo di macchine non persistenti (ovvero che alla disconnessione dell’utente è possibile distruggere) ci porta spostare tutte le informazioni statiche (come profili e dati) esternamente al nostro ambiente VDI.
La funzionalità Microsoft degli FSLOGIX ci possono venire comodi per effettuare questa operazione.
Per sfruttare questa funzionalità dovremo eseguire alcune attività propedeutiche e modificare la nostra goldimage. Per cui:
– Definire un Server su cui ospitare i nostri “container” (così vengono chiamati) e installare il componente FSLOGIX.
– Configurare una GPO (Il template si trova nel pacchetto FSLOGIX) apposita per identificare dove risiedono i nostri profili (anche i log ricordandosi, se si vuole avere i log divisi per client, aggiungere la wildcard %computername%) e applicarla alla OU dove verranno posizionate gli istant clone creati da Horizon
– Installare l’agent FSLOGIX sulla Goldimage
Testare il tutto .
Integrazione VMware Unified Access Gateway con autenticazione Azure MFA
Per procedere all’integrazione con Azure MFA è necessario eseguire delle configurazioni su Azure Active Directory (non entrerò nel dettaglio di queste configurazioni) ma per procedere nell’abilitazione dell’autenticazione a più fattori sull’UAG è necessario accedere all’Enterprise Application creata e scarica il file XML con i metadata. Inoltre verificare che nella Basic SAML Configuration ci siano i riferimenti alla mia infrastruttura UAG pubblica.
Scarico il file XML con i metadata da utilizzare per configurare l’UAG
Importo il file XML nella infrastruttura UAG nelle configurazioni manuali in Identity Bridging Settings
Importo il file XML contenente i metadata selezionado Select
Una volta caricato sull’UAG il file XML con i metadata vado negli edge service settings ed entro nei nelle configurazioni
E configuro l’Auth Methods e l’identity Provider (che mi compare in automatico dopo aver caricato il file XML)
A questo punto posso procedere ad accedere e testare l’accesso con MFA.
Upgrade Standalone ESXi 7.0 to 7.0b
Check ESXi version:
Check on https://my.vmware.com/group/vmware/patch if there are new patches
There is a new patch (7.0b), download it
After download upload file to ESXi host
Create a SSH connection to ESXi Host
Put in maintenance mode
esxcli system maintenanceMode set --enable true
Update Host
esxcli software vib update -d /vmfs/volumes/5ed278ae-6001ab57-ac5b-1c697a61ab69/ISO/VMware-ESXi-7.0b-16324942-depot.zip
and finally
Azure Load Balancer Change SKU (Basic to Standard)
For increise SLA I need to change Azure LoadBalancer SKU,
Azure LB Basic don’t have SLA, different is for Standard SKU.
Don’t is possibile to change the sku with a upgrade, the only solution is create a new LoadBalancer (Standard) e configure it with the configuration of old LoadBalancer (Basic).
Luckily Microsoft have release a procedure for made it.
https://docs.microsoft.com/en-us/azure/load-balancer/upgrade-basic-standard
We need check if our LoadBalancer is Public or Internal (No Outbound or With Outbound)
For any choose we have a script to use. Very easy.
What are the steps of the script?
1- Save and change (with new free IPs) the frontend IPs of Basic LoadBalancer (the script support only 5 Frontend IPs, for more IPs you manually pass the IPs)
2- Create a new Standard LoadBalancer with the configuration of basic loadbalancer (Frontend IP, Probe ecc..)
3- Migrate the backend pool
In my upgrade we have been a ten minutes of downtime.
Prima impressione vSphere vCenter 7
Nel mio home lab ho installato la mia prima versione di vCenter 7.0