Kategorie-Archiv: VMware

Aktuelle ESXi Server beschweren sich mit einer Warnung über CPUs mit Microcode, die anfällig für Angriffe wie Meltdown, Lazy FP state restore und/oder die L1 Terminal Fault sind. Einige AMD und Intel Prozessoren können über so einen side-channel Angriff Daten lesbar machen, die nicht lesbar sein sollten.

Bevor die Warnung unterdrückt wird, lohnt abe ein Blick in die Mitigation und vor allem auch die performance impacts. In privaten Cluster Setups ist die Gefahr eines solchen Angriffs vermutlich auch nicht so hoch, wie in öffentlichen Wolken.

Lösung

Da die Mitigations dazu ziemlich viel CPU-Performance fressen, bleiben die Schutzfunktionen wie der „Side-Channel-Aware Scheduler“ in privaten und geschlossenen Clustern oft ausgeschaltet. Trotzdem will man die Warnung natürlich loswerden 🙂

Möglichkeit 1 – Warnung unterdrücken

1. vSphere GUI (vCenter) öffnen, den betroffenen Host auswählen
2. Konfigurieren > Erweiterte Systemeinstellungen > Bearbeiten
3. „UserVars.SuppressHyperthreadWarning“ auf „1“ stellen

Möglichkeit 2 – „Side-Channel-Aware Scheduler“ einschalten

1. ESXi Hostclient (nicht im vCenter) öffnen
2. Konfiguration > Erweiterte Einstellungen > Bearbeiten
3. „VMkernel.Boot.hyperthreadingMitigation“ auf „true“ stellen
4. Host neu starten

Es empfielt sich vor diesem Schritt das zugehörige Support-Dokument zu lesen. Hier sind die Vorbereitungen für diesen Schritt und die möglichen Auswirkungen davon genauer beschrieben.

Problem

Die Aktualisierung des VMware vCenter Servers (VCSA) kann bei der Lizenzanzeige (EULA) nicht fortgesetzt werden. Nach einem Klick auf „Next“ landet man immer im selben Bildschirm, der die Fehlermeldung „Error in method invocation Timeout happens while sending message to microservice“ zeigt.

Zudem findet man in /var/log/vmware/applmgmt/applmgmt.log mehrere Meldung wie:

DEBUG:vmware.appliance.update.update_functions: Exception happens  while sending message to microservice: ConnectionRefusedError(111,  'Connection refused')

INFO:vmware.appliance.update.update_functions:Timeout happens  while sending message to microservice

ERROR:vmware.vapi.provider.local:Error in invoking  com.vmware.appliance.update.pending in precheck - Timeout happens while sending message to microservice 

Lösung

Der Update-Micrososervice vergisst manchmal, sein PID-file zu entfernen. Das verhindert den korrekten neustart des Prozesses. Das lässt sich an der SSH-Konsole der VCSA (SSH öffnne, mit ’shell‘ eine Shell starten) aber schnell beheben.

Prüfen ob die PID noch da ist

 ls /var/run/vmware/applmgmt/update_microservice.pid 

Wenn dem so ist, diese PID File entfernen

rm /var/run/vmware/applmgmt/update_microservice.pid

Danach läuft da sUpdate sofort fehlerfrei weiter.

In einen VMware Gast gehören idealerweise möglichst aktuelle VMware Tools installiert und gestartet. Denn nur dann gibt es zusätzliche Funktionen wie die Guest Operations-APIs, mit denen der Admin Dinge direkt im Gast ausführen kann, auch wenn kein Netzwerk verfügbar ist. Zusätzlich gibt es in der VCSA Konsole einen Einblick in den Gast, zum Beispiel das installierte Betriebssystem, einige Datenträger und vor allem die Netzwerkinformationen wie Hostname und IP-Adressen.

Das Standardintervall für die Aktualisierung dieser Informationen beträgt 30 Sekunden. Im Allgemeinen ist das auch vollkommen okay, da sich in der Regel weder die Adresse noch das Betriebssystem allzu häufig ändern

Wenn man aber beispielsweise mehrere Instant-Clones ausführt und sich auf die vSphere-API und die GuestInfo-Daten zur Ermittlung der IP-Adresse des Gasts verlassen muss, sind 30 viel Zeit. Zumal der eigentliche Clone-Vorgang in ein paar Sekunden fertig ist.ne viel einfachere Lösung.

Lösung

Es gibt die Möglichkeit für ein Instant-Update:

c:\Program Files\VMware\VMware Tools\VMwareToolboxCmd.exe info update network

Unter Linux:

~$> /usr/bin/vmware-toolbox-cmd info update network