2010/02/28

UTMで仮想マシン群を丸ごと守る

ふぉー。こんなのもあるんですな。

http://www.fortinet.co.jp/doc/qs_vmware.pdf

なんだか高価そうだけど、これを使ったら仮想マシンの台数が10,000台とかになっても少数の管理者でorzにならずにがんばれる・・・かも。

VMsafeなセキュリティソフト 出始める

ようやくVMsafeのAPIを使った仮想アプライアンスが出始めましたな。
VMsafe自体のコンセプトは良いと思うので、今後ますます種類が充実することを期待するです。

VMsafeを使えば、hypervisorと同じレイヤーから「仮想マシンをまるごと監視」できるので、いうならば、仮想マシンが何台稼働してようと、物理マシンごとに一括で仮想マシン群の監視ができてしまうのだ。

まだ出たてなので、まだまだ発展の余地があるでしょうけど、将来が楽しみです。

Trend Micro Deep Security
http://jp.trendmicro.com/jp/about/news/pr/article/20100119062809.html
http://enterprise.watch.impress.co.jp/docs/news/20100121_343743.html

IBM Virtual Server Security for VMware
http://www-935.ibm.com/services/jp/index.wss/offerfamily/its/b1333935
http://journal.mycom.co.jp/news/2009/12/16/013/index.html

2010/02/21

ゼロクライアント(Zero Client)なるもの

シンクライアント(Thin Client)は、Flash上に小さくカスタマイズされた汎用OS(Windows, Linux)を載せている。隠しコマンドの管理者モードでloginしない限りは、権限が相当制限されているので「悪さ」がしにくくなっている。そして、HDDやらFANやらのモーター部材を減らすことでハードウェアの故障率を減らしている。

が、AntiVirusソフトとかは必要だし、ServicePackとかの適用も必要だろうし、適切なメンテナンスが無ければ、その汎用OSが何らかの攻撃にさらされる可能性はそれなりにある。もちろん、普通の汎用OSが載ったPCと比べたら、ずいぶんとヤラれる率は低いのだろうけど。

それに対して、ゼロクライアント(Zero Client)は、仮想デスクトップ(vDesktop)の画面転送用に特化して専用OSを作っているため、10MB以下とか、とにかくものすごく小さいらしい。専用OSで、アプリケーションは、リモート接続のためのものだけ。例えば、View Clientに該当する部分が動く。つーか、それしか使えない。ゼロクライアントの電源をONにすると、ほぼ即座にリモート接続のための画面が表れる。実際に、リモート接続でログインしてもらったのだけど、シンクライアントと違って、ゼロクライアントでは、あたかも手元のPCに普通にログインしているようにさえ見えた。だって、シンクライアントだと、まがりなりにも自身の汎用OSのGUIが表示されて、そこから更にリモート接続アプリケーションを使ってリモートログインするので、あくまでもリモート接続をしている感になるでしょ。

画面転送用(画面表示やら、PCoIPとかRDPとかのプロトコル)に特化して作っていて、デバイスドライバとかもあえて後からは追加できないようになっているらしい。なんらかの修正やら機能追加やらは、全てファームウェア(firmware)のupdateによっておこなう模様。まぁそのファームウェアの作りとかをハッキングされちゃうことを考えると、攻撃にさらされる可能性はゼロではないのだろうけど、シンクライアントよりかは更に低そうだな、っと。



http://www.elsa-jp.co.jp/
とかが取り扱っておられます。

2010/02/18

VMware View の価格設定

http://www.vmware.com/jp/company/news/releases/view-4-5-ga.htmlによると、

---引用---
VMware View 4、Enterprise Edition:市場予想価格18,000円(1 同時接続あたり)

VMware View 4、Premier Edition:市場予想価格31,000 円(1 同時接続あたり)
-----------
 
とのこと。一見すると、高いのか安いのか、イマイチわからん感じだ。
 
でも、よくよく調べてみると、仮想デスクトップを稼働させるのに必要なESXは「使い放題」らしい。vCenterのライセンスは100同時接続のSKUで、1つ付与されるらしい。つまり、極端な話、1つの仮想デスクトップにつき、1つのESXにしちゃったとしても、VMwareのライセンスは上述のものだけでよい、ということだ。vCenterも、ほぼ使い放題に近い感じだね。
 
しかも、ViewはvSphereの中でも最上位のエディションである「VMware vSphere Enterprise Plus」が使えるらしい。つまり、分散スイッチ、Storage VMotionをはじめ、VMotion、HA、DRSなど、上から下まで全てのvSphereの機能を使い倒せる、ということ。
 
Viewのために使うのであれば、仮想マシンのゲストOSに、Windows Server 2008とかのServer OSを使っても良いみたいなので、Active Directoryやら、vCenterやら、その他監視系のアプリケーションのための仮想マシンなら載せ放題。
 
・・・と、考えてみたら、リモート接続の1 同時接続あたり、上述の値段っつーのは激安な気がしてきた。

2010/02/17

View Connection ServerとActive DirectoryのDC (domain controller)は同居できない

なぜならば、View Connection Serverは、他のView Connection Serverと、持っている情報を双方向レプリケーションするためにADAM (Active Directory Application Mode)を使っているから。
待ち受けするTCP/IPのポート番号が、DCと重なっちゃうのよ。
つまり、そーゆーこと(たぶん・・・)。

という理由は書かれずに、View Manager Administration Guideには、以下のように結論を端的に述べているようだ。
---
The host system must be joined to an Active Directory domain—but must not be a domain controller.
---
 
まぁ、そもそも、View Manager Administration Guideには、注意書きとして、
---
Do not install View Connection Server on a platform that performs any other functions or roles—for example, do not use the same system to host vCenter Server.
---
とも書かれているわけで、素直に解釈すれば「そもそも同居はダメよ」っつーことだろう。
 
 
特に、View ClientからTunnelingで接続される場合なんかでは、View Connection Serverが高負荷だったりすると、View Clientを使っているユーザの使用感が著しく悪くなるわけだから、なるべくそうなる要因を減らしたいっつーことなのでしょう。うんうん。
 

2010/02/11

View4 検証マシンを格安で

とりあえず、ドスパラのCore i7機(Monarch ZF)を人柱として購入し、ESX 4が動作することを確認。
NICを、INTELギガビット(PRO/1000GTか、EXPI9301CT)にすればok。
SATAのDiskは、そのまま使えるぜっ。

INTELのSSDに、ESX 4をインストールし、2TBのHDDに各種仮想マシンをインストールすることに。
いやー個人でもあまり無理せずとも、このスペックのマシンを買える時代になったんだなぁ。

NICを追加したけりゃ、amazonとかで、買えばよい。1枚約4,000円くらいで買えます。

RAMは最大24GBが選べる。でも、今のところそれだとちと高額。
12GBであれば、結構安く買える。というわけで、12GBで購入。