VM26*

VCIX取得を目指して勉強中→VCIX6-DCV取得しました!

This host is potentially vulnerable to issues described in CVE-2018-3646という警告が表示される

ESXi 6.7 U1からvGPU付きの仮想マシンがライブマイグレーション可能と聞いて!
ESXi 6.7 U1がリリースされたため検証用にインストールしたところ!!
 
下記のエラーがサマリ画面に表示されました・・・。
 
警告メッセージ:
This host is potentially vulnerable to issues described in CVE-2018-3646, please refer to https://kb.vmware.com/s/article/55636 for details and VMware recommendations. KB 55636
 
 
上記のメッセージからCVE-2018-3646というセキュリティ上の脆弱性があるため、KB55636を確認する必要があることがわかります。
 
 CVE-2018-3646
 
CVE-2018-3646については、下記の記事がわかりやすいです。
 
 インテルCPU脆弱性「Foreshadow」の影響をまとめる
 
そして対処法ですが、KB55636から更に2回ほどリンクをたどっていくと最終的にVMSAにたどり着きます。
 
 VMSA-2018-0020
 
6.7 U1はこの問題が発覚した後にリリースされたためか、対するパッチはまだ出ていないみたいですね。
IntelのCPUが起因であるため、AMDは問題ないですが、Intelを使用していて、かつ外部に公開されている環境は特に気をつける必要がありそうです。
 
この警告が気になる場合、スクショの右下にある「警告の抑制」をクリックすることでメッセージは消えます。
なお、メッセージが消えただけで問題が解決したわけではありません。
 
〜蛇足〜
 
先日VCIXを取得しました。疲れた・・・・。ちなみにDCVです。

グラフィックデバイスの共有設定

以前の記事に、vSphere 6.0からはNVIDIA GRID vGPUがサポートされ、ハードウェアアクセラレーショングラフィックスが使用できるようになり、GPUを複数の仮想マシンで共有できるようになったと記載しました。
共有できるようにするには手順があり、また、複数の注意点があります。
 
【大まかな流れ】
(1)ドライバーのダウンロード
(2)ドライバーのインストール(ESXi)
(3)ホストグラフィックの共有設定
(4)ドライバーのインストール(ゲストOS) ※本記事では省略
 
【ドライバーのダウンロード】
 
ドライバーは以下のサイトからダウンロードします。
 
NVIDIA Driver Downloads
 
【ドライバーのインストール(ESXi)】
 
ダウンロードしたドライバーをESXiにインストールする前に、ESXiをメンテナンスモードにする必要があります。
なお、忘れてインストールを実行しようとしたら以下のような警告が出るのですぐに気がつくはずです。
 
------
[MaintenanceModeError]
MaintenanceMode is required to remove: []; install: [NVIDIA_bootbank_NVIDIA-VMware_ESXi_6.5_Host_Driver_384.111-1OEM.650.0.0.4598673].
Please refer to the log file for more details.
------
 
↓以下、インストールコマンド実行例です。
 
------
[root@esxi02:/tmp/VIB] esxcli software vib install -v /tmp/VIB/NVIDIA-VMware_ESXi_6.5_Host_Driver_384.111-1OEM.650.0.0.4598673.vib
Installation Result
   Message: Operation finished successfully.
   Reboot Required: false
   VIBs Installed: NVIDIA_bootbank_NVIDIA-VMware_ESXi_6.5_Host_Driver_384.111-1OEM.650.0.0.4598673
   VIBs Removed:
   VIBs Skipped:
[root@esxi02:/tmp/VIB]
------
 
↑”Message: Operation finished successfully.”が表示されたことを必ず確認してください。
 
確認できれば、ESXiの再起動とメンテナンスモードの終了で、ドライバーのインストールは完了です。
 
【ホストグラフィックの共有設定】
 
上記設定だけで仮想マシンをパワーオンしようとすると起動に失敗します。
 
エラー内容は以下です。
 
"親リソース プールで使用可能なグラフィック リソース量が、この操作に対して不足しています。"
"the amount of Graphics resources available in the parent resource pool is Insufficient”
 
ただ、このエラーは以前の記事で書いたように、本当に使用可能なグラフィックリソースが足りないときにも発生しますが、1台目から発生した場合は単純に共有設定ができていない場合が多いです。

 
共有設定は以下から行えます。
 
ホスト>設定>ハードウェア>グラフィック [編集]
 
ここの設定を"直接共有"に変更してください。
 

 
その後、xorgサービスを再起動するのを忘れないでください。私はよく忘れます。10回やってたら2回くらいは忘れてます。
 

 
嬉しいことにvSphere6.5から実装されたHTML版だとxorgサービスの再起動もセットです。早く完全にHTMLに切り替えてして欲しいなー。
 

 
【おまけ】
 
トラブルシュートとして"nvidia-smi”コマンドを使うとちゃんと共有できているか確認できます。
ちゃんと設定できていないと赤枠で囲んだところが仮想マシン名じゃなくて”xorg"って表示されます。
 

 
 
以上で、グラフィックデバイスの共有設定は終了です。ライセンス認証サーバが必要なグラボについてはこの後にゲストOSのドライバインストールと合わせてセットアップが必要ですね。
 

コマンドプロンプトを使用したハッシュ値の確認

ダウンロードしたisoファイルが破損していないか確かめるためにハッシュ値を確認します。以前は無料のソフトを使っていたんですが、コマンドプロンプトで確認できると知ってからは専らCertUtilコマンドです。
 
 > CertUtil -hashfile ダウンロードしてきたファイルの絶対パス ハッシュアルゴリズム
ハッシュ アルゴリズム: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512
 
----------
実行例(MD5):
> CertUtil -hashfile D:\test\VMware-VMvisor-Installer-6.5.0-4564106.x86_64-Dell_Customized-A00.iso MD5
MD5 ハッシュ (ファイル D:\test\VMware-VMvisor-Installer-6.5.0-4564106.x86_64-Dell_Customized-A00.iso):
34 31 a5 ed f7 0c 19 7f 2f c4 d5 fe e0 2c 9d d8
CertUtil: -hashfile コマンドは正常に完了しました。
----------
 
ハッシュアルゴリズムはどのようなファイルをダウンロードしたかによって異なります。また、ハッシュ値が公開されているものである必要があります。
 
My VMwareの場合はダウンロード画面の”続きを読む”リンクを開くことによってハッシュ値を確認できます。
 

 
今までそこそこのインストーラをダウンロードしてきましたが、過去に一度だけインストーラーが破損していたと思われるトラブルがありました。それ以降、特に大きなファイルの場合は必ずハッシュ値のチェックを行なっています。
 
それだけに、いつぞやのインストーラーが4GBになるトラブルは原因の特定に少し時間がかかりました。

VDIのテンプレートに必ず入れて欲しい設定(Windows)ー続

随分前に投稿したものの続きを書き忘れていました・・・しかも一番肝心なところ。
  
【設定前】

 
USBを安全に取り外すところのUIから、HDD等、ユーザーに取り出されないようにするには二つの方法があります。
 
(1)vmxファイルに以下の内容を追記する
 devices.hotplug = "false"
 
(2)仮想マシンオプションの設定パラメータに以下の内容を追加する
 devices.hotplug false
 
ぶっちゃけ(1)と(2)は同じです。ですが、安全のため直接vmxファイルをいじるよりは(2)の方法をおすすめします。
 
仮想マシンオプションは、仮想マシンを右クリックして出るメニュー”設定の編集"から設定可能です。
※対象の仮想マシンはあらかじめシャットダウンしてください。
 

 

 
[追加]ボタンをクリックして、入力したパラメータが追加されたことを確認してください。
 

 
パワーオン後、HDDなどが表示されなくなっていることを確認します。
 
【設定後】

 
ESXi 6.x、5.x および ESXi/ESX 4.x 仮想マシンで HotAdd/HotPlug 機能を無効にする (2079111)

テンプレート化した仮想マシンをvCenter無しでデータストアから復旧させる方法

仮想マシンは例えばESXiが壊れても、データストア(仮想マシンを保存する領域)が無事であれば、再度パワーオンできる状態に戻すことができます。
 
具体的にはESXiを再構築後に、データストアブラウザから復旧させたい仮想マシンのvmxファイルを選択した状態で右クリックし、[仮想マシンの登録]をクリックします。
 

 

 

 
ただ、vCenterで作ったテンプレートについてはこの方法は使えません。なぜなら、vmxファイルがないからです!
 

 
その代わりにvmtxというファイルが存在します。
 
実はvCenterのvSphere Web Clientの[仮想マシンへの変換...]というメニューは、このファイルをvmxファイルに変換しているのです。
 

 
つまり、このvmtxファイルの拡張子をvmxに変換すれば、仮想マシンとして登録可能です。
 
無論、ESXi単体だとクローンができないため、テンプレートとして再活用したい場合は、編集前にスナップショットを取得し、vCenter再構築後にスナップショットとクローン駆使することで対応可能です。

ブラウザが証明書を信頼できないエラーが出てファイルのアップロードができないが証明書は登録したくない

テスト用のデータストアにファイルをアップロードしようとしたところ、以下のエラーが発生しました。
 
不明な理由で操作が失敗しました。通常この問題は、ブラウザが証明書を信頼できない場合に発生します。自己署名証明書またはカスタム証明書を使用している場合は、下記のURLを新しいブラウザタブで開いて証明書を受け入れてから、操作を再試行してください。
 
https://[ESXiのFQDN]
 
問題が解決しない場合は、次のナレッジベースの記事で別の解決策を参照してください。
 
 
 

 
mmc(マイクロソフト管理コンソール)から証明書を登録すればいいとは思うのですが、なんとなく、クライアント端末にあまり情報を登録したくないです。特に今回は作っては壊すを繰り返すテスト環境なので。
 
何かないかなとChromeで試してみたところ、別タブで警告が出ているホストのWeb Clientに警告を無視してアクセスすると上記のエラーは出なくなりました。
 

 
警告を再度表示させると冒頭のエラーが再発したため、ブラウザでこの動作を記憶している限り、冒頭のエラーは出なくなるのだと思います。
 

 
主にiSCSIストレージとNFSストレージしか扱っていなかったためか、今回の警告には初めて遭遇しました。
 
それがネスト環境のせいなのか、それともネストしたローカルディスクをvSANとして使用したからなのか、はたまた別の理由なのかはまた時間があれば調べてみようと思います。

ESXiのNTP設定方法

VMware Toolsをインストールした仮想マシンは、ホストの時刻と同期することが可能です。便利な機能ですがホストの時刻がずれていたら、ホスト上の仮想マシンの時刻が全てずれる危険性があります。
 
そのため、ESXiにはNTPの設定を入れることをおすすめします。
 
ESXiのWeb Clientを使用したNTPサーバの設定方法については以下の通りです。
ちなみにvCenterに追加したあと、vCenter側のWeb Clientからでも設定可能です。
 
【手順】
 
「管理>システム>日付と時刻」の「設定の編集」をクリックします。
 

 
ポリシーが三つほどありますが、私はいつも二番目を選択しています。
 
・ポートを使用して起動および停止します
・ホストと連動して起動および停止します
・手動で起動および停止します
 
ポリシーの選択とNTPサーバの入力が完了したら「保存」をクリックします。
 

 
ホストの起動のタイミングと連動するように設定したため「NTPサービスのステータス」は「停止」のままです。
 

 
すぐにNTPの設定を適用したい場合は、「サービス」タブでNTPクライアントを起動する必要があります。以下のように「ntpd」を選択した状態で「起動」をクリックしてください。
 

 

 
「NTPサービスのステータス」が「実行中」になっていることを確認したら作業は完了です。