خريد بک لينک
رزرو آنلاين هتل خارجي
خريد سکه سوکر استار ارزان
بسکتبال
رزرو آنلاين هتل خارجي
فلنج
دیتا سنتر
تاريخ : 24 ارديبهشت 1397 | <-PostTime-> | نویسنده : محمد | بازدید : <-PostHit->

ما بسیار خوشحالیم که در این مقاله ، ویژگی های جدید امنیت در vSphere 6.7 را به شما معرفی خواهیم کرد. اهداف امنیتی در ورژن 6.7 به دو جزء تقسیم میشوند . معرفی ویژگی های جدید امینتی با قابلیت راحتی در استفاده و برآورده شدن نیازهای مشتریان و تیم های امنیت آی تی .

پشتیبانی از TMP 2.0 در ESXi

همانطور که همه شما میدانید ، (TPM (Trusted Platform Module یک دیوایس بر روی لب تاپ ، دسکتاپ یا سرور میباشد و برای نگه داری اطلاعات رمزگذاری شده مثل (keys, credentials, hash values) استفاده میشود . TPM 1.2 برای چندین سال در ESXi موجود بود اما عمدتا توسط پارتنر ها مورد استفاده قرار می گرفت. TPM 2.0 با 1.2 سازگار نیست و نیاز به توسعه تمام درایور های دستگاه و API جدید دارد. ESXi از TPM 2.0 بر اساس تلاش های ما بر روی 6.5 با Secure Boot ، استفاده میکند. به طور خلاصه ما تایید میکنیم که سیستم با Secure Boot فعال ، بوت شده است و ارزیابی را انجام میدهیم و در TPM ذخیره میکنیم . vCenter این ارزیابی ها را میخواند و با مقادیری که توسط خود ESXi گزارشگیری شده مقایسه میکند. اگر مقادیر مطابقت داشته باشند، سیستم با Secure Boot فعال ، بوت شده است وهمه چیز خوب است و فقط کد های تایید شده اجرا میشوند و مطمئن هستیم که کد های تایید نشده وجود ندارد . vCenter یک گزارش تایید در vCenter web client که وضعیت هر هاست را نشان میدهد ارائه میکند.

TMP 2.0 مجازی در ماشین ها

برای پشتیابنی از TPM برای ماشین های مجازی ، مهندسین ما دیوایس مجازی TPM 2.0 را ایجاد کرده اند که در ویندوز مانند یک دستگاه معمولی نمایش داده میشود و مانند TPM فیزیکی ، می تواند عملیات رمزنگاری را انجام دهد و مدارک را ذخیره کند. اما چگونه داده ها را در TPM مجازی ذخیره می کنیم؟ ما این اطلاعات را در فایل nvram ماشین ها مینویسیم و آنرا با VM Encryption ایمن میکنیم . این عملیات اطلاعات را در vTPM ایمن میکند و همراه با ماشین جابجا میشود . اگر این VM را به یک دیتاسنتر دیگر کپی کنیم و این دیتاسنتر برای صحبت با KMS ما پیکربندی نشده باشد ، آن وقت دیتا در vTPM ایمن خواهد بود. نکته : فقط فایل های “home” ماشین رمزگذاری میشود نه VMDK’s ، مگر اینکه شما انتخاب کنید که آنها را نیز رمزگذاری کنید.

چرا از TMP سخت افزاری استفاده نکردیم ؟

یک سخت افزار TPM محدودیت هایی هم دارد . به دلیل اینکه یک دستگاه serial هست پس کمی کند است. یک nvram ایمن که ظرفیت ذخیره سازی آن با بایت اندازه گیری میشود دارد . توانایی تطبیق با بیش از 100 ماشین در یک هاست را ندارد و قادر به نوشتن تمام اطلاعات TPM آنها در TPM فیزیکی نیست و به یک scheduler برای عملیات رمزنگاری نیاز دارد . فرض کنید 100 ماشین در حال تلاش برای رمزنگاری چیزی هستند و وابسته به یک دستگاه serial که فقط میتواند 1 رمزنگاری در آن واحد انجام دهد ؟ اوه….
حتی اگر بتواند اطلاعات را فیزیکی ذخیره کند ، عملیات vMotion را در نظر بگیرید ! مجبور است داده ها را به طور ایمن از یک TPM فیزیکی حذف و آن را به دیگری کپی کند و با استفاده از کلیدهای TPM جدید دوباره داده ها را امضا کند. تمام این اقدامات در عمل بسیار آهسته است و با مسائل امنیتی و الزامات امنیتی اضافی همراه است.

توجه داشته باشید: برای اجرای TPM مجازی، شما به VM Encryption نیاز دارید. این بدان معناست که شما به یک زیرساخت مدیریت کلید سوم شخص در محیط خود هستید .

پشتیبانی از ویژگی های امنیتی مبنی بر مجازی سازی مایکروسافت

تیم امنیتی شما احتمالا درخواست یا تقاضای پشتیبانی “Credential Guard” میدهد. این همان است .
در سال 2015 ، مایکروسافت ویژگی های امنیتی مبنی بر مجازی سازی را معرفی کرد . ما نیز همکاری بسیار نزدیکی با مایکروسافت داشتیم تا این ویژگی ها را در vSphere 6.7 پشتیبانی کنیم . بیایید یک نمای کلی از آنچه در زیر این پوشش انجام دادیم تا این اتفاق بیافتد رامشاهده کنیم . وقتی VBS را بر روی لپتاپتان با ویندوز 10 فعال میکنید ، لپ تاپ ریبوت میشود و به جای بوت مستقیم به ویندوز 10 ، سیستم Hypervisor مایکروسافت را بوت می کند. برای vSphere این به معنای این است که ماشین مجازی که ویندوز 10 را به طور مستقیم اجرا می کرد در حال حاضر در حال اجرا hypervisor مایکروسافت است که در حال حاضر ویندوز 10 را اجرا می کند. این فرآیند ” nested virtualization” نامیده می شود که چیزی است که VMware تجربه بسیارزیادی با آن را دارد. ما از nested virtualization در Hands On Lab’s برای سال ها است که استفاده میکنیم. هنگامی که VBS را در سطح vSphere فعال می کنید، این یک گزینه تعدادی از ویژگی های زیر را فعال میکند.

• Nested virtualization
• IOMMU
• EFI firmware
• Secure Boot

و کاری که نمیکند هم این است که VBS را در ماشین سیستم عامل میهمان فعال نمیکند. برای انجام این کار از راهنمایی مایکروسافت پیروی کنید. این کار را می توانید با اسکریپت های PowerShell، Group Policies و غیره انجام دهید.
نکته در اینجاست که نقش vSphere این است که سخت افزار مجازی را برای پشتیبانی از فعال سازی VBS فراهم کند. در کنار TPM مجازی شما هم اکنون می توانید VBS را فعال کنید و ویژگی هایی مانند Gredential Guard را فعال کنید.
اگر شما امروز در حال ساخت ویندوز 10 یا ویندوز سرور 2016 VM هستید، من به شدت توصیه می کنم آنها را با EFI firmware فعال نصب کنید. انتقال از BIOS / MBR سنتی به EFI (UEFI) firmware پس از آن برخی از چالش ها را بعدا به همراه دارد که در خطوط پایین نشان می دهیم.

بروزرسانی UI

در vSphere 6.7 ما بهبود های زیادی در عملکرد وب کلاینت HTML)5) ایجاد کرده ایم . هم اکنون در تمام مدت ازآن استفاده میکنیم . این محیط سریع است و بخوبی ایجاد شده و هرکاری در آزمایشگاهم میخواهم انجام میدهد . ما برخی تغییرات به منظور ساده تر کردن همه چیز برای ادمین ها در سطح رمزنگاری ماشین ایجاد کرده ایم. در پس زمینه ما هنوز از Storage Policies استفاده میکنیم ، اما تمام توابع رمزنگاری را (VM Encryption, vMotion Encryption) در یک پنل VM Options ترکیب کرده ایم.

چندین هدف SYSLOG

این چیزی است که من شخصا مدت زیادی منتظرش بودم . یکی از درخواستهایی که من داشته ام این است که توانایی کانفیگ چندین هدف SYSLOG از محیط UI را داشته باشم . چرا ؟ برخی از مشتریان می خواهند جریان SYSLOG خود را به دو مکان منتقل کنند. به عنوان مثال، تیم های IT و InfoSec. . کارمندان IT عاشق VMware Log Insight هستند ، تیم های InfoSec معمولا از Security Incident و Event Management system که دارای وظایف تخصصی هستند برای اهداف امنیتی استفاده میکنند . در حال حاضر هر دو تیم ها می توانند یک جریان غیر رسمی از رویدادهای SYSLOG برای رسیدن اهداف مربوطه خود داشته باشند. رابط کاربری VAMI در حال حاضر تا سه هدف مختلف SYSLOG پشتیبانی می کند.

FIPS 140-2 Validated Cryptographic Modules – By Default

این خبر بزرگ برای مشتریان ایالات متحده است . در داخل vSphere) vCenter و ESXi) دو ماژول برای عملیات رمزنگاری وجود دارد. ماژول VM Kernel Cryptographic توسط VM Encryption و ویژگی های Encrypted vSAN و ماژول OpenSSL برای مواردی مانند ایجاده کننده گواهینامه ها (certificate generation) و TLS connections استفاده میشود . این دو ماژول گواهی اعتبارسنجی FIPS 140-2 را کسب کرده اند.
خب ، این به این معنیست که vSphere تاییده FIPS را دارد ؟! خب بعضی از اصطلاحات در جای نادرستی به کاربرده شده است . برای کسب “FIPS Certified” در واقع به یک راه حل کامل از سخت افزار و نرم افزار که با هم تست شده و پیکربندی شده نیاز است. آنچه در VMware انجام دادیم این است که فرایند FIPS را برای اعتبار سنجی vSphere توسط شرکایمان ساده تر کرده ایم. ما منتظر دیدن این اتفاق در آینده نزدیک هستیم. آنچه مشتریان معمولی vSphere باید بداند این است که تمام عملیات رمزنگاری در vSphere با استفاده از بالاترین استانداردها انجام می شود زیرا ما تمامی عملیات رمزنگاری FIPS 140-2 را به صورت پیش فرض فعال کرده ایم.

جمع بندی

بسیاری از موارد امنیتی جدید وجود دارد.آنچه که اینجا مطالعه کردید این است که ما ویژگی های جدید مانند Secure Boot برای ESXi و VM Encryption و بالاتر از همه آنها قالبیت های های لایه جدید مانند TPM 2.0 و virtual TPM . امیدواریم که این روند به همین ترتیب ادامه داشته باشد .
ما تعهد داریم که بهترین امنیت درنوع خود ، در حالی که هم زمان برای ساده سازی اجرا و مدیریت آن تلاش میکنیم ، ارائه دهیم . من می خواهم از تمام تیم های تحقیق و توسعه VMware تشکر کنم برای کار متمایزی که در این نسخه انجام داده اند. آنها سخت کار میکنند تا امنیت شما را برای اجرای و مدیریت آسان تر کنند! آینده در سرزمین vSphere بسیار درخشان است .






ادامه ي مطلب

امتیاز :


طبقه بندی: ،
امنیت در vSphere, مجازی سازی , بروزرسانی UI , TMP 2.0 مجازی در ماشین ها , پشتیبانی از TMP 2.0 در ESX,

تاريخ : 24 ارديبهشت 1397 | <-PostTime-> | نویسنده : محمد | بازدید : <-PostHit->

فایروال سیسکو

فایروال ها دیواره هایی هستند که برای ایمن نگاه داشتن شبکه در برابر هکرها، بدافزارها و دیگر مهاجمان استفاده می شوند. فایروال ها هم به فرم سخت افزار و هم نرم افزار وجود دارند و همه آنها امنیت را بین شبکه و تهدیدهای بیرونی برقرار می سازند. مدیران شبکه، به گونه ای فایروال ها را برای نیازمندی های سیستم مورد نظر خود تنظیم می کنند که عدم وجود داده های آسیب پذیر را تضمین کند. شرکت های کوچک و کامپیوترهای شخصی به ندرت به فایروال های سخت افزاری نیاز خواهند داشت اما شرکت ها و واحدهای تجاری بزرگ از فایروال های سخت افزاری درون سیستم های خود استفاده می کنند تا دسترسی های بیرون از شرکت و مابین دپارتمان ها را محدود کنند. مشتری ها با توجه به نیازمندی های شبکه خود و ویژگی های ارائه شده در فایروال ها، آنها را از میان شرکت های سازنده مختلفی می توانند برگزینند. یکی از برجسته ترین سازندگان فایروال های NGFW کمپانی سیسکو است که در جدول زیر به مقایسه فایروال های NGFW خود با فایروال های NGFW از شرکت های Palo alto، Fortinet و Check Point می پردازد.

ویژگی های امنیت :

 CISCOPALO ALTO NETWORKSFORTINETCHECK POINT SOFTWARE TECHNOLOGIES
تحلیل مستمر و شناسایی با نگاه به گذشتهسیسکو تحلیل مستمری را خارج از point-in-time به کار می بندد، و با نگاهی به گذشته می تواند شناسایی کند، هشدار دهد، پیگردی کند، تحلیل کند و بدافزارهای پیشرفته ای را اصلاح کند که ممکن است با ظهورشان در همان ابتدا پاک شوند یا اینکه از دفاع اولیه سرباز زند و پس از آن به عنوان مخرب تعیین شوند.تنها تحلیل و شناسایی point-in-time را انجام خواهد داد. تحلیل های point-in-time ایجاب می کند که در لحظه ای که برای اولین بار فایل دیده می شود، داوری بر روی وضعیت آن انجام شود. اگر فایلی به تدریج تغییر یابد یا اینکه بعدا شروع به فعالیت مخرب کند، هیچ کنترلی در محل وجود ندارد که نشانی از چیزی که اتفاق افتاده یا جایی که بدافزار به آن منتهی شده را نگاه دارد.تنها تحلیل و شناسایی point-in-time را انجام خواهد داد.
همان توضیحاتی که در این مورد برای palo alto آورده شده است، برای این برند نیز صدق می کند.
تنها تحلیل و شناسایی point-in-time را انجام خواهد داد.
همان توضیحاتی که در این مورد برای palo alto آورده شده است، برای این برند نیز صدق می کند.
مسیر حرکت فایل شبکهسیسکو طرح ریزی می کند که چگونه هاست ها فایل هایی که شامل فایل های مخرب هستند را در سراسر شبکه شما انتقال دهند. فایروال سیسکو می تواند ببیند که انتقال یک فایل مسدود یا فایل قرنطینه شده است. در این فایروال میانگینی از میدان دید، ارائه کنترل هایی همه گیر و تشخیص مشکل اولیه را فراهم می کندمسیر حرکت به تحلیل مستمر وابسته است. به دلیل نبود تحلیل مستمر پشتیبانی نمی کند.مسیر حرکت به تحلیل مستمر وابسته است. به دلیل نبود تحلیل مستمر پشتیبانی نمی کند.مسیر حرکت به تحلیل مستمر وابسته است. به دلیل نبود تحلیل مستمر پشتیبانی نمی کند.
برآورد اثراتCisco Firepower همه رویدادهای نفوذ را به اثرات حمله مرتبط می کند تا به اپراتور بگوید که چه چیزی به توجه فوری نیاز دارد.محدود 
اثرات تنها در مقابل شدت تهدید ارزیابی می شوند. هیچ اطلاعات پروفایلی از هاست برای تعیین آسیب پذیری در مقابل تهدید در اختیار نمی گذارد.
محدود 
اثرات تنها در مقابل شدت تهدید ارزیابی می شوند. هیچ اطلاعات پروفایلی از هاست برای تعیین آسیب پذیری در مقابل تهدید در اختیار نمی گذارد.
محدود 
اثرات تنها در مقابل شدت تهدید ارزیابی می شوند. هیچ اطلاعات پروفایلی از هاست برای تعیین آسیب پذیری در مقابل تهدید در اختیار نمی گذارد.
اتوماسیون امنیت و مدیریت تطبیق پذیر تهدیدسیسکو به طور خودکار دفاع ها را با تغییرات پویا در شبکه، در فایل ها، یا با هاست ها منطبق می کند. اتوماسیون عناصر دفاعی کلیدی همچون تنظیم مقررات NGIPS و سیاست فایروال شبکه را پوشش می دهد.همه سیاست ها به تعاملات سرپرست نیاز دارد. سیاست ها به تنظیمات پایه محدود می شود.
خطاهای false positive به طور غیرخودکار شناسایی و کاهش داده می شوند.
همه سیاست ها به تعاملات سرپرست نیاز دارد. سیاست ها به تنظیمات پایه محدود می شود.
خطاهای false positive به طور غیرخودکار شناسایی و کاهش داده می شوند.
سیاست ها به تعاملات سرپرست نیاز دارند.
Behavioral indicators of compromise IoCsCisco Firepower 
عملکرد فایل و شهرت سایت ها را بررسی می کند، و شبکه و فعالیت endpoint را با استفاده از بیش از 1000 شاخص عملکردی به هم مرتبط می کند.
بیلیون ها مصنوعات بدافزاری را برای ارتقا و پوشش بی نظیر در برابر تهدیدهای جهانی ارائه می دهد.
استاندارد، nonbehavioral IoCs در محصولی مجزا در دسترس است.IoC مبتنی بر شدت تهدید است نه عملکرد.IoC مبتنی بر شدت تهدید است نه عملکرد.
آگاهی از وضعیت کاربر، شبکه و endpointCisco Firepower تحلیل کاملی از تهدیدها و محافظت در برابر آنها را با آگاهی نسبت به کاربران، پیشینه کاربر بر روی هر ماشین، دستگاه های موبایل، اپلیکیشن های سمت کلاینت، سیستم عامل ها، 
ارتباطات ماشین به ماشین مجازی، آسیب پذیری ها، تهدیدها و URL ها فراهم می کند.
تنها آگاهی از کاربران را پشتیبانی می کند.تنها آگاهی از کاربر را پشتیبانی می کند.
مگر اینکه نرم افزار endpoint مجزایی استفاده شود.
تنها آگاهی از کاربر را پشتیبانی می کند.
مگر اینکه نرم افزار endpoint مجزایی استفاده شود.
NGIPSNext-gen
-سیستم IPS با آگاهی بی وقفه و نگاشت شبکه
Signature-basedSignature-basedSignature-based
حفاظت پیشرفته جامع در برابر تهدیدپوشش می دهد
-قابلیت های sandboxing پویای توکار 
(AMP-ThreatGrid)، بدافزارهای آگاه از sandbox و evasive را شناسایی می کند.
وابستگی رویدادهای قابل تعقیب، behavioral IoCs >1000، بیلیون ها مصنوعات مخرب و درک آسان محدوده تهدیدها را فراهم می کند.
محدود است
-Sandbox به صورت cloud به اشتراک گذاشته می شود یا بر روی دستگاه نصب است
محدود است
-Sandbox به صورت cloud به اشتراک گذاشته می شود یا بر روی دستگاه نصب است
محدود است
-Sandbox به صورت cloud به اشتراک گذاشته می شود یا بر روی دستگاه نصب است
اصلاح بدافزارهاپوشش می دهد
-اتوماسیون هوشمند که از جمله قابلیت های Cisco AMP است به شما اجازه می دهد که به سرعت محدوده بدافزار را بفهمید، و یک حمله فعال را حتی پس از رخدادش، مهار کنید
محدود است
- برای یک محدوده تهدید ناشناخته هیچ علتی ریشه ای یا نتایجی از مسیر حرکت ارائه نمی دهد.
-در اینجا اصلاح، فرآیندی غیرخودکار در طی واکنش به حادثه پس از نفوذ است.
محدود است
- برای یک محدوده تهدید ناشناخته هیچ علتی ریشه ای یا نتایجی از مسیر حرکت ارائه نمی دهد.
-در اینجا اصلاح، فرآیندی غیرخودکار در طی واکنش به حادثه پس از نفوذ است.
محدود است
- برای یک محدوده تهدید ناشناخته هیچ علتی ریشه ای یا نتایجی از مسیر حرکت ارائه نمی دهد.
-در اینجا اصلاح، فرآیندی غیرخودکار در طی واکنش به حادثه پس از نفوذ است.


اطلاعات بیستر در لینک زیر :

faradsys.com






ادامه ي مطلب

امتیاز :


طبقه بندی: ،
فایروال سیسکو,فایروال Next-Generation, فایروال NGFW, ویژگی های فایروال NGFW,ویژگی های فایروال Next-G,

تاريخ : 9 ارديبهشت 1397 | <-PostTime-> | نویسنده : محمد | بازدید : <-PostHit->

تغیرات در VMware View

VMware View  پیشرفت ها و ویژگی های بسیاری دارد. در این مقاله ما به بررسی پیشرفت های ارتباطات HTTP بین اجزای View خواهیم پرداخت . در View 5.0 ، VMware از مخرن گواهینامه های فایل بیس JKS و PKCS12  در اجزای View پشتیبانی میکرد ، اما از View 5.1 به بعد ، VMware از مخرن گواهینامه های ویندوزی پشتیبانی میکند . این تغیرات اجازه ادغام بهتری با ساز و کار مدیریت گواهینامه ها میدهد. زمانی که شما به View 5.1 آپگرید میکنید ، مخرن گواهینامه های JKS و PKCS12  به صورت خودکار به مخرن گواهینامه ویندوز انتقال داده میشوند .

استفاده از SSL در حال حاضر برای ارتباطات HTTP بین اجزای View است . هرچند که یک مکانیزم Trust-on-first-use دخیل است ، بهترین راه درج گواهینامه های معتبر تایید شده توسط Certificate Authority (CA) مورد اعتماد در تمام اجزای View است . در View ، پنل مدیریتی View به شما وضعیت سلامت گواهینامه ها مربوط به اجزاء مناسب را نشان میدهد .

شکل 1  ارتباطات امن SSL بین اجزای مختلف View را نشان میدهد. در مورد vCenter Server  و  View Composer ، ادمین ها  این انتخاب را دارند تا گواهینامه های self-signed یا invalid را بعد از تاید هویت گواهینامه ، از محیط کاربری ادمین اضافه کنند .

مکانیزم احرازهویت SSL

احراز هویت SSL اساسا در مبنای پروتکل لایه امنیتی ترنسپورت TLS است . هدف اصلی TLS ارائه امنیت و تعاملات بین ارتباط دو نرم افزار است . پروتکل TLS Handshake ، سرور را با کلاینت ، و کلاینت را با سرور در صورت انتخاب ، احراز هویت میکند .  همچنین TLS قبل از اینکه پروتکل اپلیکیشن (سرور و کلاینت) اولین بایت دیتا را ارسال یا دریافت کند درمورد الگوریتم رمزنگاری و کلید های رمزنگاری مذاکره میکند . پروتکل Handshake یک کانال امن با موارد زیر میسازد:

  • Authenticating peers (client or server) using asymmetric (public-private) keys
  • Agreeing upon cryptographic protocols to be used, such as 3DES, RSA
  • Negotiating a shared secret

وقتی پروتکل handshake بین peers ها تکمیل شود ، peers شروع به برقراری ازتباط با مد کانال امن از طریق الگوریتم های رمزنگاری و کلید رمزنگاری مذاکره شده ، که حملات مردی در میان و استراق سمع را مسدود میکند.

 مجازی سازی

جریان اعتبارسنجی گواهینامه X.509

این بخش جریان اعتبارسنجی گواهینامه X.509 ، فرم استاندارد گواهینامه های public key را توضیح میدهد. این تنظیمات  در Connection Server و  Security Server و  View Composer  و  vCenter Server اعمال میشود. وضعیت سلامت هرکدام از این اجزا در پنل مدیریتی View مطابق شکل زیر نشان داده میشود .

یک گواهینامه پیش فرض برای هرکدام از اینها ساخته میشود ، اما best practice میگوید که این گواهینامه ها را با یک گواهینامه صادر شده از یک CA سرور trusted جایگزین کنید .

هر Connection Server گواهینامه های دیگر اجزای متصل شده به آن را اعتبارسنجی میکند . در فلوچارت شکل زیر مراحل بررسی آنها نمایش داده شده :

Hostname match

Connection Server بررسی میکند که نام سرور بخشی از URL کانکشن باشد (در مواردی که Security Server ، برای URL های خارجی کانفیگ شده باشد) با یکی از اسم های subject در گواهینامه معرفی شده ، همخوان باشد. اگر این مقدار همخوان نباشد ، وضعیت کامپوننت موردنظر در پنل مدیریت View  پیغام Server’s Certificate does not match the URL را نشان میدهد.

Certificate issuer’s verification

Connection Server اعتبار صادرکننده گواهینامه و trusted بودن آن را بررسی میکند.

Certificate Expired/Not Yet Valid

اعتبار گواهینامه در زنجیره گواهینامه ها بررسی میشود تا مدت اعتبار و زمان گواهینامه صادر شده مشخص شود – اگر اعتبار نداشته باشند وضعیت کامپوننت موردنظر در پنل مدیریت View پیغام Server’s either Certificate Expired or Certificate Not Yet Valid را نشان میدهد.

Certificate revocation checking

VMware View از Revocation Checking پشتیبانی می کند ، تکنیکی که اطمینان حاصل میکند از اینکه صادرکننده گواهینامه بنا به دلیلی گواهینامه را باطل نکرده باشد. View از دو روش بررسی اعتبار گواهینامه ها ، CRLs (Certificate Revocation Lists) و OCSPs (Online Certificate Status Protocols) پشتیبانی میکند. اگر گواهینامه بدون اعتبار یا در دسترس نباشد وضعیت کامپوننت موردنظر در پنل مدیریت View پیغام Server’s either Revocation status cannot be checked را نشان میدهد.

نکته : عملیات revocation برای تمام اجزاء بررسی میشود به استثنای روت. یعنی گواهینامه روت بررسی نمیشود ؛ زیرا مدیریت فعال مخزن گواهینامه روت ، فقط باید مطئن شود که موجود است . گواهینامه های unrevoked شده مورد تایید است. اگر شما مطمئن نیستید که مخزن گواهینامه کاملا بروز است ، توصیه میشود تا اسکوپ revocation checking را تا خود روت افزایش دهید . اگر هرکدام از گواهینامه ها revocation check را fail شوند ، در پنل مدیریت View پیغام Server Certificate has been revoked نشان داده خواهد شد.

تنظیمات گواهینامه ها X.509 در هر جزء متفاوت و یکپارچگی آن با VMware View

گواهینامه X.509 ، صادر شده از Trusted Certification Authority  ، تنظیمات در اجزای Secure Gateway

در طول نصب VMware View Connection Server  و  Security Server، یک گواهینامه پیش فرض ساخته و تنظیم میشود . توصیه میشود که این گواهینامه را با یک گواهینامه صادر شده از یک CA سرور trusted جایگزین کنید .

نکته: زمانی که اجزای Secure Gateway بروز شوند ، و ورژن قبل توسط یک CA سرور trusted تنظیم شده باشد ، آن گواهینامه ها در زمان نصب به صورت خودکار به مخرن گواهینامه ویندوز انتقال داده میشوند .

 

گواهینامه X.509 ، صادر شده از Trusted Certification Authority  ، تنظیمات در اجزای View Composer

در طول نصب VMware View Composer ، یک گواهینامه پیش فرض ساخته و تنظیم میشود . توصیه میشود که گواهینامه پیش فرض را با یک گواهینامه صادر شده از یک CA سرور trusted جایگزین کنید .

 

گواهینامه X.509 ، صادر شده از Trusted Certification Authority  ، تنظیمات در اجزای vCenter Server

در طول نصب VMware vCenter Server، یک گواهینامه پیش فرض ساخته و تنظیم میشود . توصیه میشود که گواهینامه پیش فرض را با یک گواهینامه صادر شده از یک CA سرور trusted جایگزین کنید .

 

Revocation Checking

VMware View 5.1 از revocation checking گواهینامه های SSL ، که میتوان از طریق رجیستری یا توسط تنظیمات GPO policy تنظیم شوند ، پشتیبانی میکند. برای تنظیم انواع revocation check ، گزینه های رجیستری زیر را ویرایش یا روی Connection Servers ، GPO policy اعمال کنید :

کلید رجیستری CertificateRevocationCheckType را در مسیر زیر اضافه کنید :

 SoftwarePoliciesVMware, inc.VMware VDMSecurity

  • None – Set CertificateRevocationCheckType = 1. No revocation checking is done if this option is set.
  • EndCertificateOnly – Set CertificateRevocationCheckType = 2.Revocation checking is done only for the end certificate in the chain.
  • WholeChain – Set CertificateRevocationCheckType = 3. A complete path is built for the certificate, and a revocation check is done for all certificates in the path
  • WholeChainButRoot – Set CertificateRevocationCheckType = 4. A complete path is built for the certificate, and a revocation check is done for all certificates in the path except for the Root CA certificate (default value).

دیگر تنظیمات Revocation Check

SoftwarePoliciesVMware, inc.VMware VDMSecurityCertificateRevocationCheckCacheOnly

“False” (default) – Disable caching revocation responses.

“True” – Enable caching revocation responses.

SoftwarePoliciesVMware, inc.VMware VDMSecurity CertificateRevocationCheckTimeOut

Cumulative timeout across all revocation check intervals in milliseconds. If not set, default is set to ‘0’, which means Microsoft defaults are used.

 

انواع گواهینامه ها و استفاده آنها در VMware View

View از انواع مختلف گواهینامه ها برای تحقق انواع سناریو ها در سایت مشتری پشتیبانی میکند. گواهینامه در دو دسته گواهینامه های single-server name و گواهینامه های multiple-server name گنجانده میشوند .

یک گواهینامه single-server name شامل یک آدرس URL است که تشخیص میدهد سرور برای کدام گواهینامه صادر شده . این نوع گواهینامه زمانی صادر میشود که connection broker فقط از طریق شبکه داخلی یا فقط از طریق شبکه خارجی در دسترس است. به این معنی که ، سرور یک نام FQDN دارد.

گواهینامه های Multiple-server name در محیط هایی که View Connection Server قابلیت دسترسی از هر دو مسیر شبکه داخلی و خارجی ، که نیاز دارد تا connection server چند نام FQDN داشته باشد ، کاربرد دارد. به عنوان مثال ، یکی برای شبکه داخلی و یکی برای شبکه خارجی .

گواهینامه های Multiple-server name از بیشتر از یک SAN (Subject Alternative Name) برای هر یک گواهینامه تکی پشتیبانی میکنند . این نوع از گواهینامه نیز زمانی استفاده می شود که اگر SSL offloaders بین View clients  و connection server  قرار داده شود و یا هنگامی که یک اتصال تونل شده با Security server فعال شود.

یک گواهینامه wildcard  ، گواهینامه ای است که برای تمام سرور های داخل دامین صادر میشود . FQDN داخل گواهینامه wildcard معمولا به این فرمت نوشته میشود  *.organization.com. یک گواهینامه wildcard امنیت کمتری از گواهینامه SAN دارد ، اگر یک سرور یا ساب دامین در معرض خطر باشد ، کل محیط در معرض خطر است .


منبع : Faradsys.com


بقیه مقاله در ادامه مطلب






ادامه ي مطلب

امتیاز :


طبقه بندی: ،
تنظیمات SSL, گواهینامه SSL, تنظیمات Revocation Check, گواهینامه Trusted CA-Signed , مجازی سازی,SSL,

تاريخ : 9 ارديبهشت 1397 | <-PostTime-> | نویسنده : محمد | بازدید : <-PostHit->
 

مشکل و ارور Server’s certificate cannot be checked در پنل مدیریتی VMware Horizon View

یکی از رایج ترین ارور هایی که در پنل مدیریتی VMware Horizon View میبینیم ، ارور Server’s certificate cannot be checked  است و در این پنل آیکون  Security Server Connection Server به رنگ قرمز نشان داده میشود. با کلیک بر روی Connection Server پیغام Connection Server certificate is not trusted نمایش داده میشود. با کلیک بر روی Security Server پیغام Server’s certificate cannot be checked نمایش داده میشود.

Document Id : 2000063

 

این مشکل زمانی رخ میدهد که (Certificate Revocation List (CRL شامل آدرسURL  از Connection Server جفت شده با Security Server قابل دسترسی نیست.

برای حل این مشکل ، اطمینان حاصل کنید Connection Server که با Security Server جفت شده قادر به بررسی URL که داخل Certificate Revocation List (CRL) باشند ، اگر محیط شما شامل پروکسی سروری که دسترسی به اینترنت را کنترل میکند است.

برای برطرف کردن مشکل ، فایل CertificateRevocationCheckType را در رجیستری ویندوز ایجاد کنید

نکته: این مراحل شامل ایجاد تغیر در رجیستری ویندوز است . قبل از ایجاد تغیر اطمینان حاصل کنید که بک آپ از رجیستری و ماشین خود داشته باشید .

برای ایجاد CertificateRevocationCheckType مراحل زیر را دنبال کنید:

نکته: اگر شما از چندین Connection Server استفاده میکنید باید تغیرات را در همه آنها ایجاد کنید.

  • به مسیر HKEY_LOCAL_MACHINESoftwareVMware, Inc.VMware VDMSecurity بروید.

اخطار: مطمئن شوید که تغیرات را در Connection Server اعمال میکنید ، نه در Security Server.

  • دستور رجیستری CertificateRevocationCheckType را با نوع (REG_SZ) و مقدار 1 ایجاد کنید.

نیازی به ریبوت برای اعمل این تغییرات نیست .

برای مشاهده مشکلات ، پیغام های ارور دیگر و دیدن راه حل آنها ، از این مقاله استفاده کنید.

حفاظت از کانال های ارتباطی VMware View توسط گواهینامه های SSL

(مشکلات و ارور های رایج در انتهای مقاله ذکر شده است)

 






ادامه ي مطلب

امتیاز :


طبقه بندی: ،
مجازی سازی , ارور Server’s certificate cannot be checked , ارور در پنل مدیریتی VMware Horizon View,

تاريخ : 27 فروردين 1397 | <-PostTime-> | نویسنده : محمد | بازدید : <-PostHit->
مفهموم BLIB در تکنولوژی Backup
اکثر دیتابیس ها مانند اوراکل و SQL شامل تعداد زیادی فایل های کوچک می باشند که معمولا در یک Container فایل بزرگ قرار گرفته اند. معمولا این فایل های شکسته شده و کوچک حاوی اطلاعات کاربران هستند و بین بازه های Backup گیری بصورت مداوم در حال تغییر هستند. در حالت استاندارد که Incremental Backup تهیه می شود، تمامی Container توسط نرم افزار backup گیری کپی می گردد در حالیکه ممکن است درون آن تغییرات بسیار کم باشد در نتیجه I/O زیادی تولید شده و فضای زیادی روی Tape اشغال خواهد شد. بوسیله BLIB (Block Level Incremental Backup) فقط بلاک هایی Backup گرفته می شوند که تغییر نموده است. در واقع در این روش نرم افزار مربوطه با فایل سیستم ارتباط برقرار نمی کند بلکه مستقیما وارد بلاک های دیسک شده از آنهایی نسخه پشتیبان تهیه می کند که تغییر کرده اند. 
برای اینکه این اتفاق رخ دهد نیاز می باشد نرم افزار Backup گیری مانند Veritas این قابلیت را پشتیبانی کند.
لازم بذکر است در صورت نیاز به Restore کردن اطلاعات مانند حالت استاندارد نیاز به آخرین Full Backup و تمامی Incremental ها می باشد.
معمولا این قابلیت در Agent نرم افزارهای Backup گیری که امروزه به بازار عرضه شده است وجود دارد.
مزیت های BLIB:
-  باعث کاهش Backup windows می شود.
-  باعث می شود بتونیم تعداد بیشتر Backup job را اجرا کنیم.
-  تمامی Backup set ها دارای دیتاهای بروز می باشند.





ادامه ي مطلب

امتیاز :


طبقه بندی: ،
مفهموم BLIB در Backup , مفهموم BLIB , BLIB چیست , مزیت های BLIB , ویژگی های BLIB , درباره BLIB,

تاريخ : 27 فروردين 1397 | <-PostTime-> | نویسنده : محمد | بازدید : <-PostHit->
سیستم HC 250 مناسب برای راه اندازی مجازی سازی در محیط های کوچک و متوسط می باشد و پلی می باشد برای راه اندازی SDS درون سازمان ها، روی این سیستم VMware Vsphere 5.6 و یا 6 بصورت Built in وجود دارد. روی این سیستم سرورهای Apollo قرار دارد که مدل XL 170 می باشند و روی آنها از پردازنده های عملکرد استوریج HP MSA 2052, استوریج HP MSA 2052, استوریج MSA 2050, MSA 2052 , قیمت استوریج , انواع استوریج , نصب استوریجE5-2600 قراردارد. در واقع اگر بخواهیم از 4 سرور DL380 استفاده کنیم نیاز به 8 یونیت فضا درون رک خواهیم داشت حال آنکه در صورت استفاده از این سیستم فقط نیاز به 2 یونیت خواهیم داشت و در واقع باعث کاهش فضا و در نتیجه کاهش هزینه خواهد شد. با توجه به اینکه روی این سیستم StoreVirtual VSA قرار دارد می توان SDS را پیاده سازی نمود و از قابلیت Network RAID استفاده کرد. بدین معنی که RAID بین چندین دستگاه مختلف پیاده خواهد شد. همچنین این سیستم قابلیت Multi System HA را نیز پوشش می دهد و می توان یکدستگاه را در سایت دیگری قرارداد تا چنانچه یک سیستم دچار مشکل شود سیستم دیگر در سایت دیگر ادامه کار را انجام خواهد داد. همچنین این سیستم قابلیت Adaptive Optimization و Remote Copy را نیز پوشش می دهد که در پست های بعدی این قابلیت ها توضیح داده خواهد شد. روی هر سرور که در این سیستم قرار می گیرد می توان 512 گیگا بایت RAM قرار داد و کارتهای شبکه نیز می تواند 10 گیگا بیت بر ثانیه باشد. در صورتیکه نیاز به GPU داشته باشیم می توانیم روی این سیستم از XL190 استفاده کنیم.




ادامه ي مطلب

امتیاز :


طبقه بندی: ،
سیستم HC 250 , مجازی سازی , نیاز های سیستم HC 250 , قابلیت HC 250 , ویژگی های HC 250 , HC 250 چیست ,,

تاريخ : 20 فروردين 1397 | <-PostTime-> | نویسنده : محمد | بازدید : <-PostHit->

فایروال های Cisco Firepower 2100 Series

فایروال سری Firepower 2100 از جمله محصولات امنیتی کمپانی سیسکو می باشد که شامل مجموعه ای چهار تایی از پلتفرم های امنیتی Threat-focused NGFW هستند. زمانی که توابع پیشرفته Threat فعال می شود این فایروال کارایی پایدار فوق العاده ای را ارائه می دهد. در نتیجه دیگر امنیت در غیاب کارایی شبکه به دست نمی آید بلکه هر دو همزمان حفظ می شوند. در این پلتفرم ها معماری CPU چند هسته ای جدیدی ضمیمه شده است که همزمان فایروال، رمزنگاری و توابع نفوذ تهدید ها را بهینه می کند. با توجه به محدوده توان عملیاتی فایروال های سری 2100، موارد استفاده ای از Edge اینترنت تا مرکز داده را در بر می گیرد.

 

 

 

ویژگی های فایروال های سری 2100:

Threat-focused NGFW

این سری از محصولات، با دفاعی قوی تر در برابر تهدیدها انعطاف پذیری را بهبود می بخشند، کارایی را حفظ می کنند، کنترل اپلیکیشن Granular را به کار می بندد، در برابر بدافزارها از شبکه محافظت می کنند، زمان لازم برای تشخیص و اصلاح را کاهش می دهند و با استفاده از رابط مدیریتی On-device پیچیدگی را کاهش می دهند.

کارایی و تراکم پورت بهینه شده

توان عملیاتی این فایروال ها از 2Gbps تا 8.5Gbps می باشد. 16 پورت 1GE را در مدل های Low-end پشتیبانی می کند همچنین در مدل های High-end حداکثر 24 پورت 1GE یا 12 پورت 10GE فراهم می کند. تمام محصولات در این رده در فرم فاکتور 1 RU ارائه می شوند.

معماری نوین

زمانی که از طریق مسیریابی بارهای کاری مختلف به تراشه های گوناگون میرسند، بررسی تهدید فعال می شود. فایروال سری 2100 به واسطه Dual-CPU منحصر به فردی که ارائه می دهد، معماری چند هسته ای و کارایی را حفظ می کند. فعال کردن ویژگی های حفاظت از تهدید تاثیری بر روی توان عملیاتی فایروال ندارد.

مدیریت برای پاسخگویی به نیازهای شما

Cisco Firepower NGFW، برای کانفیگ کردن زمان کمتری را جهت پیکربندی صرف می کند و از لحاظ مدیریت نیز هزینه کمتری دارد.






ادامه ي مطلب

امتیاز :


طبقه بندی: ،
فایروال سیسکو سری Firepower 2100 , فایروال Firepower 2100 , انواع فایروال , نصب فایروال , قیمت فایرو,

تاريخ : 20 فروردين 1397 | <-PostTime-> | نویسنده : محمد | بازدید : <-PostHit->

ما در شرکت بهبود سامانه های اطلاعاتی فاراد پس از بررسی و آزمودن این استوریج و با استفاده از منابع دیگر به تحیلی کامل از این ذخیره ساز رسیدیم که به شرح ذیل می باشد.

تابستان امسال hpe از نسل 5 استوریج MSA 2050 و 2052 رو نمایی کرد. سیستم های ذخیره ساز جدید MSA با توجه به قیمتی که خریدار پرداخت می کند، و ویژگی های بسیاری که این مدل از استوریج دارا می باشد. توانسته سهم بزرگی را از استوریج های entry level را به خود اختصاص دهد (با بیش از 500000 فروش). استوریج های MSA مدت زمان طولانی است در بین استوریج های entry level به قابل اعتماد بودن و استفاده آسان شناخته شده است. استوریج خانواده MSA 2050 با توجه به ویژگی هایی که دارا می باشد ، می تواند بیش از 200k IOPS را پشتیبانی نماید که MSA 2050 قطعا میتواند با استوریج های خارج از کلاس خود رقابت نماید.

Hpe ویژگی های جدیدی را نسبت به نسخه های قدیمی MSA در همان شاسی ارائه نموده است. در استوریج MSA 2050 می توان درایو های HDD به همراهSSD Pools یا SSD caching استفاده نمود. در حالی که MSA 2052 همراه با لایسنسی که شامل دو درایو SSD برای استفاده از performance tiering می باشد ارائه میشود . در سناریو cache ، مشتریان به طور معمول از دو درایو SSD و معمولا از چهار SSDs برای teiring استفاده می نمایند . فاراد در این برسی تمرکز خود را در MSA 2052 با چهار SSDs برای Tiering قرار میدهیم.

 

MSA 2052 تمام اتصالات مورد نیاز برای یک کسب کار دارا می باشد می تواند با ارائه Fibre Channel (8/16) یا iSCSI 10GbE ports برای هر کنترلر پشتیبانی نماید. با توجه به طراحی و نیاز شما میتوان همه پورتها FC و یا iSCSI باشد. HPE به مشتریان خود پیشنهاد می دهد که به صورت متناوب از ترکیبی FC و iSCSI استفاده نمایند. از دو پورت FC برای local FC و دو پورت iSCSi برای remote replication استفاده می شود. درقسمت میانی دستگاه کنترل ها به صورتActive/Active قرار گرفته است. شاسی ما دارای 24-bay 2.5″ SAS backplan ، که نسبتا معمول است .

اگر فضای مورد نیاز شما زیاد است می توانید از گزنیه های LFF استفاده نمایید. خانواده MSA با JBODs (enclosure) که میتواند LFF یا SFF باشد .در ضمن می توان هارد دیسک های LFF را در Auto teiring استفاده نمود به این صورت که داده هایی که استفاده بیشتری دارند (hot data) در درایو های SSD و داده های که از آنها استفاده کمتری میشود (cold data) برای صرف جویی در هزینه از هارد دیسک های LFF استفاده نمود.

در MSA 2052 ، 1.6 TB فضای ذخیر سازی SSD و تمام لایسنس های نرم افزاری در آن قرار داده شده و برای استفاده اماده است. اگر برای MSA 2050 نیاز به درایو های SSD ، برای cache و auto tiering باشد، نیاز به تهیه لایسنس های مرتبط می باشید . این کار بسیار ساده می باشد درایو های SSD را به دستگاه اضافه نموده و لایسنس Caching و Auto tierin را به آن اضافه می کنیم. تمای این فرایند ها به صورت خودکار می باشد.MSA تمامی این کارها ( تغییر workload ) به صورت اتوماتیک انجام می دهد و کاربر نیاز به هیچ گونه طراحی برای استفاده از این ویژگی ندارد. همچنین MSA دارای virtualized snapshots برای ریکاوری سریع و محافظت از داده ها می باشد. MSA همچنین از remote replication برای disaster recovery در site های متفاوت پشتیبانی میکند.

MSA 2052 ای که در حال برسی آن هستیم با 800GB SSD و 1.2TB 10K HDD پیکربندی شده است. درایو ها در دو pools پیکربندی شده اند که هر pool متعلق به یک کنترلر میباشد. Pool ها شامل 10 HDDs و 2 درایو SSDs برای Tier performance میباشند.

HPE MSA 2052 Specifications

  • Drive description: Up to 192 SFF SSD/SAS/MDL SAS or 96 LFF SSD/SAS/MDL SAS maximum including base array and expansion, depending on model
  • Max. drive type:
    • 10 TB 12G 7.2K LFF dual-port MDL SAS HDD
    • 1.8 TB 12G 10K SFF dual-port SAS HDD
    • 2 TB 12G 7.2K SFF dual-port MDL SAS HDD
    • 3.2 TB SFF SSD
  • Max. raw capacity:
    • Supported 614 TB SFF/960 TB LFF maximum raw capacity
    • Including expansion, depending on model
  • Storage expansion options:
    • HPE MSA 2050 LFF Disk Enclosure
    • HPE MSA 2050 SFF Disk Enclosure
  • Host interface options:
    • 8 Gb/16 Gb FC 8 ports per system or
    • 1GbE/10GbE iSCSI 8 ports per system
  • Storage controllers: 2 controllers, active/active
  • SAN backup support
  • RAID levels: 1, 5, 6, 10
  • HPE Systems Insight Manager (SIM) support
  • Compatible operating systems
    • Microsoft Windows Server 2016
    • Microsoft Windows Server 2012
    • VMware
    • HP-UX
    • Red Hat Enterprise Linux
    • SUSE Linux
  • Clustering support: Windows, Linux, HP-UX
  • Form factor: 2U base array, 2U LFF or SFF disk enclosures

طراحی و ساخت:

استوریج ، MSA 2052 که برای بررسی انتخاب شده 2U از فضای رک شما را اشغال می کندو می توان از 24 عدد درایو 2.5 اینچی بر روی آن استفاده نمود.

در فضای پشت دستگاه دو کنترلر در وسط قرار گرفته اند و در طرفین دو کنترلر منبع های تغذیه قرار گرفته است. بر روی کنترلر ها از سمت چپ 4 پورت با سرعت بالا برای ارتباط با هاست ، وجود دارد که می تواند فیبر یا 10GbE یا ترکیبی از هردو ( 2 FC و iSCSI 2) باشد. و در زیر این پورت های miniUSB CLI قرار گرفته .در سمت راست پورت miniUSB پورت های اترنت برای مدیریت استوریج و یک پورت SAS expansion برای اضافه کردن enclosure وجود دارد.

مدیریت :

رابط گرافیکی MSA هنوز هم برای کسانی که در گذشته مدیریت استوریج را انجام داده اند آشنا می باشد. حتی برای کسانی که در زمینه استوریج تازه کار هستند متوجه می شوند که محیط HTML5 آن بسیار ساده و به دور از پیچیدگی می باشد. در صفحه اصلی مدیریت کاربران تمام اطلاعات لحظه ای سیستم را به صورت خلاصه مشاهده می نمایند که شامل هاست های متصل ، سرعت لحظه ای انتقال ، پورت متصل ،فضای ذخیره سازی ، و همچنین بهره وری سیستم است . این رابط گرافیکی با طیف گستره ای از مرور گر ها سازگار است و نیاز به نصب هیچ برنامه ای اضافی نیست. کاربران حرفه ای همچنین می توانند در محیط CLI با طیف گسترده ای از دستورات استورج را مدیریت نمایند.

با نگاهی به رابطه کاربری ،در سربرگ هاست اجازه دسترسی به تمام هاست های قابل مشاده را دارید . از اینجا میتوانید LUN ها را به هاست های مورد نظر باپورت های scsi یا fc Map, نمود یا به سادگی ان را تغییر داده یا به اشتراک بگذارید.

با استفاده از سربرگ POOLS کاربر میتواند storage pools ها را مشاهده ، تغییر یا مدیریت نماید ، که در مثال ما دو storage pool (تقسیم شده بین هر کنترلر) و هر POOL شامل یک گروه از درایو های SSD با RAID1 و همچنین گروهی از هارد ها با RAID6 میباشد.

در پایین صفحه مدیریت میتوانید سلامت درایو هایی که در disk group ها قرار گرفته اند مشاهده نمود . و همچنین میتوان فضای مورد استفاده را به تفکیک tire level ها مشاهده و محل قرار گیری فعلی دیتا را مشخص نمود.

در سربرگ Volumes (همانطور که از نامش بر می آید) جایی که شما قادر به ایجاد و ذخیره سازی اطلاعات هستید. شما قادر به ایجاد Volume(LUN) های مختلف و اختصاص دادن ان به pool مورد نظر در همان لحظه می باشید.

تقریبا تمام امکانات در نسخه مرور گرهای موبایل نیز ارائه شده که در این مورد مرورگر گوشی ایفون مورد بررسی قرار گرفته است. با توجه به اینکه رابط کاربری کوچک شده ولی همچنان تمامی گزینه ها به خوبی قابل مشاهده می باشد . توجه داشته باشید که به طور معمول MSA از مرور گرهای موبایل پشتیبانی نمی کند اما بیشتر قابلیت آن در اینجا به خوبی قابل استفده می باشد.

عملکرد استوریج MSA 2052 با برنامه Microsoft SQL Server OLTP به همراه بار کاریه TPC-C شبیه سازی شده است. در هر سناریو LUN بر روی مجموعه از دیسک ها که روی آن دو درایو SSD با RAID 1 ، است قرار دارد. دو LUNs بر روی دو کنترلر بالانس می شوند.در هر POOL به صورت اختصاصی SSD پیکر بندی شده است تا سرعت پردازش داده در این تست را بهبود ببخشد. تمامی تست ها بر روی دو پورت 16 Gb FC انجام می شود. در این آزمایش ما دو تنظیم متفاوت برای درایو های SSD قرار دادیم. اولین تنظیم شامل 3.2 TB (1.6TB قابل استفاده) فضای خام چهار SSD 800GB است.

دومین تنظیم شامل 6.4 TB ( 3.6 TB قابل استفاده) فضای خام چهار SSD 1600GB است. با توجه به قیمت درایور های SSD اکثر کاربران استوریج MSA از درایو های با فضای کمتر استفاده می کنند . ما از هر دو SSD برای نشان دادن توانای کنترلر ها استفاده می کنیم. اوج بار کاری بر روی 6 VMs قرار دارد و CPUs کنترلرها در حال استفاده از حدود 80 درصد از توان خود هستند.

HPE MSA 2052 از هر دو SSD cache و tiering SSD ساپورت می نماید . در این بررسی تمرکز ما به طور کامل بر عملکرد tiering است. cache SSD فقط خواندنی است، بنابراین فقط فعالیت خواندن سریعتر می شود. tiering از تسریع خواندن و نوشتن پشتیبانی می کند. همانطور که ممکن است انتظار داشته باشید، حافظه cache در هر pool را فقط با یک SSD میتوان فعال کنید، در حالیکه R / W tiering نیاز به حداقل دو SSD در RAID1 (یا 3-4 SSD برای RAID5 / 6). SSD های اضافی هزینه قابل توجه ای را به قیمت کلی SAN اضافه می کنند.

SQL Server Performance

هر ماشین SQL server بر روی دو vDisk تنظیم شده است. 100 GB فضا برای boot و سیستم عامل و 500 GB فضا برای دیتا بیس و log در تظر گرفته شده است.برای هر ماشین 16 vCPU و 64 GB رم و LSI Logic SAS SCSI controller اختصاص داده شده است .

این آزمایش بر روی SQL Server 2014 که بر روی سیستم عامل windows server 2012 R2 نصب شده است و بر اساسQuest’s Benchmark Factory for Databases که برای تست دیتا بیس های بزرگ طراحی شده است انجام شده است.

SQL Server Testing Configuration (per VM)
Windows Server 2012 R2
Storage Footprint: 600GB allocated, 500GB used
SQL Server 2014
Database Size: 1,500 scale
Virtual Client Load: 15,000
RAM Buffer: 48GB
Test Length: 3 hours
2.5 hours preconditioning
30 minutes sample period
SQL Server OLTP Benchmark Factory LoadGen Equipment
Dell PowerEdge R730 Virtualized SQL 4-node Cluster
Eight Intel E5-2690 v3 CPUs for 249GHz in cluster (two per node, 2.6GHz, 12-cores, 30MB Cache)
1TB RAM (256GB per node, 16GB x 16 DDR4, 128GB per CPU)
4 x Emulex 16GB dual-port FC HBA
4 x Emulex 10GbE dual-port NIC
VMware ESXi vSphere 6.5 / Enterprise Plus 8-CPU

عملکرد SQL server با دو تنظیم متفاوت را مورد سنجش قرار دادیم. یک تنظیم با چهار عدد SSD 800 GB در حالی که تنظیم دیگر با چهار عدد SSD 1.6 TB استفاده می نمایند. با توجه به حجم SSD ها متوجه می شویم به تنظیم اول می توان 2 ماشین و تنظیم دیگر 4 ماشین را اختصاص بدهیم. SSD های به کار گرفته شده از یک سری می باشند و عملکرد یکسانی را دارا هستند.در دو ماشین در حدود 6308 TPS را اندازه گیزی کردیم در چهار ماشین دیگر در حدود 12,554 TPS اندازگیری شد تقریبا 2 برابر 2 ماشین اول.

با توجه به زمان تاخیر متوجه عملکرد درخشان استوریج MSA 2052 می شویم. دو ماشینی که بر روی درایو های 800 GB قرار دارند در حدود 9.8 ms تاخیر دارند با افزایش بار کاری در درایو های 1.6 TB تاخیر در حدود 35.25 ms است که بسیار خوب است.

هنگامی که به آرایه های ذخیره سازی مورد ارزیابی قرار داده می شود، تست با برنامه واقعی بهترین راه ارزیابی استوریج می باشد تا به صورت مصنوعی زیرا نمایشی از بار واقعی نمی باشد.ما این تست ها را درطیف مختلفی از پروفایل های تست مختلف انجام دادیم.از جمله دیتابیس و VDI و به برنامه تست IO و برای تست از سرور های Dell PowerEdge R730 استفاده می کنیم

Profiles:

  • 4K Random Read: 100% Read, 128 threads, 0-120% iorate
  • 4K Random Write: 100% Write, 64 threads, 0-120% iorate
  • 64K Sequential Read: 100% Read, 16 threads, 0-120% iorate
  • 64K Sequential Write: 100% Write, 8 threads, 0-120% iorate
  • Synthetic Database: SQL and Oracle
  • VDI Full Clone and Linked Clone Traces

HPE MSA 2052 به خوبی در اولین تست مصنوعی ما با بلاک سایز 4 K به صورت خواندنی ظاهر شد. 187 K IOPS را زیر 1 ms پشت سر گذاشت ، این تست بیش از200K IOPS را طی می کند. حداکثر 233K IOPS را طی می کند با میانگین تاخیر 16.2ms

عملکرد استوریج MSA 2052 با داده های 4K تصادفی نوشتن بسیار خوب بود. 90K IOPS را زیر 1ms پاسخ داد .که درنهایت 110K IOPS را با تاخیر 14ms طی کرد.

HPE MSA 2052 به خوبی با انتقال داده های بزرگ رفتار می کند . همانطور در تست داده های خواندی ترتیبی با بلاک سایز 64K مشاهده می کنید MSA 2052 می تواند با عملکرد ، 5000 IOPS را زیر 1ms ارائه دهد و در نهایت 24K IOPS را در حدود 20.8ms پاسخگو باشد. در مدت زمان خواندن حداکثر پهنای باند آن 1.53GB به دست آورد.

MSA 2052 با داده ترتیبی بزرگ هیچ گونه مشکلی را ندارد. با تاخیر،میانگین زمانی کمتر 0.25ms توانست 7800 IOPS را پاسخگو باشد، توانست 9200 IOPS با پهنای باند 572 MB/s دارا باشد.

SQL server توانست 170K IOPS را زیر 1ms انجام دهد و به حداکثر 195K IOPS را با تاخیر 4.89ms برسد.

SQL server با بار کاریه 90% خواندن و 10% نوشتن توانست با تاخیر زیر یک میلی ثانیه 160k IOPS را پاسخگو باشد. و حداکثر 184k IOPS را به میانگین 5.3ms برسد.

بانگاهی به SQL server با بار کاریه 80% خواندن و 20% نوشتن توانست با تاخیر زیر یک میلی ثانیه 145k IOPS را پاسخگو باشد. و حداکثر 166k IOPS را به میانگین 6.1ms برسد.

Oracle توانست 170K IOPS را زیر 1ms انجام دهد و به حداکثر 195K IOPS را با تاخیر 4.89ms برسد.

با افزایش خواندن بارکاری به 90% خواندن و 10% نوشتن توانست با تاخیر زیر یک میلی ثانیه 160k IOPS را پاسخگو باشد. و حداکثر 184k IOPS را به میانگین 3.3ms برسد.

با کاهش خواندن به 80% خواندن و 20% نوشتن MSA 2052 توانست با تاخیر زیر یک میلی ثانیه 145k IOPS را پاسخگو باشد و حداکثر 166k IOPS را به میانگین 6.1ms برسد ، عملکرد خوبی داشته باشد.

با نگاه به مشخصات بوت VDI Full-Clone متوجه می شویم 65K IOPS را با تاخیر زیر 1ms انجام می دهد. حداکثر 116K IOPS با تاخیر زمانی 8.9ms انجام میدهد.

در هنگام login ابتدایی 31K IOPS را در حدود 1ms پاسخگو می باشد قبل از رسیدن 16ms تاخیر 32k IOPS میرسد.

جمع بندی:

MSA سال ها است برای کسب کارهای کوچک ومتوسط عرضه شده است. در حالی که در بازار با توجه به عملکرد و کارایی درایو های SSD علاقه مندی بیشتری از گذشته وجود دارد و در بیشتر کسب کارها عملکرد و قیمت دو فاکتور اساسی می باشد. با توجه به عملکرد های بالا و گذشته استوریج MSA که به قابل اعتماد بودن و سادگی در کار مشهور است و مناسب بودن این ذخیره ساز برای اکثر کسب کارهای کشورمان به این نتیجه می رسیم که استوریج MSA 2052 هم عملکرد مناسبی را دارا است و مقرون به صرفه است و می تواند نیاز خیلی از سازمان ها و شرکت ها را را براورده سازد و از over designهای مرسوم جلوگیری نماید.

هر چند نباید از عملکرد چشم پوشی کنیم . در تست های بالا به 200K IOPS با بلاک سایز های 4K رسیدیم که نامطلوب نیست. حتی در تست به صورت مصنوعی به IOPS بیشتر از 200K با تاخیر زمانی زیر 1ms رسیدیم البته باید توجه داشت تست به صورت مصنوعی همه ویژگی های استوریج را نمی توان آشکار ساخت.

به طور کلی قیمت استوریج MSA 2052 با دو درایو SSD وتمام لاینس ها در حدود 10 هزار دلار می باشد. و با ترکیب درایو SSD و هارد دیسک های ارزان قیمت می تواند عمل کرد بسیار مناسبی داشته باشد با توجه به عملکرد و قیمت نمی توان هیچ استوریجی را با MSA 2052 مقایسه نمود ، ولی هنوز هم در بسیاری از کسب کارها عملکرد مهمتر از قیمت می باشد و نیاز به استوریجی با توانای ساپورت IO بیشتری می باشد پس نباید نگران باشید ،زیرا MSA 2052 یک راهکار بسیار مقرون به صرفه و کارا را ارائه می دهد.

منبع : technet24.ir






ادامه ي مطلب

امتیاز :


طبقه بندی: ،
عملکرد استوریج HP MSA 2052, استوریج HP MSA 2052, استوریج MSA 2050, MSA 2052 , قیمت استوریج , انواع ا,

تاريخ : 23 اسفند 1396 | <-PostTime-> | نویسنده : محمد | بازدید : <-PostHit->

مفهموم Block Storage :

 

 

در این حالت سرورهای فیزیکی و مجازی در حالت بلاک مستقیم به فضاهای دیسک دسترسی خواهند داشت و برای ایجاد این ارتباط معمولا از شبکه SAN استفاده خواهد شد. البته برای این حالت دسترسی DAS نیز بصورت Block Level عمل می نماید. در شبکه SAN که برای ذخیره سازی Block Level مورد استفاده قرار می گیرد از پروتکل FC معمولا استفاده می شود ولی در سال های اخیر میزان استفاده از پروتکل FCoE نیز افزایش یافته است. در این پروتکل, FC درون پروتکل Ethernet کپسوله شده و باعث می شود بتوانیم از زیر ساخت شبکه Ethernet برای ارسال پروتکل FC استفاده کنیم. همچنین برای کاهش هزینه ها پروتکل دیگری بنام iSCSI نیز وجود دارد که این پروتکل هم از زیر ساخت Ethernet استفاده می کند با این تفاوت که Latency بیشتری نسبت به FCoE دارد. دلیل این Latency این است که iSCSI با پروتکل IP کار می کند و Overhead بیشتری نسبت به FCoE دارد. در شبکه SAN فضاهای ذخیره سازی تحت عنوان LUN ها در اختیار سرورها قرار داده می شود که به این عمل Lun Masking می گوییم. این Lun ها معمولا بصورت RAID تنظیم می شوند. این Lun ها بصورت فضاهای Local برای سرور دیده خواهند شد و سرور ها می توانند روی این فضاها ذخیره سازی اطلاعات را انجام دهند.

مفهموم Block Storage






ادامه ي مطلب

امتیاز :


طبقه بندی: ،
مفهموم Block Storage.Block Storage.Block Storage چیست؟.بلاک استوریج. بلاک استوریج چیست؟ ,

تاريخ : 23 اسفند 1396 | <-PostTime-> | نویسنده : محمد | بازدید : <-PostHit->

سرورهای DL580 G10 :

این سرور که نسل قبلی آنها DL580 G9 می باشد تا 4 پردازنده را پوشش می دهد و حداکثر می تواند 112 هسته داشته باشد. همچنین از مهمترین مزیت این سرورها این است که نسبت به مدل قبلی 4.8 برابر فضای ذخیره سازی بیشتری را می توان روی آنها قرار داد. 

به عبارت ساده تر تعداد دیسک های بیشتری را می توان روی این سرور نصب نمود. روی سرور می توان 48 عدد دیسک مدل SFF نصب نمود و یا اینکه از 20 NVMe کارت استفاده کرد. همچنین تا 6 ترابایت Memory می توان روی این سرور نصب کرد. این ماژول ها DDR 4 با فرکانس 2666 می باشند. این سرور می تواند 16 اسلات PCIe داشته باشد  و تا 4 عدد GPU را Support می کند. همچنین با توجه به اینکه این سرور G10 می باشد قابلیت های IST را ( در پست های قبلی توضیح داده شده است ) نیز Support می کند. روی این سرور از iLO5 استفاده می شود. 

همچنین با توجه به اینکه روی این سرور پردازنده های Gold  و مدل Platinum می توان قرار داد، 28 درصد نسبت به نسل قبلی کارایی بالاتری دارد. از نکات مهم روی این سرور این است که Firmware ها هر 24 ساعت یکبار بصورت خودکار صحت سنجی می شود و در صورت وجود مشکل بصورت اتوماتیک به بهترین حالت خود در قبل Recover خواهد شد. این سرور حدودا 51 کیلوگرم وزن دارد.






ادامه ي مطلب

امتیاز :


طبقه بندی: ،
سرورهای DL580 G10,DL580 G10,ویژگی های سرورهای DL580 G10,انواع سرورها,سرور,سرور G10,