sheelamohanachandran - Fotolia

vSphere 6.5 und die Neuerungen bei Secure Boot, VIC und vSphere Client

Mit vSphere 6.5 hat VMware umfangreiche Neuerungen in seine Virtualisierungs-Lösung integriert. Ein Blick auf Sicherheit und Anwendungsplattform.

Nachdem vSphere 6.5 seit Ende 2016 verfügbar ist, erkunden immer mehr Unternehmen die verschiedenen Neuerungen von VMwares aktueller Virtualisierungs-Plattform. In früheren Artikeln haben wir bereits die Änderungen bei Web Client und vCenter Server Appliance (vCSA) sowie bei vSphere High Availability und vSphere DRS vorgestellt, in diesem Beitrag stehen jetzt neue Sicherheitsfunktionen, die neue Anwendungsplattform und die etwas verwirrenden vSphere-Clients im Mittelpunkt.

Secure Boot und VM-Verschlüsselung in vSphere 6.5

vSphere 6.5 bringt drei neue Sicherheitsfunktionen, die neu in die Virtualisierungs-Lösung integriert wurden: die VM-Verschlüsselung zur Absicherung von Daten, Secure Boot zur Absicherung der Infrastruktur sowie Logging auf Audit-Qualität zur Absicherung des Zugriffs.

Die neue VM-Verschlüsselung integriert KMIP-konforme (Key Management Interoperability Protocol) Key-Management-Server und ermöglicht die VM-Verschlüsselung auf CPU-Ebene über AES-NI (Advanced Encryption Standard-New Instructions). Die Verschlüsselung erfolgt im ESXi-Kernel und wird durch eine Storage-Richtlinie zur VM Encryption aktiviert. Auf diese Weise können sowohl Daten der VM-Disks als auch der virtuellen Maschinen selbst verschlüsselt werden. Dabei wird die virtuelle Maschine verschlüsselt, nicht das Gast-Betriebssystem. Zusätzlich kann jetzt auch vMotion-Netzwerkverkehr verschlüsselt werden, wobei alle vMotion-Daten vor der Migration zwischen Hosts verschlüsselt werden.

Secure Boot nutzt den BIOS-Nachfolger UEFI (Unified Extensible Firmware Interface) und authentifiziert die digitale Signatur des ESXi-Kernels, um Manipulationen auszuschließen, indem jede vSphere-Installation beim Boot-Vorgang verifiziert wird. Damit soll sichergestellt werden, dass nur ordnungsgemäß signierte Kernel hochgefahren werden und kein unsignierter Code ausgeführt wird. Secure Boot lässt sich auch auf individuellen virtuellen Maschinen aktivieren, solange diese für die Nutzung von UEFI konfiguriert wurden. Anschließend können auch hierauf nur signierte Treiber gestartet werden. Auch die Multifaktor-Authentifizierung (MFA) steht neu in vSphere 6.5 zur Verfügung und ermöglicht die Authentifizierung per Smartcard oder RSA SecurID.

Weitere Artikel rund um vSphere 6.5:

Neuerungen von vSphere 6.5 zum Ressourcen-Management

Neue PowerCLI-Cmdlets für vSphere 6.5

PowerCLI 6.5: Neuerungen für vSphere, vROps und vSAN

Zu guter Letzt stehen mit vSphere 6.5 Log-Dateien in Audit-Qualität zur Verfügung, was vor allem bei Debugging und Troubleshooting eine große Hilfe ist und Informationen darüber liefert, wer wann welche Tätigkeit durchgeführt hat.

vSphere Integrated Containers mit vSphere 6.5 offiziell unterstützt

Mit vSphere 6.5 erhalten Administratoren jetzt auch die Möglichkeit, jede nur erdenkliche Applikation auf dem gleichen vSphere-Host auszuführen, egal ob Entwicklung, Test, Produktion, VDI (Virtual Desktop Infrastructure), Big Data oder Cloud-Applikationen. VMwares Implementierung der Container-Virtualisierung, vSphere Integrated Containers (VIC), ist mit vSphere 6.5 offiziell Teil von vSphere geworden und ermöglicht die Bereitstellung Docker-kompatibler Anwendungen auf der gleichen Hardware wie traditionelle Serveranwendungen.

Die neue vCenter Server Appliance ist VMwares erste Appliance, die das neue Photon OS nutzt, was einen geringeren Ressourcenbedarf und schnellere Boot-Zeiten mit sich bringt. Zusätzlich ergibt sich so der Vorteil, dass die vCSA nicht mehr von einer anderen Linux-Distribution abhängig ist (bisher nutzte VMware für die vCSA SUSE Linux Enterprise Server), da VMware jetzt den gesamten Software-Stack vom Betriebssystem bis hin zur Anwendung bereitstellen kann. Davon dürften auch Patching und vor allem das Aktualisieren der vCSA enorm profitieren.

Immer noch Verwirrung um die vSphere-Clients

Trotzdem jeder in der Branche so positiv vom neuen vSphere Client und vCenter High Availability spricht, ist es doch nicht ganz verständlich, warum VMware für vSphere 6.5 so viele Verwaltungsoberflächen bereitstellt. Obwohl es bereits den neuen vSphere Client auf Basis von HTML5 gibt, liefert VMware in vSphere 6.5 noch immer den alten vSphere Web Client auf Flash-Basis aus.

Die vCSA wiederum wird über das vCenter Server Application Management Interface (VAMI) verwaltet, VMware Platform Services Controller wiederum über ein eigenes VAMI. Und natürlich kann zur Verwaltung von ESXi-Hosts ein weiteres Tool verwendet werden, nämlich der neue HTML5 Host Client.

Um die Verwirrung komplett zu machen, ist der neue HTML5-basierte vSphere Client unter https://<vCSA IP oder FQDN>/UI/ erreichbar, während der alte vSphere Web Client weiterhin über https://<vCSA IP und FQDN>/vsphere-client/ erreichbar sein wird.

Folgen Sie SearchDataCenter.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im Februar 2017 aktualisiert

Erfahren Sie mehr über Containervirtualisierung

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close