Étiquette : nutanix

Nutanix réagit face aux vulnérabilités chez Intel et Supermicro

4 octobre 2023 by mgioia·0 Commentaire

Dans le monde du numérique, les menaces à la sécurité sont aussi inévitables que changeantes. Après le récent épisode avec AMD, nous voilà maintenant face à des vulnérabilités concernant Intel et Supermicro. La réactivité est notre meilleure alliée face à ces défis. Alors, voyons comment Nutanix orchestre sa riposte.

Intel et Supermicro : Deux Visages de la Vulnérabilité
La vulnérabilité chez Intel, baptisée “Downfall”, bien que sérieuse avec un score CVSS de 6.5, semble moins alarmante que celle identifiée dans le firmware Supermicro BMC IPMI qui affiche un score de 8.3. Chez Supermicro, les failles permettent des attaques telles que l’injection de commandes ou le Cross-Site Scripting (XSS), des menaces non négligeables qui exigent une attention immédiate.

Nutanix a rapidement pris la mesure des enjeux. Pour la vulnérabilité Supermicro, une mise à jour du firmware BMC est en élaboration pour les plateformes G6 et G7. G8 et G9 n’étant pas impactés. Du côté d’Intel, la situation reste inchangée, mais Nutanix fait preuve de transparence en tenant ses utilisateurs informés de la situation.

La révélation de ces vulnérabilités récentes souligne l’importance d’une veille constante et d’une communication efficace pour garantir la sécurité de nos systèmes. En partageant promptement ces informations, Nutanix contribue à établir un périmètre de vigilance face aux menaces extérieures.

Les vulnérabilités récentes sont un rappel de l’importance d’adopter une démarche proactive en matière de sécurité. La mise à jour régulière de nos systèmes et le suivi des recommandations des fournisseurs sont cruciaux. Nutanix, en se confrontant directement à ces défis, guide la communauté vers une infrastructure plus robuste et sécurisée.

Sources : https://download.nutanix.com/alerts/Security_Advisory_0030.pdf

https://download.nutanix.com/alerts/Security_Advisory_0028.pdf

.Next Chicago 2023

13 mai 2023 by mgioia·0 Commentaire

Enfin de retour à la maison après cette semaine passée à Chicago pour participer au .Next Nutanix.

Je retiendrai deux annonces majeures. Tout d’abord, Nutanix Central : une solution basée sur le cloud qui fournit une console unique pour la visibilité, la surveillance et la gestion des infrastructures publiques, sur site, hébergées ou en périphérie. À mesure que les organisations gèrent de plus en plus d’environnements diversifiés et distribués, Nutanix Central étend le modèle d’exploitation cloud universel de la plateforme Nutanix Cloud, brisant les silos et simplifiant la gestion des applications et des données n’importe où, tout en offrant une sécurité intégrée et une portabilité des licences. A voir jusqu’où cette nouvelle console centralisera les fonctionnalités et éliminera les inconvénients liés à l’utilisation de plusieurs Prism Central.

Ensuite, il y a le Projet Beacon : une gamme de services de plateforme centrés sur les données de niveau Platform-as-a-Service (PaaS), disponibles nativement partout, que ce soit sur Nutanix ou sur le cloud public natif. L’objectif du Projet Beacon est de dissocier l’application et ses données de l’infrastructure sous-jacente, permettant aux développeurs de créer des applications une fois et de les exécuter n’importe où.

Ces annonces sont soutenues par plusieurs améliorations sous-jacentes, telles que la technologie Nutanix Multicloud Snapshot. Cette technologie permettra la mobilité des données entre différents clouds en permettant de sauvegarder directement les instantanés dans les objets S3 des hyperscalers natifs du cloud, en commençant par AWS S3. Cela facilitera la protection, la récupération et la mobilité des données hybrides multicloud. De plus, Nutanix Objects s’intègre désormais à Snowflake, offrant aux organisations la possibilité d’utiliser Snowflake Data Cloud pour analyser directement les données stockées dans Nutanix Objects. Cela garantit que les données restent locales et accélère le temps de valorisation. Il convient de noter que cette fonctionnalité est actuellement en cours de développement, il est donc difficile de savoir quand elle deviendra une réalité concrète.

En outre, il y a Nutanix pour Kubernetes (NDK) qui fournit aux clients un contrôle évolutif sur les applications et les données natives du cloud. Initialement livré avec Nutanix Cloud Infrastructure (NCI), NDK apportera toute la puissance du stockage de niveau entreprise, des instantanés et de la reprise après sinistre (DR) de Nutanix à Kubernetes. Cela accélérera le développement d’applications conteneurisées pour les charges de travail persistantes en introduisant la provision de stockage, les instantanés et les opérations de DR dans les pods Kubernetes et les espaces de noms d’applications.

Bien sûr, je n’ai pas encore eu l’occasion de mettre la main sur un Nutanix Central, donc en attendant de vous faire part de mon propre retour, voici un lien intéressant sur le site de Nutanix à ce sujet : Lien vers Nutanix Central.

Voici également un autre lien intéressant pour en savoir plus sur NDK : Lien vers NDK.

Puis Nutanix Multicloud Snapshot Technology (MTS) la solution de snapshot multicloud -> Lien vers MTS

Et enfin, pour les membres de la communauté des Nutanix Technology Champions, dont je fais partie, un petit mot spécial. Nous avons été mis à l’honneur avec un superbe slide reprenant tous les membres. C’est une véritable reconnaissance pour notre communauté, qui est gérée de main de maître par Angelo Luciani.

Pour ce qui est de la suite, le prochain événement se déroulera à Barcelone en 2024. Il est donc temps de marquer cette date dans nos calendriers et de nous préparer à découvrir les prochaines avancées passionnantes de Nutanix.

En conclusion, le .Next Nutanix a été une expérience riche en annonces et en nouveautés. Nutanix Central et le Projet Beacon ouvrent de nouvelles perspectives dans la gestion des infrastructures et des données, tandis que Nutanix pour Kubernetes (NDK) offre un contrôle évolutif pour les applications conteneurisées. Les améliorations telles que Nutanix Multicloud Snapshot et l’intégration de Nutanix Objects avec Snowflake ajoutent encore plus de valeur à la plateforme Nutanix.

Je suis impatient de voir ces innovations se concrétiser et d’explorer les possibilités qu’elles offriront aux entreprises.

Nutanix CE 2.0, Part II

5 mars 2023 by mgioia·1 Commentaire

Dans l’article précédent, j’ai résumé les étapes à suivre pour arriver à la page principale de votre Nutanix CE, que vous venez d’installer.

Nous allons voir pour régler les messages d’utilisation de mot de passe par défaut. Il faut savoir qu’il y a un ensemble de scripts qui s’exécute plus ou moins régulièrement en fonction de leur criticité sur le cluster. Nous les appelons Nutanix Cluster Check ou NCC.

En cliquant sur l’alerte, on arrive sur la page qui détaille celle-ci avec un résumé de la découverte, les causes possibles et une recommandation. Vous noterez que presque toutes les alertes sont sur ce format et renvoient à un lien vers la base de connaissances.

En suivant le lien, nous arrivons sur un article de la base de connaissances. Ceux qui concernent des tests NCC sont tous présentés sur le même format : une description du test en question, les lignes de commande pour exécuter ce test manuellement, des exemples de tous les types de sorties que peut produire ce test, puis des propositions de solutions.

Ici, la proposition de solution qui nous intéresse consiste en une petite ligne de commande à exécuter depuis notre CVM pour changer le mot de passe sur tous les nœuds du cluster. Bien que cela ne soit peut-être pas pertinent dans le contexte du lab où nous n’avons qu’un seul nœud, en production, vous serez heureux de ne pas avoir à parcourir manuellement 10 serveurs pour modifier chaque compte.

Depuis notre fenêtre Powershell et en étant connecté en SSH sur notre CVM avec le compte Nutanix (via la commande “ssh nutanix@192.168.0.111“), vous pouvez copier les lignes de commande complètes pour chaque compte, comme dans l’exemple pour le compte root :

“echo -e “CHANGING ALL AHV HOST ROOT PASSWORDS.\nPlease input new password: “; read -rs password1; echo “Confirm new password: “; read -rs password2; if [ “$password1” == “$password2” ]; then for host in $(hostips); do echo Host $host; echo $password1 | ssh root@$host “passwd –stdin root”; done; else echo “The passwords do not match”; fi“

Ces lignes de commande permettent de changer les mots de passe de tous les nœuds du cluster. Vous devrez entrer les mots de passe souhaités lorsque vous y êtes invité. Si les mots de passe saisis correspondent, la commande sera exécutée sur chaque hôte du cluster pour modifier le mot de passe du compte correspondant. Si les mots de passe saisis ne correspondent pas, un message d’erreur sera affiché.

Maintenant que vous avez changé le mot de passe de vos 3 comptes locaux AHV, vous pouvez marquer l’alerte comme résolue dans l’interface de Prism Element (PE).

Il vous reste à faire la même chose pour la dernière alerte restante. CVM using default password.

Si vous suivez le lien vers la KB, il vous conduira sur la même page web, dans la section Nutanix Controller VM (CVM). La solution indiquée est “sudo passwd nutanix“. Ici, il n’y a pas de boucle pour changer le compte sur tous les hyperviseurs car le compte nutanix est synchronisé entre toutes les CVMs du cluster lorsqu’il y en a plusieurs.

Comme pour l’autre alerte, vous pouvez maintenant la marquer comme résolue.

Ceci conclut donc cet article sur la résolution des alertes après l’installation. Dans le prochain article, je procéderai au déploiement du composant Prism Central.

Nutanix CE 2.0 – Part I

5 mars 2023 by mgioia·0 Commentaire

Après des années d’attente, la nouvelle version communautaire de Nutanix est enfin disponible : Nutanix CE 2.0 est là -> Download Community Edition | Nutanix Community

L’installation reste des plus classique, on télécharge un ISO qu’on pousse sur une clé USB avec Rufus par exemple, puis on installe la solution sur son matériel sans avoir à respecter la matrice de compatibilité très stricte de la version commerciale. Dans mon cas, un simple Intel NUC 8, je n’ai pas encore réussi à la faire fonctionner sur mes NUC de génération précédente, mais on parle déjà de matériel sorti il y a 5 ans ou plus.

Je vais ici présenter ce que vous devez faire juste après l’installation. Pendant celle-ci, on vous a simplement demandé une adresse IP pour votre hyperviseur et une autre pour votre CVM. Si vous n’avez pas coché la case pour créer un cluster à un seul nœud, ce n’est pas gênant, voici comment le faire une fois l’installation terminée. Il est possible de créer un cluster avec un seul serveur, ou bien avec 3 jusqu’à un maximum de 4. Ici, je détaillerai l’option à un seul noeud.

(facultatif) Si vous n’avez pas coché la case pour créer un cluster à un seul nœud, vous pouvez vous connecter en SSH à l’adresse IP de la CVM avec le compte root. Dans mon lab, par exemple, l’adresse IP de mon AHV est 192.168.0.110 et l’adresse IP de ma CVM est 192.168.0.111. Le mot de passe par défaut est “nutanix/4u”. Si vous travaillez depuis un ordinateur sous Windows 11, vous pouvez lancer une fenêtre PowerShell et exécuter la commande suivante : “ssh nutanix@192.168.0.111“. Vous devez accepter le certificat, puis entrer le mot de passe par défaut. La commande pour créer le cluster sur un nœud est la suivante : ~~“cluster -s 192.168.0.111 –redundancy_factor=1 create“~~ J’ai dû la refaire récemment et ce n’était pas du tout ça, mais plutôt… : “cluster -s 192.168.0.111 –cluster_function_list one_node_cluster create” cluster . Vous devez adapter cette commande en fonction de votre configuration IP en remplaçant l’adresse IP de ma CVM (192.168.0.111) par l’adresse IP de votre CVM.

Après quelques minutes et plusieurs opérations de démarrage des services, le cluster devrait être “UP and Running”. Un bon moyen de surveiller l’état du cluster est d’utiliser la commande “cluster status“.

Maintenant l’interface web sera disponible et vous n’avez plus qu’à naviguer sur l’adresse de votre CVM. Dans mon cas : https://192.168.0.111:9440

le mot de passe par défaut du compte admin sera **Nutanix/4u** attention à la majuscule.

Vous serez immédiatement invité à le modifier en respectant les exigences de sécurité.

Une fois le mot de passe modifié, vous pouvez vous authentifier à nouveau et accéder à la page d’enregistrement de votre compte Nutanix.

Vous accédez à la page principale de votre cluster où vous constatez qu’il y a beaucoup de rouge, comme indiqué sur la capture d’écran ci-dessus. Avec un seul serveur au sein du cluster, la partie “Data Resiliency Status” ne peut être qu’en critique. Vous avez également des alertes critiques, car certains mots de passe sont encore ceux par défaut.

Ceci marque la fin de la première partie d’une série d’articles sur mon blog, qui portera sur la création de machines virtuelles, la résolution des erreurs et l’évolution de mon laboratoire.

Nutanix AOS 6.6 Nouveauté

25 janvier 2023 by mgioia·0 Commentaire

Ça y est, la première STS est disponible, voici la liste des nouvelles fonctionnalités à lire attentivement pour les plus pressés qui voudraient déjà l’implémenter :

IP Set-based Firewall : La fonction de pare-feu basée sur l’ensemble d’adresses IP permet de mettre en place des règles de pare-feu strictes pour la communication intra-cluster. Elle ne permet de recevoir des demandes RPC et API des adresses IP individuelles des VMs de contrôleur et des hyperviseurs considérés comme des sources de confiance. Il est possible d’activer cette fonction en suivant les instructions du guide de sécurité AOS 6.6.

Disk Health Monitor : Cette version améliore les vérifications de santé de disque existantes et le nettoyage de données en continu pour réagir plus rapidement à un signal de santé de disque. La fonction de surveillance de la santé des disques (DHM) effectue des vérifications de santé SMART périodiques sur les disques d’un cluster et vous alerte lorsqu’un disque est sur le point de tomber en panne. Cette fonction est activée dès la création d’un cluster et désactivée lors de la destruction d’un cluster. Si DHM détecte qu’un disque n’est pas en bonne santé, une alerte PhysicalDiskPredictiveFailure est générée, et celle-ci peut être consultée dans le tableau de bord des alertes de la console web Prism. Il y a une FAQ qui décrit le nouveau Disk Health Monitor et une KB qui décrit l’alerte et les moyens pour la résoudre : Alert – PhysicalDiskPredictiveFailure .

Cross-vDisk Strips Inline Erasure Coding : Il est maintenant possible de configurer l’Erasure Coding à travers des Strips vDisk dans un conteneur de stockage. Dans ce type d’Erasure Coding en ligne, les Strips sont créées à l’aide des blocs de données à travers plusieurs vDisks. Nutanix recommande de configurer le type d’Erasure Coding en ligne comme des Strips de vDisk croisées pour les VMs qui nécessitent la data locality.

IP-less Communication Between NGT and CVM : Cette version supporte la communication sans IP entre NGT et CVM sur les clusters AHV. La communication sans IP améliore la sécurité de la liaison de communication, car elle ne nécessite pas que le CVM soit accessible par la VM via le réseau. Le service NGT communique avec le CVM via des connexions sans IP en utilisant le premier port série sur l’UVM. Si le CVM ne répond pas, NGT revient à la communication basée sur IP. Ce point devrait intéresser pas mal de client.

Native Encryption of Replication Traffic : Cette version supporte le chiffrement à la volée pour le trafic de réplication des Protection Domain. Le chiffrement est désactivé par défaut pour réduire la surcharge CPU pour les flux de données sur des connexions déjà chiffrés tels que les connexions VPN. La fonctionnalité s’active en ligne de commande.

Autonomous NearSync : Cette version supporte la planification de réplication NearSync autonome qui génère un flux continu d’instantanés. Le domaine de protection NearSync génère un flux d’instantanés locaux pour des créneaux de 15 minutes. Avec Autonomous NearSync, un widget vous permet de sélectionner un temps de synchronisation à la seconde près.

Service-level Network Traffic Segmentation in Nutanix Disaster Recovery : Il est maintenant possible d’isoler le trafic réseau du service Nutanix Disaster Recovery en cours d’exécution entre deux clusters Nutanix. La segmentation de trafic réseau améliore la sécurité, la résilience et les performances du cluster en isolant un sous-ensemble de trafic sur son propre réseau et nécessite une segmentation réseau physique sur les clusters.

Disaster Recovery of Volume Groups and Consistency Groups : Il est désormais possible de protéger les groupes de volumes et les groupes de cohérence avec les VMs dans Disaster Recovery. Seuls les réplications asynchrones entre les clusters Nutanix supportent la protection des groupes de volumes et de cohérence. Le mécanisme de basculement défini dans les plans de récupération orchestre la récupération de sinistre des entités protégées (groupes de volumes, groupes de cohérence et les VMs invitées associées).

Node Maintenance Mode for ESXi Nodes : L’interface utilisateur Prism prend à présent en charge la mise en mode maintenance “en douceur” des hôtes ESXi pour des raisons telles que les modifications de la configuration réseau d’un nœud, les mises à niveau ou remplacements de firmware manuels, l’entretien CVM ou toute autre opération d’entretien. Je ne sais pas ce qu’ils entendent par “en douceur”, il va falloir tester.

RDMA Pass-through Mechanism : Cette version supporte le RDMA Pass-through après la création d’un cluster via l’interface utilisateur Prism. Cela s’ajoute au RDMA Pass-through existant lors de l’installation de la fondation. Dans ce cas, le comportement suivant est applicable : Si le RDMA Pass-through est effectué lors de l’installation de la fondation : la CVM réserve l’intégralité de la NIC pour le passage de port RDMA. L’hôte ne peut pas utiliser le port NIC vide pour d’autres opérations, ni changer le port sélectionné. Si le RDMA Pass-through n’est pas effectué lors de l’installation de la fondation : le système vous offre une option pour réserver le port éligible pour RDMA. Cette fonctionnalité est disponible uniquement avec l’hyperviseur AHV.

Zero Touch RDMA (ZTR) Support : Zero Touch RDMA (ZTR) est un mécanisme de déploiement pour la configuration RDMA dans lequel le firmware de la carte réseau Mellanox gère toutes les configurations (contrôle de flux) sans intervention de l’utilisateur ou dépendance des profils de commutateur personnalisés ou de la compatibilité de commutateur. ZTR réduit la durée de déploiement de RDMA et n’exige pas le support des paramètres de contrôle de flux basé sur la priorité (PFC) et de notification de congestion bout-à-bout (ECN). La fonctionnalité ZTR est prise en charge avec les hyperviseurs ESXi et AHV.

Nutanix recommande d’utiliser ZTR seulement si des adaptateurs Ethernet NVIDIA Mellanox Connect X-5 (cartes réseau Cx5) sont disponibles dans votre configuration. Pour plus d’informations sur la compatibilité des cartes réseau pour la fonctionnalité ZTR, consultez la matrice de compatibilité des cartes réseau pour les fonctionnalités RDMA dans le guide de sécurité.

Securing AHV VMs with Virtual Trusted Platform Module (vTPM) : AHV vTPM est une émulation logicielle de la puce TPM 2.0 physique qui fonctionne comme un périphérique virtuel. Vous pouvez utiliser la fonctionnalité AHV vTPM pour sécuriser les machines virtuelles exécutant sur AHV en utilisant Prism Central.

Support for Cluster Resiliency Preference : Nutanix AOS fournit une capacité de résilience de cluster pour protéger vos clusters contre toutes les défaillances. L’opération de reconstruction nécessite un stockage supplémentaire sur le cluster et peut ne pas être nécessaire pour un cluster qui subit une maintenance planifiée. Pour de telles opérations de maintenance planifiées (comme les mises à niveau de logiciel ou de firmware), vous pouvez retarder le déclencheur de reconstruction en définissant la préférence de résilience en utilisant nCLI.

Unregister a Cluster from a Disconnected Prism Central : Il est maintenant possible de supprimer l’enregistrement d’un cluster de Prism Central même lorsque les deux entités ne sont plus connectées. Vous devez effectuer des étapes spécifiques sur Prism Central ainsi que sur Prism Element (cluster). On pouvait le faire en ligne de commande, on dirait que l’opération a été simplifié ici.

AOS Kernel Migrated to Upstream, Kernel.org Provided, Long Term Support (LTS) Kernel Branch :

La mise à niveau du noyau 5.10 LTS sur la machine de contrôle (CVM) fait partie de l’amélioration de la posture de sécurité du produit : Meilleur contrôle de la stratégie de mise à jour des correctifs Nutanix CVE. Rester à jour avec les correctifs de bogues du noyau en amont, les mises à jour des pilotes, etc. Meilleures performances pour la CVM.

Intelligent Distributed Disk Scrubbing : Avec cette fonctionnalité, AOS forme une vue globale des activités de nettoyage sur le cluster et sélectionne les données les plus vulnérables à valider en fonction des contraintes de calcul et d’E/S.

Enabled Server Side Session Management in Mercury : Cette version permet la gestion de session côté serveur dans Mercury pour fournir les améliorations suivantes par rapport à la gestion côté client : La déconnexion invalide les cookies. Vous pouvez invalider les cookies à tout moment. Les sessions utilisateur existantes sont déconnectées après la mise à niveau vers AOS 6.6 ou les versions ultérieures. Vous devez vous reconnecter après la mise à niveau. Le nombre maximum de sessions actives simultanées autorisées est de 1 000.

Improved Garbage Collection : Cette version introduit une nouvelle fonctionnalité qui supprime automatiquement les extents partielles des clusters qui ont un I/O fragmenté et ont des instantanés AOS pris de manière régulière. Par défaut, cette fonctionnalité empêche les d’extents partielles d’occuper plus de 10% de l’espace utilisé total dans vos clusters. Ce nombre peut être configuré en contactant le support Nutanix.