single.php
< Beitrag von Kai Deitermann

Konfigurationsprüfung mit vROps

In diesem Beitrag werde ich näher auf das Thema Konfigurationsprüfung mit vROps (vRealize Operations) von VMware eingehen. Wenn Sie das Produkt von VMware einsetzen, haben Sie bestimmt bereits unter Analyse den Punkt „Compliance“ gesehen und sich vielleicht gefragt: „Was kann ich damit machen?“ Oder Sie prüfen derzeit, ob vROps eine passende Lösung für Ihre vSphere-Infrastruktur ist. Gerade beim Einsatz des Produkts im täglichen Betrieb beim Kunden merken wir immer wieder, dass die Kunden erstaunt sind, was man alles mit vROps machen kann.

Konfigurationsprüfung mit vROps - Compliance Reiter

Compliance-Prüfung der Konfiguration

Wenn Ihnen das Thema Compliance wichtig ist, können Sie ab der Advanced-Lizenz von vRealize Operations noch zusätzlich den VMware vRealize Configuration Manager nutzen und perfekt mit vROps verbinden. Vielleicht reicht Ihnen aber bereits die Standardversion von vROps. Auch hier können Sie über einige Wege Compliance-Prüfungen Ihrer Konfiguration durchführen.

Compliance kann ich bei Host-Systemem, sofern ich bereits vSphere Enterprise Plus Lizenzen einsetze, prüfen. Wieso brauche ich nun also vROps dafür? Jeder, der Host Profiles zu diesem Zweck einsetzt, erkennt schnell auch deren Schwächen. Es fängt damit an, dass die Compliance per Task in einem Intervall geprüft werden muss. Was hier also nutzen? Täglich, stündlich usw.?

Dann sind Host Profiles eben nur für Host-Systeme. Was ist aber z. B. mit den virtuellen Maschinen in der DMZ, die ggf. auch bestimmte sicherheitsrelevante Konfigurationen erhalten? Hier kann Ihnen vROps über die Funktion „Alert/Symptom Definitions“ helfen. Nichts anderes wird z. B. durch die schon enthaltende Richtlinie „vSphere X.X Hardening Guide“ umgesetzt.

Konfigurationsprüfung mit vROps - compliance2

Diese können Sie z. B. an ein bestimmtes Cluster als zusätzliche Richtlinie anhängen. So würde diese dann zusätzlich zu Ihren Standardrichtlinien geprüft werden. Sollten dann Konfigurationen nicht mit den Vorgaben übereinstimmen, werden Ihnen diese „Nicht-Einhaltungen der Compliance-Vorgaben“ über eine einfache Analyse oder im Dashboard unter Risiko zusammengefasst angezeigt.

Vielleicht könnte auch interessant sein, bestimmte Konfigurationen festzuschreiben. Denn Ihnen reicht z. B. nicht nur die Prüfung, dass ein Syslog Server gesetzt ist, sondern es sollte hier eine genaue Konfiguration sichergestellt werden.

Konfigurationsprüfung mit vROps mithilfe von Syslog

Ich zeige Ihnen nun, wie Sie anhand des Beispiels Syslog eine Konfigurationsprüfung mit vROps einrichten würden. Hierzu sind mehrere Schritte nötig. Zuerst legen wir dazu ein Symptom an.

Konfigurationsprüfung mit vROps - Syslog2

Im Symptom haben wir festgelegt, welcher Wert genau geprüft werden soll und was der Inhalt sein muss. Nun ist es wichtig, noch einen Alarm anzulegen, da dieser mit den Widget interagiert. Das auftretende Symptom selbst würde sonst nur im Bereich des Troubleshooting als „Fehler“ zu sehen sein. Wir möchten aber, dass ein Nicht-Einhalten der Konfiguration mit dem entsprechenden Widget interagiert. Daher legen wir nun den Alarm noch passend dazu an und verknüpfen diesen mit dem Symptom.

Konfigurationsprüfung mit vROps - alarm1

Danach wählen wir, auf welchem Objekttyp der Alarm basiert. In unserem Fall ist es das „Host-System“. Es ist also wichtig zu wissen, dass Sie für jeden Objekttyp einen Alarm anlegen müssen. Innerhalb dieses Alarms können natürlich mehrere Symptome zum gleichen Objekttyp enthalten sein.

Konfigurationsprüfung mit vROps - alarm2
Nachdem wir den Alarm als Risiko eingestuft und zum Typ Compliance gesetzt haben, ist hier auch wichtig zu prüfen, welchen Alarmtyp Sie wählen. Denn anhand dieses Typs wird entschieden, wo der Alarm ausgelöst wird. Bei der Schwere der Bewertung ist hier die Frage, ob Sie diese lieber durch das Symptom entscheiden lassen oder fix vorgeben. Gerade wenn Sie mehrere Symptome nutzen und diese unterschiedlich bewerten, wäre es besser, diese auf dieser Grundlage zu bewerten.

Konfigurationsprüfung mit vROps - alarm3

Nun kommt das Hinzufügen unserer Symptome. Hier können Sie natürlich auch mehrere Symptome – wie oben erläutert – hinzufügen. Wie immer hilft Ihnen die Suchfunktion, um Ihre erstellten Symptome zu finden.

Konfigurationsprüfung mit vROps - alarm4

Sie können abschließend noch eine Empfehlung, welche als Text angezeigt werden soll, auswählen bzw. neu anlegen (diesen Punkt überspringe ich an dieser Stelle). Das geht sogar so weit, dass Sie über Befehle das Setzen mit dem Python-Adapter für einige Optionen erstellen könnten.

Nun möchten wir noch, dass unser Alarm in unserer Richtlinie aktiviert wird. Dazu gehen wir in unsere „Policy Library“ und passen die jeweilige Richtlinie an. Unter dem Punkt „Alert/Symptom Definitions“ können wir nun unseren Alarm suchen und aktivieren.

Konfigurationsprüfung mit vROps - alarm aktivieren
Das war es auch schon. Ab sofort prüft vROps unsere Host-Systeme auf die neu festgelegte Konfiguration und darauf, ob diese laut den Vorgaben vorhanden ist. Bei einem Verstoß wird vROps sofort über ein Alarm informieren. Wenn man im System „Benachrichtigungen via E-Mail“ aktiviert hat, können Verstöße auch schneller bemerkt werden.

Konfigurationsprüfung mit vROps - complianceend

Welche Erfahrungen haben Sie mit vRealize Operations gemacht? Ich freue mich über einen Kommentar hier im Blog.

Anmerkung: Alle Schritte wurden mit vROps Version 6.1 durchgeführt. Je nach Version können diese sich etwas ändern.

Folgen
X

Folgen

E-mail : *
Kategorie: Datacenter | Schlagwörter: , | Kommentare: 0

Beitrag kommentieren

CAPTCHA * Time limit is exhausted. Please reload CAPTCHA.