Hallo zusammen,
wir nutzen eine VMware-Umgebung, um in dieser Client-VMs für Mitarbeiter bereitzustellen. Die Mitarbeiter greifen per vCenter-Oberfläche (ja ich weiß, alles andere als ideal) auf die VMs zu und können diese dort selber starten und herunterfahren.
Hintergrund ist, dass diese VMs nach VPN-Clients aufgeteilt sind, um auf diverse Kunden-Systeme zuzugreifen. Mehrere VPN-Clients in einem System verursachen erfahrungsgemäß früher oder später Probleme...
Nun haben wir das "Problem", dass wir von einer VM oft mehrere "Instanzen" benötigen. Derzeit ist der Weg, bei Bedarf solche VMs zu klonen und darüber dann eine zweite VM für den VPN-Client zur Verfügung zu stellen.
Gibt es irgendeine Möglichkeit, von einer vorhandenen VM einfach gesprochen eine zweite Instanz zu starten und dadurch das Klonen (den Zeitaufwand, den dauerhaft benötigten SAN-Speicher, den Aufwand für das doppelt und dreifache Patchen, etc.) einzusparen?
Gruß,
UT2016
Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!
Mehrere Instanzen einer VM
Re: Mehrere Instanzen einer VM
UT2016 hat geschrieben:Hallo zusammen,
wir nutzen eine VMware-Umgebung, um in dieser Client-VMs für Mitarbeiter bereitzustellen. Die Mitarbeiter greifen per vCenter-Oberfläche (ja ich weiß, alles andere als ideal) auf die VMs zu und können diese dort selber starten und herunterfahren.
Hintergrund ist, dass diese VMs nach VPN-Clients aufgeteilt sind, um auf diverse Kunden-Systeme zuzugreifen. Mehrere VPN-Clients in einem System verursachen erfahrungsgemäß früher oder später Probleme...
Nun haben wir das "Problem", dass wir von einer VM oft mehrere "Instanzen" benötigen. Derzeit ist der Weg, bei Bedarf solche VMs zu klonen und darüber dann eine zweite VM für den VPN-Client zur Verfügung zu stellen.
Gibt es irgendeine Möglichkeit, von einer vorhandenen VM einfach gesprochen eine zweite Instanz zu starten und dadurch das Klonen (den Zeitaufwand, den dauerhaft benötigten SAN-Speicher, den Aufwand für das doppelt und dreifache Patchen, etc.) einzusparen?
Gruß,
UT2016
Re: Mehrere Instanzen einer VM
rprengel hat geschrieben:UT2016 hat geschrieben:Hallo zusammen,
wir nutzen eine VMware-Umgebung, um in dieser Client-VMs für Mitarbeiter bereitzustellen. Die Mitarbeiter greifen per vCenter-Oberfläche (ja ich weiß, alles andere als ideal) auf die VMs zu und können diese dort selber starten und herunterfahren.
Hintergrund ist, dass diese VMs nach VPN-Clients aufgeteilt sind, um auf diverse Kunden-Systeme zuzugreifen. Mehrere VPN-Clients in einem System verursachen erfahrungsgemäß früher oder später Probleme...
Nun haben wir das "Problem", dass wir von einer VM oft mehrere "Instanzen" benötigen. Derzeit ist der Weg, bei Bedarf solche VMs zu klonen und darüber dann eine zweite VM für den VPN-Client zur Verfügung zu stellen.
Gibt es irgendeine Möglichkeit, von einer vorhandenen VM einfach gesprochen eine zweite Instanz zu starten und dadurch das Klonen (den Zeitaufwand, den dauerhaft benötigten SAN-Speicher, den Aufwand für das doppelt und dreifache Patchen, etc.) einzusparen?
Gruß,
UT2016
Vorhandene VM Doppelt starten wird zu Problemen führen.
Patchen kann man automatisieren, z.B mit desktop central bis 25 Systeme kostenlos.
Wenn mit dem gleichen VPN Client veschiedene Ziele gleichzeitig angesprochen werden sollen wird auch kein Terminal-Server helfen.
Gruss
Re: Mehrere Instanzen einer VM
Wir patchen derzeit mit Ivanti Patch, aber zum Patchen müssen die Systeme trotzdem manuell hochgefahren, gepatcht, neu gestartet und wieder heruntergefahren werden. Ob dies bei 50 oder bei 150 Systemen gemacht werden muss, ist zeitlich dann ein erheblicher Unterschied.Patchen kann man automatisieren, z.B mit desktop central bis 25 Systeme kostenlos.
Grundsätzlich haben wir da beide Varianten: In einer VM gibt es einen VPN-Client mit unterschiedlichen Zielen. Teilweise gibt es die Anforderung, zu unterschiedlichen Kunden gleichzeitig eine Verbindung aufzubauen, manchmal aber auch parallel mehrere Verbindungen zu einem Kunden.Wenn mit dem gleichen VPN Client veschiedene Ziele gleichzeitig angesprochen werden sollen wird auch kein Terminal-Server helfen.
Tja, also gibt es keine technisch einfache Variante, die ich bislang übersehen habe? Schade...
Gruß,
UT2016
Re: Mehrere Instanzen einer VMst
UT2016 hat geschrieben:Wir patchen derzeit mit Ivanti Patch, aber zum Patchen müssen die Systeme trotzdem manuell hochgefahren, gepatcht, neu gestartet und wieder heruntergefahren werden. Ob dies bei 50 oder bei 150 Systemen gemacht werden muss, ist zeitlich dann ein erheblicher Unterschied.Patchen kann man automatisieren, z.B mit desktop central bis 25 Systeme kostenlos.Grundsätzlich haben wir da beide Varianten: In einer VM gibt es einen VPN-Client mit unterschiedlichen Zielen. Teilweise gibt es die Anforderung, zu unterschiedlichen Kunden gleichzeitig eine Verbindung aufzubauen, manchmal aber auch parallel mehrere Verbindungen zu einem Kunden.Wenn mit dem gleichen VPN Client veschiedene Ziele gleichzeitig angesprochen werden sollen wird auch kein Terminal-Server helfen.
Tja, also gibt es keine technisch einfache Variante, die ich bislang übersehen habe? Schade...
Gruß,
UT2016
Starten der Vms könnte man scripten und den Rest dann sicher auch automatisieren.
Schön ist ber anders zu al auch gerne man Windows-Pachtes Ärger machen können.
Könnt ihr nicht einige VPN Server in die Mitte stellen?
Gruss
Re: Mehrere Instanzen einer VM
UT2016 hat geschrieben:Wir patchen derzeit mit Ivanti Patch, aber zum Patchen müssen die Systeme trotzdem manuell hochgefahren, gepatcht, neu gestartet und wieder heruntergefahren werden. Ob dies bei 50 oder bei 150 Systemen gemacht werden muss, ist zeitlich dann ein erheblicher Unterschied.Patchen kann man automatisieren, z.B mit desktop central bis 25 Systeme kostenlos.Grundsätzlich haben wir da beide Varianten: In einer VM gibt es einen VPN-Client mit unterschiedlichen Zielen. Teilweise gibt es die Anforderung, zu unterschiedlichen Kunden gleichzeitig eine Verbindung aufzubauen, manchmal aber auch parallel mehrere Verbindungen zu einem Kunden.Wenn mit dem gleichen VPN Client veschiedene Ziele gleichzeitig angesprochen werden sollen wird auch kein Terminal-Server helfen.
Tja, also gibt es keine technisch einfache Variante, die ich bislang übersehen habe? Schade...
Gruß,
UT2016
Kwine Ahnung was für Kunsden ihr habt aber wir haben regelmässig externe Datenschützer im Haus. Mehrere Kunden gleichzeitig verbunden zu haben wäre bei uns ein KO.
Re: Mehrere Instanzen einer VM
Wie meinst Du das? Die VPN-Server sind auf Kundenseite, wir nutzen entsprechend unterschiedliche VPN-Clients (Cisco, NCP, Juniper Networks, EWON, etc. pp.)Könnt ihr nicht einige VPN Server in die Mitte stellen?
Ich habe mich in dem Fall vielleicht falsch ausgedrückt, Erklärung siehe unten:Kwine Ahnung was für Kunsden ihr habt aber wir haben regelmässig externe Datenschützer im Haus. Mehrere Kunden gleichzeitig verbunden zu haben wäre bei uns ein KO.
Teilweise gibt es die Anforderung, zu unterschiedlichen Kunden gleichzeitig eine Verbindung aufzubauen
Damit war gemeint, dass dies derzeit dadurch realisiert ist, dass 2 VMs (eine davon geklont) genutzt werden, um jeweils eine Verbindung zu unterschiedlichen Kunden aufzubauen. Selbstverständlich bauen wir nicht in einer Maschine gleichzeitig zwei Verbindungen zu unterschiedlichen Kunden auf.
Gruß,
UT2016
- continuum
- UNSTERBLICH(R.I.P.)
- Beiträge: 14759
- Registriert: 09.08.2003, 05:41
- Wohnort: sauerland
- Kontaktdaten:
Re: Mehrere Instanzen einer VM
Nun haben wir das "Problem", dass wir von einer VM oft mehrere "Instanzen" benötigen. Derzeit ist der Weg, bei Bedarf solche VMs zu klonen und darüber dann eine zweite VM für den VPN-Client zur Verfügung zu stellen.
Gibt es irgendeine Möglichkeit, von einer vorhandenen VM einfach gesprochen eine zweite Instanz zu starten und dadurch das Klonen (den Zeitaufwand, den dauerhaft benötigten SAN-Speicher, den Aufwand für das doppelt und dreifache Patchen, etc.) einzusparen?
Was hälst du von dieser Möglichkeit:
VPN-Typ-1 VM wird installiert mit allen aktuellen Patches.
Dann wird sie abgeschaltet und erst wieder eingeschaltet wenn neu gepatcht werden muss.
Von dieser Master-VM werden dann von Hand sagen wir mal 10 linked clones angelegt.
Bei diesen linked clones wird noch vor dem ersten Start der VMDK-mode auf non-persistent eingestellt.
Der Platzbedarf auf dem Datastore wird dadurch sehr reduziert: pro Clone hat man dann gerademal den vRam + ein leeres Delta für den Clone + ein weiteres leeres Delta für den "non-persistent" modus.
Von diesen Clones können beliebig viele gleichzeitig laufen.
Gepatched wird aber nur die Master-VM.
Der Platzbedarf insgesamt wird so drastisch reduziert - man muss lediglich etwas Platz einkalulieren für die wachsenden Deltas für den non-persistent mode. Durch den non-persistent mode wird nach jeder Nutzung AUTOMATISCH aufgeräumt.
Einziges CAVEAT was mir gerade einfällt : man benötigt auf jeden Fall einen Fileserver zusätzlich um evtl. anfallende Daten während der jeweiligen VPN-session zu speichern - was aber wahrscheinlich nicht als Nachteil einzuschätzen ist, weil man es wahrscheinlich sowieso so handhaben würde.
Vorteil der Methode: es braucht nur eine VM pro VPN-client-typ gepatcht werden.
Re: Mehrere Instanzen einer VM
Die Idee hört sich wirklich gut an.
Aber kann es sein, dass Linked Clones mit einer Essentials-Lizenz nicht möglich sind?
Gruß,
UT2016
Aber kann es sein, dass Linked Clones mit einer Essentials-Lizenz nicht möglich sind?
Gruß,
UT2016
-
- King of the Hill
- Beiträge: 13010
- Registriert: 02.08.2008, 15:06
- Wohnort: Hannover/Wuerzburg
- Kontaktdaten:
Re: Mehrere Instanzen einer VM
UT2016 hat geschrieben:Die Idee hört sich wirklich gut an.
Aber kann es sein, dass Linked Clones mit einer Essentials-Lizenz nicht möglich sind?
Wenn man das Risiko nicht scheut dann kann man das manuell oder auch Scripttechnisch nachbauen..... die Klicki Bunti Version der Linked Clones heist Horizon VIEW und dort ist es der sogenannte "Composer" welcher diese Funktionalitaet anbietet. Da werden Golden Master Images verwaltet und als Basis Image fuer eine grosse Anzahl an VMs verwendet. Fuer das Basis Image kann man schnellen Speicher hernehmen weil dann profitieren halt viele davon. Die Aenderungen eines Tages gehen in einen Snapshot.
Mittels VM Fork kann so eine Umgebung dann auch aktive VMs clonen.
Gruss
Joerg
Re: Mehrere Instanzen einer VM
D.h. auch mit einer Essentials-Lizenz sind technisch Linked Clones möglich? Skripttechnisch heißt, über die API auf der vCenter Konsole (per ssh)?Wenn man das Risiko nicht scheut dann kann man das manuell oder auch Scripttechnisch nachbauen.....
Wie funktioniert das technisch in einer Windows-Umgebung? Da darf man doch nicht einfach (ohne sysprep) beliebig Rechner klonen und starten?
Gruß,
UT2016
-
- King of the Hill
- Beiträge: 13010
- Registriert: 02.08.2008, 15:06
- Wohnort: Hannover/Wuerzburg
- Kontaktdaten:
Re: Mehrere Instanzen einer VM
UT2016 hat geschrieben:D.h. auch mit einer Essentials-Lizenz sind technisch Linked Clones möglich? Skripttechnisch heißt, über die API auf der vCenter Konsole (per ssh)?Wenn man das Risiko nicht scheut dann kann man das manuell oder auch Scripttechnisch nachbauen.....
Yupp.
Man muss halt nur einmal gesehen haben was der Composer da am Ende erzeugt hat auf dem ESXi bzw. den Worten von Ulli da folgen bzw. wer mal einem Backup Produkt zugeschaut hat welche nach der Methode "HotAdd" arbeitet, weis was gemeint ist. Gibt durchaus schon normale Anwendungsfaelle wo eine Festplatte mehreren VMs zugeordnet ist.
Wie funktioniert das technisch in einer Windows-Umgebung? Da darf man doch nicht einfach (ohne sysprep) beliebig Rechner klonen und starten?
Wenn das GuestOS da etwa braucht um zufunktioneren dann kann man das natuerlich nicht weglassen. Das hat VMware auch nicht.
https://blogs.vmware.com/euc/2016/02/ho ... sktop.html
Gruss
Joerg
Re: Mehrere Instanzen einer VM
Besten Dank für die vielen Hinweise/Tips.
Trotzdem verstehe ich noch nicht, wie das GuestOS-seitig funktioniert. Wenn ich meine Maschine Win7VPN1Pool habe, werden Linked Clones W7VPN1Pool-1...-n erzeugt. Diese werden wohl automatisch im AD registriert. Aber unter welchem Namen? Wird das Computerkonto analog zum VM-Namen umbenannt?
Bei uns kommt die Anforderung hinzu, dass für bestimmte Maschinen mit bestimmten VPN-Clients (ausgehende) Firewall-Regeln existieren, die dann auch für einen Pool gelten müssten.
Gruß,
UT2016
Trotzdem verstehe ich noch nicht, wie das GuestOS-seitig funktioniert. Wenn ich meine Maschine Win7VPN1Pool habe, werden Linked Clones W7VPN1Pool-1...-n erzeugt. Diese werden wohl automatisch im AD registriert. Aber unter welchem Namen? Wird das Computerkonto analog zum VM-Namen umbenannt?
Bei uns kommt die Anforderung hinzu, dass für bestimmte Maschinen mit bestimmten VPN-Clients (ausgehende) Firewall-Regeln existieren, die dann auch für einen Pool gelten müssten.
Gruß,
UT2016
Re: Mehrere Instanzen einer VM
Fast 2 Jahre sind ins Land gezogen, die Anforderungen sind gleich geblieben, eine Lösung haben wir leider nicht gefunden. Gibt es eventuell mittlerweile vielleicht andere Lösungsmöglichkeiten?
Kurzfassung der Anforderungen: Eine Basis-VM mit einer Grundinstallation (Windows 10). Aufgrund dieser Basis-VM soll es x VMs geben, in denen je ein (unterschiedlicher) VPN-Client läuft (z.B. Cisco AnyConnect in VM a, FortiClient in VM b, usw.) Von diesen VMs mit installiertem VPN-Client sollen beliebig viele "Instanzen"/"Klone" gestartet werden können. Die Basis-VM soll regelmäßig angepasst werden können (Windows Updates). Es soll möglichst wenig Storageplatz belegt werden.
Ein Gedanke war, die Anforderung mittels Containern zu lösen, d.h. die VPN-Clients in Container zu installieren. Es scheint aber noch nicht möglich zu sein, eine Windows-Anwendung mit GUI in einen Container zu installieren.
Hat vielleicht jemand noch eine Idee?
Gruß,
UT2016
Kurzfassung der Anforderungen: Eine Basis-VM mit einer Grundinstallation (Windows 10). Aufgrund dieser Basis-VM soll es x VMs geben, in denen je ein (unterschiedlicher) VPN-Client läuft (z.B. Cisco AnyConnect in VM a, FortiClient in VM b, usw.) Von diesen VMs mit installiertem VPN-Client sollen beliebig viele "Instanzen"/"Klone" gestartet werden können. Die Basis-VM soll regelmäßig angepasst werden können (Windows Updates). Es soll möglichst wenig Storageplatz belegt werden.
Ein Gedanke war, die Anforderung mittels Containern zu lösen, d.h. die VPN-Clients in Container zu installieren. Es scheint aber noch nicht möglich zu sein, eine Windows-Anwendung mit GUI in einen Container zu installieren.
Hat vielleicht jemand noch eine Idee?
Gruß,
UT2016
Re: Mehrere Instanzen einer VM
Nope,
weil wann das so nicht lösst.
Das hat sich halt nicht geändert. Es sein den den vmware hat im ESX Umfeld ein offline-patching im abgebot.
Was container angeht.
Kubernetes und rancher 2.2.3 fangen an Windows als Knoten und Container zu unterstützen.
Ob man das wirklch haben will ??????
Ausserdem bleibt das Problem die Container mit patches zu versorgen.
Letzlich läuft es auf Vm starten, patchen und wieder stoppen heraus.
Gruss
weil wann das so nicht lösst.
Das hat sich halt nicht geändert. Es sein den den vmware hat im ESX Umfeld ein offline-patching im abgebot.
Was container angeht.
Kubernetes und rancher 2.2.3 fangen an Windows als Knoten und Container zu unterstützen.
Ob man das wirklch haben will ??????
Ausserdem bleibt das Problem die Container mit patches zu versorgen.
Letzlich läuft es auf Vm starten, patchen und wieder stoppen heraus.
Gruss
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste