VMUG UserCon 2024 in Frankfurt

Am 25. April 2024 öffnet in Frankfurt am Main die Deutsche VMUG UserCon ihre Pforten. Es ist die erste UserCon in Deutschland seit der Übernahme von VMware durch Broadcom.

Die Deutsche VMUG UserCon ist das jährliche Treffen der sieben lokalen VMUG-Gruppen in Deutschland.

Keynote Speaker

Mit besonderer Freude können wir unsere diesjährigen Keynote Speaker präsentieren.

Mit Joe Baguley, CTO EMEA, der uns schon in mehreren zurückliegenden VMUG-Veranstaltungen unterstützte, hatten wir unseren Wunschkandidaten schon früh in der Planungsphase gewinnen können. Joe ist ein eloquenter und humorvoller Redner, der es versteht, sein Publikum auch bei komplexen Themen mitzunehmen.

Brad Tompkins, VMUG Executive Director dürfte regelmäßigen UserCon Besuchern bekannt sein. Er wird dieses Jahr nicht wie sonst per Videobotschaft zugeschaltet, sondern persönlich anwesend sein. Angesichts der vielen weltweit stattfindenen UserCons ist es ein besonderes Vergnügen, ihn in Frankfurt begrüßen zu dürfen.

Unser dritter Gast ist kein geringerer als der Broadcom Präsident und CEO Hock Tan. Seine Zusage nach Frankfurt zu kommen, ist erst seit Anfang März offiziell und hat auch die größten Optimisten im Organisationsteam überrascht. Die Geschichte dahinter begann beim letztjährigen VMUG Leader-Empfang während der VMware Explore in Barcelona. Der damalige noch-nicht VMware Chef kam als Überraschungsgast zum traditionellen VMUG Leader Empfang und plauderte mit den Leadern frei über seine Pläne mit VMware, VMware-Explore und der VMUG. Bei einem Glas Wein fragte ich ihn, ob er denn nicht 2024 nach Frankfurt zur UserCon kommen wolle. Er bejahte dies, wenn sein Kalender dies zuließe und wir sollen die Details mit seinem Büro klären. Wir werteten seine Antwort damals als ein höfliches ‚vielleicht‘ ohne ernsthaft darauf zu hoffen. An dieser Stelle ein herzliches Dankeschön an das VMUG HQ in den Niederlanden, die diesen Termin möglich machten.

Breakout Sessions

Aber was wäre eine UserCon ohne ihre Vorträge in den zahlreichen Breakout Sessions. In vier parallelen Vortragsreihen mit je 6 Blöcken werden technische Hintergründe beleuchtet und neue Techniken vorgestellt. Auch hier konnten wir hochkarätige Referenten gewinnen. Darunter auch die vRockstars Duncan Epping und Cormac Hogan, die uns neueste Entwicklungen zum Thema vSAN ESA bzw. DSM 2.0 näher bringen werden.

Duncan Epping , VMware
Chief Technologist Cloud Infrastructure

Agenda zur Deutschen VMUG UserCon 2024

Closing Keynote

Die Veranstaltung abrunden wird Björn Brundert (Broadcom). Auch er ein alter Bekannter bei Deutschen UserCons. 2022 sprach er die Keynote zur ersten UserCon nach der Pandemie. Unvergessen auch sein Vortrag zu Tanzu Kubernetes zur UserCon 2019, bei dem der Raum zu bersten drohte.

Björn Brundert
VMware Principal Technologist

Registrierung und Eckdaten

Die Veranstaltung findet statt in Frankfurt am Main im Kap Europa (Osloer Str. 5, 60327 Frankfurt am Main). Die Teilnahme und Registrierung ist kostenlos.

Registrierung und Frühstück: 8:30 Uhr

Beginn: 9:30 Uhr

1. März 202413. März 2024

Teach-The-Expert: vSAN Diskgruppen Verwaltung auf der CLI

Im Rahmen meiner Trainer-Tätigkeit kommen in den Kursen immer wieder Fragestellungen zu Themen die im Kurs nur am Rande oder gar nicht abgehandelt werden. Diese Artikelserie gibt angehenden IT-Experten Hilfsmittel für den täglichen Gebrauch an die Hand.

Intro – Was sind Diskgruppen?

VMware vSAN OSA (original storage architecture) organisiert den vSAN-Datenspeicher in Diskgruppen (DG). Jeder vSAN-Knoten kann bis zu 5 Diskgruppen enthalten. Jede dieser Diskgruppen besteht aus genau einem Cache-Device (SSD) und mindestens einem bis maximal 7 Capacity-Devices pro Gruppe. Diese dürfen entweder magnetische Disks oder SSD sein, jedoch keine Mischung aus beiden. Wir unterscheiden in Cache-Tier und Capacity-Tier.

Die Verwaltung der Diskgruppen kann anschaulich über das graphische Userinterface GUI erfolgen. Es gibt jedoch Situationen in den das Diskgruppen Managemenent auf der CLI notwendig oder zweckmäßiger ist.

UUID

Jedes Disk Device eines vSAN Clusters (OSA) hat eine eindeutige und einzigartige Kennung (universal unique identifier, UUID).

Wir können alle Devices eines vSAN Knotens auf der CLI auflisten mit dem Kommando:

esxcli vsan storage list

Die Menge an Information ist möglicherweise etwas zu viel des Guten und wir möchten nur die Zeilen mit UUID anzeigen lassen.

esxcli vsan storage list | grep UUID

Wir erhalten eine Liste aller Disk-Devices im vSAN-Knoten. Zusätzlich erhalten wir auch die UUID der Diskgruppe, welcher das Device zugeordnet ist.

Schaut man sich die Ausgabe etwas genauer an, so fällt auf dass es einige Devices gibt, deren UUID identisch mit der UUID der Diskgroup ist. Ist dies ein Widerspruch zur Aussage, die UUID sei einzigartig? Nein. Es handelt sich hier um Cache-Devices. Jede Diskgruppe in vSAN OSA besteht aus genau einem Cache Device. Die Diskgruppe übernimmt hierbei die UUID ihres Cache-Devices. Wir können also auf diese Art schnell ein Cache Device von einem Capacity Device unterscheiden.

17. Februar 202429. Dezember 2024

Ein tieferer Blick in vSphere Rollen und Berechtigungen

Ursprünglich sollte dieser Artikel „Das Rollen Paradoxon“ lauten. Bei längerer Betrachtung kam ich zu dem Schluss, dass es sich hier um kein Paradoxon im eigentlichen Sinne handelt. Das vCenter macht hier nur seine ihm aufgetragene Arbeit.

Berechtigungen unter vSphere sind prinzipiell simpel (so lange wir keine eingeschränkten Berechtigungen verwenden möchten). Wenn wir Mitglied der Administratorengruppe sind und uneingeschränkt auf alle Objekte im Datacenter zugreifen dürfen, sind Privilegien und Rollen schnell erklärt.

Begriffs-Definition

Ein Privileg ist die kleinste Einheit. Es erlaubt die Ausführung einer ganz bestimmten Aktion.

Eine Rolle ist eine Sammlung von Privillegien. Die Administrator-Rolle enthält alle verfügbaren Privilegien. Die No-Access-Rolle enthält dagegen keinerlei Privilegien. „No-Access“ ist hierbei nicht als explizites Verbot zu verstehen, sondern als Fehlen von Berechtigungen. Was zunächst nach einer semantischen Spitzfindigkeit aussehen mag, ist ein wichtiger Unterschied zu anderen Berechtigungskonzepten wie beispielsweise Active-Directory.

Fehlendes Privilleg != Verbot

Eine Berechtigung (Permission) setzt sich immer aus drei Komponenten zusammen: Einem vSphere-Objekt, einer Rolle und einem Benutzer bzw. einer Benutzergruppe. Ein Benutzer (oder eine Gruppe) kann auf unterschiedlichen Objekten unterschiedliche Rollen haben. Berechtigungen auf Objekten können in der Hierarchie optional nach unten vererbt werden.

Das Problem

Interessant wird die Sache wenn ich Rechte global vergebe, diese dann aber auf bestimmten Objekten einschränken möchte.

Beispiel: Die Gruppe der Administratoren soll auf alle Objekte Zugriff haben, mit Ausnahme einiger VMs in einem definierten VM-Ordner. Klingt simpel – ist es aber nicht.

Aufmerksam wurde ich auf die hier beschriebene Problematik durch meinen Kollegen Alexej Prozorov, der in einem Kundeprojekt auf dieses Phänomen stiess. Das Thema war so interessant, dass ich es im Labor nachstellen musste.

17. Januar 202415. März 2024

Fehler beim vCLS Retreat Mode führt zum Verlust aller Privilegien

Mit Einführung von vSphere 7.0 Update 1 erschienen in vSphere-Clustern erstmals die vSphere Cluster Services VMs (vCLS). Damit wurden Cluster Funktionen wie z.B. Distributed Resource Scheduler (DRS) und andere erstmals unabhängig von der Verfügbarkeit der vCenter Server Appliance (VCSA). Letztere stellt im Cluster immer noch einen Single-Point-of-Failure dar. Durch Auslagerung der DRS Funktion in die redundanten vCLS Maschinen wurde ein höheres Maß an Resilienz erreicht.

Retreat Mode

Der vSphere-Administrator hat nur wenig Einfluss auf die Bereitstellung dieser VMs. Gelegentlich ist es jedoch notwendig, diese VMs von einem Datastore zu entfernen wenn dieser beispielsweise in den Wartungsmodus versetzt werden soll. Dafür gibt es eine Prozedur, um den Cluster in den sogenannten Retreat-Mode zu setzen. Dabei werden temporäre erweiterte Einstellungen gesetzt, die zur Löschung der vCLS VMs durch den Cluster führen.

Laut Prozedur von VMware muss für die Aktivierung des Retreat Modes die Domain ID ermittelt werden. Die Domain ID ist der numerische Wert zwischen ‚domain-c‘ und dem folgenden Doppelpunkt. Im Beispiel aus meinem Labor ist es der Wert 8, aber die Zahl kann durchaus auch vierstellig sein.

Die Domain ID muss dann in den Advanced Settings des vCenters übergeben werden.

config.vcls.clusters.domain-c8.enabled = false

Admin Fehler beim Retreat Mode

Nach Aktivierung des Retreat-Modes auf einem vSAN-Cluster hatten Administratoren sämtliche Privilegien auf alle Objekte im vSphere-Client verloren.

Eine Überprüfung der Dienste zeigte, dass der vCenter Server Daemon (vpxd) nicht gestartet war.