Защита инфраструктуры виртуализации с помощью ПАК «Аккорд-В.» и «Сегмент-В.» (5/7)

Настройка и функционирование СПО «Аккорд-В.»

Здравствуйте!

В данной лекции мы поговорим о настройке и функционировании модулей «Аккорд-В.». Рассмотрим, как выполняется установка оборудования и файлов ВМ на контроль целостности, и как происходит этот контроль целостности. Также разберемся, как работать с журналом регистрации событий и выполнять пересчет контрольных сумм оборудования и файлов ВМ в случае необходимости.

Итак, сначала мы поговорим о контроле целостности оборудования виртуальных машин. Мы продолжим работать в утилите «Accord-V.», с которой работали на прошлой лекции.

Для настройки ВМ, как было уже сказано на прошлой лекции, необходимо выполнить ее выключение. Выберем ВМ и выключим ее.

После этого в утилите «Accord-V.» выберем данную ВМ, нажмем кнопку «Поставить на контроль». В появившемся окне выберем пункт «Оборудование», нажмем «Установить». В окне «Задачи» увидим предупреждение. Если нажать на него, то увидим окно с сообщением «Нет подключенных хостов, на которые разрешена миграция (для данной ВМ)». Оно означает, что для данной ВМ не настроена миграция и для продолжения настройки необходимо сначала ее задать.

Выполним разрешение миграции аналогично тому, как мы это делали на прошлой лекции. Выберем из списка ВМ, щёлкнем на неё правой кнопкой мыши, в меню выберем пункт «Миграция». В появившемся окне перенесем из левой части окна разрешения миграции в правую все имеющиеся ESXi хосты. На них мы хотим разрешить включение ВМ. Нажмем «Применить». Подождем некоторое время. В окне «Задачи» видим, что ВМ выдано разрешение миграции на выбранные ESXi.

Теперь снова выберем данную ВМ, нажмем кнопку «Поставить на контроль». В появившемся окне выберем пункт «Оборудование», нажмем «Установить». Подождем некоторое время. В окне «Задачи» видим, что установка оборудования на контроль выполнена успешно.

После установки на контроль оборудования, «Аккорд-В.» будет проверять его целостность каждый раз при включении ВМ. В случае если оборудование ВМ с момента установки на контроль не было изменено, включение ВМ на разрешённом хосте происходит успешно.

Теперь снова выключим ВМ. И изменим состав его оборудования. Для этого нажмем правой кнопкой мыши на ней и выберем «Edit Settings» (изменение настроек). В появившемся окне нажмем «Add» (добавить), выберем любое новое оборудование из списка, нажжем «Next»-«Next»-«Finish». Видим, что новое оборудование добавлено в список. Нажмем «Ок». Изменение ВМ прошло успешно. Однако при запуске данной ВМ выдается сообщение об ошибке, которое означает, что включение ВМ с измененным оборудованием заблокировано «Аккордом-В.».

Каждый раз в случае изменения состава оборудования или его настроек включение ВМ будет заблокировано «Аккордом-В.», так как нарушена его целостность.

Через утилиту Accord-V. можно не только поставить компоненты на контроль, но и провести их проверку целостности.

Для этого выберем ВМ, нажмем на кнопку «Проверить» и выберем интересующие компоненты контроля. В данном случае выберем пункт «Оборудование», нажмем «Проверить». Задача проверки целостности завершится со статусом «Предупреждение» и будет выделено желтым, так как была нарушена целостность оборудования ВМ. В противном случае, если проверка целостности пройдена успешно, состояние задачи «Завершено» выделяется зелёным.

В случае нарушения целостности компоненты контроля возможны 2 варианта: утверждение администратором данных изменений (пересчёт контрольных сумм через утилиту Accord-V.) или проведение изменений ВМ, приводящих ее к состоянию, в котором целостность компонентов контроля не нарушена.

В первом случае нужно выбрать ВМ из списка и нажать на кнопку «Пересчитать». Сделаем это.  В появившемся окне необходимо отметить компоненты контроля, для которых  хотим принять изменения, то есть пересчитать их контрольные суммы. У нас это «Оборудование». Отметим, нажмем «Пересчитать». В окне «Задачи» видим, что пересчет контрольных сумм оборудования завершен успешно.

После успешного завершения пересчёта контрольных сумм целостность ВМ восстановлена, операция включения на разрешённом ESXi «Аккордом-В.» не блокируется, виртуальная машина включается.

Далее рассмотрим контроль целостности файлов виртуальных машин.

Выберем ВМ и для ее настройки сначала ее выключим.

Для установки файлов на контроль выберем ВМ из списка, нажмем на кнопку «Поставить на контроль». В появившемся окне отметим в списке компонентов «Файлы» и нажмем кнопку «Далее». В следующем окне видим надпись «нет хостов с разрешенной миграцией». Это означает, что невозможно установить файлы на контроль, если не настроена миграция данной ВМ. Для установки файлов на контроль для ВМ должна быть разрешена миграция хотя бы на 1 хост.

Выполним разрешение миграции аналогично тому, как мы уже не раз это делали. Выберем из списка ВМ, щёлкнем на неё правой кнопкой мыши, в  меню выберем пункт «Миграция». В появившемся окне перенесем из левой части окна разрешения миграции в правую все имеющиеся ESXi хосты. На них мы хотим разрешить включение ВМ. Нажмем «Применить». Подождем некоторое время. В окне «Задачи» видим, что ВМ выдано разрешение миграции на выбранные ESXi.

Теперь снова выберем ВМ из списка, нажмем на кнопку «Поставить на контроль». В появившемся окне отметим в списке компонентов «Файлы» и нажмем кнопку «Далее».

В следующем окне слева будут отображены разделы дисков ВМ,  справа – выбранные для контроля файлы.

Раскрывая дерево-структуру файловой системы раздела диска, нужно выбрать те файлы, которые требуется поставить на контроль. Выберем произвольный файл и добавим его в список контроля в правой части окна с помощью кнопки «+».

Также возможен импорт списка файлов из ssv-файла. Для этого выберем корень раздела диска, нажмем на кнопку «Импорт» и выберем необходимый ssv-файл (у нас он подготовлен заранее), нажмем «Открыть». В правой части окна установки на контроль будут отображены как файлы, выбранные «вручную», так и импортируемые из ssv-файла. Нажмем «Установить». Начинается выполнение задачи установки ВМ на контроль. Это занимает некоторое время. Для успешного завершения задачи все файлы, которые ставятся на контроль, должны существовать и не превышать объем  300Мб. 

При каждом включении ВМ «Аккорд-В.» будет проверять целостность файлов, поставленных на контроль. В случае если все файлы, поставленные на контроль, не были изменены (их контрольные суммы совпадают с эталонными), включение ВМ на разрешённом ESXi проходит успешно.

Далее откроем данную ВМ. Для этого нажмем на ней правой кнопкой мыши и выберем пункт «Open Console». Внесем изменения в файл, который мы только что установили на контроль. Сохраним эти изменения, выключим ВМ.

Снова ее включим. Подождем некоторое время и увидим сообщение об ошибке. Оно означает, что целостность файла нарушена, и включение ВМ заблокировано «Аккордом-В.».

Выберем ВМ и нажмем кнопку «Проверить». Выберем «Файлы» и нажмем «Далее». Появится окно, в левой части которого будет список всех файлов данной ВМ, поставленных на контроль. Необходимо выбрать те файлы, целостность которых требуется проверить. Выберем все и нажмем «+». Нажмем кнопку «Проверить». Подождем некоторое время. В окне «Задачи» видим «Предупреждение», которое говорит о том, что целостность хотя бы одного из файлов была нарушена. По двойному клику на данную задачу будет отображено соответствующее сообщение.  Подробную информацию о проверке целостности можно посмотреть в журнале регистрации событий.

Для просмотра журнала регистрации событий используется утилита  LogViewer-V. Напомню, что эта утилита появилась на рабочем столе после того, как мы на прошлой лекции установили сервис регистрации событий. Также в настройках программы мы задали IP адрес, на котором этот сервис запущен.

Запустим утилиту от имени администратора. В главном окне программы нажмем кнопку «Получить». Отображаются журналы, собранные сервисом регистрации событий, отсортированные по времени. Красным выделены события, завершившиеся ошибкой. Можем посмотреть подробности данного события, нажав на него. Видим, что значение текущей и эталонной контрольной суммы файла не совпадают.  Промотаем вправо. В поле «Сообщение» события с записью «Verificaton has been faild» (событие, отвечающее за проверку целостности) отображена информация о компоненте ВМ (файле), целостность которого была нарушена.

Процедура пересчёта контрольных сумм для файла аналогична соответствующему действию для оборудования. Возвращаемся в утилиту Accord-V.. Выбираем в списке ВМ, нажимаем кнопку «Пересчитать».  Указываем компоненты контроля «Файлы», нажимаем «Далее». После этого нужно выбрать те файлы, для которых хотим осуществить пересчет контрольных сумм. Выбираем наш измененный файл. Добавляем его в правую часть окна. Нажимаем кнопку «Пересчитать». В окне «Задачи» видим, что пересчет контрольных сумм завершен успешно. 

Если были пересчитаны контрольные суммы всех измененных файлов, то целостность ВМ восстановлена, операция включения на разрешённом ESXi разрешена «Аккордом-В.», и включение виртуальной машины проходит успешно.

В завершении лекции я бы хотела обратить внимание, что мы рассмотрели контроль целостности только оборудования и файлов виртуальных машин. Однако при необходимости возможно установить на контроль и «BIOS» и «MBR» виртуальных машин. Подробнее эти вопросы можно изучить в методических материалах к лекции – документе «Руководство по установке» на комплекс.

Подведем итог, мы поговорили о настройке и функционировании модулей «Аккорд-В.».  Рассмотрели, как выполняется установка оборудования и файлов ВМ на контроль целостности и как происходит этот контроль целостности. Также научились работать с журналом регистрации событий и выполнять пересчет контрольных сумм оборудования и файлов ВМ в случае необходимости.

Спасибо за внимание, до встречи на следующей лекции!