Runecast Analyzer 3.1 Konfigurationsfehler und Inkompatibilitäten in VMware-Umgebungen erkennen

Runecast Analyzer ist ein Tool zur auto­matisierten Ana­lyse potenzieller Fehler­quellen in VMware-Instal­lationen. Der Admini­strator kann damit vSphere, vSAN, NSX oder Horizon auf fehlende Patches, Inkom­patibili­täten oder Fehl­konfi­gurationen unter­suchen. Runecast nutzt dafür Quellen wie die VMware Knowledge­base.

In den vergangenen Jahren sind VMware-Umgebungen immer komplexer geworden, weil vSphere kontinuierlich um neue Funktionen, beispielsweise für Netzwerk- und Storage-Virtualisierung, erweitert wurde. VMware selbst hat zwar leistungs­fähige Management-Werkzeuge wie vRealize Operations Manager (vCOPS ) oder Log lnsight, deren Lizenzkosten sind aber für kleinere Unter­nehmen meist zu hoch.

Außerdem liegt der Fokus von vCOPS eher auf dem Operations Management und der von Log Insight bei der Performance- und Fehler­analyse. Daher helfen diese Tools nur bedingt, wenn Bugs, Inkom­patibilitäten, Treiber oder fehlerhafte Konfigurationen zu Problemen führen.

Proaktive Analyse

Sämtliche Konfigurations­mängel und Sicherheits­risiken einer komplexen VMware-Umgebung selbst zu erkennen, ist eine beinahe unlösbare Aufgabe. Meist scheitert es schon daran, sämtliche relevanten Informationen zu finden und auszu­werten. Der proaktive Ansatz von Runecast folgt der Erkenntnis, dass 90 Prozent aller vSphere-Probleme auf dokumentierte, also bekannte Ursachen zurückzuführen sind. Daher beruht die Leistungs­fähigkeit von Runcecast vor allem in der Anzahl und Qualität der genutzten Quellen.

Vertrauenswürdige Quellen

Runecast scannt die Virtualisierungs­umgebung einschließlich vSAN, NSX sowie Horizon und prüft das Ergebnis gegen seine Wissens­datenbank. Außerdem nutzt Runecast der vSphere-API zum Auslesen von Konfigu­rationen, Versions­nummern oder Hardware-Informationen. Die Datenbasis speist sich aus insgesamt sechs Quellen, angefangen von der VMware Config Knowledge Base (KB) bis hin zu den von VMware empfohlenen Best Practices. Allein die KB enthält aktuell über 46000 Artikel mit Hinweisen. Darin zeigt sich, wie aufwändig eine manuelle Prüfung wäre.

Runecast Analyzer ermittelt Fehlkonfigurationen unter anderem auf Basis der VMware-Knowledgebase.

 

Weitere vier Quellen befassen sich ausschließlich mit dem Thema Härtung. Hier dient der VMware Security Hardening Guide als Basis, ergänzt von den Sicherheits­vorgaben des Security Technical Implementation Guide (DISA STIG) und den PCI-DSS-Richtlinien (Payment Card Industry Data Security Standard) und HIPAA (Health Insurance Portability and Accountability Act). Kunden aus dem Finanz­sektor können mit Runecast auch prüfen, ob die VMware-Umgebung den PCI-DSS-Standard einhält. In der neuen Version 3.1 berücksichtigt Runecast außerdem noch die IT-Grundschutz­empfehlungen des BSI.

Administratoren können entscheiden, welche Profile sie für die Analyse verwenden möchten.

 

Administratoren können aber frei konfigurieren, welche Quellen sie überhaupt verwenden möchten und auch innerhalb der Quellen von vorneherein nach Schweregrad filtern oder entscheiden, ob sie sich auf VMs, vCenter oder Hosts beziehen sollen.

Log-Analyse

Zusätzlich zum Prüfen der System­konfiguration untersucht Runecast auf Wunsch auch die Logfiles. Dazu muss der Analyzer als Syslog-Server konfiguriert werden, um die Logs der beteiligen Systeme einsammeln zu können.

Eine weitere Voraussetzung ist, dass auf den Hosts oder VMs die Syslog-Funktion aktiviert wurde. Runecast kann dies selbst erledigen, so dass eine manuelle Konfiguration entfällt. Alternativ bringt das Tool ein PowerShell-Script für diese Aufgabe mit. Die Einstellungen hierzu (Runecast als Syslog-Ziel auf RDP 514 für jeden Host) finden sich unter Settings => Log Analysis.

Hosts lassen sich aus Runecast Analyzer für die Log-Analyse durch Konfigurieren von Syslog vorbereiten.

 

Die Log-Dateien wertet Runecast Analyzer dann gegen die VMware-Log-KB (im Gegensatz zum oben erwähnten Config-KB) aus. Die Appliance speichert nicht alle Logs, sondern nur die auf Risiken hin­weisenden Einträge. Sie löscht zudem ältere Logs nach 30 Tagen automatisch oder wenn das Gesamt­volumen 30 GB überschreitet. Beide Werte kann man bei Bedarf anpassen.

Einfache Einrichtung als Appliance (OVA)

Die Inbetrieb­nahme von Runecast ist einfach, da der Hersteller die App in Form einer nur knapp 1,2 GB kleinen virtuellen Appliance zur Verfügung stellt. Sie lässt sich wie gewohnt über den vSphere-Client in die vorhandene Umgebung importieren. Zu konfigurieren ist dabei erfreulich wenig. Der Admin muss neben Host und Datastore nur eine Deployment-Größe (small, medium oder large) festlegen. Small reicht für Umgebungen mit bis zu 10 Hosts, wobei die VM dann 2 vCPUs dann 4GB Memory konsumiert.

Die Netzwerkeinstellungen für das Appliance lassen sich am Ende des OVA-Imports festlegen.

 

Außerdem muss noch die Portgruppe für das VM-Netzwerk ausgewählt werden. Wer möchte, kann die Netzwerk­einstellungen der Appliance (Default ist DHCP) im letzten Schritt des OVA-Bereitstellungs­assistenten anpassen. Sie lassen sich auch später noch ändern, aber nicht in der Web-GUI, sondern nur an der Appliance-Konsole mit dem User rcadmin und dem Passwort admin.

Ersteinrichtung

Updates für die Wissens­datenbank kann das System automatisch über das lnternet oder manuell über eine ISO- Datei beziehen. Dieser Vorgang lässt sich unter Settings => Update aus der Web-GUI anstoßen.

Hier weiterlesen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.