remove_log4j_class.pyスクリプト 後から切り戻すときどうする?

remove_log4j_class.pyスクリプトでvCenterのLog4j対策する場合、後から元に実行前に戻す場合どうするのでしょうか?java-wrapper-vmonをバックアップして後からコマンドで戻せば良いのでしょうか?確認してみると手動で戻す方法は無いとのことでした。

ですのでvCenter Server 仮想マシンのスナップショット、またはファイルベースでバックアップを用意して切り戻すのが正しい手順となります。

仮想マシンのスナップショットの作成
https://docs.vmware.com/jp/VMware-vSphere/7.0/com.vmware.vsphere.vm_admin.doc/GUID-9720B104-9875-4C2C-A878-F1C351A4F3D8.html

vCenter Server のファイルベースのバックアップとリストア
https://docs.vmware.com/jp/VMware-vSphere/7.0/com.vmware.vcenter.install.doc/GUID-3EAED005-B0A3-40CF-B40D-85AD247D7EA4.html

Log4j対応 Horizo​​n Agent vRealize Operations機能が入ってると脆弱になる場合がある

Log4j対応 Horizo​​n Agent vRealize Operations機能が入ってると脆弱になる場合があります。

KB87073

https://kb.vmware.com/s/article/87073

このvRealize Operations feature in Horizon desktop agentというコンポーネントがインストールされているかの確認方法があります。

  1. Horizon Agentが入っている仮想マシンや RDSホストにログインします。
  2. レジストリエディタを開き、次のパスに移動します。 HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\Installer\Features_HorizonAgent

3.「V4V」の値が “Local” であればインストールされており、
“Absent”であれば、インストールされておりません。

・ Horizon Agent のサイレント インストール プロパティ
https://docs.vmware.com/jp/VMware-Horizon-7/7.13/horizon-virtual-desktops/GUID-3096DA8B-034B-435B-877E-5D2B18672A95.html

10年前の構築環境 仮想マシンが勝手に起動

10年前のvCenter環境をバージョンアップせず使っている所で電源落としてる仮想マシンがいくつか突然起動したという。どうもvSphere HAのフューエルオーバー機能が働いてるみたいです。 vSphere HA のグルーピングもどうなってるか不明みたいです。通常はコンソールから設定を変えればいいのですが、いつからかvCenterのコンソールも見れないといいます。とりあえずコマンドで vSphere HA を解除しておけば勝手に起動はしなくなるので処置はそうしました。

スタンドアロンに戻す: destroy-vcha

https://docs.vmware.com/jp/VMware-vSphere/6.5/vsphere-esxi-vcenter-server-651-availability-guide.pdf?hWord=N4IghgNiBcICYFMDOAXATgewJ4FoBuAxgBZggC+QA

Deep Security 有効化中(遅延)の状態

Deeep Security を使ってる環境ですとクライアント側で不正プログラム検索がオフラインになったり面倒なことが色々あります。「有効化中」「有効化中(遅延)」の状態でも不正プログラム検索がオン、リアルタイムのとき保護されてるのでしょうか?  「有効化中」「有効化中(遅延)」 のときはvCenter との手動同期を実施してみて下さい。
vCenter Server との手動同期は、管理コンソール [コンピュータ] タブから登録してある vCenter を右クリックし、[今すぐ同期] を実行します。保護については「管理対象(オンライン)」となっている状態でなくては保護されないようです。

有効化中(遅延)のステータスの原因に関しては、一度に大量の vMotion が行われDSM側が仮想マシンを認識できずに発生する場合や、vCenter との同期に問題がある場合に発生するケースが多いです。

Apache Log4jの脆弱性 vCenter 暫定対策 日々更新

vCenterServerの回避策の手順も内容が足されたり補足されたり更新されて行きます。今あるものって暫定対策なので対策は日々変わってきます。自動化された回避策が簡略化されたりしますので日々チェックしてくださいね。ここでは自動化された回避策があるのでちょっと便利になりました。VMware vCenter Server 7.0.3までOKです。

https://kb.vmware.com/s/article/87081?lang=en_US

Apache Log4jの脆弱性 vCenter 暫定対策

VMwareで恒久対策となるパッチリリースを準備している状況ですが
暫定対策としては、以下のKBが公開されてます。

vCenter ServerがAppliance版かWindows版かにより、手順が異なるので
利用中のバージョンにあわせてURLを参照してください。
(ESXiは本脆弱性に該当しません)

暫定対策の手法としては、Log4jを使用しているサービスに対してlookupに関する設定等を追加しています。

【Appliance版】

以下URLより、”vCenter Server Appliance 6.5.x Workaround”を参考に実施の検討します。

Workaround instructions to address CVE-2021-44228 in vCenter Server and vCenter Cloud Gateway (87081):
https://kb.vmware.com/s/article/87081

【Windows版】

以下URLより、”Workaround”を参考に実施の検討します。

Workaround instructions to address CVE-2021-44228 in vCenter Server Windows (87096):
https://kb.vmware.com/s/article/87096

Horizon Windows Search 勝手にサービス有効⁉

Horizonで明らかにWindowsSearchサービス無効にしてるのに有効になってしまいました。調べるとWritable Volumes の機能である Windows Search のインデックス作成先をWritable Volumes 配下とする動作に起因していたようです。AppVolumes バージョン 2.14で出てしまうのですがバージョンアップすれば解消します。 AppVolumes のバージョン 2.14 はサポート終了のバージョンですので新しいものを使いましょう。

vCenterのログが取れない どうする?

コンソールからvCenterのログが取れないときがあります。そしたらSCP接続して取りましょう。

以下手順

1. vCSA に SCP 等で接続

   # WinSCP 利用時にエラーが発生する場合があるのでその際は次の KB 2107727 を参照

   * WinSCP を使用してファイルを vCenter Server Appliance にアップロードするとエラーが発生する (2107727)
https://kb.vmware.com/s/article/2107727?lang=ja

2. 下記ディレクトリに移動

   /var/log/vmware/vpxd

3. ディレクトリ内の下記ファイルを全てダウンロード
   ・vpxd-XXXX.log
   (XXX には数字が入る)

リンククローンのプールの中の仮想マシンを空に

プールを削除してもいいのですがプールは残して中の仮想マシンを何もない状態にしたい時があります。そういう時は以下の手順で。

  1. Horizon Console を開き、[インベントリ] – [デスクトップ] に移動します。
  2. 削除したい仮想マシンが存在するプールを選択します。
  3. [ステータス] から [プロビジョニングを無効] を選択します。
  4. [インベントリ] – [マシン] からプール内の仮想マシンをすべて削除します。