Contatta il reparto vendite 800 13.40.41 | Richiedi il Supporto Partner EN flag

KNOWLEDGE BASE

Knowledge Base
× Non sei ancora nostro cliente Runecast? Diventa Partner CoreTech e visita il nostro configuratore prezzi

Vai al Video

Verificare la compliance del proprio ambiente Vmware con Runecast

Runecast è una soluzione di analisi predittiva che viene utilizzata in ambito VMware per verificare la compliance, ossia se l’ambiente è conforme alle esigenze di funzionalità ed è configurato n maniera ottimale per l’utilizzo con l’ambiente di virtualizzazione VMware.

Runecast realizza un’analisi predittiva per ambienti VMware vSphere.
Runecast Analyzer fornisce competenze software definite per mitigare le interruzioni del servizio, aumentare la sicurezza e la conformità e ridurre i tempi di risoluzione dei problemi.

Runecast Analyzer automatizza i controlli dell’infrastruttura virtuale per VMware vSphere /vSAN/NSX/Horizon e AWS IAM/EC2/VPC/S3.

Con Runecast è possibile verificare proprio a livello di driver e di firmware che il nostro ambiente sia in HCL Vmware. HCL vuol dire il sistema è nella Hardware Compatibility List di VMware, vale a dire quella che è una sorta di specifica tecnica degli ambienti virtualizzati basati su Vmware: quindi HCL compliant significa che il sistema ha una configurazione che risponde alle aspettative di Vmware, ossia che i suoi driver e tutti i firmware all’interno dell’hardware sono compatibili con la versione di WMware che si sta andando a installare, così se per caso emergono problemi si è certi di trovare supporto.

Il concetto di compliance può essere difficile da comprendere perché spesso chi installa, utilizza o gestisce macchine virtuali si “accontenta” che funzionino, nel senso che se una volta messa in funzione e in produzione la VM, se vede che funziona ritiene che questo sia sufficiente. Si tratta però di una visione errata e viziata dalle apparenze, perché il fatto che un sistema IT funzioni non significa che lo faccia perché è stato correttamente installato e configurato: a volte esistono problemi latenti che al momento “meno opportuno” si manifestano.

Se si presenta un problema, per esempio esce un errore nel kernel, non funziona qualcosa, le repliche non stanno andando, piuttosto che facendo la vSAN si scopre che e c’è un problema di comunicazione di rete eccetera, quando bisogna accedere al supporto di WMware ci si trova a fare i conti con la compliance: la prima cosa su cui il supporto tecnico si sofferma è l’analisi della configurazione, in modo da escludere che sia un errore dovuto a VMware in sé. Quindi si va a verificare ad esempio se si sta usando un driver che non è compatibile, piuttosto che una scheda di rete che non è compatibile o uno storage (un’unità disco) che ha dei problemi e quindi spesso finisce che se non si hanno elementi per ribattere, il malfunzionamento viene addebitato al sistema, perché non è compatibile.

Come scaricare - Guida alla Configurazione ambiente

Stabilito che uno strumento come Runecast è fondamentale sia per la funzionalità e l’availability dell’ambiente virtuale, sia per potersi confrontare con VMware in caso insorgano dei problemi, andiamo a vedere come ottenere questo prodotto.

La prima cosa che consigliamo di fare è provare a utilizzare Runecast, quindi richiedere ad esempio una trial: si va quindi sul sito di Runecast (immagine seguente) dove si trovano i pulsanti viola Online demo e verde Free trial, cliccando sui quali si fa la richiesta dell’account, quindi ci si registra e poi nella schermata successiva.

Quindi si cicca sul pulsante verde e si accede alla pagina del form-online per la creazione dell’account.

La trial rispecchia la versione “licenziata” a pagamento ed è quindi utile per testarne le proprietà e l’utilità, ma ha chiaramente delle limitazioni, però non nelle funzioni, bensì nel tempo, perché si può utilizzare per 14 giorni.

Completata la registrazione si accede al download dell’applicazione, quindi dalla schermata dell’account viene resa disponibile una chiave di licenza per deployare la appliance sulla macchina dove verrà eseguito Runecast. L’interfaccia utente proposta sarà come quella mostrata nell’immagine seguente.

Riepilogando, una volta che è avvenuto il deployment, si scarica il link fornito e si fa localmente la configurazione, che è veramente molto semplice. Si tratta di un template OVF che si scarica sul computer da un link e localmente si esegue il deploy.

L’OVF è un formato file utilizzato per lo scambio di virtual appliance fra prodotti e piattaforme attraverso archivi compressi in cui sono incapsulate applicazioni destinate a macchine virtuali e validate da client web vSphere.

Come si vede dall’immagine seguente, operare la configurazione dalla pagina di Runecast è molto semplice: si clicca sul pulsante col simbolo della chiave inglese Actions e dal menu che si apre si impartisce il comando Config vCenter.

Si accede quindi a una schermata nella quale cliccando su Install si procede, arrivando alla pagina dove inseriscono i dati del vCenter, si inseriscono le credenziali (nome utente e password) con le quali accendere e si accede. Non c’è bisogno di privilegi di scrittura, perché nel 99% dell’attività si può usare un account che sia di sola lettura, salvo due o tre funzionalità che sono, ad esempio, la configurazione SysLog per grabbare i log sia del vCenter che delle VM. In quel caso si deve avere accesso in scrittura alla vCenter per scrivere questa informazione.

Per chi non ha familiarità con le policy, con l’abilitazione dell’utente e via di seguito, c’è uno script che viene reso disponibile da Runecst in powershell che si lancia e configura le esatte permission che servono solo per fare proprio il minimo indispensabile e quindi la configurazione di SysLog.

Attenzione che la configurazione sysLog non va a sostituire una eventuale configurazione esistente di un SysLog server ma va ad aggiungersi, quindi se avete già un sysLog server che prendeva informazioni da VMware verrà mantenuto e al sistema verrà banalmente aggiunto un ulteriore SysLog server che sarà poi quello che analizzerà eventuali errori di configurazione dell’ambiente virtualizzato.

L’immagine seguente propone la pagina di configurazione dell’ambiente, che va completata limitatamente a ciò che serve al sistema da analizzare; infatti esistono parti che non sono indispensabili. 

Nel caso specifico si sta vedendo la configurazione di un ambiente AWS, perché comunque Runecast è in grado di eseguire anche l'analisi di ambienti Amazon Web Services, quindi non solo VMware. Quindi in realtà anche avere un account di sola lettura, una volta configurato e collegato ci basta.

Per procedere all’utilizzo occorre generare un API access token, compilando i campi della finestra proposta nell’immagine seguente e cliccando su Generate, allorché comparirà una finestra di dialogo riportante il codice token.

Questo codice sarà da copiare e riportare (incollare) nella pagina di configurazione, nell’apposita casella API Access Token (immagine seguente). A questo punto la configurazione di Runecast per il sistema destinatario sarà stata completata e bisogna cliccare sul pulsante SAVE SETTINGS.

Banner

Una volta configurato e collegato il tutto, nella pagina di lavoro si vedono quelli sono i nodi disponibili.

Per lavorare bisogna avere la licenza e a questo riguardo va precisato che il licensing in questo caso è a socket, quindi per ogni socket che il nostro ambiente ha dobbiamo andare a prendere la relativa licenza e poi possiamo fare l’analisi di tutto il sistema.

Per eseguire l’analisi dell’ambiente bisogna impostare parametri dell’ambiente vSphere e quindi procedere alla creazione di un utente vSphere apposito per eseguire Runecast; l’utente verrà creato e sarà visibile nella pagina Users and Groups dell’interfaccia web del prodotto, nella quale si trova il pulsante (in alto a sinistra) ADD USER da utilizzare ogni volta che si crea un nuovo utente.

Peraltro si può utilizzare, selezionandolo proprio da quella pagina (immagine seguente) un account che già esiste, magari è meglio uno amministrativo, così da avere le permission per operare liberamente, ma è una cosa da valutare in base alla delicatezza dell’ambiente.

In ogni caso, definito l’utente e scelte le permission per esso (dall’apposita pagine Guest Users), si clicca sul pulsante viola Analyze Now nella schermata di lavoro e si apre la finestre proposta nell’immagine seguente, dove una volta inseriti nome utente e password e definito il server vCenter, si procede con l’analisi.

Notare che utilizzare un utente amministratore non è comunque un pericolo, perché Runecast non applica nulla e non modifica le impostazioni dell’ambiente virtualizzato, in quanto agisce solo in lettura; quindi si limita a leggere le informazioni del nostro ambiente, segnala se c’è un problema e dove c’è il problema, come risolverlo ecc. ma non lo risolve. Lascia a noi la facoltà di intraprendere l’intervento, che sarà in ogni caso manuale, anche perché la fase di risoluzione potrebbe essere delicata: banalmente delle cose possono essere corrette installando una patch o un certo  aggiornamento, mentre altre potrebbero richiedere l’intervento del System Administrator. Per esempio Runecast evidenzia che c’è una porta SSH aperta e ciò a livello di sicurezza non va bene, quindi consiglia di chiuderla o limitare gli accessi attraverso di essa.

Runecast fornisce quindi una serie di suggerimenti anche dal punto di vista della sicurezza: non fa solo analisi di compliance a livello HCL, perché sarebbe veramente riduttivo, ma porta tutta una serie di baseline di VMware sulla sicurezza e sulla corretta configurazione dell’ambiente virtualizzato che analizza. Ci sono sia quelle di VMware e poi c’è tutta la parte di hardening relativa quindi alla componente di sicurezza (per esempio ISO7000) e di compliance di sicurezza.

Interpretare i report sulla compliance

In ambienti dove le compliance sono un must, probabilmente utilizzare Runecast è anche esso un must, perché rilascia un report dettagliato secondo le compliance standard.

Tra l’altro fornisce anche indicazioni precise che spesso, traducendo norme sulla compliance come ad esempio le ISO 27000, non è facile applicare: per esempio c’è una spiegazione lunghissima di come dovrebbe essere fatto un qualcosa per essere conforme, però tecnicamente non indica cosa fare in un caso specifico, come ad esempio quello di un sistema informatico.

Nel report di Runecast, invece, oltre a ricevere l’informazione sulla compliance e a linkare il relativo testo, si può visualizzare una tab con le Best Practices da adottare, ossia un elenco di cosa bisogna applicare e fare. Quindi fa anche questo lavoro di semplificazione degli adempimenti per raggiungere la compliance.

È sicuramente un qualcosa di utilizzabile in ambienti dove dovrà rispettare una serie di compliance ma è anche utile in ambienti dove normalmente non si è vincolati alla compliance: per esempio se si ha un ambiente virtualizzato per il quale non è richiesta la compliance ISO 27000, è comunque utile avere report almeno sulla conformità alle specifiche VMware e informazioni sul fatto che il sistema rispetti almeno i criteri di sicurezza previsti.

Con riferimento all’immagine seguente, che propone la Dashboard di Runecast, possiamo fare un esempio di analisi reale su un ambiente virtualizzato che fornisce informazioni sullo stato di sicurezza e sui problemi riscontrati, suddivisi e identificati per tipo (Configuration Issues by Severity) e per livello (Configuration Issues by Layer).

Infatti si vede che nel rapporto della Main Dashboard è indicato in alto a destra Security Compliance al 50%, per cui probabilmente bisogna fare una serie di attività che sono quelle indicate nel resto della pagina; e viene anche indicata la percentuale di adozione delle Best Practice, ossia quando nell’ambente siano state applicate le buone regole previste.

Scorrendo in basso nella Dashboard si vedono poi i vari problemi per layer e le attività suggerite, che non sono relative esclusivamente all’host ma anche alla macchina virtuale, quindi si riceve informazione ad esempio se c’è qualche parametro di configurazione che bisogna mettere a posto sulla VM: ad esempio se è abilitato il copia-incolla dalla console di VMware, ciò viene evidenziato e segnalato perché potrebbe essere un problema di sicurezza.

Per capirlo basti pensare che se un hacker buca il sistema e in qualche modo riesce a entrare in un PC, piuttosto che a bucare il vCenter, se apre la console di VMware fa copia incolla e in un attimo ha introdotto un ramsonware!

Skyline di WMWare e Runecast: differenze

Viene da chiedersi, siccome il servizio Skyline di VMware svolga compiti simili a quelli di Runecast, quali siano le differenze tra tali soluzioni. Ebbene, la prima è che il servizio Skyline di VMware prevede che si abbia una subscription e una licenza “grossa” di VMware, quindi una licenza per ambienti enterprise.

Secondo, il servizio Skyline è on demand: effettua l’analisi e quest’analisi viene inviata ai tecnici per un’ulteriore analisi, i quali poi rispondono; quindi i tempi di responso sono lunghi.

Banner

In vece Runecast è più immediato: fa un’analisi nel tempo di qualche minuto, quanto basta a eseguire la scansione dell’ambiente, fornisce un responso. Runecast si aggiorna con un database VMware e con quello che eventualmente viene aggiunto a livello di compliance da parte di Runecast (allo scopo si collega ai server Runecast per scaricarsi gli aggiornamenti dei database KB) e poi ogni giorno che esce una KB di VMware l’aggiorna. Quindi Runecast ha tra le proprie attività anche quella di aggregare tutto questo know-how che c'è in giro. In più ha tutta la parte di hardening che pSkyline non ha perché lo fa solo per l’ambiente VMware e quindi lo fa solo per sé stesso.

Runecast - Licensing - Differenze tra le tre diverse versioni

Per Runecast esistono tre forme di licensing, anche consulabli dal sito www.coretech.it dal quale è possibile l’acquisto (immagine seguente); il primo tipo di licensing è quello Analyzer Audit, che sostanzialmente è una licenza one-shot utilizzabile per 14 giorni e associata a una CPU. La licenza si compra in base ai socket dell’ambiente target (tipicamente copre 1 socket) e per 14 giorni si può continuare a fare analisi, mettere a posto irregolarità e correggere le configurazioni.

La licenza del genere è indicata per chi deve utilizzare Runecast non tanto in ambiente di produzione ma magari per un consulente IT che volesse dare al cliente un feedback di un livello un po’ più professionale, per far capire ad esso che cosa andrà a fare come lavoro sull’infrastruttura e rendere evidenti le cose richiedono un intervento.

La disponibilità di uno strumento di analisi certificato che può evidenziare carenze e non conformità alle Best Practice di VMware è fondamentale per il professionista IT che fa attività di consulenza, ad esempio può avere difficoltà a dover spiegare al cliente che deve fare delle attività su VMware anche se magari in apparenza funziona tutto e non occorre aggiornare versione ecc.

Con un costo veramente irrisorio per quella che è la la licenza Audit, si lancia il deploy della OVF e si esegue la scansione, dalla quale si ottiene un report che indicherà lo stato di compliance e tutte le attività che bisogna fare.

Un documento del genere dato al cliente non è discutibile e di fronte al report non si possono fare considerazioni soggettive, perché non si tratta della parola del tecnico ma di un’analisi indipendente.

Peraltro Runecast è uno strumento quasi indispensabile per verificare lo stato di un’installazione VMware in ambiente virtualizzato in quanto VMware ogni giorno rilascia Best Practice, KB su errori, problemi e bug e che sono stati trovati e che se un tecnico dovesse mettersi ad analizzare ogni singolo aspetto ci perderebbe le giornate; Runecast fa questa analisi al posto del tecnico IT, semplificandogli il lavoro e consentendo di effettuare analisi per i clienti ad un prezzo ridotto rispetto a quello che dovrebbe esporre se l’analisi dovesse compierla fisicamente. Infatti il cliente tipo non pagherebbe due o tre giornate di lavoro per sapere se il suo ambiente VMware è conforme alle HCL, però magari la giornata di lavoro comprensiva dell’Audit la accetterebbe di più.

Banner

Passiamo alla seconda forma di licenza che è la Analyzer: costa €250 a socket l'anno e vale sempre per una CPU e un socket; questa può essere proposta per quei contesti dove magari si è apprezzata l’utilità attraverso la prova della Audit. Il maggior costo deriva dal fatto che l’utilizzo è illimitato, quindi per la durata annuale è è possibile lanciare tutte le scansioni che si vuole.

Ad esempio può essere utile a chi si occupa di consulenza specifica su un ambiente o per gli amministratori di sistema di un’azienda che possiede e vuole manutenere il proprio ambiente VMware.

Esiste infine una versione per il Service Provider che ha la necessità di operare su più ambienti e vuole eseguire Audit su tutti periodicamente, gestendoli da remoto; qui il costo è più elevato (6.600 euro/anno) ma giustificato dal fatto che la licenza copre 32 socket (33 CPU) per un anno intero; quindi per il Service Provider è possibile gestire varie situazioni coprendole con le risorse a disposizione e fornendo le analisi come servizio.

Con la versione Service Provider è possibile collegarsi in VPN per effettuare la gestione attraverso un’unica console centralizzata, oltre che allocare le licenze ai vari clienti; inoltre con la versione uscita recentemente è resa disponibile quella che viene chiamata “Enterprise Console”: il provider può, dalla propria console e tramite delle API e dei token che le varie console si scambiano, collegare altre console; questo non significa che c’è un’unica schermata dove vedere tutti gli ambienti, però si dispone di un’unica schermata dove cliccando si collegheranno tutte le console degli altri ambienti.

Ripe Ncc Member
vmware
CloudLinux
Plesk
HP
Microsoft