Aylık arşiv Kasım 17, 2017

ileadmin

Vmware Vsphere Bölüm 5-Vmware Vcenter Server Mimarisi

Merhabalar,

Bu yazımızda Vmware Vcenter’dan bahsedeceğiz.

Vmware Vcenter,birden fazla ESXI hostumuzu ve  bu hostlar üzerinde çalışan sanal makineleri merkezi olarak yönetmemize yarar.

Vcenter Server Mimarisi

Vcenter Server yazılımı birçok servisi ve modülü bünyesinde barındıran bir hizmettir.             Bu yazılım desteklenen işletim sistemleri üzerine kurulabilir veya virtual appliance olarak kullanılabilir. Vcenter Server kullanarak,DRS,Vmware Vsphere HA,Vmware Vsphere Fault Tolerance gibi gelişmiş özelliklere sahip oluruz.Birden fazla Vcenter Server,gruplanarak Vcenter serverlarında merkezi olarak yönetilebilmesi sağlanır.
Vcenter Server mimarisi aşağıdaki bileşenler üzerine kuruludur.

Vmware Vsphere Client:Host’larımızı yönetmede kullandığımız Vsphere Client yazılımı,Vcenter Serverımızı yönetmede de kullanılır. Vsphere Client kullanarak Vcenter server’ımızı yönettiğimiz de Vcenter Server ile host’larımızı ve diğer kaynakları da yönetebiliriz.

Vcenter Server Database:Vcenter Server’ın en kritik bileşenidir. Bu database içerisinde,inventorydeki objeler,resource pools,performance data’ları ve diğer kritik bilgiler bulunur.

Active Directory Domain:Vcenter Server Active Directory domain’e dahil olmak zorunda değildir. Ancak Active Directory domain’ine dahil olursa Active Directory’deki kullanıcı ve gruplardan faydalanılabilinir. Eğer Active Directory domain’ine dahil değilse yerel kullanıcı ve gruplar kullanılabilir.

ESXI ve Vcenter Server Arasındaki Iletişim

Vcenter Server ve ESXI hostlara erişimin Vsphere Client sayesinde gerçekleştirildiğinden bahsetmiştik.

Vcenter Server’ın ESXI host’a erişimi,VPXA adındaki Vcenter Server agent’ı sayesinde olur.
ESXI Host’u VCenter Server envanterine eklediğimiz de host üzerine Vpxa agent’ı kurulur.
Vpxa agent’ı host üzerindeki hostd ile iletişime geçer. Vpxa bir aracı gibi çalışır. Host üzerine kurulan agent ilgili Vcenter’a özel bir agenttır.

Hostd,ESXI host üzerinde çalışan ve host üzerinde gerçekleştirilen bir çok işlemden sorumlu bir bileşendir.

Vcenter Server’a  Vsphere Client kullanarak oturum açtığımız da,Vcenter Server kendisine gelen komutları vpxa yoluyla ESXI host’a gönderir ve Vcenter veritabanı güncellenir.

Eğer Vsphere Client kullanılarak doğrudan ESXI host ile iletişime geçersek,iletişim host ile olur ve Vcenter veritabanı güncellenmez.

Not:Vcenter Server üzerinde,Vcenter Server servisi (Vpxd) durduğunda Vsphere Client kullanılarak Vcenter server’a bağlanamayız.

Vcenter Server Components

Vcenter Server aşağıdaki servisleri ve arabirimleri içermektedir.

  • Core Services:Kaynakların ve sanal makinelerin,alarm ve olayların,host ve sanal makinelerin konfigurasyonunu,sanal makine provision  yönetim işlemlerini gerçekleştirirler.
  • Distributed Services:Vmotion,DRS ve HA
  • Temel kurulumdan ayrı olarak kurulumları gerçekleştirilebilen ve ilave lisans istemeyen Update Manager,Orchestrator gibi modüller.
  • Veritabanı arabirimi,Vcenter Server veritabanına erişim sağlar.
  • Vcenter Server,ESXI host’a erişimi Vcenter server agent’ı sayesinde sağlar.Bu agent host üzerinde host Vcenter envanterine eklendiğinde başlar.
  • AD arabirimi,domain kullanıcı hesaplarına erişim sağlar.
  • Vmware Vsphere API,3rd party uygulamalar,Vsphere client ve plug-in için arabirim sağlar.

İlave Vcenter Server Modülleri (Plug-ins)

Vcenter Server’a ilave özellikler katarlar.

Vmware Vsphere Updater Manager,Vmware Vcenter Site Recovery Manager gibi.

Bu modüller,Server bileşenleri ve Client bileşenlerini içerir.

  • Modülün Server Bileşeni Vcenter Server’a kurulur ve Vcenter Server’a kayıt edilir ve client bileşeni (plug-in) Vsphere Client’a download için kullanılabilir.
  • Plug-in kurulduktan sonra,menülerde kurulan plug-in’e bağlı olarak değişiklikler olabilir.

Modüller,temel Vcenter Server yeteneklerini kullanmalarının yanında kendilerine özel özelliklere de sahip olabilirler.(Event,task,privilege’lerine v.b)

Modüller,Vcenter Server’a ihtiyaç duyarlar ve Vcenter Server kurulduktan sonra kurulabilirler. Modüller ve Vcenter bağımsız olarak upgrade edilebilirler.

Default Vcenter Server Plug-Ins

Vcenter Server,default plug-in’lerle beraber kurulur.
Yeni plug-in’ler eklemek için Vsphere Client üzerindeki Plug-ins-(Manage Plug-ins)-(Plug-in Manager) kullanılır.Vcenter Server üzerinde modülün Server bileşeni kurulduktan sonra, Plug-in Manager yardımıyla bu modülün plug-in’i kurulur.

İlave plug-in’ler Vmware tarafından ücretsiz olarak verilen plug-in’ler olabileceği gibi (Update Manager,Vcenter Orchestrator v.b),diğer üreticiler tarafından ücretli olarak sağlanan plug-in’lerde olabilir.

Vcenter Single Sign On

Single Sign on ile bir kez oturum açıldıktan sonra kimlik bilgilerinin tekrar girilmesine gerek kalmaz. Single Sign On Yararlarına bakacak olursak

  • Kimlik doğrulamanın basitleşmesiyle daha hızlı ve daha basit çalışma imkanı
  • Bileşenler arasında güven ilişkisi
  • Daha iyi mimari
  • Open standart desteği
  • Birden fazla kimlik kaynağı(Active Directory forest’ları,Domain’leri veya birleştirilmiş kimlik kaynakları)

Single Sign On özelliklerine bakacak olursak,

  • Vsphere ortamındaki Vcenter sunucuların otomatik olarak discover edilebilmesi
  • Vcenter Server’lar bir kere register edilmelidirler.
  • Kullanıcılar sahip oldukları izinler doğrultusunda tüm Vcenter sunucularını görebilir.

Single Sign-On Server

1)Kullanıcı Vsphere Web Client’a kullanıcı adı ve şifresi ile login oluyor.

2)Kimlik bilgileri Vcenter Single Sing-On server’a gönderiliyor.

3)Kimlik bilgileri bir veya bir den fazla  kimlik kaynağı (Identity Source) tarafından doğrulanır.

4)Kimlik doğrulama başarılı olursa,kimlik bilgileri security toke’a dönüştürülür,bu security token kullanıcıya teslim edilir.

5)Kullanıcı Vsphere ortamındaki farklı çözümlere erişebilir.

Identity Sources

Kullanıcı ve grup bilgisi Active Directory,LDAP,veya işletim sistemi gibi bir alanda depolanır.Tek bir SSO server’a birden fazla identity source ekleyebiliriz.

Not:Single Sing-On servisini yönetebilmek için Vsphere Web Client kullanmak zorundayız.

Bu yazımız da Vcenter mimarisinden bahsettik bundan sonra Vcenter makalemiz de Vcenter envanterinin yönetiminden bahsedeğim.

Kolay gelsin

ileadmin

Trend Micro OfficeScan-Device Control

Merhabalar,

Bu yazımda Trend Micro Officescan üzerinde yer alan Device Control özelliğinden bahsedeceğim.
Device Control,bilgisayarlara bağlı olan harici depolama aygıtları ve ağ kaynaklarına erişimi düzenler.
Aynı zamanda Device Control veri sızıntılarını önlemeye ve  Officescan’in
dosya tarama özelliği ile de entegre olarak güvenlik risklerinden de korunmaya yardımcı olur.
Device Control politikalarını Officescan hiyerarşisi içerisinde agent gruplarına ve belirli agentlara uygulayabiliriz.
Officescan üzerinde monitör edilebilecek cihaz türlerinin kapsamı Data Protection
lisansımızın aktif edilmiş olması ile ilgilidir.
Data Protection  ayrıca lisanslanan bir modüldür ve kullanmadan önce etkinleştirilmesi gerekmektedir.
Aşağıdaki cihaz türleri Data Protection modülü etkinleştirildikten sonra izlenebilmektedir.

  • Mobil Aygıtlar
  • Depolama Aygıtları (CD/DVD,Floppy,Ağ sürücüleri,USB Depolama Aygıtları)
  • Depolama Aygıtı olmayan cihazlar (Bluetooth adapters COM ve LPT portları,
  • IEEE 1394 arabirimi,Görüntüleme aygıtları,Infrared aygıtlar,Modemler,PCMCIA kart,
    Print screen tuşu Wireless Ağ Bağdaştırıcıları)

Depolama Aygıtları İle İlgili İzinler

USB Depolama Aygıtlarına,CD/DVD,floppy diskler’e ve ağ sürücülerine farklı seviyelerde erişime izin verebiliriz.
Onaylanmış USB Depolama aygıtları listesini kullanarak,bu listede olmayan aygıtların kullanılmasını engelleyebiliriz.
Yine bu listede yer alan aygıtlar için farklı seviyelerde erişim izinleri tanımlayabiliriz.
Depolama aygıtlarına uygulanabilecek izinler ve detayları aşağıda belirtildiği gibidir.

a)Full Access

Bu izin verildiğinde aygıt üzerindeki dosyalar kopyalanabilir,taşınabilir,açılabilir,kayıt edilebilir,silinebilir ve çalıştırılabilir.
Aygıt üzerine ise dosyalar  kayıt edilebilir,taşınabilir ve kopyalanabilir.

b)Modify

Bu izin verildiğinde aygıt üzerindeki dosyalar kopyalanabilir,taşınabilir,açılabilir,kayıt edilebilir ve silinebilir.
Ancak bu dosyalar çalıştırılamazlar.
Aygıt üzerine ise dosyalar  kayıt edilebilir,taşınabilir ve kopyalanabilir.

c)Read and Execute

Bu izin verildiğinde aygıt üzerindeki dosyalar kopyalanabilir,açılabilir ve çalıştırılabilir.
Ancak bu dosyalar taşınamazlar,silinemezler,kayıt edilemezler.
Aygıt üzerine ise dosyalar kayıt edilemezler,taşınamazlar ve kopyalanamazlar.

d)Read

Bu izin verildiğinde aygıt üzerindeki dosyalar kopyalanabilir ve açılabilir.
Ancak bu dosyalar taşınamazlar,silinemezler,kayıt edilemezler ve çalıştırılamazlar.
Aygıt üzerine ise dosyalar kayıt edilemezler,taşınamazlar ve kopyalanamazlar.

e)List Device Content Only

Bu izin verildiğinde aygıt üzerindeki dosyalarla ilgili tüm işlemler yasaklanmıştır.
Ancak  aygıt ve içerdiği dosyalar kullanıcı tarafından görüntülenebilir.
Aygıt üzerine ise dosyalar kayıt edilemezler,taşınamazlar ve kopyalanamazlar.

f)Block (Data Lose Prevention özelliği yüklenmiş ise kullanılabilir)

Bu izin verildiğinde aygıt üzerindeki dosyalarla ilgili tüm işlemler yasaklanmıştır.
Aygıt ve içerdiği dosyalar kullanıcı tarafından görüntülenemezler.
Aygıt üzerine ise dosyalar kayıt edilemezler,taşınamazlar ve kopyalanamazlar.
Dosya bazlı tarama özelliği aygıtlar ile ilgili izinleri tamamlayıcı niteliktedir ve bu izinleri override edebilir.
Örneğin,izinler de dosya açılabilsin dedik ancak bu dosya zararlı bir içeriğe sahip ise
tarama işleminde belirtilen aksiyona bağlı olarak dosya açılır veya açılmaz.

Depolama Aygıtı olmayan Aygıtlar ile İlgili İzinler

Depolama aygıtı olmayan aygıtlara erişim ile ilgili sadece allow yada block seçimini yapabiliriz.

Device Control Uyarılarını Özelleştirme

Son kullanıcı bilgisayarlarında Device Control ihlalleri oluştuğunda oluşan uyarı mesajlarını özelleştirebiliriz.
Bu işlem için,

1)Administration-Notifications-Agent bölümüne gidelim.
2)Type bölümünden Device Control Violations seçimini yapalım.
3)Varsayılan olarak gelen mesajı istediğimiz bir mesaj ile değiştirelim.
4)Save butonuna basarak yaptığımız değişiklikleri kayıt edelim.

Device Control Logları

Officescan agentları yetkisiz cihaz erişimlerini loglar ve bu logları server’a gönderir.
Agentlar topladıkları  logları 1 saatlik süre sonunda sunucuya gönderir.
Eğer ki geçen süre 1 saati aşarsa,agent logları hemen gönderecektir.
Logların harddisk üzerinde çok fazla alan kaplamasını önlemek için logları
elle silebileceğimiz gibi zamanlanmış bir log silme görevi de tanımlayabiliriz.
Officescan üzerinde sadece depolama aygıtları ile ilgili erişimler için log üretilmektedir.
Depolama aygıtları dışındaki aygıtların erişimine izin verilebilir yada yada yasaklanabilir
ancak bu erişimler ile ilgili log tutulmaz.
Device Control Loglarını Görüntülemek için,

1)Logs-Agents-Security Risks yada Agents-Agent Management yolunu izleyelim.

2)Loglarını görüntülemek istediğimiz domain veya agent üzerinde sağ tıklayalım ve Logs-Device Control Log komutunu verelim.

3)Log görüntüleme kriterlerimizi belirleyelim ve Display Logs butonuna basalım.

4)Logları csv formatında kayıt etmek için Export to CSV linkine tıklayalım.

Kolay gelsin