ESX / ESXi - Hilfethread

Hallo :)
heute hatte ich nun mal ein wenig Zeit mit ESXi rum zuprobieren.

Nachfolgend mal das System:
AMD Athlon II X2 240e (2x 2.80GHz)
MSI 785GM-E51
WD Scorpion Blue 5400 U/Min(1TB)
Kingston 4096MB DDR3

Die Installation von ESXi 5.5 wurde via USB-Stick ausgeführt. Kleine Anfangsschwierigkeiten (zu wenig RAM für Installation, keine Realtek-Netzwerktreiber) konnten schnell beseitigt werden.

Als Konfigurationsverzeichnis wurde vorerst ein NFS-Laufwerk verwendet, da ESXi sich scheinbar nicht dazu überreden lässt, das Verzeichnis aus den USB-Stick auszulagern?

Mein Plan war nun eine VM anzulegen und ihr die SATA-HDD als RAW-Laufwerk zur Verfügung zu stellen. Beim anlegen der VM war jedoch dieser Punkt immer ausgegraut. Auch der Versuch via vmkfstools endete in einem "Failed to create virtual disk: Function not implemented (2490377).".

Jemand hierzu eine Idee :) ?
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hallo :)
vielen Dank für die schnelle Antwort. Genau so hab ich es gemacht und es kam besagter Fehler: Failed to create virtual disk: Function not implemented (2490377)

Lg
 
So ich noch mal mit einer Frage:
Ich will die Firewall virtualisieren. Nun wird davon an sehr vielen Stellen abgeraten, aber ich frage mich: Bin ich im Internet sicherer unterwegs, wenn ich meinen DD-WRT-Router statt der virtualisierten Firewall verwende (Sophos UTM 9)? Es handelt sich nur um ein Heimnetz.
 
Zuletzt bearbeitet:
paulianer schrieb:
So ich noch mal mit einer Frage:
Ich will die Firewall virtualisieren. Nun wird davon an sehr vielen Stellen abgeraten, aber ich frage mich: Bin ich im Internet sicherer unterwegs, wenn ich meinen DD-WRT-Router statt der virtualisierten Firewall verwende (Sophos UTM 9)? Es handelt sich nur um ein Heimnetz.
Zum Vergrößern anklicken....
Naja, ein Router mit DD-WRT blockt ja nur Verkehr von außen, eine Sophos UTM scannt auch den ausgehenden Verkehr und kann somit Würmer oder sonstiges, was verdächtig erscheint, blockieren, wenn sie über einen USB-Stick o.ä. auf einen internen Rechner gekommen sind. Deswegen ist auch eine virtualisierte Firewall per se sicherer als ein "normaler" Router, besitzt allerdings theoretisch mehr Angriffsmöglichkeiten als eine nicht virtualisierte Firewall.

In einer Produktivumgebung in einer Firma würde ich eine Firewall nicht virtualisiert laufen lassen, zuhause sehe ich da weniger Probleme.
 
wie immer kommt drauf an
wenn das internet nur mit pppoe ereichbar ist ist wohl eine virtuelle FW genauso o. besser da ja die Netzwerkkkarte des ESX nicht ereichbar ist für das Internet
das durchreichen einer Netzwerkkarte würde dies auch verhindern und ein externer Switch der VLAN tagging macht und dies bis zur FW VM durchreciht wäre auch möglich...
 
Gegen die NSA wird wohl keine Firewall helfen. Für alle anderen wird es sicher einfacher sein, einzubrechen und mitzunehmen was von Interesse ist. Mir ist zudem kein Fall bekannt, indem eine virtuelle Firewall dadurch überwunden wurde, dass aus einer VM heraus eine andere VM kompromitiiert wurde. Problematisch sind eher Softwarebugs oder Backdoors in der Firewall Software.

Das Gefährliche ist jeder Zugriff auf die ESXi Managementfunktionen. Die gilt es zu sichern - entweder wenigstens durch ein separates Management vlan, ein separater virtueller Switch mit einer separaten Netzwerkarte für den normalen VM Traffic oder gar einem hardware pass-through für die Firewall Nic - zumindest für den WAN Netzwerk Anschluß.

Selbst der aktuelle Fall bei OpenSSL wo zuerst ein Hypervisor in Verdacht war, stellte sich dann als schwaches Passwort und Zugriffsmöglichkeit auf die Management Konsole heraus. Die muss man physikalisch oder wenigstens logisch per vlan vom normalen Datentransfer oder Zugang trennen.

OpenSSL-Webseite über Hypervisor kompromittiert | heise online
 
Zuletzt bearbeitet:
Hey,

danke für die Antworten. Das deckt sich ziemlich genau mit meinen Überlegungen.
Ich bin noch am testen, aber generell scheint mein Vorhaben mit der virtualisierten Firewall direkt gescheitert zu sein: Der Server (HP ML310e) unterstützt kein Passthrough bei Netzwerkkomponenten, weder bei den zwei verbauten Broadcom-Chips noch bei der separaten Intel-Dual NIC. Sehr ärgerlich. Verwende ich ein seperates VSwitch für die Firewall bucht mein Kabelmodem natürlich die Netzwerkkarte des VSwitch ins Internet und nicht die virtuelle Firewall-Netzwerkkarte. Ärgerlich. So komme ich wohl doch nicht darum herum, den DD-WRT weiter zu nutzen.
 
paulianer schrieb:
Hey,

danke für die Antworten. Das deckt sich ziemlich genau mit meinen Überlegungen.
Ich bin noch am testen, aber generell scheint mein Vorhaben mit der virtualisierten Firewall direkt gescheitert zu sein: Der Server (HP ML310e) unterstützt kein Passthrough bei Netzwerkkomponenten, weder bei den zwei verbauten Broadcom-Chips noch bei der separaten Intel-Dual NIC. Sehr ärgerlich. Verwende ich ein seperates VSwitch für die Firewall bucht mein Kabelmodem natürlich die Netzwerkkarte des VSwitch ins Internet und nicht die virtuelle Firewall-Netzwerkkarte. Ärgerlich. So komme ich wohl doch nicht darum herum, den DD-WRT weiter zu nutzen.
Zum Vergrößern anklicken....

Einen vlan-fähigen Switch benutzen und damit getaggt in den ESXi gehen (z.B. Management, Lan, Wan). Dort dann vnics für die vlans anlegen und gut ist.

ps
Wieso geht es nicht, eine physikalische Nic an einen virtuellen Netzwerkswitch + vnic zu binden und damit Wan zu routen?
 
Zuletzt bearbeitet:
paulianer schrieb:
So ich noch mal mit einer Frage:
Ich will die Firewall virtualisieren. Nun wird davon an sehr vielen Stellen abgeraten, aber ich frage mich: Bin ich im Internet sicherer unterwegs, wenn ich meinen DD-WRT-Router statt der virtualisierten Firewall verwende (Sophos UTM 9)? Es handelt sich nur um ein Heimnetz.
Zum Vergrößern anklicken....

Im privaten Umfeld würde ich mir da keine Gedanken machen. Im IPFire Forum wurde es auch schon des öfteren diskutiert. Firewall virtualisieren?

Alternativ kannst du dir hinter dein DD-WRT auch ein Raspberry Pi mit IPFire stellen :)

VT-D haste im BIOS aber schon aktiviert oder? Eigentlich muss das nur Chipsatz und CPU unterstützen.
 
Zuletzt bearbeitet:
Ich sehe das wie Xeroxx, im privaten Umfeld durchaus akzeptabel. Im Firmenumfeld mal von der Sicherheitsdiskussion abgesehen: Wenn man dann Probleme bei der Virtualisierungsumgebung hat kann man die nichtmal remote lösen, weil die Firewall und VPN Einwahlpunkt ja dann auch nicht geht.

Zuhause habe ich vor kurzem mein Alix Board mit IPfire durch eine VM abgelöst, dabei allerdings die externe Netzwerkkarte mit VT-d durchgereicht.

@Xeroxx ich wusste gar nicht, dass es einen Port für den Pi gibt. Wird dann eine zweite Netzwerkkarte über USB drangehängt? Wieviel VPN Durchsatz schafft der kleine? War für mich mit ein Grund vom Alix auf eine VM zu wechseln.
 
Gibts schon länger. Einfach das ARM Image (ohne serial console) nehmen: downloads.ipfire.org - Download IPFire 2.13 - Core Update 74
Zweites Netzwerkinterface per USB. Hab eins für ~8€ genommen mit dem Chipsatz wie im Wii Adapter.

VPN Durchsatz kann ich dir nicht sagen habe ich nicht getestet. Natürlich ist das WebIF durchaus etwas träger als auf einer VM.

Wenn noch mehr wissen möchtest schreib mir ne PN, gehört nicht wirklich hier in den Thread :)
 
Nein, man kann mit einem HP-Server keine Netzwerkhardware virtualisieren ab 5.1, zumindest laut diesem Beitrag: HP Support Center



Hmm, das ist auch erst mal egal, denn ich habe ein ganz anderes, wesentlich nervigeres Problem: Ich habe eine verschlüsselte Festplatte, die dem Fileserver (Windows 8 Pro) per RDM durchgereicht ist. Und diese Festplatte (1500 GB) ist brutalst langsam und krückt bei Schreibraten um 17 MB/s herum. Die nicht verschlüsselte Festplatte (500 GB) erreicht normale Werte über 100 MB/s.

Irgendwelche Vorschläge? Laut TrueCrypt Benchmark liegt die Entschlüsselungsgeschwindigkeit auf normalem Niveau.
 
Lesend schaffe ich die volle Geschwindigkeit (TC-HDD > HDD): ca. 60 MB/s
Schreibend (Netzwerk > TC-HDD oder HDD > TC-HDD) ca. 17 MB/s

TrueCrypt Benchmark bestätigt, dass die AES-Beschleunigung problemlos zu arbeiten scheint: Über 2 GB/s mit 2 CPUs und 24 GB RAM (testweise ^^).

Aufgefallen ist es mir, als ich meine Foto-Sammlung über das Netz draufgeschoben habe. Da dachte ich noch: Oke, viele kleine Dateien.
Gegengetestet habe ich es mit einer 21 GB großen Datei. Die ersten hundert MB cached er, danach bricht die Schreibrate auf unter 20 MB/s ein. Sehr nervig.


Was mich verwundert: Schreibe ich auf die verschlüsselte Festplatte cached Windows die ersten x MB, auf der nicht verschlüsselten Festplatte wird dagegen gar nichts gecached.
 
Zuletzt bearbeitet:
Also keine Ahnung was du genau für CPUs hast, aber mein Laptop schafft laut AES TC Benchmark auch über 2GB/s - das ist dann mit 2 CPUs vielleicht keine Garantie für das Durchreichen der Funktion
 
Da arbeitet ein 4 Kern-IvyBridge-Xeon im Server. Der sollte mehr als genug Reserven haben. Vielleicht verträgt sich TrueCrypt einfach nicht mit RDM? Oder gibt es Probleme mit der Größe? Die nicht verschlüsselte SSD hat nur 500 GB, die verschlüsselten 1500 GB?
 
Also ein Xeon oder 2 Xeons?

Bei einem wäre das ok. Die Größe sollten eigentlich kein Problem sein, ich verschlüssele 4TB HDDs damit (ohne RDM und nicht im ESXi natürlich)
 
in der VM dürfte doch die Hardwarebeschleunigung nicht funktionieren, oder? Bin mir da grad nicht ganz sicher ob das tut...
 
in der VM funktioniert die Hardwarebeschleunigung. Habe Truecrypt in einer VM am laufen und der Benchmark zeigt an das es mit der Hardwarebeschleunigung läuft. Komme auc ca 900MB/s
 
Mal ehrlich - mit Hardwarebeschleunigung muss das doch weitaus mehr sein? Bei AES komme ich im Büro mit dem i7-3770 auf 3,6GB/s, selbst mit dem Notebook komme ich auf 2,xGB/s - da sind 900MB/s nicht wirklich prall. Das kommt meinem alten Quadcode Xeon ohne AES-NI nah (kein AES-NI weil Hyper-V das deaktiviert hat)
 
Die "Beschleunigung" besteht ja auch einfach aus einigen CPU-Befehlen für AES. Die CPU ist ja nie abstrahiert und immer mit allen relevanten Befehlen in der VM verfügbar (einige privilegierte opcodes werden halt abgefangen, soweit ich das verstehe). Sprich, man sieht in der VM keine generische CPU sondern immer die, die im Host steckt.

Unter FreeBSD kann GELI übrigens auch AES-NI nutzen.
 
Das man die CPU im Host sieht ist richtig - das ist bei HyperV auch so. Trotzdem kann weder der Host noch der Gast AES-NI nutzen sobald bei 2008R2 Hyper-V an ist. Daher bin ich mir beim ESXi einfach nicht sicher ob er das kann.

Gerade mal getestet: AES-NI wird angezeigt, beim TC Benchmark kommen aber auf nem E7-4830 mit 2 Threads in der VM (host macht sonst nix großartig) bei AES nur 5xxmb/s rum. Das Flag wird vielleicht angezeigt, aber das ist für mich WEIT von Hardware-Beschleunigung entfernt.
 
Zuletzt bearbeitet:
AES-NI wird definitiv unterstützt, ich schaffe mit 2 CPUs in der VM im Benchmark von TC ca. die Hälfte der Punkte meines Desktop-PCs mit i7. Aber das Problem bleibt bestehen. Ich habe mir auf der Arbeit einen alten Raid-Controller rausgesucht und werde den einfach mal heute Abend testen, mal schauen ob ich den durchreichen kann. Windows 8 Pro.

therealJMC schrieb:
Gerade mal getestet: AES-NI wird angezeigt, beim TC Benchmark kommen aber auf nem E7-4830 mit 2 Threads in der VM (host macht sonst nix großartig) bei AES nur 5xxmb/s rum. Das Flag wird vielleicht angezeigt, aber das ist für mich WEIT von Hardware-Beschleunigung entfernt.
Zum Vergrößern anklicken....
Oha! Mit welchem Gast-Betriebssystem?
 
Zuletzt bearbeitet:
Windows XP als Gast (da das die einzige VM war die gerade zur Hand war auf der Maschine auf der ich mal eben TC installieren konnte)

Imho sollte bei nem E7-4830 (eigentlich auch mit 2 Threads) mit AES-NI mehr als 5xxMB/s rumkommen.

Wobe stimmt, zum Vergleich:
Xeon E3-1260L ohne AES-NI (dank Hyper-V aus) schafft ~290-300MB/s mit 8 Threads

Edit:
E7-4830 mit 16 Threads 1,5GB/s im Benchmark. Das sollte mit AES-NI (das ja auch angezeigt wird) aber doch deutlich schneller sein?!
 
Zuletzt bearbeitet:
Aus dem Kopf: i7 2600k nativ auf Windows 8 Pro waren glaube ich 3,8 GB/s mit 4C/8T. Der IvyBridge Xeon schaffte in der VM mit 2 Threads ca. 2 GB/s.
 
also ich habe einen E5-2620 @2Ghz im ESXi Server.

Es handelt sich um eine Server 2008 R2 VM mit 2 Kernen und 1GB Ram.
Wenn ich in TC die AES Beschleunigung deaktivere komme ich bei einer Buffer Size von 100MB auf ca 160-170MB/s. Mit Beschleunigung geht es teilweise auf 900MB/s hoch. Die anderen Werte wie Twofish,Serpent bleiben gleich.

Beim Benchmark stehen die 2 Kerne der VM aber bei 100%. ;-)
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh