ESX / ESXi - Hilfethread

Hallo alle zusammen.
Ich bin seit einigen Tagen auf der Suche nach einer Problemlösung, aber leider bis jetzt erfolglos.

Und zwar habe ich mir in meinen HP ML350p eine Adaptec 5054 eingebaut an der ein LTO Streamer hängt.
Soweit auch alles gut.
Nun gibt es verschiedene Probleme.
1. Bindet man in der VM Konfiguration direkt per Passthrough den Controller ein, stürzt im Anschluss esxi ab und startet automatisch neu.
2. Erstellt man eine VM und fügt im Nachgang den Controller ein ist alles super. Startet man dann die VM neu, stürzt esxi ab und startet neu.
3. Lässt man dann die VM aus und bootet sie nach dem ersten Start, stürzt ebenfalls esxi ab und bootet neu.

Was ist das für ein Verhalten.
In den esxi Logs kann ich nichts auffälliges sehen.
Im iLO sieht man das auf dem jeweiligen PCI-Port ein Fehler aufgetreten ist.

Ich frage mich jetzt, ist eventuell der Controller defekt oder hat esxi ein Problem mit der Karte?

Hat wer Erfahrung mit dem Controller und hat eventuell ähnliche Auffälligkeiten gehabt?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ein Defekt ist es ziemlich sicher nicht. Der Passthrough ist einfach eine delikate Angelegenheit und der Passthrough dieses Adaptec Controllers dürfte vermutlich weder offiziell durch VMWare unterstützt werden, noch vom eigenen Hersteller diesbezüglich dokumentiert sein.

Du könntest aber einfach mal versuchen den PassThrough manuell zu konfigurieren. Die VMWareDokumentation findest du hier.
Dementsprechend editierst du /etc/vmware/passthru.map

Würde z.B. mal versuchen fptShareable auf false zu setzen, weil das Sharing bei vielen Karten zum Crash führt.
Deine passthru.map sähe dann also etwa so aus:

#passthrough attributes for devices
#file format: vendor-id device-id resetMethod fptShareable
#vendor/device id: xxxx (in hex) (ffff can be used for wildchar match)
#reset methods: flr, d3d0, link, bridge, default
#fptShareable: true/default, false

<ven_id> <dev_id> default false

<ven_id> <dev_id> musst du natürlich durch die entsprechenden Daten deines Adaptecs ersetzen.
Falls das alleine nicht hilft, dann versuche einfach mal die verschiedenen möglichen reset methods durch.
 
Zuletzt bearbeitet:
Hi
Verwendet jemand von euch einen ESXi Server und daran/ dahinter ein Switch wo div. Vlan anliegen?
Sprich kann die Daten über das Vlan 2 rein gehen und über das Vlan 3 raus? In meinen fall geht es um einen Transparenten Squid der später alles Manangen soll welcher natürlich Transparent laufen soll. Bei Seiten welche Verboten werden soll einfach ein 404 raus kommen oder was ähnliches. Nur dafür sollen die Daten über das Vlan 2 (zb. Hotspot System) rein und weiter geleitet werden ins Internet.
 
Moin,

dafür benötigst du eine Firewall. Das wird nur was wenn man das sauber mit einer Firewall und dann verschiedenen Netzen über die Firewall routet. Wenn du es über den Switch routest verlierst du jeglichen Firewallschutz und Begrenzungsmöglichkeiten die dir eine Firewall bietet. Den dein Switch routet ja nur ist ja keine Firewall. Das ist eine Szenario das werden die meisten KMU oder auch hier ein paar Entusiasten haben sowie auch ich.
 
Du meinst aber schon einen Router?
Ich kenne mich mit den Linux zeug ned so aus aber kann man das so machen:
attachment.php


Das alle Daten zuerst durch den Virtuellen Squid müssen bevor Sie ins WAN gehen.
Der Squid entscheidet was geblockt wird durch div. Regeln die Ich teilweise jetzt schon benutzte.
 

Anhänge

  • lan.png
    lan.png
    1,5 KB · Aufrufe: 493
Du meinst aber schon einen Router?
Ich kenne mich mit den Linux zeug ned so aus aber kann man das so machen:
attachment.php


Das alle Daten zuerst durch den Virtuellen Squid müssen bevor Sie ins WAN gehen.
Der Squid entscheidet was geblockt wird durch div. Regeln die Ich teilweise jetzt schon benutzte.

Mit Linux hat das erstmal recht wenig zu tun, auch wenn die meisten Systeme da ein Unixoides OS drauf haben...
Wenn Du die Daten von einem Netzbereich in den anderen haben möchstest, machst Du das über Routing - soweit richtig.

Am Ende brauchst Du ein System mit 2 Netzwerkkarten (eine geht auch, is aber unschöner) und eine entsprechend Software, entweder nen RouterOS oder gleich ein FirewallOS

Vorteil der Firewall ist, das die Pakete die zwischen den Netzen geroutet werden, nach bestimmten Regeln eben erlaubt oder geblockt sind - der Router macht erst mal nur die "Verbindung der Netze" und kann dann Rudimentär mit AccessListen einschränken, was man darf, oder was nicht.

Dein Squid-Proxy ist meist bei den Firewalls irgendwie schon mit dabei, also nimmt man eben eine der vielen Firewall-OS die es schon am Markt gibt und entweder etwas mehr oder weniger "Eigenarbeit" erfordern...
 
Hat hier jemand schon mal das ASRock Rack X4704U mit ESXi 6.7 getestet? Bin bei meinem 24/7-VM-NAS von dem subjektiv immer langsamer werdenden Kaby Lake-4C/8T-Xeon genervt und werde wahrscheinlich kein Intel mehr kaufen.

Kann man den SATA-Controller des X470-Chipsatzes "unsuppported" sowie den ASM1061 an eine VM (Solaris 11.4 in der kostenlosen privaten Nutzung) durchreichen? Daran steht und fällt es leider, da dadurch ein weiterer HBA notwendig werden würde und eigentlich schon alle PCIe-Lanes verplant wären.
 
Ein Defekt ist es ziemlich sicher nicht. Der Passthrough ist einfach eine delikate Angelegenheit und der Passthrough dieses Adaptec Controllers dürfte vermutlich weder offiziell durch VMWare unterstützt werden, noch vom eigenen Hersteller diesbezüglich dokumentiert sein.

Du könntest aber einfach mal versuchen den PassThrough manuell zu konfigurieren. Die VMWareDokumentation findest du hier.
Dementsprechend editierst du /etc/vmware/passthru.map

Würde z.B. mal versuchen fptShareable auf false zu setzen, weil das Sharing bei vielen Karten zum Crash führt.
Deine passthru.map sähe dann also etwa so aus:

#passthrough attributes for devices
#file format: vendor-id device-id resetMethod fptShareable
#vendor/device id: xxxx (in hex) (ffff can be used for wildchar match)
#reset methods: flr, d3d0, link, bridge, default
#fptShareable: true/default, false

<ven_id> <dev_id> default false

<ven_id> <dev_id> musst du natürlich durch die entsprechenden Daten deines Adaptecs ersetzen.
Falls das alleine nicht hilft, dann versuche einfach mal die verschiedenen möglichen reset methods durch.

Danke für den Tipp ... das mit dem manuellen werde ich mir mal ansehen. :)
Ist Adaptec nicht relativ weit in dem Bereich verbreitet?
Hätte nicht gedacht das der Weg solch ein Problem dar stellt.
 
Stehe gerade auf dem Schlauch, mache es leider zu selten, um Routine drin zu haben - geht um Updates mit der Methode von VMware ESXi 6.7.0 Patch History

Habe mir als Trial die 6.7U2 gezogen, auf ein Testsystem installiert. Bislang kein Lizenzschlüssel eingegeben.

- Frisch installiert
- Host kann auf Router/Internetgateway zugreifen
- Host in den Wartungsmodus versetzt (WebGUI)
- SSH und ESXi Shell aktiviert
- SSH-root-Login über Terminal von Laptop aus
- Copy & Paste von:

Code:
esxcli network firewall ruleset set -e true -r httpClient
esxcli software profile update -p ESXi-6.7.0-20190604001-standard \-d [url="https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml"]https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml[/url]
esxcli network firewall ruleset set -e false -r httpClient

...führt bei der mittleren Zeile zu:

Code:
esxcli software profile update -p ESXi-6.7.0-20190604001-standard \-d https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml
 [MetadataDownloadError]
 Could not download from depot at https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml, skipping (('https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml', '', '<urlopen error [Errno -2] Name or service not known>'))
        url = https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml
 Please refer to the log file for more details.

???

Habe kürzlich Kaffee abgesetzt, hoffe, ich habe da keinen Facepalm-Hirnfurz.
 
Zuletzt bearbeitet:
Der ist von der Vorlage da, kannst Du Dir auf der Seite angucken, wenn Du auf die Links klickst (die zeigen nur Text an).

VMware ESXi 6.7.0 Patch History

Dann auf Imageprofile ESXi-6.7.0-20190604001-standard (Build 13981272) klicken.

Bin leider mit GUIs "aufgewachsen" und lerne erst nachträglich den Umgang mit Terminal & Co., um die verschiedenen Systeme besser kennenzulernen.
 
In den Autostart-Einstellungen die Aktion für die Stop-Action von PowerOff auf Shutdown gesetzt?

Hatte bei mir bisher keine Probleme damit. Ich drück den Knopf am ESXi und alles fährt brav herunter und kommt auch sauber wieder rauf - sind aber 2016/2019er Server... Geht zwar schnell, liegt aber auch alles auf nvmes oder SSDs :-)

Mir ist nur aufgefallen das komischerweise die Autostart-Einstellungen via vCenter nicht so wirklich übernommen werden wollen weshalb ich das über das lokale Webinterface vom ESXi einstelle.

Nein, das stand auf Poweroff, werde es beim nächsten herunterfahren mal beobachten.

Hatte den Server jetzt neugestartet, da kamen auch alle Win-Gäste brav ohne korrupte Dateien auf den Datenplatten wieder hoch, das wirds gewesen sein.
Danke!
 
Was macht denn der backslash da? Ist das ein Zeilenumbruch?

Ich bin auch der Meinung, dass der Backslash weg muss.

Habe es probiert, keine Besserung:

Code:
[root@localhost:~] esxcli software profile update -p ESXi-6.7.0-20190604001-standard -d https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml
 [MetadataDownloadError]
 Could not download from depot at https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml, skipping (('https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml', '', '<urlopen error [Errno -2] Name or service not known>'))
        url = https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml
 
@JohnnyBGoode, habe es eben auch mal ausprobiert. Kopiere mal die 2. Zeile bis zum Backslash und drücke Enter, dann kommt ein Einschub und dann mal den Rest der Zeile reinkopieren. So komme ich zumindest mal weiter, bei mir kommt allerdings ne Fehlermeldung das ich zu wenig Platz habe, muss ich mal schauen wie ich das löse
 
Die Meldung wegen nicht ausreichendem Platz kenne ich. Bei mir hat es geholfen, die Auslagerung auf einen Datastore zu aktiveren:
Host → Verwalten → System → Auslagerung
 
Habe am ESXi das Mnagement Network von DHCP -> Statisch -> DHCP geändert und die Fritzbox neugestartet, jetzt kommt wie erwartet die Meldung, dass nicht genug Speicherplatz vorhanden sei (logisch, da nichts angeschlossen).

Was ist denn der "unsupportete" Weg, um auf dem USB-Speicher, auf dem ESXi selber installiert ist, einen Teil des freien Speicherplatzes für einen Datastore zu verwenden (Nutze ein USB 3.0-RAID1 mit 2 Micron SSDs mit PLP)? Das soll dann die Storage-VM werden und der Rest kommt dann sauber auf separate Datenträger.
 
Ich möchte mein Netzwerk umstellen und überlege mir ob es sich lohnt einen 10G switch zu kaufen.

XGS2210-28 -> ~500€ exkl
GS2210-24 -> ~300€ exkl

Ich möchte eben später auf meinen ESXi ein Virtuelles NAS laufen lassen. Das System ist zuhause eher ein Stern bzw "Bus ähnlich" Verkabelt.
Von meinen Pc geht es über 3 Switch zum Server.
 
ESX öffentlich erreichbar:

Hallo zusammen!

Ich möchte meinen neuen ESXi-Server direkt ans Internet hängen und suche dafür Anleitungen oder evtl. sogar ein Best-Practise / Blog / Buch. Noch wurde ich nicht fündig, aber vielleicht könnt Ihr mir einen Tipp geben.

Mein Plan ist eine Firewall-VM aufzusetzen, die per DNAT Anfragen weiter leitet und das System absichert. Weil mir die Sicherheit wichtig ist, will ich mich noch weiter informieren.

Vielen Dank für eure Hilfe

Grüße vmwareAllrounder
 
In diesem Fall hängst Du ja nicht den ESXi direkt ans Internet, sondern eine VM, wo Du dich dann per VPN einwählst und anschließend Zugriff auf die ESXi-Verwaltung hast. "Direkt" (und fahrlässig) wäre es, wenn die ESXi-Verwaltungs-IP über ein DNAT aus dem Internet erreichbar wäre. ;)

Prinzipiell ist das, was Du geschrieben hast, schon das, was als "Best Practice" bezeichnet wird (OK, eine separate Hardware als Firewall wäre noch besser, aber das ist eben nicht immer möglich), wo bestehen denn noch Fragen? Wie viel Erfahrung hast Du mit der Konfiguration eines ESXi, was hast Du für Netzwerk-Hardware zur Verfügung und würdest Du im Zweifel auch noch andere Hard-/Software anschaffen wollen? Im letzteren Fall ist es auch noch wichtig, was für ein Budget Du hast.
 
Danke für dein Feedback. Ich habe bisher mit 5.5 (ich weiß sehr alt) und KVM gearbeitet und hatte bisher eine Sophos Firewall (Hardware) im Einsatz. Die neue Maschine kommt in ein Rechenzentrum, darum habe ich nur diese Maschine. Ist kein Rack, sondern wird reingestellt (darum ein Tower).

Sophos kann man auch als VM betreiben und so kam mir diese Idee. Ich sollte erwähnen, dass ich auch am Anfang mit der kostenlosen Lizenzierung beginnen will. Ich mache kein HA und habe nur eine Maschine.

1 x ThinkSystem ST250 Datasheet > Lenovo Press
mit Intel Xeon E-2176G
zwei Netzwerkports
32 GB RAM
1 x Raid 530-8i
3 x Intel SSD S4510 960 GB
 
Naja, dann ist es ja noch einfacher, da ja hinter der Firewall-VM nur der ESXi selbst bzw. sein internes Netzwerk kommt und nicht noch PCs oder sonstige Geräte, wie es in einem Privathaushalt ist. ESXi 6.7 ist vom Grundsatz her exakt so zu konfigurieren wie 5.5, es geht zwar nicht mehr über den C#-Client, sondern nur noch über den Webbrowser zu konfigurieren, aber eigentlich ist das soweit gleich geblieben.

Somit würde ich den ESXi folgendermaßen konfigurieren:

  • Einen virtuellen Switch mit einem physikalischem Interface, wo eine der Netzwerkkarten der Firewall-VM (z.B. mit 192.168.1.1), die ESXi-Verwaltung (z.B. mit 192.168.1.10) und der Management-Port des Lenovo-Servers (z.B. mit der 192.168.1.11) angeschlossen sind
  • Einen virtuellen Switch mit einem mit einem physikalischen Interface, wo der WAN-Port der Firewall-VM angeschlossen ist
  • Einen virtuellen Switch ohne physikalisches Interface, wo eine weitere Netzwerkkarte der Firewall-VM (z.B. mit der 192.168.2.1) und alle anderen VMs (ab der 192.168.2.10) angeschlossen sind
Eventuell noch zwei VPN-User einrichten, wobei der eine nur Zugriff auf das 192.168.1.0/24- und der andere nur Zugriff auf das 192.168.2.0/24-Subnetz hat und schon ist das so sicher wie es unter diesen Voraussetzungen sein kann. Am besten das 192.168.1.0/24- und das 192.168.2.0/24-Subnetz nicht miteinander kommunizieren lassen, dann kann jemand, der sich doch irgendwie Zugriff auf eine VM oder den ESXi verschafft hat, nicht das jeweilige andere Netz auch noch kompromittieren.
 
Das hilft mir sehr weiter. Es dauert ein paar Wochen bis ich Zeit habe es umzusetzen, aber ich werde hier nochmal reinschreiben!

PS: Was mir noch gerade einfällt. Bei dem Server ist kein Flash mit ESXi oder so vorbereitet. Soll ich die ESXi-Installation auf eine kleine HDD oder USB-Stick durchführen? Soweit ich in Erinnerung habe braucht es keine Leistung.
 
Zuletzt bearbeitet:
[...]

Was ist denn der "unsupportete" Weg, um auf dem USB-Speicher, auf dem ESXi selber installiert ist, einen Teil des freien Speicherplatzes für einen Datastore zu verwenden (Nutze ein USB 3.0-RAID1 mit 2 Micron SSDs mit PLP)? Das soll dann die Storage-VM werden und der Rest kommt dann sauber auf separate Datenträger.

Kann jemand die Methode auf folgender Seite bewerten?

http://www.horizonbits.com/2017/02/19/squeezing-esxi-on-usb/

Ich bin nicht kompetent genug, die Geschichte mit der Nummeränderung der zusätzlich auf dem ESXi-USB-Boot-Medium erstellten Partition zu beurteilen. Vom Bauchgefühl her sieht es aber nach einer "sauberen" Lösung aus, da man nicht an den USB-Diensten herumdoktorn muss (möchte wie gesagt nur einen Datastore auf dem USB-Boot-Medium, damit man dort eine Storage VM laufen lassen kann, die dann den wirklichen Speicherplatz bereitstellt).
 
Hi

Ich habe es bei mir so gelöst, dass vSphere auf einem Stick liegt, und der Filer auf einer kleinen SATA SSD. Erspart einem viel Ärger. Ausserdem wird je nach Filer im Betrieb auf die Platte geschrieben, für SWAP und so. Da ist ein herkömmlicher USB Stick weniger geeignet.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh