Autor: Ariel Antigua

Automation guy with a love for Containers!

NSX Controller en estado DEPLOYING permanente!

La razón del porque el despliegue del primer controlador de NSX fallara en mi LAB fue debido a que el disco en mi R710 se llenó. No creo que esto pase a menudo en producción.

En fin, después de levantar todo el AutoLab y que arrancaran las VM dentro de los Nested ESXi, veo que el estado del controller-1 es deploying y nunca paso de ahí. La gran idea fue detener el Manager, detener el controller-1 (la VM) y borrarla del inventario/disco. En vano, ya que cuando inicie el Manager este seguía con el objeto registrado y en el mismo estado.

Un poco de Google-fu me mostro que otros pasaron por lo mismo y que la solución propuesta es hacer un DELETE usando el API REST de NSX.

Ummmm API, con que se come eso?

Luego de intentar hacer el DELETE desde el navegador de forma normal, entendí que tenía que leer la documentación para saber cuál era la manera en que esto de REST funcionaba. La forma más efectiva para una persona del área de administración es instalando un add-on de Mozilla Firefox (en mi caso Firefox, si usas Chrome también existe un app).

Un documento importante para leer es el NSX API Guide (https://pubs.vmware.com/NSX-6/topic/com.vmware.ICbase/PDF/nsx_604_api.pdf), el cual en la página 25 tiene el siguiente texto:

 

Realizando una llamada API podríamos configurar todo un ambiente de conectividad basado en NSX pero lo que me extraña es que no exista la opción de un borrado forzoso desde Web Client en la sección de NSX.

No pude capturar imágenes realizando los pasos desde el RESTclient que instale en Firefox, si realizamos una búsqueda en Google uno de los enlaces que me llevaron a la solución fue https://communities.vmware.com/thread/522857?start=0&tstart=0 y la única diferencia es que este es el segundo controller desplegado.

Otro enlace con más información es http://blog.jgriffiths.org/?p=1198 en el cual tenemos imágenes usando el RESTclient.

Usando pfBlockerNG en pfSense 2.2.2

pfSense es el firewall OpenSource favorito para mí, desde mucho tiempo lo he usado dentro de mi red casera y de tal manera lo he usado en lugares donde he trabajado.

Una de las ventajas de este firewall son sus plugins que nos ayudan a adicionar funcionalidades, pfBlockerNG es uno de ellos y este nos trae funcionalidades de bloqueo de direcciones IP de países y la creación de Alias basados en listas públicas o listas creadas por uno mismo, en mi caso he creado una lista personalizada con todas las direcciones asignadas por LACNIC a República Dominicana.

Para entender cómo funciona pfBlockerNG he usado una guía publicada en Security Artwork (Bloqueando tráfico con pfBlockerNG). Luego utilizando un poco de bash scripting he creado un pequeño script que descarga la lista oficial de LACNIC, la filtra buscando .DO y luego crea un archivo de TXT con el formato necesario para que pfBlockerNG pueda hacer uso de él.

Este alias lo uso para varias configuraciones en mi red local, como por ejemplo no hacer uso de la VPN creada usando PIA y que todo tráfico “local” sea enviado sin encriptar.

Posiblemente para otros esto no tengan ninguna utilidad pero a mí me pareció bien poder tener una excepción y no enviar ese tráfico vía VPN.

http://aanetworks.org/iprange/

AutoLab 2.6 – anda por las nubes.

Hace varios días fue liberado el “kit” que últimamente he estado usando cuando quiere hacer pruebas en VMware vSphere. En ocasiones anteriores ejecutaba AutoLab en VMware Wokstation pero esta vez he decidido que le sacaría más provecho si lo monto en mi HomeLab.

Lo bueno de esta versión es el soporte agregado para la reciente versión de vSphere 6 y les digo que funciona de maravillas, además si no tienes donde probar y necesitas acceso lo puedes hacer usando RavelloSystem ya que esta versión esta optimizada para esa plataforma.

Descargalo YA!

http://www.labguides.com/2015/04/30/autolab-with-vsphere-6-now-with-extra-cloud/

FreeLoadBalancer.org – Kemp LoadMaster para el HomeLab.

KEMP es un proveedor de soluciones para alta disponibilidad y balanceo de carga (LoadMaster), mi primer contacto con el producto fue buscando una solución tipo empresarial para reemplazar Ngnix y/o Apache (mod_proxy). Uno de los primeros escenarios donde leí sobre el despliegue de las soluciones de LoadMaster (LVM100 para ser exacto) fue con vSphere Web Client y Exchange Server.

Cuando fue mi turno de desplegar LoadMaster lo hice usando ESXi como plataforma y en ese momento use dos servidores físicos cada uno con una VM de LoadMaster.

Para ese momento KEMP no tenía una versión gratuita como lo hace ahora y por esta razón no podía jugar con la solución en el homelab, ahora todo cambia, hace varios días KEMP anuncio la versión gratuita que tanto he esperado e inmediatamente un VLM y estoy probando como configurar la plataforma y reemplazar un ZenLoadBalancer que tengo corriendo desde hace un tiempo y es el usado para publicar muchos de los servicios que uso de prueba o uso personal.

La configuración tradicional de un LoadMaster es para tener alta disponibilidad de un aplicativo web, digamos un Lync, Exchange o VMware Horizon View. En mi caso la idea de usar LoadMaster (como lo ha sido con ZenLoadBalancer) es poder publicar todo lo que necesite ya sea HTTP(80) o HTTPS(443) usando una única dirección IP (o varias si es necesario). Me gustaría aclarar que la solución ZenLoadBalancer no me ha fallado y ha cubierto la necesidad que tenía, entonces porque cambiarlo?

La decisión podría decirse que es personal ya que pienso, es más probable que termine administrando un LoadMaster a que me encuentre o que decida instalar ZenLoadBalancer en un ambiente empresarial.

Las funcionalidades, si miramos en http://freeloadbalancer.com. Podemos ver que la versión gratuita nos trae Layer4-7 Load Balancer, Reverse Proxy, Edge Security, WAF (Web Application Firewall) y GSLB (Global Server Load Balanceing), para ser versión gratuita tiene buena pinta, la única funcionalidad que podría hacer falta es HA pero como esto esta apuntado a pequeñas empresas o homelab como es mi caso puede que sea la razón de que no esté disponible HA.

Para más información de las diferencias se puede ver directamente en http://freeloadbalancer.com

La razón de este post es tratar de documentar los pasos y configuraciones que necesite para poder usar LoadMaster como un Reverse Proxy que es actualmente como uso ZenLoadMaster en mi homelab, una diferencia que aplica en mi homelab es que dos de los host ESXi están en un datacenter a unas cuantas miles de millas de mi localidad y me conecto con ellos a través de una VPN tipo mesh (Tinc VPN). Para LoadMaster los Real Servers no están en la misma subred e inicialmente falla al ser agregados en los Virtual Servers si no hacemos los cambios necesarios, esto podría aplicar si los VirtualServers están en 192.168.100.0/24, los RealServers están en 192.168.200.0/24 y el LoadMaster está en modo One-ARM.

Aquí un pequeño diagrama de red donde se ve un VLM en un lado de la red:

Lo primero que debemos hacer es definir algunos Content Rules.

 

 

En mi caso quedo algo asi:

Aquí se puede ver mientras modifico una regla llamada guacamole:

Procedemos a agregar un Virtual Server, en mi configuración inicialmente tendré un Virtual Server para el puerto 80 y otro para el puerto 443.

En Advanced Properties habilitamos Content Switching.

Ahora toca crear los SubVS que queramos o necesitemos. Actualmente solo tengo 2 en la parte de HTTP:

Como se puede ver en la imagen anterior, ya estos 2 SubVS tienen Content Rules habilitadas y seleccionadas, si hacemos click en el numero podremos remover o agregar otro Content Rule.

Con relación a los Real Servers, estos serán agregados en cada SubVSs, cuando usamos Content Rule los Real Servers podrían ser el mismo ya que el Content Rule se encargaría de definir el Host Header y re-direccionar el tráfico a donde sea necesario.

Lo importante es tener en cuenta los Content Rule, allí es donde decidiremos cuales dominios serían los aceptados, esto es parecido a los Virtual Name de Apache.

Otra configuración que tuve que aplicar en mi caso fue habilitar fue la de Eable Non-Local Real Servers que se encuentra en System Configuration > Miscellaneous Options > Network Options., además de esto los Virtual Servers no pueden tener habilitado Transparency.

Aquí la documentación oficial -> https://support.kemptechnologies.com/hc/en-us/articles/201849033-How-do-I-add-remote-Real-Servers

Aplicaciones para vExpert 2015 abiertas – Suerte!

Ya es noticia vieja que está abierto el formulario para vExpert 2015, y me emociona claro, pero al igual que el año pasado cuando también leía sobre la llegada del periodo donde se seleccionan los vExpert y no sabía que decir, que describir o que era valioso de “mis contribuciones”, lo mismo me pasa este año. Como comentaba en el VMworld 2014 donde tuve la oportunidad de hablar en un TechTalk (junto a otros vExperts de habla Hispana), sinceramente no sé cómo mantener la posición de vExpert.

Así que ahí vamos otra vez a llenar el formulario, lo único diferente esta vez es que usare el Fast Track. Suerte a todos!

http://blogs.vmware.com/vmtn/2014/11/vexpert-2015-applications-open.html