vSphere 5.1 Update 3 – new TPS defaults – updated on 26/01/15

אני מניח שרובכם כבר ראיתם שיצא Update3 של vSphere 5.1.

להלן לינקים ל-Release Notes:

VMware vCenter Server 5.1 Update 3 Release Notes

VMware ESXi 5.1 Update 3 Release Notes

Update Manager 5.1 Update 3 Release Notes

VMware vCenter Orchestrator 5.1.3 Release Notes

אבל מטרת ה-post היא לא מעבר על Release Notes אלא חידוד לגבי התנהגות חדשה של מנגנון ה-TPS – Transparent Page Sharing.

בעקבות בעיית אבטחה פוטנציאלית שהתגלתה במנגנון ה-TPS במהלך חודשים אוקטובר ונובמבר יצאו patches חדשים ל-ESXi 5.0, 5.1 ו-5.5. ה-patches לא שינו את התנהגות של TPS אלא רק הוסיפו אפשרות (פרמטרים חדשים) להקשיח את המנגנון.

ה-Update 3 וכל update הבא שיצא כן משנה את ההתנהגות:

"Update to Transparent Page Sharing (TPS) management capabilities and new default behavior
In ESXi 5.1 Update 3, the pshare salting for the Transparent Page Sharing (TPS) management capabilities that was introduced in the previous patch release is enabled by default. This means that TPS only applies to individual VM’s and that inter-VM TPS is disabled unless an administrator chooses to re-enable it.
For more information, see KB 2097593."

המשמעות היא ב-by default ה-TPS לא פועל בין מכונות וירטואליות ורק דפים זהים של אותו VM ייחסכו.

אז לפני שאתם רצים לשדרג, תעברו על ה-KB ותבינו מה השלכות של ההגדרות החדשות על הסביבה שלכם (שלא תגיעו למצב של ballooning או swapping):

Security considerations and disallowing inter-Virtual Machine Transparent Page Sharing

Additional Transparent Page Sharing management capabilities in ESXi 5.5, 5.1, and 5.0 patches in Q4, 2014

Additional Transparent Page Sharing management capabilities and new default settings in ESXi 5.5 Update 2d, ESXi 5.1 Update 3 and ESXi 5.0 Update 3d

הערה:

לפני שאתם נכנסים לפאניקה, רוב הסיכוים שההשפעה תהיה מינורית, מכיוון שרוב המעבדים החדשים אם לא כולם הם בעלי רכיב MMU – Memory Management Unit. וכשעובדים איתו, ה-ESX מקצה דפים של זכרון בגודל 2MB – Large Memory Pages. על דפים כאלה TPS לא פועל בכל מקרה, כי הסיכוי שיהיו שני דפים גדולים זהים הוא כמעט אפסי. רק כש-ESX מגיע למצב מצוקת זכרון רצינית הוא מפסיק לעבוד עם דפים גדולים ו"שובר" אותם לקטנים של 4KB שעליהם ה-TPS כן יכול לעבוד.

זאת אומרת שכל הנושא הנ"ל רלוונטי יותר לסביבות עם Overcommitment רציני במשאבי הזכרון.

*************************************

עדכון מ- :26.01.15

נכתב כלי שמאפשר להעריך את ה"נזק" של ביטול ה-TPS:

http://blogs.vmware.com/vsphere/2015/01/assess-the-performance-impact-of-the-security-change-in-transparent-page-sharing-behaviour.html

************************************

מיכאל.

One Reply to “vSphere 5.1 Update 3 – new TPS defaults – updated on 26/01/15”

  1. Pingback: vIrtuaLization IL » Blog Archive » Critical Security Issues in vCenter and ESXi 5.x-6.0 – October 2015

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

*