Abilitare il Tech Support Mode in vSphere 4.1 (esxi)
Come avevo già accennato nel mio precedente post, una delle novità introdotte in Vmware vSphere Hypervisor 4.1, ovvero esxi, è il pieno supporto al Tech Support Mode (TSM).
Il TSM, molto brevemente, è una modalità per accedere alla console di esxi, sia localmente, sia da remoto tramite SSH, per esigenze di troubleshooting o di settaggi particolari eseguibili solo tramite console.
Fino alla versione precedente, la 4.0 update 2, per accedere alla console ed anche alla abilitazione di ssh, occorreva fare delle operazioni non molto user-friendly, descritte qui, e comunque un warning avvisava la mancanza di supporto ufficiale per questa modalità che era infatti gestita in maniera un po ambigua da parte di Vmware.
Ora il problema non si pone più e il TSM e il Remote TSM (via ssh), può essere abilitato o disabilitato molto facilmente dalla Direct Console User Interface (DCUI).
Abilitare e accedere al Tech Support Mode dalla Direct Console User Interface (DCUI):
Sulla console DCUI dell’host esxi premere il tasto F2 e introdurre le credenziali d’eccesso per accedere al sistema.
Andare alla voce “Troubleshooting Option” e premere invio:
Successivamente si accede al sotto menu dove è possibile abilitare:
- TSM locale.
- Remote Tech Support (SSH).
- Timeout per il Tech Support (minuti che si vuole resti attivo il TSM local e remote).
Per abilitare le modalità basta semplicemente premere invio.
Vorrei far notare che il Remote TSM può essere abilitato/disabilitato indipendentemente dal local TSM e viceversa.
Ogni operazione svolta in modalità TSM è inviata e memorizzata nel syslog dell’host esxi.
Dopo aver abilitato il TSM e collegandosi all’host esxi 4.1 con il vClient appare un messaggio di warning nel tab “Summary” in cui avvisa dell’abilitazione del TSM e/o Remote TSM.
Abitare il TSM dal vClient
Collegarsi all’host esxi con il vclient e cliccare sul tab “Configuration” e selezionare nel menu sx la voce “Security Profile” e cliccare su “Properties”.
Selezionare la modalità del TSM che si desidera abilitare e tramite il tasto “option” si accede ad un sotto menù:
Ora è sufficiente selezionare “start”; ovviamente lo stesso vale se si desidera disabilitarlo.
IZ
Ivan Zini 
30/08/2010 alle 16:16
Ciao, ti volevo fare una domanda, se TSM local e remote sono abilitati ma è abilitato anche il lockdown mode cosa succede? E’ possibile collegarsi come root solo con accesso fisico all’host?
grazie
02/09/2010 alle 09:52
Ciao Matteo,
con abilitati il TSM (local e remote) e il lockdown mode, puoi accedere all’host esxi solo tramite la console fisica o tramite il vcenter.
Viene negato l’accesso via ssh e anche tramite vclient.
IZ
PS: molto interessante il tuo blog! 🙂
04/09/2010 alle 16:44
Ciao,
nella parte Security Profile vedo che c’è un servizio per il Virtual Center Agent. Se questo servizio è startato posso amministrarlo dal VCenter che utilizzo per amministrare tutti gli altri ESX 4.1?
Grazie
06/09/2010 alle 09:56
Ciao
Si puoi amministrarlo con vCenter ma scaduti i 60 gg della licenza di valutazione devi avere una licenza apposita per il vCenter agent.
IZ
08/09/2010 alle 23:02
Ciao,
complimenti per l’articolo, ben fatto come al solito, una domanda> sai se c’e’ un modo per disabilitare il warning che compare nel summary?
Grazie
15/09/2010 alle 10:36
Ciao e grazie x i complimenti!
Non credo si possa disabilitare il warning in questione perché riguarda la sicurezza dell’host.
IZ
16/09/2010 alle 12:55
Ciao,
se viene abilitato SSH compare il warning in questione nel summary, ma se l’host viene poi riavviato (maint mode + reboot) senza disabilitare il TSM, il warning scompare e l’SSH rimane abilitato.
L’ho postuto sperimentare sulla nostra infrastruttura (5 host esx 4.1 + Vcenter 4.1).
ciao,
Bruno
16/09/2010 alle 13:35
Ciao Bruno
grazie della tua informazione…buono a sapersi!
Hai per caso verificato se il warning sparisce anche dal vClient e non dal vCenter?
IZ
16/09/2010 alle 15:15
Ciao Ivan,
si, certo, il vclient è di fatto la GUI del Vcenter, quando visualizzi l’inventory (o l’host, nel caso di una installazione stand-alone) non viene più segnalato il warning (triangolino giallo sull’host + avviso nel summary)…
Non so se si tratti di una cosa voluta o meno, intendo che in effetti potrebbe anche avere senso avvisare se viene abilitato il protocollo SSH su un host che di suo ce l’avrebbe disabilitato, ma nel caso l’host venga avviato già così non si viene avvisati, presupponendo che sia una cosa voluta…
Del resto, secondo me, in vmware si sono resi conto che il fatto di aver disabilitato l’accesso diretto all’ESX in certi casi potrebbe essere “castrante”, nella KB c’e’ pieno di articoli che ti dicono “allora, se si verifica questo: connettersi all’host esx tramite SSH…” … ma come, se lo avete disabilitato !?
ciao,
Bruno
11/12/2010 alle 10:40
Ho un quesito da porti:
Ho un ESXi 4.0 con ssh abilitato e funzionante.
Per esigenze di backup avevo pensato di spegnere le VM interessate e tramite winscp copiare l’immagine del disco. Ora il sistema funziona e attraverso l’utilizzo di alcuni cronjob riesco a gestire lo spegnimento delle VM, il backup tramite winscp e il successivo riavvio delle VM ( tutto nel weekend )
Il mio problema nasce dal fatto che riesco solo a far funzionare il sistema solo per i primi 500MB poi il servizio ssh di ESXi (beardrop ) chiude la connessione.
13/12/2010 alle 10:54
Ciao Franco
il mio consiglio è di aggiornare esxi dalla 4.0 alla 4.1 in modo che puoi impostare il timeout della connessione ssh comodamente dalla console ed escludere eventualmente che sia un problema imputabile ad esxi.
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1017910
IZ