Ahora vamos a lo «divertido», configuración del Bucket S3, configuración y adición en VBR y primeras impresiones, como siempre, a pantallazos!
Accedemos a la GUI de nuestro OOTBI desde la IP del cluster creada en pasos anteriores, y ponemos credenciales, usuario objectfirst, contraseña, la que hayas definido en el proceso de instalación.Precioso Dashboard inicial, con información sencilla y crucial.Vamos a Crear nuestra Key S3, para poder luego crear el BucketAquí la tenemos, guarda bien esta información, Key ID y PasswordYa está creada y listada la keyAhora vemos en el menu lateral de navegación que nos hemos ido al menu S3 BucketsCreamos nuestro bucket con un nombre, y habilitamos versioning para la inmutabilidadya lo tenemos creadoAhora, añadimos nuestro repositorio S3 OOTBI a nuestro VBR, Infra, Backup Repos, Add RepoObject StorageS3 CompatibleS3 CompatibleEstos pasos ya nos deberían de sonar, NombreIP de acceso, region, credenciales, aquí añadiremos nuestra S3 Key que hemos creado antesAceptamos el certificadoBoom! tenemos nuestro bucket, lo seleccionamosAquí nos pide crear un directorio dentro del Bucket, yo le he llamado igual, cuestión de convención de nombresIMPORTANTE, vemos que está la opción de Inmutabilidad, el segundo cuadro, lo seleccionamos y asignamos el tiempo a ser inmutable, en mi caso, lab, 1 día, pero dependerá de la retención que quieras tener tu, ten en cuenta que un backup inmutable no se puede borrar hasta que «expira», haz bien el Sizing.Resumen de lo que añadimosListo! lo vemos añadido a nuestro VBR
Ahora que hemos añadido nuestro Repo a nuestro VBR, vamos a realizar una prueba sencilla con una vm, una tarea, e inmutabilidad por 1 día
Tarea de testDesde VBR V12 podemos mandar backups directamente a Repos S3, lo seleccionamos, con una retención policy baja, es test.Resume, 3 dias de retención, Inmutable por 1 día, 1 maquina virtualAqui está creado su backuop FULLAqui vemos el Full en nuestro OOTBI guardadoVamos a intentar borrar el backup, recuerda, tiene inmutabilidad por 1 día, por tanto, no debemos ser capaces de borrarlo.Precioso error, Failed to delete, immutableAquí vemos que sigue disponible nuestro backup, por tanto, la inmutabilidad nos ha salvado de borrar nuestro punto de restauración.
Espero os haya gustado y servido el ejemplo con pantallazos de despliegue y prueba.
Ahora toca hacer pruebas con maquinas mas grandes, Instant recovery, SORB Repos para Performace y Capacity tier, etc… poco a poco.
Tal y como vimos en la entrada anterior Abrimos la caja y vimos nuestra unidad OOTBI.
Ahora, es tiempo de encenderla, conectarnos por remoto a su consola, y realizar la configuración inicial del sistema, acceder a su GUI, y crear nuestro primer Bucket.
Vamos…
Nos conectamos a la IPMI de OOTBI, para encontrar la IP, yo escanee mi red con Advanced Easy Scanner… El usuario es ADMIN, la contraseña, la que viene escrita en la pestaña del frontal.Pantalla inicial del IPMI, desde aqui, vamos a controlar por remoto y encender nuestro OOTBIBoton rojo PowerPower Ondale!Ahora que está arrancando, nos vamos a la consola remota por HTML5 Remote Console, Remote Console, Launch Console.Boom! aquí vemos como bootea nuestro OOTBIOs suena esta ventana? a mi mucho… donde la habré visto antes… Como veis, comenzamos con la creación del Cluster, si, aunque sea solo un nodo, luego nos facilitará el ampliarlo.configuración de red, en mi caso, solamente 1 interfaz RJ45 de 10Gb, las otras las dejo deshabilitadas.HostnameDatos del cluster, los cuales emplearemos para dar de alta luego en VBR y configurar en la GUIImportante, password del usuario objectfirst para la GUICluster (de 1 nodo) creado, ahora, vamos a un navegador, y a seguir explorando.Os acordais de la IP configurada para el cluster? hora de meterla en un navegador y conectarnos a la GUI de nuestro OOTBI, con el password precisamente configurado.Boom! precioso acceso a la GUI, desde aquí, crearemos keys, Buckets de S3. veremos estados de discos, etc.
Para la siguiente, crearemos el bucket S3 con su clave, y lo añadiremos a nuestro VBR.
En la entrada anterior vimos la instalación y arranque de nuestro Single Node Cluster de Community Edition de Nutanix, la tenéis aquí.
Ahora, vamos a ver los ajustes iniciales que he hecho, para tenerlo OK y finalizar desplegando nuestra primera vm.
Comenzamos, entrando a nuestro Cluster con la IP del CVM, nos logueamos, y vamos:
En la pantalla inicial, arriba a la derecha, sacamos el desplegable y nos vamos a settings, Cambiamos el nombre al Cluster, le ponemos el que más nos guste, y si queremos, FQDN y Virtual IPAquí vemos cuanta ram está asignada al CVMImportante, Pulse activado, el cual reporta a Nutanix si hay algún problema con nuestro cluster, aunque nuestra version sea la Community, es importante estar reportados por futuros problemas, kbs, etc.revisamos DNSs, ya lo tuvimos que añadir al comienzo, en la entrada anterior, podemos ahora modificarlo, añadir otro, etc.NTP, para tener la hora y fecha siempre correcta!A mi me gusta recibir reportes y alertas al mail, nos lo envía el cluster desde Nutanix, todo ok!
Ahora, para darle aun más personalización, vamos a correr un inventario,
esto en el mundo AHV es un barrido de nuestro sistema, tanto software como firmware, para buscar actualizaciones, fallos, fixes, etc.
Volvemos al desplegable, y vamos a LCMClick en Perfomr InventoryTarda un ratito, no hay drama, al finalizar, vemos el resultadoen mi caso, en el desplegable, vemos que hay un update de Softwarela vemos, guardamos el punto a actualizarNos muestra el plan de update, lo aplicamos
Al finalizar, todo se ha actualizado correctamente, una pasada.
Por ultimo, el sistema nos va a alertar de una serie de warning, entre ellos, el cambio de contraseña de los usuarios del sistema como admin, root y Nutanix,
El cambio de password del admin lo realizamos tras la instalación, para acceder a la web de administracion, así que podemos darlo por resuelto.
Para cambiar el usuario root, debemos acceder por ssh al host, y realizar el cambio como toda disto linux, tras foguearnos, passwd root –> y seguir los pasos indicados
Para el usuario Nutanix, debemos acceder por ssh al CVM (la ip definida en la instalación) y realizar el cambio igual que el del root, passwd nutanix –> y seguir los pasos.
Hola, Desde hace un tiempo llevo mirando otras opciones de Virtualización, y esta, me ha parecido muy interesante.
La gente de Nutanix ha desarrollado, tanto su CVM (Controller VM) con una serie de servicios para hacer HCI, así como su propio Hipervisor, AHV.
También, han puesto a disposición de la comunidad la «Community Edition»,
La cual es su Hipervisor + CVM + Prism (gestión) totalmente funcional, hasta 4 discos por Nodo, hasta 4 nodos en el cluster, Perfecto para probar y conocer el producto.
Vamos a ver ahora, en unos pantallazos y explicaciones, como desplegar la Nutanix CE en nuestro lab, en mi caso, Nested en un host ESXi 8, de la forma Single Node Cluster.
Single Node Cluster, es un Nodo único, el cual tiene las capacidades de la CVM, Prism, y la gestión de la red y almacenamiento por si mismo, es un cluster de solo 1 integrante, fantástico para según qué aplicaciones, en nuestro caso, una toma de contacto inicial.
vamos…
Vamos a ir al siguiente enlace y seguiremos los sencillos pasos, básicamente registrarnos en la comunidad, descargar la iso desde un post, y continuar el proceso.
Nutanix requiere recursos, en mi caso, la máquina donde instalé el Single Node tenía 4 vCPUs, 32GB de RAM, 3 discos Duros: 64GB Sistema, 200GB SSD, 400GB HDD
Comenzamos creando la vm en ESXiAquí se ven las specs iniciales, disco, nics, vcpus, etc.arranca el instalador desde la isoaqui, importante, el instalador selecciona los discos de la mejor manera, le dejamos, y completamos las IPs, una para el Host, y otra para la CVM o Controller VM, presente en cada nodo, y DNS.aceptamos términos y condicionesListo! tras un rato, termina la instalación, desmontamos la iso, Y de yes…. y al lio.arranca nuestro AHV desde nuestra VMtarda un rato, ya que debe levantar todos los servicios, CVM, y después ejecutar unos post install scripts, le dejé quieto hasta ver estos resultados en la consola de la vm.a jugar, comenzamos, en un navegados, ponemos la IP de la CVM definida antes, con httpsnos solicitará cambiar el password pre definido, nutanix/4u , por uno distintoaqui, nos solicitan nuestras credenciales de la comunidad, para licenciar nuestro nodo/clusterBOOM! error, no hay DNS definido en el CVM, por tanto, no se puede registrar, lo solucionamosaccedemos por SSH al nodo, con la IP definida al comienzo, usuario root, contraseña nutanix/4udesde el nodo, debemos acceder a la CVM por ssh, recordar las IPs definidas antes, usuario admin , contraseña nutanix/4uaquí el comando mágico para añadir DNS a la config de red de la CVM ncli cluster add-to-name-servers servers=1.1.1.1
en este caso escogí la DNS 1.1.1.1 por usar una DNS externa, pero si tienes DNS interno, mismamente.
ahora ya le gusta!! seguimosAqui le tenemos, primera pantallas de nuestro Single Node Cluster funcionando!!!Aquí vemos que es un Single Node Cluster, 1 Host, 1 Block con Hipervisor AHV
Hasta aquí esta entrada, en posteriores, lo tunearemos un poco, y haremos el primer inventario para comprobar que está todo up to date, sino, que se descargue sus actualizaciones y las aplicaremos.
Iremos probando configuraciones de red, disco, etc.
una gran forma de probar AHV y las funcionalidades de entrada de Nutanix.
Para poder descargarla, debeis inscribiros como Insiders, y luego seguir los pasos para tener acceso a la descarga de Windows Server 2025.
Una vez lo tengas, descargar así
Ahora, Vamos a ver, a pantallazos, la instalación de Windows Server 2025…
Go!
Configuración de la VM creada en vSphere 8Booteamos desde la ISOSeleccionamos datosAquí el Idioma del tecladoVamos! Install! No tengo product key…😔En mi caso, WS 2025 Standard (Desktop Experience) Lo quiero con escritorio, sistema completo!Ya sabeis qué hacer aquí…!Seleccionamos disco donde instalar el SistemaY nos vamos al InstallComo no tengo, Do this later…
Ya lo tenemos instalado, ahora, un par de pantallazos con las cosas «chulas» que trae, como siempre, los roles y features que podemos desplegar!
Esta me ha llamado mucho la atención, wow, Azure Arc Esto viene pisando muy fuerte, y promete!
Por último, otro dato curioso, ya viene, por si no os habéis fijado, Hyper-V en el Menu de Add Roles del servidor, ya no es un comando aparte o feature añadida, ya está «integrada».
He podido abrir mi caja, la cual llevaba unas semanas esperándome, y tras un pequeño esfuerzo, por fin hemos podido hacer el «unboxing».
Se trata de un Appliance OOTBI de Object First, Como bien sabeis, se trata de una solución de almacenamiento S3 inmutable para Veeam, Os dejo aquí un poquito más de información!
Bueno, vamos al lío, os voy poniendo fotos, y explicando un poquito lo que va apareciendo:
Comienza la diversión, bien empaquetado, rotulado, etc.Nos encontramos una caja con accesorios y los railes para instalarlo en un RackPoster con instrucciones, me encanta, lo colgaré en mi despacho!Cara B del PosterOh si, el frontal que todos estábamos esperandochuches…al liowowFrontal de ensueño, 12 bahías de 3,5″Trae la friolera de 11 Discos como este, este appliance es el modelo de 128TB EfectivosEl disco que tiene el Caddy rotulado como NVMe, el super disco para el caché!La parte trasera, ese back plane con dos discos de 2,5″ es precioso! sin olvidar los 2 Ethernet 10Gbps, 2 SFP+ 10Gbps y el puerto IPMILos disos de la parte trasera de 2,5″Fuentes extrapoles, trae dos como la que estamos viendo, para redundanciaAsí se ve la parte trasera con los cables de red conectadosUltimo vistazo trasero, que maravilla!Así luce por dentro, muy limpio y ordenado, con sus ventiladores, tarjeta SFP+, Controladora de discos y batería, back plane, procesadores y memoria. No me he podido resistir a ver bajo el capó lo que llevaba, una bestia!
Hasta aquí la impresión física y primer encendido,
He de decir que se ve de una calidad excelente, el más alto nivel de Supermicro, Junto con los discos de gran calidad, capacidad y velocidad!
En la próxima, el arranque del SO, integración en Veeam VBR 12.1 y primeros trabajos e impresiones.
Os vuelvo a poner la foto del frontal, el cual, simplemente me parece precioso!! Quedaría fantástico colgado en la pared de mi despacho, a modo de cuadro!
Tras estar de remodelación en el Laboratorio, que se ha convertido en un «borrón y cuenta nueva», estaba echando de menos un servidor DNS, simplemente DNS, para poder hacer pruebas, resolver interno y a la vez usarlo en casa con un poquito de filtrado.
Primera idea, un Windows server, pero era demasiado, y VM siempre corriendo, y la idea es poder apagar el laboratorio (Consumo de luz, y que sino me echan de casa!)
Así que me puse a mirar a mi alrededor, y Boom!!!!
Raspberri Pi vieja vieja…. HDMI «Grande» y salida RCA de video!!!
Ahí me dije, si solo quiero un DNS, y que no meta ruido y consuma poco, a ver si podemos echarla a andar….
Muy noble mi Pi, arrancó, ahora, a buscar una SD «grande» para poder hacer algo.
Os acordais de esto? XD una SD!!
Ahora, solo quedaba bajarse la app para preparar la tarjeta, en mi caso, uso Mac, por tanto usaremos el Raspberry Pi Imager:
Con unos sencillos pasos, llegamos a una ventana final, en la cual , nos indica el password de acceso a la consola web, el cual debemos guardar, ya que luego desaparece, y si queremos volver a acceder, debemos resetearlo. Leer las pantallas, ya que son preguntas muy sencillas, como la consola de administración web, etc. Recalcar que desde el wizard podemos poner IP estática a la raspberri, o dejarla por DHCP, dependerá de vosotros, en mi caso tiene IP estática, ya que más adelante, la usaré como servidor DHCP también!
Accedemos, y se verá la consola así:
Ahora ya solo queda que cambies en tu DHCP el DNS que entrega por la IP de tu Pi-Hole, y estarás en marcha.
Es muy intuitiva y fácil de usar, podemos activar varios proveedores de DNS, como Comodo, OpenDNS, Google, etc. Bloquear dominios listados en adlists, añadir nosotros blacklisted domains, hacer entradas DNS propias, etc…
Recently I added to my home lab, my first Ubuntu Server with a Hardened Repository for Veeam Backup, you can find more info here.
Now, the thing is, I want to be able to get notified if some user logs into the server via ssh, as a extra control, since I disable the SSH service when I dont use it.
Also the idea came, to be able to get notified from other applications via telegram, so wasn’t a crazy idea at the end.
from previous entries, or the internet, you can easily find how to create a Bot, and how to get your ID, so Im not going to dive into that,
So first, once we have created and activated our bot and user ID, lets go a create our Telegram messaging program,
in our home, lets create a file like this:
nano send-over-telegram.sh
#!/bin/bash
GROUP_ID=
BOT_TOKEN=
# this 3 checks (if) are not necessary but should be convenient
if [ "$1" == "-h" ]; then
echo "Usage: `basename $0` \"text message\""
exit 0
fi
if [ -z "$1" ]
then
echo "Add message text as second arguments"
exit 0
fi
if [ "$#" -ne 1 ]; then
echo "You can pass only one argument. For string with spaces put it on quotes"
exit 0
fi
curl -s --data "text=$1" --data "chat_id=$GROUP_ID" 'https://api.telegram.org/bot'$BOT_TOKEN'/sendMessage' > /dev/null
GROUP_ID: Your Group ID from your telegram suscription BOT_TOKEN: your token received when you created your bot.
let`s convert this into a «program» to do so, lets move (or copy) our file into the route /usr/sbin
Everything inside /usr/sbin is owned by root, so lets change the ownership to our file
sudo chown root:root /usr/sbin/send-over-telegram
Finally, we want any user to execute this «program» so lets also modify the permissions for that
sudo chmod 0755 /usr/sbin/send-over-telegram
now we can test it out:
send-over-telegram test
you should get the «test» text message into your Telegram Group!
Now, let’s get notified any time a user logs into our server via SSH, to do so, we are going to create a script, and move it to a specific folder.
nano login-notification.sh
#!/bin/bash
# prepare any message you want
login_ip="$(echo $SSH_CONNECTION | cut -d " " -f 1)"
login_date="$(date +"%e %b %Y, %a %r")"
login_name="$(whoami)"
# For new line I use $'\n' here
message="New login to server"$'\n'"$login_name"$'\n'"$login_ip"$'\n'"$login_dat>
#send it to telegram
send-over-telegram "$message"
As you can see, here we are sending the information to our previously created «command» send-over-telegram
now, lets move (copy) the script where needs to be to trigger the alert:
We are done! Now, lets log off and back on to our Ubuntu Server,
You should get your Telegram Message with the information like this:
Remember!!
After using your SSH access, you should always disable it from the server, to avoid unwanted accesses to your server remotely, and do local changes or enable it just when you need to
En una entrada anterior, veíamos como desplegar el Ubuntu VHL «paquetizado» directamente, ya aplicando todo el Hardening y opciones del script «por defecto» e incluso endureciendo los permisos de usuarios.
Ahora bien, si el caso es, que quieres instalar tu propio Ubuntu Server, y luego aplicar el Hardening, te traigo unos pantallazos con una Instalación estándar más la ejecución del script.
Nos vamos a la sección de descarga «Download»Nos envía a un repositorio git, ahí tenemos el script.Yo me lo bajé a mi ordenador, y lo subí via ssh a mi servidor Ubuntu. a vuestra elección.Aqui importante, una vez copiado el archivo, le damos permisos de ejecución, y lo ejecutamos con permisos de «super user».comienza el script a hacer lo suyo….Listo, todo aplicado e instaladoaquí, tras un reinicio y login, vemos el mensaje arriba del todo, el famoso «Disclaimer» También vemos la salida de puntos de montaje, vemos el sistema y /backups, que será donde guardemos nuestros backups inmutables más adelante.
Listo!
Ya tenemos nuestro Ubuntu Server con el Harden aplicado, y ya podemos seguir los pasos del artículo siguiente para añadir nuestro repo a Veeam B&R V12 y hacerlo inmutable, desde la parte de la adición del repo a VBR V12.
Hola, Hoy por fin me he animado a desplegar y probar el fantástico proyecto de Veeam, el VHR «Veeam Hardened Repository»
Se trata de un despliegue «paquetizado» de un Ubuntu Server, el cual ha sido «endurecido» o «reforzado» con las pautas de seguridad DISA STIG.
Existe la opción de instalar el S.O. por tu cuenta, y después correr el script de Hardened, pero me ha parecido más interesante probar este «paquetizado«
Voy a ir poniendo pantallazos y algunos comentarios, el proceso es muy sencillo. Para las pruebas, lo he desplegado en una maquina virtual, pero este VHR está diseñado para ser desplegado en un servidor físico, no en vm.
Toda la información y descargas las podemos encontrar aquí!
Comenzamos:
Como pre requisito, este deploy buscará en los discos el más pequeño para el S.O. y el más grande para el repositorio, yo en mi caso he desplegado un disco de 20GB y otro de 100Gb y los ha reconocido solo. Recomendado si hacéis el despliegue en servidor, que tenga controladora RAID, un RAID 1 «Pequeño» para el S.O. y un Raid 5 ò 6 para el repositorio.
Booteamos la ISOConfiguración de red, recomendado bond de 2 tarjetas de red, muy fácil de hacer con el asistente. en mi caso al ser laboratorio, solo he dejado una tarjeta y por DHCPSi tenemos servidor Proxy para la conexión a internet, importante definirlo, ya que se bajará actualizaciones de seguridad en el proceso de instalación.OJO! Vamos a destruir todo el contenido de los discos, e instalar el S.O, y el repositorio, si estais re instalando el S.O por fallo, no hagas esto, o lo perderéis todo.Definimos usuarioarranca la magiaSigue la magia con actualizacionesacabamos, ahora, a reiniciar.Arranque inicial, nos «logueamos» con el usuario creado previamente…Ojo al disclammer, nos indica que tras este setup inicial, y reiniciemos, el S.O. se va a «endurecer» deshabilitando todos los comandos para el usuario, a excepción de reboot y shutdown!! Haremos nuestros ajustes, y ante de reiniciar, lo añadiremos al servidor de Veeam VBR!!! En nuestro VBR, vamos al Wizard de añadir repositorio de backup.HARDENED!!!Añadimos nuestro servidor VHR recién desplegadoLas credenciales como single use, sino, nos va a fallar, es un hardened repo, todo debe ser lo más seguro posible!Continuamos con el proceso, Seleccionamos nuestra unidad donde vamos a almacenar los backups, el Repo!Aquí definimos la inmutabilidad, en días, lo he dejado por defecto, 7!Seguimos con la configuración convencional de nuestros reposListo!Vemos aquí nuestro repo Inmutable listo para ser usado, independiente, en SORB, etc…
OJO, continuamos ahora en el Servidor VHR que desplegamos, para terminar el Hardening!!
Como veis, ya lo hemos añadido a nuestro VBR, por tanto, ahora, a reiniciar, tras lo cual, se ejecutará el script de «endurecido» quedando el usuario solamente con la opción de shutdown y reboot.Listo! ya nos dice el disclamer que el Hardening se ha efectuado. Todo listo para usar nuestro repositorio en nuestro servidor seguro.
ara poder hacer troubleshooting, tendremos que reiniciar y lomearnos en el servidor como root desde el modo Standalone desde el arranque del Grub, ya que el root está deshabilitado, y nuestro usuario únicamente tiene permisos de Reboot y Shutdown.
Espero os haya gustado, y os facilite el despliegue de esta fantástica opción, yo lo tengo en mi laboratorio, y como bien dice la documentación, usarlo a vuestro criterio, y no tiene soporte, no habrás tickets en soporte!
Para monitorear los discos en caso de fallo, etc, deberes configurar la ILO, IPMI, DRAC, etc… que tenga vuestro servidor, ya que el S.O. del VHR no mandará notificaciones.
