samedi 29 novembre 2025

[Nutanix] Home Lab

Afin de proposer du contenu intéressant , proche du terrain et de vos besoins et préoccupations, j'ai acheté un joli serveur Dell PowerEdge R640 8SFF.

Il est composé de

- 2 x Intel(R) Xeon(R) Gold 6240 CPU @ 2.60GHz

- 384Go de RAM DDR4

- 2 x 1,78 Go SSD

- 6 x 2,4 Go HDD

- 1 carte Ethernet 4 x 1 Gb

- 1 carte Ethernet 4 x 10 Gb ( non utilisée )

J'ai fait un RAID 1 sur les 2 disques SSD et un RAID 5 sur les 6 disques HDD

J'ai installé un ESXi dessus.

Je n'ai pas déployé de vCenter : ça ne me parait pas indispensable, et ça me consommera des ressources "pour rien".

Puis déployé 2 VMs Nutanix CE.

Je reviendrai plus tard sur les configurations apportées.

J'ai en outre installé une VM DNS (Mask DNS).

Puis pour sauvegarder tout ce petit monde (ainsi que les VMs qui viendront enrichir cette petite infra), j'ai installé une VM Veeam CE, à laquelle j'ai pu connecter mon ESXi standalone et les 2 clusters Nutanix CE mononodes.

J'ai également installé une appliance Hycu, (merci Christophe Absalon), mais je ne peux y connecter Prism Element, uniquement un Prism Central : je verrai ce point plus tard.

[Nutanix] Débloquer le compte admin PE

Il arrive bien souvent que le compte admin de PrismElement soit bloqué par des tentatives de connexion avec un mauvais mot de passe.

Voici donc comment le débloquer :

Si vous rencontrez la situation décrite ci-dessus, connectez vous en SSH à n'importe quelle CVM (VM contrôleur) ou PCVM (VM Prism Central) du cluster en tant qu'utilisateur « nutanix » et exécutez la commande suivante :

nutanix@cvm:~$ allssh 'sudo faillock --user admin --reset'

Cette commande réinitialisera le verrouillage pour l'utilisateur spécifié, permettant ainsi aux connexions suivantes de réussir.
Si le nombre de tentatives est trop élevé, le compte pourrait être à nouveau verrouillé rapidement.

Il est conseillé de déterminer la source des échecs d'authentification, comme indiqué dans la section suivante.

[NUTANIX] FailOver LoadBalancing des vSwitchs distribués

Sur une plateforme Nutanix AHV, les configurations de failover et load balancing des vSwitchs (principalement Open vSwitch - OVS) déterminent comment le trafic réseau est réparti ou redirigé en cas de défaillance. Voici les principales configurations disponibles sur Nutanix pour gérer le failover et load balancing au niveau des vSwitchs :

Configurations de Failover & Load Balancing pour vSwitch Nutanix (OVS)

1. Active-Backup (Failover)

Nom OVS : bond_mode=active-backup
Comportement : Une seule carte est active à la fois, l'autre est en veille. Si l’interface active tombe, la seconde prend le relais.
Load Balancing : ❌ Pas de répartition de charge.
Failover : ✅ Oui.
Cas d’usage : Simplicité, sécurité, souvent utilisé avec les switches qui ne supportent pas l’agrégation de liens.

2. Balance-SLB (Source Load Balancing)

Nom OVS : bond_mode=balance-slb
Comportement : Répartition de charge basée sur les adresses source des flux (MAC ou IP). Ne nécessite pas de configuration LACP côté switch.
Load Balancing : ✅ Oui.
Failover : ✅ Oui.
Cas d’usage : Très utilisé en production Nutanix. Compatible avec les switches standards (pas besoin de LACP).

3. LACP (Link Aggregation - balance-tcp)

Nom OVS : bond_mode=balance-tcp avec lacp=active
Comportement : Agrégation de liens via LACP (IEEE 802.3ad). Nécessite une configuration spécifique sur le switch physique.
Load Balancing : ✅ Oui (basé sur une combinaison IP/MAC/port).
Failover : ✅ Oui.
Cas d’usage : Haute disponibilité et performance si les switches supportent LACP.

📌 Résumé Comparatif

Mode	Load Balancing	Failover	Nécessite LACP côté switch
Active-Backup	❌ Non	✅ Oui	❌ Non
Balance-SLB	✅ Oui	✅ Oui	❌ Non
LACP (balance-tcp)	✅ Oui	✅ Oui	✅ Oui

🔧 Commande utile pour vérifier la config sur AHV

bash
ovs-vsctl show

Pour voir les bonds :

bash
ovs-appctl bond/show

[PowerCLI] Changer mot de passe root avec power CLI

Voici un petit script PowerCLI qui va vous aider à modifier le mot de passe, ici du compte "root", mais vous pouvez l'utiliser pour n'importe quel autre compte, en modifiant le nom du compte.

Votre ESX peut même être déjà connecté à un vCenter

Script disponible ici

Cas d'usage :

1) Votre mot de passe est compromis, et vous avez besoin de le modifier rapidement
2) Vous avez installé l'ESX avec un mot de passe standard et peu complexe, il est maintenant temps de le rendre compliant avec la politique de sécurité des mots de passe de l'entreprise !

Gestion des templates de VMs et synchronisation des Content Librairies locales et distantes

Je vais ici vous proposer une solution 100% VMware vCenter pour gérer le stockage, le déploiement, la mise à disposition et la mise à jour d'un template de VM (quelque soit son OS) dans un Content Librarie vers un ensemble de sites distants.

Imaginons donc un environnement avec un vCenter central, de nombreux sites distants hébergeant chacun des ESXi avec chacun leur propre stockage partagé, mais des bandes passantes hétérogènes d'un site à l'autre.

=> L'idée est donc ici de trouver une solution permettant de créer en central une image de référence de VM (template) et de la pousser vers chacun des sites. Ainsi au moment du déploiement d'une VM à partir de ce template, l'image est déjà stockée en local sur le site sur lequel on en a besoin.

L'avantage par rapport à un déploiement classique sur base de template, c'est que l'image de la VM n'est plus dépendante de la qualité de la bande passante inter-site : elle a déjà été streamée en avance de phase.

Création de la Content Librarie centrale

Sélectionner "CREATE", et remplissez les champs ainsi :

Puis:

Dans notre exemple, considérons qu'il n'y a pas besoin d'authentification pour accéder au Content Librarie:

Sélectionner le datastore local où sera stocké le template :

Finish.
Une fois le template de la VM créé, clonez le vers le Content Librarie :

Puis, sélectionner "New Template" et le Content Librarie central.

Aller vérifier dans Content Library que le template y apparait bien :

Maintenant, nous allons créer un Content librairie distant "abonné" au Content Librairie central.
Le content Librairie distant se synchroniser automatiquement au Content Librairie Central.

Création du Content Librairie distant

Editer le Content Librairie central, et copier l'URL

Créer un nouveau Content Librairie, et y spécifier l'URL précédemment copiée :

Sélectionner le datastore localisé sur le site distant:

A sa création, on constate que le Content Librairie distant est vide :

Mais au bout de quelques secondes, il se synchronise avec le Content Librairie Central pour atteindre la même taille.

Mise à jour du template

Nous allons enfin ,ici, mettre à jour le template du Content Librairie central, et observer la mise à jour automatique du template sur le site distant.

(Pour l'exemple, j'ajoute des CPU / RAM et controleurs SCSI + cartes réseau à mon template)

RAPPEL : Pour cela, il faut donc:

Retransformer le template en VM
Editer la VM et y ajouter les éléments nécessaires (ou modifications logicielles à l'intérieur de l'OS)
Retransformer la VM en template

Sélectionner le template:

Sélectionner "Update existing template" et le template à mettre à jour:

On constate que le template s'est mis à jour dans le Content Librairie Central :

et au bout de quelques secondes, la mise à jour a été poussé automatiquement vers le (ou les) Content Librairies distants (ce ne sont que les blocs modifiés qui sont poussés vers le site distant):

=> Il est également possible de forcer la synchronisation manuellement.

Si 15 sites sont abonnés au Content Librairie central, la mise à jour du ou des templates est AUTOMATIQUEMENT poussée vers chacun de ce 15 sites: C'est un gain de temps énorme !

Le template mis à jour est donc maintenant disponible sur le site distant, prêt à être utilisé pour déployer des VMs !

vSphere assessment calculator

Je vous propose ici un petit outil visant à vous aider à définir "grosse maille" une infrastructure cible comportant aussi bien des serveurs physiques que des VMs déjà existantes.

Vous trouverez sur le premier onglet le mode d'emploi de l'outil.

Je fais évoluer régulièrement ce petit outil.

Libre à vous de le modifier à votre guise.

Bonne utilisation !

C'est ICI que ça se passe !

Remplacement certificats autosignés du vCenter

Je vous propose ici un petit mode opératoire vous aidant à remplacer les certificats autosignés par défaut lors de l'installation du VMware vCenter par ceux issus de votre autorité de certification.

=> Faire un snapshot à froid du vCenter ( se connecter sur l'ESXi qui héberge la VM vCenter pour cela)

1- Demandez le fichier PFX au service compétent, en fournissant les éléments suivants :

Le FQDN du vCenter
Email (celle d'un compte de service)
IP du vCenter

2- Installer OpenSSL

Disponible ici : https://slproweb.com/products/Win32OpenSSL.html

3- Extraire la clé

Dans un CMD, exécuter la commande suivante :

C:\Program Files\OpenSSL-Win64\bin>openssl pkcs12 -in blablabla.pfx -out c:\temp\key.txt -nocerts -nodes