[VMware] from vSphere (ESXi) 6.7 Update 2 need conside parameter

在vSphere 6.7 U2 開始支援 SCAv2 (Side-Channel Aware Scheduler) 。在ESXi 7.0 強制使用 SCAv2不使用SCAv1造而造成強制停用 HT (Hyper-Threading)。

轉貼~不自量力文章 ( 優化BIOS/ESXi主機網路組態　活用最新SCAv2調度選項 實作vSphere 6.7最佳化　高效與高安全性兼備 2019-11-04 王偉任 )

" SCAv1運作機制後，每個CPU處理器的實體核心將僅能處理「一個執行緒」而已，雖然能夠解決L1TF漏洞產生的安全性疑慮，卻導致vSphere ESXi虛擬化平台的運作效能「下降30%」 。

VMware vSphere 6.7 U2版本中，推出新的「SCAv2」調度選項，允許同時處理多個執行緒，讓VM虛擬主機的工作負載效能提升。

當多台VM虛擬主機同時運作的情況下，採用預設未修補的調度選項，可能會讓同一個底層CPU處理器的實體核心，運作來自不同台VM虛擬主機的vCPU，而遭受L1TF漏洞攻擊。採用「舊式的SCAv1」調度選項時，雖然可以確保同一個底層CPU處理器的實體核心，僅會運作來自同一個VM虛擬主機的vCPU，但是只能處理「一個執行緒」。而採用「新式的SCAv2」調度選項時，除了兼顧VM虛擬主機安全性之外，更可以處理多個執行緒有效提升VM虛擬主機運作效能。"

＊

＊ hyperthreadingMitigation=FALSE (針對主機安全性邊界防護機制) ＞可以強制啟用HT

＊ hyperthreadingMitigation=TRUE
hyperthreadingMitigationIntraVM=FALSE (針對VM安全性邊界防護機制)

---

Reference:
1. 優化BIOS/ESXi主機網路組態　活用最新SCAv2調度選項 實作vSphere 6.7最佳化　高效與高安全性兼備 2019-11-04王偉任

2. VMware response to ‘L1 Terminal Fault – VMM’ (L1TF – VMM) Speculative-Execution vulnerability in Intel processors for vSphere: CVE-2018-3646 (55806)

3. KIERI SOLUTIONS Resilient IT – vSphere Health detected new issues in your environment 6.7

4. VMware vSphere Blog – Which vSphere CPU Scheduler to Choose

5. vmiss.net VMware vSphere 6.7 U2 – What You Need to Know

6. Intel (HT) 超執行緒是什麼？

[VMware] Cluster enable EVC function,but add host in fail ?原來是 BIOS CPU Monitor / MWait 功能在搞鬼0-o

因應客戶日後主機擴增在建立叢集會先啟用現階段CPU EVC Level ，誰不知要將主機拉入 Cluster 卻失敗，錯誤訊息內容為

" 主機的 CPU 硬件應支持群集當前的 Enhanced vMotion Compatibility 模式，但主機現在缺少某些必要的 CPU 功能。請檢查主機的 BIOS 配置，確保未禁用必要的功能（例如 Intel 的 XD、VT、AES 或 PCLMULQDQ，或者 AMD 的 NX）。有關詳細信息，請參見知識庫文章 1003212 “

主機為 Lenovo SR530
這若確認EVC設定 EVC Cluster basline 為 " Intel “Skylake" Generation “，那問題點在於主機 BIOS 裡 MONITOR / MWAIT 是關閉，需啟用之才行。
因應最佳效能將 Choose Operating Mode 改為 Maximum Performance (但這項會造成 Monitor / MWait關閉，除非改為 Custom 才能去啟用之或最快是用出機預設值 “

假如BIOS無此選項則是查驗新版BIOS是否支援去更新它。或將EVC Level 調降成 Nehalem 或更早版本的 EVC 群集

BIOS (F1) > System Settings > Choose Operating Mode > Efficiency – Favor Performance 選項預設會開 MONITOR / MWAIT ．

Reference :
1. vMotion/EVC incompatibility issues due to AES/PCLMULQDQ (1034926)
2. Enhanced vMotion Compatibility (EVC) processor support (1003212)
3. Huawei 文档编号： EKB1100006339 BIOS未开启Monitor/Mwait特性，导致VMWare启用EVC特性报错

[VMware] VM 安裝Windows Server 品牌隨機版(ROK;Reseller Optional Kit)

因底層是VMware 因此會造成虛擬機無法direct 上層 BIOS資訊導致會無法辨視是 Vendor ROK activate．

Resolution :

step01. modify vm.vmx

step02. add > SMBIOS.reflectHost ="True"

step03. vim-cmd vmsvc/reload {該機VMID}

** 2021-06-18 update **
PS: ROK 是BIOS Lock mechanism ; 而 OEM 則會 BIOS Lock mechanism（鎖定機制)。

Reference:
1. ESX Server 3.0.1, Patch ESX-1002095; Updates to VMware-esx-vmx and VMware-esx-tools; Support for OEM Windows SLP (1002095)
2. How to: VMWARE: pass mainboard BIOS to VM
3. 51CTO博客 – VMware vSphere ESXi 6.0 激活OEM Windows
4. Dell EMC Reseller Option Kit 版本資訊
5. Dell PowerEdge：如何在虚拟机上安装 Windows Server Standard ROK
6. Lenovo Document ID:HT506366 – Unable to install Microsoft Windows Server using Lenovo BIOS-Locked media in VMware ESXi hypervisor – Lenovo ThinkSystem

[VMware] vSphere vMotion storage fail pending 33% , “Failed waiting for data. Error 195887179. Connection reset by peer"

自 vSphere 6.0開始 vMotion還會檢查 vmkernel MTU是否有和實體 Switch / Router MTU是否匹配;若不匹配則會很容易有搬移失敗可能。

Resolution :
1. check vSwitch / DSwitch MTU
2. check vmkernel MTU

Reference :
1. After upgrading to ESXi 6.x, vMotion fails with the error: Failed waiting for data. Error 195887179. Connection reset by peer (2120640)

[VMware] ESXi 6.5 / 6.7 login Web Client session set zero

step01.
Host > Manage > System > Advanced Setting

step02.
find “UserVars.HostClientSessionTimeout" set “0″ be no timeout

---

Reference : nolabnoparty – ESXi 6.5 remove Host Client Web Interface session timeout