Ungewöhnlicher Traffic zwischen ESXi Host und vSphere Vcenter Server

[DavidS 11]

Hallo,

 

seit kurzer Zeit beobachte ich in den Abendstunden einen erhöhten Traffic zwischen einem ESXi Host (als Sender) und Vcenter Server (als Empfänger).

 

Der VCenter Server ist in der Zentrale installiert, der ESXi Host in einer Außenstelle welche per VPN angebunden ist. Der reguläre Internetzugang in der Außenstelle ist gesperrt, jeglicher ausgehender Traffic wird über die VPN Verbindung realisiert.

 

Der ESXi Host kommt in der Version 4.1.0, 800380 zum Einsatz.

 

Der vCenter Server hat die Version 4.1.0, 925676.

 

In Vergangenheit kam es nicht zu diesem "Phänomen", es haben keine Veränderungen an der Software stattgefunden.

Es wird konstant ein Datenstrom von 600 kbit/s übertragen, bis in die Morgenstunden hinein, dann endet die Datenübertragung.

 

Daraufhin habe ich einen Packet Sniffer integriert um jeglichen Traffic zu erfassen, dadurch bin ich nun in der Lage zu erkennen welches Gerät sendet und empfängt, dies war bis dato noch unbekannt und nun zeigen sich o.g. Komponenten als die Verursacher.

 

Ich möchte diese Datenübertragung unterbinden, respektive wissen warum die Geräte sich in dieser Höhe austauschen.

 

Eine Replikation von virtuellen Maschinen zwischen den Standorten findet nicht statt.

Es gibt auch keine Alarme oder ähnliches im Log. Wie am screenshot zu erkennen, die Übertragung passiert nicht täglich, beginnt jedoch gegen 16 Uhr und Endet um 8-9 Uhr.

 

Wäre es nicht der ESXi Host der sendet, sondern ein Windows Client, würde ich von einer Vireninfektion oder dem Versand von Spam ausgehen, dies sollte in diesem Fall ja kein Kriterium sein.

 

Jemand ne Idee ?

 

UPDATE: Nach weiterer Recherche habe ich das VirtualCenter vpxd Log durchforstet, es ist zu erkennen dass der ESXi Host in 30 Sekunden Abständen permanent die Abfrage VpxdInvtHostSyncHostLRO.Synchronize vom VCenter Server bekommt.

 

[2013-08-27 23:58:23.792 01940 info 'App' opID=HB-host-69@761] [VpxLRO] -- BEGIN task-internal-6433 -- host-69 -- VpxdInvtHostSyncHostLRO.Synchronize --
[2013-08-27 23:58:23.793 01940 info 'App' opID=HB-host-69@761] [VpxdHostSync] Synchronizing host: 192.168.44.15 (192.168.44.15)
[2013-08-27 23:58:24.942 01940 info 'App' opID=HB-host-69@761] [VpxdHostSync] Retrieved host update to 761
[2013-08-27 23:58:24.944 01940 info 'App' opID=HB-host-69@761] [VpxdHostSync] Completed host synchronization
[2013-08-27 23:58:24.945 01940 info 'App' opID=HB-host-69@761] [VpxLRO] -- FINISH task-internal-6433 -- host-69 -- VpxdInvtHostSyncHostLRO.Synchronize --
[2013-08-27 23:59:03.796 00828 info 'App' opID=HB-host-69@762] [VpxLRO] -- BEGIN task-internal-6434 -- host-69 -- VpxdInvtHostSyncHostLRO.Synchronize --
[2013-08-27 23:59:03.798 00828 info 'App' opID=HB-host-69@762] [VpxdHostSync] Synchronizing host: 192.168.44.15 (192.168.44.15)
[2013-08-27 23:59:04.950 00828 info 'App' opID=HB-host-69@762] [VpxdHostSync] Retrieved host update to 762
[2013-08-27 23:59:04.955 00828 info 'App' opID=HB-host-69@762] [VpxdHostSync] Completed host synchronization
[2013-08-27 23:59:04.956 00828 info 'App' opID=HB-host-69@762] [VpxLRO] -- FINISH task-internal-6434 -- host-69 -- VpxdInvtHostSyncHostLRO.Synchronize --

 

 

UPDATE2: Beende ich den Dienst VMWare Virtual Center Server an dem VCenter Server, so hat dies keinen positiven Effekt, die Datenübertragung findet weiterhin statt.

 

UPDATE3: Derzeit endet die Datenübertragung gar nicht mehr. Siehe Screenshot Traffic-Update3

 

bearbeitet 28. August 2013 von DavidS