В рамках событий первого дня проходящей сейчас конференции VMware Explore 2022 была анонсировала платформа виртуализации VMware vSphere 8. Это событие очень ждали многие администраторы и менеджеры датацентров, так как с момента релиза прошлой мажорной версии платформы VMware vSphere 7 прошло уже два с половиной года.
Давайте посмотрим, что нового в VMware vSphere 8. Нововведения сосредоточены в 4 основных областях:
Получение преимуществ облачных нагрузок для онпремизной инфраструктуры
Существенное улучшение производительности
Улучшения операционных инструментов
Новая функциональность для сотрудников DevOps, ускоряющая развертывание и обслуживание приложений
Итак, все новые возможности по порядку:
1. Движок vSphere Distributed Services Engine
В vSphere 8 появилась новая функциональность vSphere Distributed Services Engine, ранее носившая название Project Monterey, о которой мы рассказывали в рамках постов с конференций VMworld 2020 Online и VMworld 2021.
Уже в течение довольно долгого времени вендоры аппаратного обеспечения пытаются сделать высвобождение некоторых функций CPU, передав их соответствующим компонентам сервера (модуль vGPU, сетевая карта с поддержкой offload-функций и т.п.), максимально изолировав их в рамках необходимостей. Но вся эта новая аппаратная архитектура не будет хорошо работать без изменений в программной платформе.
Project Monterey - это и есть переработка архитектуры vSphere Cloud Foundation таким образом, чтобы появилась нативная интеграция новых аппаратных возможностей и программных компонентов. Например, новая аппаратная технология SmartNIC позволяет обеспечить высокую производительность, безопасность по модели zero-trust и простую эксплуатацию в среде VCF. За счет технологии SmartNIC инфраструктура VCF будет поддерживать операционные системы и приложения, исполняемые на "голом железе" (то есть без гипервизора и отдельно от него).
С помощью модулей Data Processing Units (DPU), существующих уже сегодня в PCIe-устройствах, таких как NIC или GPU, можно реализовывать данную технологию по управлению хостами и хранилищами на уровне гипервизора ESXi.
В vShphere 8 гипервизор ESXi устанавливается напрямую в Data Processing Unit, что позволяет оперировать функциями устройств, задействуя их ресурсы напрямую и обеспечивая максимальную производительность.
При релизе vSphere 8 будут поддерживаться чистые установки на DPU, которые обеспечивают offload функциональности NSX на сетевые устройства. Жизненный цикл vSphere Distributed Services Engine управляется средством vSphere Lifecycle Manager. На хостах, где есть установленный в DPU гипервизор ESXi, всегда будет поддерживаться его актуальная версия.
С использованием vSphere Distributed Switch 8.0 и решения NSX сетевые сервисы будут исполняться напрямую на DPU, не задействуя ресурсы x86-процессора, улучшая прямую видимость сетевого трафика, безопасность систем и их изоляцию - все то, что вы ожидаете от NSX.
2. Улучшения vSphere with Tanzu
Здесь есть следующие основные понятия, которые помогут понять новую функциональность платформы vSphere 8 по работе с кластерами Kubernetes:
Tanzu Kubernetes Grid on vSphere 8 - это средство консолидации решений Tanzu Kubernetes в одной исполняемой среде от VMware.
Workload Availability Zones - это средства для изоляции рабочих нагрузок в рамках кластеров vSphere. Supervisor-кластеры и кластеры Tanzu Kubernetes могут размещаться в различных зонах, чтобы повысить доступность кластеров, где узлы не используются в одних кластерах vSphere.
ClusterClass - это способ определить конфигурацию кластера через спецификацию ClusterAPI.
PhotonOS и Ubuntu - это базовые образы, которые можно кастомизировать и сохранить в библиотеке контента (content library) для использования в среде Tanzu Kubernetes.
Pinniped Integration - решение по аутентификации для кластеров Tanzu Kubernetes, которое поддерживает протоколы LDAP и OIDC. Вы можете определять identity-провайдеров, которые будут использоваться для supervisor-кластеров и кластеров Tanzu Kubernetes.
Стабильность и доступность в рамках Workload Availability Zones для Supervisor-кластеров и кластеров Tanzu Kubernetes обеспечивается за счет растяжения рабочих нагрузок между кластерами vSphere, при этом полностью поддерживается механика vSphere Namespaces.
Три зоны Workload Availability Zones нужны для обеспечения высокой доступности. При активации Workload Management вы можете выбрать вариант развертывания между Workload Availability Zones, либо в рамках одного кластера. В первой версии этого механизма отношения vSphere cluster <> Availability Zone построены как 1:1.
ClusterClass позволяет декларативно определить конфигурацию кластера Tanzu Kubernetes и пакеты, устанавливаемые по умолчанию. Эти решения принимает команда DevOps. Они могут включать в себя пакеты для сетевой коммуникации, хранилищ, облачных провайдеров, механизмы аутентификации и сбора метрик. То есть ClusterClass - это спецификация кластера Tanzu Kubernetes на базе ClusterAPI, который управляется со стороны supervisor-кластера.
После развертывания кластера разработчики и специалисты DevOps могут добавлять опциональные пакеты через Tanzu Standard Package Repository. Эти пакеты могут включать в себя средства Contour, утилиты управления сертификатами, логирования, наблюдения за трафиком (такие как Prometheus), визуализацию Grafana, а также внешние DNS-сервисы. Все это управляется через интерфейс Tanzu CLI.
В vSphere 7 аутентификация работала через механизм интеграции с vCenter Single Sign-On. Теперь вы можете продолжить его использовать, но появился еще один метод - Pinniped integration. Теперь кластеры Tanzu Kubernetes и supervisor-кластер имеют прямой доступ через OIDC или LDAP к Identity Provider (IDP) без использования vCenter Single Sign-On. Контейнеры Pinniped автоматически развертываются в кластерах для полной готовности к интеграции.
DevOps используют Tanzu CLI login для аутентификации в кластерах Supervisor и TKC
Интеграция Pinniped федерирует доступ через IDP
IDP возвращает ссылку логина или показывает окно аутентификации
Пользователь DevOps вводит параметры учетной записи IDP
После аутентификации в IDP происходит перенаправление в Pinniped
Tanzu CLI строит файл kubeconfig, который требуется для доступа к кластерам Supervisor и TKC
3. Средства управления жизненным циклом
Как было сказано выше, vSphere 8 имеет поддержку DPU в vSphere Lifecycle Manager для автоматического обновления гипервизоров ESXi в этих устройствах. При этом поддерживается стейджинг апдейтов и апгрейдов, параллельное накатывание обновлений и работа со standalone-хостами, чтобы обеспечить полную идентичность функций vLCM и устаревшего Update Manager. Standalone-хосты могут управляться через API.
Техническое превью vSphere Configuration Profiles представляет собой новое поколение инструментов для управления конфигурациями кластеров и в будущем заменит существующую функциональность Host Profiles.
Механизм Baseline lifecycle management, ранее известный как продукт vSphere Update Manager, уже выводится из эксплуатации в vSphere 8. Он еще поддерживается, но это последний релиз vSphere, где он присутствует.
vSphere Lifecycle Manager может отправлять апдейты на стейджинг заранее для последующего накатывания в производственной среде. Стейджинг апдейтов можно сделать, не переводя хосты в режим обслуживания (maintenance mode). Обновления микрокода (Firmware) также можно отправлять на стейджинг за счет интеграции с Hardware Support Manager.
vSphere Lifecycle Manager может обновлять хосты ESXi в параллельном режиме, уменьшая общее время, которое требуется на обновление кластера. Администратор может определить, нужно ли обновлять все хосты, которые сейчас находятся в режиме обслуживания, либо определить максимальное число одновременных задач по апдейтам.
Также в vSphere 8 доступно превью технологии vSphere Configuration Profiles, которая заменит Host Profiles:
Желаемая конфигурация определяется на уровне объекта кластера и применяется ко всем его хостам. Все хосты должны иметь единую консистентную конфигурацию. Отклонения от уровня конфигурации мониторятся, и о них сообщается администратору, который по клику может устранить эти различия.
Пока эта функциональность находится в статусе Tech Preview, пользователи могут применять стандартный механизм Host Profiles.
Также теперь vCenter сохраняет состояние кластера после восстановления себя из бэкапа. Это доступно потому, что хосты ESXi хранят в себе распределенное хранилище типа key-value, определяющее состояние кластера.
4. Улучшения для AI и ML нагрузок
Теперь доступны средства унифицированного управления для AI/ML Hardware Accelerators. Группы устройств (Device Groups) позволяют организовать виртуальным машинам более простое и удобное потребление аппаратных ресурсов типа NIC и GPU, которые взаимодействуют между собой. NVIDIA
будет первым партнером VMware, который поддерживает Device Groups со всеми необходимыми совместимыми драйверами.
Группа состоит из двух или более устройств, на одном PCIe-коммутаторе, либо соединенных между собой напрямую. Для платформы vSphere 8 эти устройства представляется как единый модуль группы.
Device Groups добавляются к виртуальным машинам через рабочий процесс Add New PCI Device. Механизмы vSphere DRS и vSphere HA поддерживают эти группы устройств и будут обеспечивать нахождение ВМ таким образом, чтобы они имели доступ к своей группе.
Функции Device Virtualization Extensions, построенные на базе технологии Dynamic DirectPath I/O, предоставляют новый фреймворк и API для сторонних вендоров, чтобы они могли строить виртуальные устройства, имеющие связь с оборудованием. Это позволяет лучше поддерживать механизмы vSphere vMotion, Suspend/Resume, а также механику снапшотов памяти и диска.
5. Гостевые ОС и виртуальные машины
Обновилась версия "виртуального железа" - теперь для виртуальных машин доступно Virtual Hardware Version 20. Основные нововведения следующего поколения приведены на картинке:
Здесь мы видим многое из того, о чем говорилось выше.
Также теперь появилась политика TPM Provision Policy. Как многие знают, в Windows 11 требуются устройства vTPM, которые должны быть в виртуальных машинах. Клонирование машины с vTPM может представлять собой угрозу, так как параметры TPM также клонируются.
Для устранения этой проблемы можно заменить устройство vTPM на создаваемой ВМ:
Также есть политика vpxd.clone.tpmProvisionPolicy, определяющая поведение по умолчанию при клонировании машин с vTPM.
Некоторые приложения не могут пережить даже микрозадержки при vSphere vMotion. В этом случае VMware дает механизм для написания migration aware приложений, которые могут интегрироваться с vMotion. То есть приложение может подготовиться к событию миграции за счет остановки каких-то сервисов или переключения на резервную копию кластеризованного приложения. В этом случае приложение может по настроенному таймауту отложить миграцию vMotion до завершения своих процессов по подготовке к миграции (но отклонить ее не сможет).
Нагрузки в сфере телекома требуют улучшенную поддержку приложений, требовательных к задержкам (latency). Функции High Latency Sensitivity with Hyper-threading разработаны для поддержки этих задач и дают улучшенную производительность. В этом случае vCPU машины исполняется на том же физическом CPU-ядре в режиме hyper-threading, в том числе после миграции.
Настройки High Latency Sensitivity with Hyper-threading требуют hardware version 20 и доступны в разделе Advanced settings для ВМ:
Ну и в vSphere 8 + hardware version 20 теперь доступно простое конфигурирование vNUMA-топологии для виртуальных машин:
Также теперь для виртуальной машины доступна информационная панелька CPU Topology с конфигурацией vNUMA:
Функции vSphere DataSets дают возможность обмениваться малыми объемами данных, которые редко изменяются, между средствами управления vSphere и гостевой операционной системой, где установлены VMware Tools. Например, там может храниться статус гостевой ОС и ее агента, информация об инвентаре и прочее. Объект vSphere DataSets перемещается вместе с ВМ, даже когда она меняет инстанс vCenter Server.
6. Управление ресурсами виртуальной среды
В VMware vSphere 7.0 Update 3 появились функции vSphere Memory Monitoring and Remediation (vMMR). С помощью vMMR можно следить за работой памяти в режиме Intel PMem Memory Mode и получать алерты, когда ESXi исчерпывает память DRAM, что может привести к падению производительности сервера.
В vSphere 8 производительность DRS существенно улучшилась в случае, когда на хосте есть память PMEM, за счет использования статистик по памяти, что позволяет принять наилучшие решения по размещению ВМ и избежать ситуаций, в которых произойдет потеря производительности, связанная с памятью.
Также в vSphere 8 появились Green Metrics, которые отображают потребление энергии виртуальными машинами с точки зрения энергоэффективности виртуального датацентра.
Они включают в себя:
power.capacity.usageSystem - как много энергии тратит хост на системные активности, не относящиеся к виртуальным машинам.
power.capacity.usageSystem - потребление энергии на режим простоя (хост ничего не делает, просто включен).
power.capacity.usageVm - сколько энергии хост тратит непосредственно на исполнение виртуальных машин.
7. Безопасность и комплаенс
Здесь появились следующие нововведения:
Предотвращение запуска недоверенных бинарных файлов по умолчанию, которые не установлены как VIB (настройка execInstalledOnly).
vSphere 8 не поддерживает протоколы TLS 1.0 и TLS 1.1. Ранее в vSphere 7 они были просто отключены, а теперь их просто нет - все переведено на TLS 1.2.
SSH Automatic Timeout - по умолчанию сессия SSH отваливается по таймауту.
Sandboxed Daemons - демоны и процессы теперь работают в песочнице, где они имеют самый минимум необходимых им привилегий для исполнения своих задач.
При попытке установить Trusted Platform Module (TPM) 1.2 сервер ESXi 8.0 отображает предупреждение во время установки или апгрейда, но не препятствует им.
Доступность для скачивания продуктов VMware Cloud Foundation+, VMware vSphere 8, VMware vSAN 8 и VMware Edge Compute Stack 2 ожидается до 28 октября 2022 года.