На днях компания VMware в составе Broadcom выпустила очередной пакет обновлений своей флагманской платформы виртуализации - VMware vSphere 8.0 Update 3.
Управление жизненным циклом
Ниже представлен краткий обзор основных аспектов управления жизненным циклом систем в vSphere, их особенностей, а также новых функций vSphere 8 Update 3.
Уменьшение времени простоя vCenter
Теперь обновление и установка патчей для vCenter с минимальным временем простоя включают полную поддержку разных топологий и возможность автоматического переключения на резерв.
vSphere Lifecycle Manager
Управление стеком программного обеспечения, драйверов и firmware для кластеров vSphere и отдельных хостов теперь включает новую функцию vSphere Live Patch, расширенную настройку образов и поддержку конфигураций с двойными DPU.
Профили конфигурации vSphere
Управление конфигурацией vSphere, теперь включает поддержку кластеров, использующих базовые уровни (baselines), ранее доступные в Update Manager, которые еще не перешли на использование cluster images посредством vSphere Lifecycle Manager. Теперь в в vSphere 8 U3 поддерживаются и кластеры, управляемые посредством базовых уровней.
vSphere Live Patch
С помощью vSphere 8.0 Update 3 пользователи могут устранять критические ошибки в среде исполнения виртуальных машин (vmx) без необходимости перезагрузки или перевода всего хоста в режим обслуживания. Например, это может оказаться полезным при исправлении проблем в драйверах виртуальных устройств ВМ.
Виртуальные машины быстро приостанавливаются и возобновляют работу в рамках механизма fast-suspend-resume (FSR) как часть процесса устранения неполадок хоста. Это не мешает работе большинства виртуальных машин. FSR виртуальной машины — это неразрушающая операция, которая используется, например, при операциях добавления или удаления виртуальных устройств к включенным ВМ.
Сканирование соответствия vSphere Lifecycle Manager будет сообщать о виртуальных машинах, несовместимых с FSR, и причине такой несовместимости.
Вот пример того, как применяется vSphere Live Patch:
Хост входит в режим частичного обслуживания (partial maintenance mode)
Загружается новая версия mount revision
Новая версия mount revision накатывается
ВМ приостанавливают и быстро возобновляют работу, чтобы использовать обновленную версию mount revision
Некоторые виртуальные машины несовместимы с FSR. ВМ, настроенные с использованием vSphere Fault Tolerance, и ВМ, использующие Direct Path I/O и vSphere Pods (контейнерные поды), не могут использовать FSR и требуют ручного устранения данного типа проблем. Ручное исправление можно сделать, перенеся виртуальную машину на другой хост или перезагрузив ее.
Для получения дополнительной информации о vSphere Live Patch см. эту статью.
Частичный режим техобслуживания
Частичный режим техобслуживания — это автоматическое состояние, в которое каждый хост входит при выполнении задачи устранения неполадок vSphere Live Patch.
Это особое состояние позволяет существующим виртуальным машинам продолжать работу, но запрещает создание новых виртуальных машин на хосте, а также их миграцию на хост или с него.
Расширенная настройка образа
Образы vSphere Lifecycle Manager могут быть дополнительно настроены в vSphere 8 Update 3. В базовой версии ESXi компоненты VMware Host Client (ESXi UI) и ESXi VM Tools (VMware Tools) могут быть удалены из образа.
Когда присутствует дополнение производителя (аддон), некоторые компоненты также могут быть исключены из окончательного образа. Это включает возможность сохранения существующей версии драйвера вместо перехода на новую версию в новом пакете дополнений производителя.
Клиентам следует проверить у производителя, поддерживается ли сохранение существующего драйвера.
Это позволяет уменьшить размер установочных образов за счет удаления некоторых несущественных компонентов. Это полезно в случаях удаленного и/или использования в Edge-локациях для уменьшения общего объема образа ESXi, который необходимо передать по сети.
Поддержка двойных DPU
vSphere Lifecycle Manager в vSphere 8 Update 3 включает поддержку конфигураций с двойными DPU. Аналогично конфигурациям с одним DPU, vSphere Lifecycle Manager будет устранять неполадки в обеих версиях DPU ESXi и обеспечивать, чтобы все версии оставались одинаковыми.
Обновление vCenter Reduced Downtime
Обновление для уменьшения времени простоя vCenter поддерживает все топологии развертывания vCenter.
Самостоятельное управление: виртуальная машина vCenter управляется самой собой.
Не самостоятельное управление: виртуальная машина vCenter управляется другим vCenter.
Режим Enhanced Linked Mode: два или более экземпляра vCenter участвуют в одном домене SSO.
vCenter HA: экземпляры vCenter настроены для высокой доступности vCenter.
Автоматическое переключение доступно при выполнении обновлений vCenter с использованием reduced downtime updates. Фаза переключения начнется немедленно и займет примерно 2-5 минут простоя сервиса.
Вы можете продолжить вручную инициировать фазу переключения, чтобы контролировать, когда именно произойдет переключение и кратковременный простой.
Для получения дополнительной информации о vCenter Reduced Downtime Update см. эту и эту статью. Мы также писали об этом тут.
Аппаратное обеспечение vSphere
Поддержка двойных DPU в vSphere Distributed Services Engine
Обновление vSphere 8 Update 3 добавляет поддержку двойных DPU для vSphere Distributed Services Engine. Двойные DPU могут использоваться в двух конфигурациях.
Конфигурация высокой доступности DPU
Первая конфигурация использует два DPU в режиме высокой доступности Active/Standby. Эта конфигурация обеспечивает резервирование на случай отказа одного из DPU.
В конфигурации HA оба DPU назначены одному и тому же коммутатору vSphere Distributed Switch с поддержкой NSX.
Например, DPU-1 подключен к vmnic0 и vmnic1 коммутатора vSphere Distributed Switch, а DPU-2 подключен к vmnic2 и vmnic3 того же коммутатора vSphere Distributed Switch.
Увеличение ресурса аппаратной разгрузки сети
Вторая конфигурация использует два DPU как независимые DPU. Каждый DPU подключен к отдельному коммутатору vSphere Distributed Switch.
В этой конфигурации отсутствует механизм переключения при отказе между DPU. По сути, эта конфигурация аналогична конфигурации с одним DPU, но теперь можно использовать два DPU, каждый из которых подключен к своему собственному коммутатору vSphere Distributed Switch, увеличивая аппаратную разгрузку на каждый хост ESXi.
Поддержка процессоров Intel Xeon CPU Max Series
Используйте преимущества новейших технологий аппаратного ускорения от Intel для высокопроизводительных вычислительных нагрузок, работающих на vSphere. Ускоряйте рабочие нагрузки AI/ML и другие высокопроизводительные вычислительные (HPC) приложения с помощью процессоров Intel Xeon CPU Max Series.
Процессоры Intel Xeon CPU Max Series используют высокоскоростную память (high-bandwidth memory, HBM), встроенную непосредственно в процессор.
Поколение Intel Sapphire Rapids (включая модели без HBM) включает 4 отдельных встроенных ускорителя. В настоящее время Intel разработала и предоставила 2 нативных драйвера vSphere специально для QAT и DLB.
vSphere и GPU
Профили vGPU в vSphere 8
В более ранних версиях vSphere все рабочие нагрузки NVIDIA vGPU на хосте ESXi должны были использовать один и тот же тип профиля vGPU и размер памяти GPU. Это больше не так.
Теперь вы можете назначать рабочие нагрузки с различными типами профилей vGPU на один и тот же физический GPU, что помогает лучше использовать ресурсы GPU. Размеры памяти профилей также могут различаться (новая функция в vSphere 8 Update 3).
В предыдущих версиях GPU Media Engine был доступен только при использовании всего физического GPU. Теперь Media Engine может быть представлен для меньших профилей MIG (Multi-instance GPU).
В текущем оборудовании, как правило, имеется только один Media Engine. Только один профиль vGPU может использовать Media Engine на одном физическом GPU. Media Engine не может быть разделен между несколькими профилями vGPU / виртуальными машинами vGPU, использующими один и тот же физический GPU.
Мониторинг GPU на уровне кластера
Просматривайте использование вычислительных ресурсов GPU и памяти GPU в vSphere Client. vSphere Client отображает новую плитку на вкладке сведений о кластере, показывающую обзор используемых в данный момент ресурсов GPU и общее количество физических устройств GPU, доступных кластеру.
Обзорные графики производительности кластера отображают исторический и текущий вид использования вычислительных ресурсов GPU и памяти GPU кластера.
Настройки vSphere DRS для vGPU
Легко активируйте мобильность виртуальных машин с включенным vGPU. Настройки vSphere DRS для виртуальных машин с включенным vGPU можно легко контролировать в настройках DRS кластера.
Включите и определите предел времени приостановки машины для автоматических миграций DRS виртуальных машин с включенным vGPU.
Мобильность виртуальных машин с включенным vGPU упрощает управление жизненным циклом кластеров с поддержкой GPU, позволяя автоматическую эвакуацию виртуальных машин с vGPU с хостов во время устранения неполадок.
Доступность и устойчивость
Встроенная служба кластера vSphere
Служба кластера vSphere (vCLS) была переработана для использования меньшего количества ресурсов, уменьшения занимаемого объема хранилища и устранения проблем, связанных с развертыванием vCLS. Встроенные виртуальные машины vCLS не занимают дисковое пространство и работают полностью в оперативной памяти хоста. Хост ESXi запускает встроенные виртуальные машины vCLS напрямую. Развертывание OVF из vCenter больше не требуется, и EAM (менеджер агентов ESX) больше не задействован.
Количество виртуальных машин vCLS на кластер также было уменьшено с трех до двух при использовании встроенного vCLS. Одноузловой кластер будет использовать одну встроенную виртуальную машину vCLS, а кластеры с двумя или более хостами будут использовать две встроенные виртуальные машины vCLS.
Вы можете легко определить тип службы кластера на вкладке сведений кластера vSphere.
Кластер, использующий новый встроенный vCLS, отображает соответствующую информацию. Например, кластер vSphere 8 U2 сообщает тип службы кластера как “vCLS”.
Для получения дополнительной информации о встроенной службе кластера vSphere, см. эту и эту статью.
Поддержка Metro Cluster для vSphere Fault Tolerance
Виртуальные машины, настроенные с vSphere Fault Tolerance, поддерживают растянутые/метро-кластеры.
Просто установите флажок "Включить Fault Tolerance для Metro Cluster" при активации Fault Tolerance на виртуальной машине и выберите соответствующую группу хостов.
Основная виртуальная машина FT размещается на сайте группы хостов, а вторичная виртуальная машина автоматически размещается на противоположном сайте.
Если хост, на котором работает основная виртуальная машина FT, выходит из строя, вторичная виртуальная машина FT будет продолжать выполнение в соответствии с ожиданиями. Другой хост в том же сайте, где вышла из строя основная виртуальная машина FT, выбирается для повторного установления синхронизации FT при этом сохраняется размещение машин на двух сайтах.
Если весь сайт выходит из строя, затронутые виртуальные машины продолжают работать без защиты FT до восстановления работы вышедшего из строя сайта.
Рабочие нагрузки
Виртуализация CPU C-State
Энергоэффективность очень важна для инфраструктуры Telco и VRAN (виртуализированных сетей радиодоступа). vSphere 8 Update 3 позволяет виртуализировать физические состояния C-States процессора и управлять ими изнутри рабочих нагрузок.
Рабочие нагрузки могут запрашивать, чтобы физическое ядро переходило в режимы энергосбережения, такие как состояние C6, когда приложения и процессы находятся в режиме ожидания.
Процессор может быть повторно активирован для максимальной производительности по запросу рабочей нагрузки. Для этого требуются процессоры Intel Cascade Lake и новее, а также драйвер intel_idle для гостевой ОС.
Настройка виртуального оборудования при развертывании из библиотеки контента
Шаблоны OVF/OVA, развертываемые из библиотеки контента, могут быть настроены в аппаратной части во время выполнения мастера развертывания, а не после него.
Это позволяет упростить настройку виртуального оборудования для устройств и шаблонов и гарантировать, что необходимые аппаратные компоненты добавлены и настроены для рабочей нагрузки.
Отключенные операции виртуальной машины
Решения первого и третьего уровня могут отключать определенные операции vSphere, такие как операции миграции, во время выполнения определенных задач. Например, решение для резервного копирования виртуальных машин может отключить возможность миграции виртуальной машины с помощью vMotion, пока выполняется задача резервного копирования, чтобы предотвратить сбой задачи.
Метод/операция, которая была отключена, должна быть вновь активирована после завершения задачи. Однако в определенных обстоятельствах метод может не быть повторно активирован.
В vSphere 8 Update 3 администраторы могут легко повторно активировать операции из vSphere Client:
Безопасность и соответствие
Поддержка PingFederate в vSphere Identity Federation
vSphere теперь поддерживает PingFederate в качестве внешнего поставщика удостоверений.
На протяжении жизненного цикла vSphere 7 и 8 VMware добавляла все больше способов внедрения современной аутентификации в vSphere. Последним дополнением коллекции стала поддержка PingFederate, присоединившаяся к поддержке Entra ID, Okta и ADFS, что делает vSphere очень гибкой в вопросах управления идентификацией и контролем доступа.
Поддержка профилей TLS и набора шифров
Быстро настраивайте лучшие практики и современные шифры TLS с использованием подхода на основе профилей через API, профили конфигурации или с помощью PowerCLI.
Сейчас существует только один профиль, называемый NIST_2024, и вы можете установить его с помощью API вызова, через профили конфигурации или через скрипт PowerCLI, что, честно говоря, является самым простым способом.
В Руководстве Security Configuration Guide for vSphere 8 есть примеры того, как это сделать. Вам потребуется перезагрузить хост ESXi, чтобы изменения вступили в силу, поэтому вы можете сделать это прямо перед установкой патча!
Руководства и базовые настройки конфигурации безопасности
Документ Security Configuration Guide был обновлен для vSphere 8 Update 3 и включает рекомендации для vSAN 8 Update 3.
Включите защиту данных в процессе передачи (data-in-transit protection), включите шифрование хранимых данных (data-at-rest encryption), и все готово. Фактически, это огромное отличие vSAN от других решений для хранения данных: включить продвинутую безопасность очень просто. Это всего лишь установка галочки, а не многолетний проект.
В SCG есть несколько новинок: от новых профилей TLS до рекомендаций по управлению параметрами загрузки виртуальных машин.
Там также есть удобные сравнения между рекомендациями STIG, руководствами PCI DSS 4.0 и базовыми настройками, чтобы вы могли точно увидеть, чем базовые настройки отличаются для этих структур соответствия.
Теперь доступны скрипты для аудита и устранения большинства элементов из Security Configuration Guide, чтобы клиенты, настраивающие новые среды, могли быстро выполнять задачи, а аудиторы могли сохранять результаты для своих отчетов.
Подробную информацию о новой версии пакета обновлений VMware vSphere 8.0 Update 3 можно получить по следующим ссылкам: