Не так давно мы писали о новом релизе архитектуры VMware Cloud Foundation 4.0, которая представляет собой комплексное программное решение, включающее в себя компоненты VMware vRealize Suite, VMware vSphere Integrated Containers, VMware Integrated OpenStack, VMware Horizon, NSX и другие, работающие в онпремизной, облачной или гибридной инфраструктуре предприятия под управлением SDDC Manager.
В рамках новой версии VCF 4.0 была анонсирована поддержка архитектуры контейнеров приложений в виртуальных средах VMware vSphere with Kubernetes (ее эволюцией является нативная платформа Project Pacific). С этого момента, чтобы обеспечить поддержку контейнеров, пользователям VCF приходилось иметь минимум 7 серверов - 4 сервера для домена управления VCF Management Domain и 3 сервера для Virtual Infrastructure (VI) Domain.
Теперь домен VI можно размещать в рамках домена VCF Management, что сокращает число минимально необходимых хостов до четырех:
Таким образом, теперь VCF поддерживает 2 архитектуры:
Consolidated architecture - один кластер vSphere развертывается как часть Management Domain. Пулы ресурсов позволяют изолировать управляющие нагрузки (экземпляры vCenter, NSX Manager, SDDC Manager и т.п.) от нагрузок виртуальных машин. В этом случае нужно минимум 4 хоста для управляющего домена.
Standard architecture - управляющие нагрузки и виртуальные машины исполняются на разных хостах в разных доменах рабочей нагрузки. ВМ развертываются в отдельных кластерах vSphere, которые работают в рамках доменов Virtual Infrastructure (VI) domains. Это позволяет не только отделить среды на физическом уровне, но и разнести их по разным окружениям разных экземпляров vCenter. Такая архитектура считается рекомендуемой. В рамках окружения VCF можно развернуть до 14 доменов VI и один Management Domain, каждый домен может иметь несколько кластеров в vSphere (в каждом кластере минимум 3 хоста).
На днях компании Dell EMC и VMware (которые как бы одна компания) анонсировали второе поколение программно-аппаратных комплексов VMware Cloud on Dell EMC 2nd Generation. Напомним, что о первом поколении этого решения, анонсированного на VMworld 2019, мы писали вот тут.
Второе поколение сосредоточено на технологиях для датацентров, где требуется высокая производительность приложений при высокой плотности размещения виртуальных машин и контейнеров на хост-серверах.
Теперь к стойке R1 (24 юнита) добавлена еще и полноразмерная стойка R2 на 42 юнита, которая включает в себя зарезервированные коммутаторы, умные розетки PDU и устройства для удаленного управления SD-WAN. В стойку поместится до 16 рабочих узлов (instance nodes):
В стойке R2 нет UPS, так как подразумевается, что сервисы бесперебойного питания предоставляются на уровне датацентра.
Также существенно изменились и спецификации узлов, которых теперь три типа:
Хосты VxRail теперь сделаны на базе второго поколения процессоров Intel SP, предоставляющих до 48 ядер на 2 физических сокета. По памяти максимум - это 768 GB RAM и 23 TB хранилища NVMe all-flash. Все это хорошо подходит под задачи тяжелых баз данных, приложений AI/ML и высоконагруженных виртуальных ПК.
Для резервного копирования сертифицированы 2 решения:
Dell EMC PowerProtect Cyber Recovery
Veeam Availability Suite
Также в рамках архитектуры экспериментально поддерживается решение VMware HCX, чтобы создать единую среду между онпремизным датацентром и облачным на основе архитектуры VMware Cloud Foundation (VCF), где работают средства по обеспечению катастрофоустойчивости рабочих нагрузок VMware Site Recovery Manager. С помощью HCX можно смигрировать сотни рабочих нагрузок одновременно из локального датацентра в облачный.
Кроме того, для пользователей теперь доступна возможность увеличения размера узлов, чтобы динамически увеличивать ресурсы при росте нагрузок:
Ранее VMware Cloud Console предоставляла возможности управления гибридной инфраструктурой только для VMware Cloud on AWS SDDC, теперь же это поддерживается и для датацентров VMware Cloud on Dell EMC SDDC:
Цифра 0 в номере апдейта намекает на то, что ничего особо нового в обновлении нет, что соответствует действительности - было исправлено лишь несколько мелких ошибок и одна важная.
Она заключалась в том, что vSphere Lifecycle Manager и службы vSAN File Services не могли быть одновременно включены в кластере. Если вы включали что-то из этого первым, то второй компонент не мог быть включен после этого (они не были совместимы между собой). Теперь это поправили - и они вполне работают вместе.
Скачать VMware vCenter 7.0 Update 0a можно по этой ссылке.
Помимо этого, были обновлены и службы VMware vSphere with Kubernetes, включающие в себя виртуальный модуль Tanzu Kubernetes clusters OVA. Из нового там появилось:
Службы Tanzu Kubernetes Grid Service for vSphere:
Пользователи могут накатывать последовательные обновления rolling upgrades на узлы worker nodes и control plane nodes для Kubernetes Grid Service for vSphere и апгрейдить службы pvCSI, Calico и authsvc. Также для этих компонентов предусмотрены процедуры пре-чеков перед апгрейдом.
Последовательные обновления rolling upgrades могут быть использованы для одновременного с апгрейдом изменения класса ваших узлов на больший или меньший по размеру.
Для Supervisor cluster поддерживаются новые версии Kubernetes с возможностью апгрейда:
Kubernetes 1.17.4
С версии Kubernetes 1.16.x можно обновиться на 1.17.x
На сайте проекта VMware Labs появилась еще одна узкоспециализированная, но интересная штука - проект Supernova. С помощью данного интерфейса разработчики решений, использующих машинное обучение (Machine Learning), могут создавать свои проекты на базе различных открытых библиотек с поддержкой технологий аппаратного ускорения графики.
Типа таких:
Проект Supernova поддерживает все самые популярные технологии аппаратного ускорения 3D-графики:
Nvidia GPU
Intel IPU/VPU
Intel FPGA
Google (Edge) TPU
Xilinx FGPA, AMD GPU
Для работы Supernova поддерживается ОС Ubuntu или CentOS с контейнерным движком Docker. Сфера применения решения очень широка - распознавание лиц (пол, возраст, эмоции), номерных знаков автомобилей, задача классификации объектов и многое другое.
В качестве тулкитов совместно с Supernova можно использовать следующие:
OpenVINO
SynapseAI
TensorRT
Tensorflow Lite
Vitis
RoCm
Данные для тренировки нейронных сетей могут быть представлены в форматах Tensorflow, Caffe, ONNX и MxNet. Примеры работы с ними представлены в документации, которую можно скачать вместе с пакетом.
Скачать само решение Supernova можно по этой ссылке.
Оказывается, на ресурсе VMware Techzone есть не только образовательные материалы, но и полезные утилиты, в частности, VMware Digital Workspace Topology Design Tool. С помощью этого средства администратор может выбрать имеющиеся у него компоненты решений VMware Workspace ONE и VMware Horizon, а также указать вариант развертывания - и нарисовать архитектурную диаграмму сетевой инфраструктуры.
Чтобы получить доступ к этой утилите, переходим по данной ссылке и в разделе Architect and Integrate кликаем по ссылке Launch для виджета Digital Workspace Topology Tool:
После этого нас попросят авторизоваться с кредами My VMware или Partner Portal и попросят ввести название профиля:
Далее нужно выбрать компоненты инфраструктуры Workspace ONE, которые будут использоваться для построения архитектуры (то есть те, которые вы планируете развертывать):
Дальше нужно указать уже компоненты инфраструктуры Horizon, для варианта On-Premises нужно выбрать составляющие решения Horizon 7 в инфраструктуре на вашей площадке:
В итоге вы получите результат с архитектурой сетевой инфраструктуры:
Также вы можете отобразить отчет по необходимым для открытия портам сетевых экранов, через которые осуществляется взаимодействие между компонентами:
Также можно и сохранить полученную конфигурацию в своем профиле (иконка с дискетой).
Как все уже знают, в новой версии платформы виртуализации VMware vSphere 7 средство обновления виртуальной инфраструктуры VMware Update Manager (VUM) уступило место новому продукту - VMware Lifecycle Manager.
Ранее администраторы vSphere использовали VUM для обновлений серверов ESXi и драйверов, а утилиты от производителей серверов - для обновления их микрокода (firmware). Теперь эти процессы объединяются в единый механизм под управлением vSphere Lifecycle Manager.
На сайте buildvirtual.net появился обзор процесса апгрейда хост-серверов ESXi на версию 7.0, который мы приводим ниже, чтобы дать понимание того, что сам процесс, в плане накатывания апгрейда, от VUM почти ничем не отличается.
Итак, сначала надо импортировать ISO-образ в Lifecycle Manager. Запускаем его в vSphere Client и переходим в раздел Imported ISOs:
Нажимаем Import ISO и указываем ISO-образ ESXi 7.0, который скачали с сайта VMware:
После этого данный образ появится в списке:
Затем надо создать бейслайн с этим образом. Нажимаем ссылку New Baseline, где далее указываем тип содержимого Upgrade:
Выбираем образ, который мы хотим привязать к бейслайну:
После этого созданный бейслайн нужно привязать к хостам или кластеру. Для этого выбираем пункт Attach Baseline or Baseline Group:
После успешной привязки к кластеру, жмем кнопку Check Compliance, которая запускает проверку соответствия хостов заданному бейслайну. В итоге мы увидим, например, что 4 хоста находятся в статусе non-compliant, то есть им можно накатить апгрейд (в данном случае - с версии 6.7 на 7.0):
Перед запуском апгрейда нужно выполнить Remediation Pre-Check, чтобы проверить, что в кластере нет препятствий для апгрейда хостов на седьмую версию.
Если ничего критичного не нашлось, жмем на кнопку Remediate:
Это, собственно, запустит сам процесс апгрейда. Вам нужно будет лишь согласиться с EULA и запустить процедуру обновления. После успешного апгрейда будет показано, что все хосты были обновлены:
В консоли вы увидите, что ESXi 7.0 установлен:
То же самое будет и в vSphere Client:
Как видно из описаний шагов, процесс апгрейда с помощью Lifecycle Manager практически ничем не отличается от оного с помощью Update Manager.
Вильям Лам написал интересную заметку о том, как пробросить USB-клавиатуру или мышь хоста ESXi (они называются USB HID Devices) в гостевую ОС виртуальной машины на VMware vSphere.
Такое может понадобиться, например, когда требуется пробросить в конкретную ВМ отдельную пару USB-устройств ввода (клавиатура+мышь), помимо выделенного устройства vGPU. Также некоторые другие устройства (например, датчики температуры) также притворяются HID-девайсами. Хост ESXi в этом случае по умолчанию не считает необходимым подцеплять такие устройства никуда.
Это поведение можно изменить, добавив следующие параметры в VMX-файл виртуальной машины (или ее Advanced Settings):
Вторая вещь, которая вам может понадобиться - это проброс USB-устройств Chip Card Interface Devices (CCID) в виртуальную машину (например, ридер смарт-карт). Для этого в VMX нужно добавить следующие строчки:
Frank Denneman обратил внимание на одну интересную новую функцию VMware vSphere 7 - возможность миграции vMotion для виртуальных машин с привязанными ISO-образами.
Как знают администраторы vSphere, часто приходится привязывать ISO-образ к консоли виртуальной машины, чтобы установить какое-то ПО. Нередко этот ISO находится на локальном хранилище машины администратора:
В таком случае, при попытке миграции vMotion данной виртуальной машины выдается ошибка о невозможности выполнения операции в связи с привязанным и активным локальным ISO к виртуальному устройству CD/DVD:
Усугубляется это еще и тем, что такие машины исключаются из миграций DRS, а также не могут быть смигрированы автоматически при переводе хоста ESXi в режим обслуживания (Maintenance mode). Как это обычно бывает, администратор узнает об этом в самом конце, минут через 10 после начала операции по переводу на обслуживание - и агрится от такой ситуации.
Поэтому в VMware vSphere 7 такое поведение пофиксили: теперь при миграции vMotion
виртуальное устройство с локальным файлом отсоединяется от исходной машины по команде процесса VMX, все операции с ним буферизуются, далее происходит миграция машины на другой хост, подцепление к нему виртуального устройства с вашим ISO и накатывание буфера.
После переключения машины на другой хост ESXi, VMRC-консоль показывает подключение вашего локального ISO уже к целевой машине:
Казалось бы, мелочь, но иногда может сэкономить немного времени администратора. Для работы этой фичи нужно, чтобы оба хоста VMware ESXi были седьмой версии или выше.
На сайте проекта VMware Labs появилась обновленная версия мобильного клиента для управления виртуальной инфраструктурой VMware vSphere - vSphere Mobile Client 1.11.
Напомним, что в прошлый раз мы писали о возможностях Mobile Client версии 1.9, поэтому ниже мы посмотрим, что нового появилось в последних двух версиях - 1.10 и 1.11.
Виртуальная клавиатура для консоли ВМ, включая специальные клавиши. Наконец-то, системные администраторы смогут выполнять простейшие задачи внутри гостевой системы.
Для кластеров появилась страница с их деталями, чего тоже очень ждали.
Для iOS-устройств появился прямой доступ к консоли ВМ (по-прежнему, требуется и прямой доступ с устройства к серверу ESXi).
Хост больше не показывается как Standalone, когда является частью кластера.
Более корректная обработка статусов для объектов (алармы и проблемы в конфигурации).
Правильный подсчет vCPU на странице свойств ВМ.
Все страницы детальной информации об объектах теперь сделаны в едином стиле.
Улучшена поддержка старых мобильных устройств.
Исправлено множество ошибок самого разного плана.
Скачать vSphere Mobile Client 1.11 можно по этим ссылкам:
Также не забудьте посмотреть инструкцию о развертывании Notification Service (он доступен как Docker-контейнер), чтобы включить Push-уведомления на своих устройствах.
На сайте проекта VMware Labs появилась очередная полезная штука - виртуальный демо-модуль Demo Appliance for Tanzu Kubernetes Grid, с помощью которого администраторы платформ vSphere и Kubernetes могут протестировать инфраструктуру контейнеризованных приложений в виртуальных машинах.
В состав модуля входят все необходимые компоненты для того, чтобы пользователи могли научиться работе с кластерами Tanzu Kubernetes Grid (TKG) в облаке VMware Cloud on AWS, либо в инфраструктуре vSphere 6.7 Update 3. Это решение можно использовать только в образовательных целях или в рамках тестирования, для производственной среды оно не предназначено.
С помощью данного виртуального модуля за менее чем 30 минут можно развернуть инфраструктуру Kubernetes, имея только SSH-клиент и веб браузер. Работает это следующим образом:
Возможности решения TKG Demo Appliance:
Быстрое развертывания кластеров TKG в облаке или онпремизной инфраструктуре vSphere.
Онлайн-библиотека vSphere Content Library для синхронизации всех связей решения TKG Demo Appliance.
Пошаговое интерактивное руководство по развертыванию и использованию.
Предзагруженный реестр Harbor со всеми необходимыми компонентами TKG и демо-контейнерами.
Поддержка изолированных окружений (Air-Gapped) и окружений без интернета.
Примеры демо-приложений, включая Persistent Volume и приложение K8s 3-Tier Application с балансировщиком нагрузки.
Простой доступ к кластерам и их отладка с помощью Octant.
На базе этого ресурса доступны следующие вещи для всех желающих в режиме 24/7:
Удаленные курсы, лабораторные работы и видео, помогающие улучшать ваши навыки работы с продуктовой линейкой VMware.
Доступ к тренинговым планам по различным семействам решений, таким как VMware Workspace ONE, NSX, vRealize Suite, vSphere и другим.
Подробные инструкции о том, как настраивать, развертывать и решать проблемы для различных решений VMware.
VMware предоставляет полностью бесплатный доступ к VLZ в течение 6 месяцев, подробный FAQ по этой программе доступен вот тут. Причем бесплатно выдается именно Premium Subscription, включающая в себя помимо преимуществ Basic Subscription еще и следующие вещи:
Доступ к полной версии видеобиблиотеки Learning Zone.
Видео о расширенном траблшутинге, конфигурации решений и лучших практиках.
Трек подготовки к VMware Certified Professional с двенадцатью курсами, включающими в себя 650 видео.
Получить бесплатный доступ к VMware Learning Zone на 6 месяцев можно по этой ссылке.
Еще в версии VMware vSphere 6.7 появилась интересная новая возможность платформы виртуализации - перезагрузка гипервизора без рестарта всего хоста ESXi. Очевидно, что главное преимущество такого подхода - уменьшенное время на загрузку серверов, некоторые из которых грузятся ну ооочень долго.
Ведь для некоторых обновлений и патчей необязательно аппаратно перезагружать хост и реинициализировать все его оборудование, что происходит при стандартной загрузке (процесс power-on self-test, POST). Достаточно лишь перезагрузить программную часть платформы.
Возможность быстрой перезагрузки ESXi Quick Boot может быть использована компонентами vSphere Update Manager или vSphere Lifecycle Manager (vLCM).
Надо отметить, что функции Quick Boot доступны не для всех серверов. Более подробная информация по этому поводу приведена в KB 52477, а вот ссылки на страницы вендоров серверного оборудования, где можно узнать детали поддержки этой технологии:
Для корректной работы Quick Boot есть и некоторые ограничения. Если вы используете vSphere 6.7, то Quick Boot не будет работать, если у вас включен TPM, есть устройства passthru, а также загружены драйверы vmklinux. Для версии vSphere 7.0 ограничением является только включенный TPM.
Для проверки хоста ESXi на совместимость с Quick Boot нужно выполнить следующую команду в консоли (она выведет полный список факторов, препятствующих использованию быстрой загрузки, таких как драйверы, оборудование и т.п.):
/usr/lib/vmware/loadesx/bin/loadESXCheckCompat.py
Включить быструю загрузку можно в настройках Update Manager или Lifecycle Manager через vSphere Client или Web Client (этот клиент доступен только для vSphere 6.7):
Не так давно мы писали о той функциональности, которой уже нет в VMware vSphere 7, а также о том, какие фичи находятся в состоянии Deprecated. Это значит, что они пока еще есть в текущем релизе, но уже точно будут отсутствовать в следующей версии платформы. Одной из таких фич стала аутентификация Integrated Windows Authentication (IWA), она же "встроенная проверка подлинности Windows".
IWA - это механизм, который позволяет аутентифицироваться через встроенную аутентификацию ОС в сервисах сервера vCenter, который подключен к домену Microsoft Windows Active Directory (AD).
Депрекация этого механизма в vSphere 7 означает, что вы все еще можете смигрировать настройки IWA при апгрейде vCenter, а также развернуть его с нуля. После этого IWA позволит пользователям аутентифицироваться на vCenter.
Почему поддержка IWA уходит из vSphere? Ответ прост - раньше vCenter работал на платформе Windows как приложение для этой ОС с соответствующими возможностями доступа к ее функциям и сервисам AD, теперь же это виртуальный модуль (vCenter Server Appliance), который работает на базе Linux (а точнее Photon OS) и не может быть нативной частью домена.
Какие альтернативные способы можно использовать для аутентификации в домене AD:
С использованием LDAP. Контроллеры домена предоставляют сервисы LDAP, которые может использовать vCenter.
С использованием нового механизма Identity Federation (появился в версии vSphere 7). Эту возможность можно применять для соединения vCenter к Active Directory Federation Services (ADFS) с использованием протоколов OAUTH2 и OIDC.
VMware также объясняет, что присоединение vCenter к инфраструктурам, которые зависят от этого vCenter, может потенциально создать проблемы зависимостей: контроллер домена зависит от включенного в него vCenter как виртуальная машина, а vCenter зависит от домена как его член.
Еще одна причина депрекации IWA - "политическая". Некоторые крупные организации имеют очень строгие правила для администраторов по заведению новых систем в домен и обслуживанию его жизненного цикла. Нередка ситуация, когда администраторы vSphere, которые имеют право включать vCenter в домен, получают бан аккаунта от безопасников, которые отключают его за неактивность.
Аналогичный подход к депрекации IWA компания VMware сделала и для серверов ESXi - они будут поддерживать взаимодействие с доменом на тех же условиях, что и vCenter. Правами доступа к хост-серверам ESXi можно управлять через стандартный механизм Role-Based Access Controls (RBAC) на сервере vCenter.
Поэтому по совокупности причин было решено отказаться от IWA в пользу более гибкого механизма LDAP/LDAPS.
Кстати, если вы видите в логе контроллера домена событие Event 2889 при использовании IWA, то обратитесь к статье KB 78644.
Чтобы переключиться на новый способ аутентификации нужно вывести серверы из домена по старой схеме и включить интеграцию по новой. Вот, например, видео о том, как смигрировать аутентификацию с LDAP на более защищенный протокол LDAPS:
Перед переходом всей инфраструктуры на новый способ аутентификации нужно обязательно протестировать сам метод в тестовой инфраструктуре. Ну а когда будете делать перевод продакшена, не забудьте сделать снапшот сервера vCenter - если что на него можно будет откатиться с сохранением старых настроек.
Не так давно компания VMware объявила о выходе новой версии решения Cloud Director 10.1, предназначенного для создания интегрированной платформы для сервис-провайдеров, предоставляющих виртуальные машины в аренду. О прошлой версии vCloud Director 10.0 мы писали осенью прошлого года вот тут. Обратите внимание, что из слова vCloud исчезла буква "v", и теперь продукт называется Cloud Director.
Давайте посмотрим, что нового появилось в Cloud Director 10.1:
App Launchpad - это средство, построенное на базе решения купленной компании Bitnami. Оно позволяет сервис-провайдерам развертывать для пользователей различные приложения, в том числе кастомные, чтобы дать им единое решение для полного цикла предоставления сервиса IaaS<>SaaS. Более подробно об этом продукте написано здесь.
Container Service Extension (CSE) 2.6 - теперь у пользователей облаков появится еще больше полезных средств для развертывания приложений в контейнерах Kubernetes. Эта версия дает не только консольные инструменты, но и визуализует некоторые вещи по инфраструктуре контейнеров в интерфейсе.
Object Storage Extension (OSE) 1.5 - за счет этого расширения пользователи получают S3-совместимый API, с помощью которого можно использовать хранилища Cloudian S3, в том числе на платформе Dell ECS EX.
Terraform VMware Cloud Director Provider 2.8 - с помощью этого плагина облачные провайдеры могут развертывать инфраструктуру из заранее заскриптованных сценариев для виртуальных датацентров (Infrastructure-as-code). Здесь появилась поддержка новой версии Cloud Director.
Tenant App 2.4 - средствами этого виртуального модуля можно потребление ресурсов клиентами облака и стоимость их обслуживания (прайсинг и биллинг). В новой версии этого средства теперь есть более детальная поддержка сетевого стека NSX, чтобы учитывать потребление ресурсов сети клиентами и, например, чарджить их на базе предоставляемой полосы.
NSX-T Migration Tool - это средство для переезда с платформы NSX-V. Для виртуальных машин во время миграции используется vMotion, поэтому процесс переезда возможен без простоя сервисов. Более подробно об этом написано тут.
Улучшения NSX-T - здесь появилось очень много улучшений. Теперь процесс развертывания не требует работы в нескольких экранах, появились улучшения IPSec, а также многое было сделано в плане безопасности и улучшения работы в различных топологиях сети.
Encryption as a service - теперь сервис-провайдеры могут использовать шифрование vSphere Encryption. Для этого вам потребуется развернуть инфраструктуру key management server (KMS) на базе партнерских решений, таких как Fortanix или Dell CloudLink.
Более подробно о VMware Cloud Director 10.1 можно почитать в Release Notes. Основная страница для сервис-провайдеров находится тут.
Недавно компания VMware выпустила интересный документ, объясняющий иногда возникающие проблемы с производительностью операций чтения с NFS-хранилищ для серверов VMware ESXi версий 6.x и 7.x. В документе "ESXi NFS Read Performance: TCP Interaction between Slow Start and Delayed Acknowledgement" рассматривается ситуация с эффектом Slow Start и Delayed Acknowledgement.
Этот эффект возникает в некоторых сценариях с низким процентом потери пакетов (packet loss), когда используется fast retransmit на передатчике и selective acknowledgement (SACK) на приемнике. Для некоторых реализаций стека TCP/IP в случаях, когда передатчик входит в состояние slow start при включенной отложенной квитанции приема пакетов (delayed ACK), квитанция о приеме первого сегмента slow start может быть отложена на время до 100 миллисекунд. Этого оказывается достаточно, чтобы снизить последовательную скорость чтения с NFS-хранилища на величину до 35% (при этом потери пакетов не будут превышать 0.02%).
Более подробно механика возникновения этого эффекта описана в документе. Там же рассказывается и метод борьбы с этим: если вы подозреваете, что у вас подобная проблема, надо просто отключить ESXi NFS Client Delayed ACK и посмотреть, стало ли лучше. Для этого в консоли нужно выполнить следующую команду:
esxcli system settings advanced set -o "/SunRPC/SetNoDelayedAck" -i 1
После этого убеждаемся, что настройка установлена:
esxcli system settings advanced list | grep -A10 /SunRPC/SetNoDelayedAck
Более подробно об этом можно также почитать в KB 59548.
После этого нужно снова провести тесты на последовательное чтение. Если не помогло, то лучше вернуть настройку назад, указав в качестве параметра первой команды -i 0.
На сайте проекта VMware Labs появилась очередная полезность - набор утилит Horizon Cloud Pod Architecture Tools. Он предназначен для того, чтобы улучшить исполнение команд назначения глобальных прав доступа.
Как знают администраторы VMware Horizon, инфраструктура распределенных узлов cloud pod architecture (CPA) имеет в своем составе команды lmvutil, которые позволяют управлять назначением глобальных прав к базе данных через интерфейс командной строки. Теперь для lmvtools сделали обертку (wrapper), которая позволяет вводить пароль только один раз и далее исполнять команды управления назначением прав. Также теперь можно экспортировать всю конфигурацию сайта, мапинги сайт-узел (site-pod), глобальные назначения (в том числе пользователей и пулов), настройки home site overrides, а также резервную копию назначений прав в файл.
Сам command builder имеет встроенный механизм для того, чтобы можно было убрать устаревшие глобальные назначения пользователей (если из больше нет в Active Directory) и назначения домашнего сайта. В этом плане в утилитах есть следующие особенности:
Опция генерации отчета в CSV со всеми пулами узлов и их ассоциированными назначениями прав.
Исполнитель команд lmvtools позволяет автоматизировать выполнение команд из файла без необходимости повторять пароль для каждой команды.
Утилиты можно использовать для следующих сценариев:
Бэкап и импорт глобальных назначений прав для любых версий Horizon 7.x.
Данные, экспортированные из узлов с Horizon версий 7.x, могут быть импортированы на любую более высокую версию (например, в другой датацентр).
Генерация отчета в формате CSV о глобальных назначениях прав и ассоциированной информации о пулах. Отчет выглядит следующим образом:
Шаблон команд по назначению глобальных прав может быть создан с использованием стандартной утилиты lmvutil. Это позволяет импортировать данные назад, в любое окружение Horizon.
Автоматическая зачистка устаревших данных пользователей. Пользователи, которых нет в AD при импорте игнорируются - это позволяет получить только актуальных пользователей и их права на выходе работы утилиты.
Экспорт локального или глобального файла AD LDS LDIF.
Больше деталей об использовании утилит Horizon Cloud Pod Architecture Tools можно узнать из этого документа. Скачать их можно по этой ссылке.
Более-менее заметные изменения появились только в vCenter 6.7 U3g:
Появился аларм Replication State Change для виртуального модуля vCSA с Embedded Platform Services Controller, который возникает при переходе репликации между инстансами в статус READ_ONLY. При возвращении в статус Normal аларм исчезает.
Теперь можно использовать утилиту sso-config для замены сертификата Security Token Service (STS).
Несколько исправлений ошибок, приведенных в разделе Resolved Issues.
Обновления Photon OS, о которых можно почитать вот тут.
Обновление ESXi 6.7 Update 3 P02 включает в себя только патчи подсистемы безопасности, а также апдейты драйверов устройств. Более подробно об этом написано вот тут. Скачать это обновление можно через Update Manager или вручную с этой страницы (а далее установить с помощью команды esxcli software vib).
Коллеги из Veeam поделились интересной новостью. Во-первых, и это очевидно, что глобальная конференция VeeamON 2020 не будет проводиться в Америке физически, а пройдет онлайн, как и все остальные подобные события. И, во-вторых, что самое приятное - она будет полностью бесплатна для всех.
Дата проведения: 17-18 июня 2020 года. Регистрация по этой ссылке.
Ежегодная конференция VeeamON - одно из крупнейших мероприятий ИТ-отрасли. На VeeamON соберутся ведущие ИТ-эксперты и альянс-партнеры Veeam, такие как VMware, NetApp, Hewlett Packard Enterprise и многие другие.
В рамках двухдневного онлайн-мероприятия компания Veeam расскажет о новой стратегии компании (напомним, она была продана фонду Insight Partners в этом году за 5 миллиардов долларов), покажет все свои самые новые продукты в сфере защиты данных и обеспечения виртуальных датацентров, а также раскроет множество технических деталей, интересных администраторам платформ виртуализации VMware vSphere и Microsoft Hyper-V.
Список главных спикеров конференции:
William H. Largent - CEO and Chairman of the Board, Veeam Software
Danny Allan - CTO and Senior Vice President, Product Strategy, Veeam Software
Jim Kruger - Chief Marketing Officer, Veeam Software
Anton Gostev - Senior Vice President, Product Management, Veeam Software
Специальный гость - Tripp Crosby,
Entertainer & Comedian.
Ну а для тех, кому хочется послушать о самых актуальных новостях Veeam этого года на русском языке, пройдет также бесплатная онлайн-конференция VeeamON Tour 2020.
Дата проведения: 25 июня 2020 года.
Программа конференции:
11:00 Вступительное слово. Василий Ваганов, Вице-президент, Северная и Восточная Европа, Ближний Восток, Россия и СНГ
11:05 Veeam в 2020: Новости и прогнозы. Владимир Клявин, Региональный Директор, Россия и СНГ, Veeam Software
11:25 Пленарная сессия — Технологии. Виталий Савченко, руководитель группы системных инженеров Veeam по России, СНГ, Грузии, Украине и Монголии, Veeam Software
11:45 Технические сессии:
Лучшие практики и рекомендации для успешной работы с Veeam Agents - Сергей Пискунов, технический консультант Veeam Software
Реализация Veeam NAS Backup в версии 10 - Виталий Савченко, руководитель группы системных инженеров Veeam по России, СНГ, Грузии, Украине и Монголии, Veeam Software
12:05 Перерыв
12:20 Технические сессии:
Практические рекомендации по защите данных от программ вымогателей - Павел Косарев, технический консультант Veeam Software
Все об интеграции с СХД и новые возможности Veeam v10 - Роман Прытков, технический консультант Veeam Software
12:40 Технические сессии:
Рекомендации по планированию инфраструктуры Veeam Backup & Replication v10 - Евгений Зосимов, технический консультант Veeam Software
Как вы знаете, обновлением виртуальной инфраструктуры в VMware vSphere 7 вместо Update Manager теперь занимается комплексное средство vSphere Lifecycle Manager (vLCM). vLCM можно использовать для применения установочных образов, отслеживания соответствия (compliance) и приведения кластера к нужному уровню обновлений.
Одной из возможностей этого средства является функция проверок на совместимость (Compatibility Checks). Они нужны, например, в случаях, когда вы настроили интеграцию Hardware Support Manager (HSM) для серверов Dell или HP и хотите проверить оборудование развертываемого сервера на совместимость с ESXi. Это так называемые Hardware Compatibility Checks.
Во время проверок можно использовать кастомный образ ESXi с дополнениями Firmware и Drivers Addon для проверки образов от поддерживаемых вендоров на совместимость с имеющимся у вас оборудованием и установленной версией микрокода. Вот так в vLCM выглядит проверка соответствия для образов ESXi:
На этом скриншоте видно, что текущий уровень компонентов хоста ESXi не соответствует желаемым параметрам в плане версий Firmware аппаратных компонентов. В этом случае есть опция Remediate (кнопка вверху слева), которая позволяет привести хосты ESXi в соответствие, обновив микрокод аппаратных компонентов средствами Hardware Support Manager - и все это прямо из клиента vSphere Client, без сторонних консолей.
vLCM предоставляет также функции автоматической проверки (HCL Automatic Checks), с помощью которых можно автоматически и систематически искать несоответствия уровня firmware на хостах ESXi и сверять их с актуальной онлайн-базой VMware Compatibility Guide (VCG, он же Hardware Compatibility Guide - HCL).
Если вы зайдете в раздел Cluster > Updates, то увидите результат работы автоматического тестирования на совместимость с необходимыми деталями. Пока это доступно только для контроллеров хранилищ vSAN (storage controllers), что является критически важной точкой виртуальной инфраструктуры с точки зрения обновлений (стабильность, производительность).
На скриншоте ниже показаны результаты проверки совместимости в кластере для адаптера Dell HBA330. В данном случае видно, что на всех хостах установлена одинаковая и последняя версия firmware, что и является правильной конфигурацией:
По ссылке "View in HCL" вы сможете увидеть, что данный адаптер с данной версией микрокода действительно поддерживается со стороны VMware vSphere и vSAN.
Если вы на своем Mac решили установить VMware ESXi 7 в виртуальной машине на флешке, то с настройками по умолчанию этого сделать не получится - USB-устройство не обнаружится установщиком и не будет видно в разделе настроек USB & Bluetooth виртуальной машины.
Eric Sloof написал, что перед развертыванием ESXi, чтобы установщик увидел USB-диск, нужно перевести USB Compatibility в режим совместимости с USB 3.0:
После этого можно будет выбрать ваш USB-диск для установки ESXi 7.0:
Как вы все знаете, недавно компания VMware сделала доступной для загрузки платформу VMware vSphere 7, где службы управляющего сервера vCenter доступны уже только в формате виртуального модуля vCenter Server Appliance (vCSA).
Блоггер Ozan Orcunus написал интересную заметку о том, как можно отключить автозагрузку некоторых сервисов в vCenter 7. Не секрет, что с каждой новой версией vCenter становится все более и более прожорливым в отношении системных ресурсов. Например, для 10 хостов ESXi и 100 виртуальных машин теперь уже требуется сделать vCSA с двумя vCPU и 12 ГБ оперативной памяти, что слишком много для тестовых окружений, например, на ноутбуке.
Поэтому чтобы vCSA работал немного побыстрее в тестовых средах (и только там, в продакшене этого делать не рекомендуется) можно отключить некоторые его службы при загрузке. В KB 2109881 написано, как останавливать и запускать службы vCenter с помощью команды service-control, но нигде официально не написано о том, как отключать их при старте vCenter.
А делается это следующим образом:
1. Логинимся по SSH на сервер vCSA и переходим в каталог /etc/vmware/vmware-vmon/svcCfgfiles/.
2. Большинство сервисов vCenter - это не стандартные сервисы systemd, а службы спрятанные за за сервисом VMware Service Lifecycle Manager (vmware-vmon). Наберите "systemctl status vmware-vmon" и посмотрите на результат:
Конфигурация сервисов спрятана в JSON-файлах - в директориях, которые можно увидеть в выводе команды. Например, чтобы отключить службу Content Library, нужно открыть файл конфигурации командой:
vi vdcs.json
И выставить в нем параметр StartupType как DISABLED.
3. После внесения всех необходимых изменений нужно перезагрузить vCSA для применения настроек автозапуска.
4. После этого идем в раздел Services и видим, что автозапуск некоторых служб vCenter отключен:
В начале апреля компания VMware обновила свой основной фреймворк для управления виртуальной инфраструктурой с помощью командных сценариев PowerShell до версии PowerCLI 12.0. Напомним, что прошлая версия PowerCLI 11.5 вышла осенью прошлого года.
Давайте посмотрим, что нового появилось в двенадцатой версии фреймворка:
Добавлены командлеты для управления хостовой сетью ESXi
Еще в vSphere 6.0 появилась поддержка сетевых стеков хостов ESXi. Она позволяет назначить различные шлюзы для адаптеров VMkernel в целях маршрутизации трафика. Через PowerCLI можно использовать ESXCLI или API для управления этой функциональностью с помощью командлетов Get-VMHostNetworkStack и Set-VMHostNetworkStack. Новый параметр называется "NetworkStack", он был добавлен в командлет New-VMHostNetworkAdapter:
Добавлены командлеты для управления решением HCX
Появились новые командлеты для управления пространствами имен
Командлеты для управления службами Trusted Host Services
Командлеты для управления диском гостевой ОС виртуальных машин (VM Guest Disk management)
Теперь раздел гостевой ОС можно замапить на VMDK-диск (пока только для Windows-систем). Для этого потребуется vSphere 7 и VMware Tools не ниже 11-й версии. Эту возможность можно использовать с помощью командлета Get-VMGuestDisk:
Новые командлеты для управления VMware Cloud on AWS
Новые командлеты для vSAN:
Get-VsanFileServiceDomain
New-VsanFileServiceDomain
Set-VsanFileServiceDomain
Remove-VsanFileServiceDomain
New-VsanFileServiceIpConfig
Get-VsanFileShare
New-VsanFileShare
Set-VsanFileShare
Remove-VsanFileShare
New-VsanFileShareNetworkPermission
Add-VsanFileServiceOvf
Get-VsanFileServiceOvfInfo
Новый модуль для управления службами VMware Cloud Services
Добавлена поддержка vSphere 7.0
Добавлена поддержка vRealize Operations 8.0
Обновлена поддержка модулей License и vROps, а также командлета Open-VMConsoleWindow для использования на различных платформах
Поддержка Move-VM для сетей opaque networks
Добавлена поддержка последних обновлений PowerShell 7.0:
Скачать VMware PowerCLI 12.0 можно по этой ссылке. Полезные ресурсы:
Многие из вас знакомы с решением VMware App Volumes, которое предназначено для распространения готовых к использованию приложений VMware ThinApp посредством подключаемых виртуальных дисков к машинам. Те из вас, кто его используют, время от времени, наверняка, сталкиваются с проблемой недостатка места на пользовательских томах Writable Volumes, которые забиваются неизвестно чем:
Напомним, что Writable Volumes - это персонализированные тома, которые принадлежат пользователям. Они хранят настройки приложений, лицензионную информацию, файлы конфигураций приложений и сами приложения, которые пользователь установил самостоятельно. Один такой диск может быть назначен только одному десктопу, но его можно перемещать между десктопами. Соответственно, такие тома могут легко заполняться, и пользователи начинают жаловаться.
Aresh Sarkari написал полезный скрипт, который выявляет заполненные тома Writable Volumes в инфраструктуре App Volumes (меньше 3 ГБ свободного места), формирует CSV-файл с данными о них и посылает его по электронной почте администратору:
####################################################################
# Get List of Writable Volumes from AppVolumes Manager for free space less than 3 GB out of 30 GB
# Author - Aresh Sarkari (@askaresh)
# Version - V2.0
####################################################################
# Run at the start of each script to import the credentials
$Credentials = IMPORT-CLIXML "C:\Scripts\Secure-Creds\SCred_avmgr.xml"
$RESTAPIUser = $Credentials.UserName
$RESTAPIPassword = $Credentials.GetNetworkCredential().Password
$body = @{
username = “$RESTAPIUser"
password = “$RESTAPIPassword”
}
Invoke-RestMethod -SessionVariable DaLogin -Method Post -Uri "https://avolmanager.askaresh.com/cv_api/sessions” -Body $body
$output = Invoke-RestMethod -WebSession $DaLogin -Method Get -Uri "https://avolmanager.askaresh.com/cv_api/writables" -ContentType "application/json"
$output.datastores.writable_volumes | Select-Object owner_name, owner_upn,total_mb, free_mb, percent_available, status | Where-Object {$_.free_mb -lt 3072} | Export-Csv -NoTypeInformation -Append D:\Aresh\Writableslt3gb.$(Get-Date -Format "yyyyMMddHHmm").csv
#send an email (provided the smtp server is reachable from where ever you are running this script)
$emailfrom = 'writablevolumes@askaresh.com'
$emailto = 'email1@askaresh.com', 'email2@askaresh.com' #Enter your SMTP Details
$emailsub = 'Wrtiable Volumes Size (free_mb) less than 3 GB out of 30 GB - 24 Hours'
$emailbody = 'Attached CSV File from App Volumes Manager. The attachment included the API response for all the Writable Volumes less than 3 GB of free space'
$emailattach = "D:\Aresh\Writableslt3gb.$(Get-Date -Format "yyyyMMddHHmm").csv"
$emailsmtp = 'smtp.askaresh.com'
Send-MailMessage -From $emailfrom -To $emailto -Subject $emailsub -Body $emailbody -Attachments $emailattach -Priority High -DeliveryNotificationOption OnFailure -SmtpServer $emailsmtp
Последняя версия сценария PowerCLI для поиска заполненных томов доступна в репозитории на GitHub. Там же, кстати, есть сценарий для поиска Writable Volumes со статусом Disabled или Orphaned.
Не так давно мы писали о новых возможностях платформы для создания отказоустойчивых хранилищ виртуальных машин в инфраструктуре виртуализации VMware vSAN 7.0. Компания VMware недавно сделала доступными для загрузки все компоненты обновленной виртуальной инфраструктуры, но новые возможности получили далеко не все пользователи - их набор зависит от имеющейся лицензии.
Давайте посмотрим, какие возможности есть в каждом из четырех доступных изданий VMware vSAN 7.0:
Standard (гибридные хранилища HDD+SSD)
Advanced (All-Flash хранилища)
Enterprise (возможности для предприятий)
Enterprise Plus (гиперконвергентная инфраструктура)
Возможности vSAN 7
Политики хранилищ Storage Policy Based Management (SPBM)
Не так давно компания VMware выпустила обновление пакетов продуктов vRealize Suite и vClud Suite, в состав которых входит средство VMware vRealize Orchestrator 8.1. Напомним, что это средство предназначено для автоматизации рабочих процессов в виртуальной инфраструктуре за счет скриптования и оркестрации последовательности рутинных операций при управлении виртуальной средой.
Давайте посмотрим, что нового появилось в vRO 8.1:
Древовидное представление иерархических папок. Функция, которая была в более ранних версиях и потом пропала из vRO, теперь вернулась и позволяет пользователям удобно организовывать и просматривать объекты в виде дерева.
Элементы Run и Debug для рабочих процессов. Пользователи могут выполнить действия запуска и отладки без необходимости их добавления в рабочий процесс.
Схема Debug workflow - теперь можно добавлять точки останова к определенным элементам в схемах для рабочих процессов.
Возможность пуша набора изменений в бранчи Git. При работе с версиями контента в репозитории Git, vRO позволяет пользователям выбрать, настроить и запушить изменения в разные бранчи. Для данной функции нужна лицензия vRealize Automation.
Несколько языков для скриптов: PowerShell, Node.js, Python. vRealize Orchestrator 8.1 добавляет поддержку PowerCLI 11/Powershell 6.2, Node.js 12, and Python 3.7. Для этого также нужна лицензия vRealize Automation.
Поддержка сервиса Syslog - можно настроить интеграцию со службами логирования для одного или нескольких удаленных серверов syslog.
Графическое сравнение версий схем рабочих процессов - теперь эта возможность позволяет наглядно определить, какие изменения были внесены в следующую версию workflow.
Апдейт API плагинов для поддержки vSphere 6.7.
Скачать VMware vRealize Orchestrator 8.1 можно по этой ссылке. Release Notes доступны тут.
На днях на сайте проекта VMware Labs появилась полезная администраторам vSphere штука - утилита vSphere Replication Capacity Planning, позволяющая определить реальное потребление трафика репликации виртуальными машинами и размер передаваемой дельты данных. Это позволяет планировать сетевую инфраструктуру и принимать решения о выделении канала еще до того, как вы включите репликацию для всех своих виртуальных машин.
Утилита Replication Capacity Planning показывает графики, касающиеся объема передачи сетевого трафика LWD (lightweight delta - изменения с момента последней репликации) во времени, а также метрики по размеру дельты в различных временных масштабах - часы, дни, недели и месяцы.
Также в результате работы этого средства для виртуальной машины будет показано, какой объем вычислительных ресурсов и хранилища под реплики вам потребуется на целевой площадке (без учета актуальной политики хранилищ там):
Решение vSphere Replication Capacity Planning развертывается как виртуальный модуль (Virtual Appliance), для его работы потребуется VMware ESXi 6.0 или более поздней версии. Скачать его можно по этой ссылке. Документация доступна здесь.
На сайте проекта VMware Labs появился необычный контент - Bask Iyer, занимающий должность CIO and Chief Digital Transformation Officer, в специальном проекте "Tech For Good" рассказывает о четырех ключевых сферах Cloud, Mobile, IoT и AI в формате виртуальной реальности. Данный экспириенс посвящен практической пользе данных технологических сфер - продуктивность фермерства, устройство городов, диагностика заболеваний и т.п.
Работает это для очков Oculus Quest и Go:
Приложение доступно через сервис SideQuest, который вы можете настроить согласно этой инструкции. После настройки SideQuest вы можете установить приложение по этой ссылке или найти его по строчке "Tech for Good" внутри сервиса SideQuest.
Также вы можете скачать APK-файл со страницы приложения (кнопка Download слева) и загрузить его через ADB Tool, использовав инструкции по этой ссылке.
На что только у людей не находится времени в эпоху карантина)
В условиях распространения коронавируса и стрессующих мировых экономик производители ПО и крупные сервис-провайдеры делают много интересных вещей, поддерживающих бизнесы поменьше. Например, Microsoft сделала бесплатными приватные репозитории GitHub, ну а VMware представила новый сервис RemoteHelp.
Пользователи решения VMware Workspace ONE знают, что у VMware есть программа поддержки сотрудников своих клиентов под названием Workspace ONE Assist. Она позволяет сотрудникам поддержки VMware работать напрямую с пользователями данного продукта для решения возникающих проблем. Это существенно ускоряет время разрешения инцидентов и в целом повышает уровень лояльности клиентов.
Сейчас VMware решила расширить поддержку клиентов за счет сервиса RemoteHelp на базе ONE Assist, который теперь будет помогать решать следующие задачи мобильных пользователей на платформах Android и iOS:
RemoteHelp позволяет сотруднику поддержки VMware просматривать консоль устройства или получить контроль над ней в целях решения проблемы в реальном времени, ассистируя действиям пользователя. Если потребуется перезагрузка - сотрудник поддержки автоматически пересоединится с консолью после ее завершения.
RemoteHelp обеспечивает приватность коммуникации и сохранение личного пространства пользователя. Работа с поддержкой происходит только при запущенном приложении VMware RemoteHelp, в котором пользователь вводит одноразовый пароль для удаленной сессии. Во время работы с приложением пользователь видит информацию о том, что его экран доступен для просмотра и управления сотруднику поддержки.
RemoteHelp - это решение на баз веб-инструментов, которое можно интегрировать с текущей CRM-системой, провайдером идентификации, шлюзом SMS, сквозной аутентификации (SSO) и другими решениями для создания полного цикла обслуживания пользователей в плане решения проблем. Например, сотрудник VMware может послать пользователю на телефон смс со ссылкой на приложение RemoteHelp.
Ну и рекомендуем вам посмотреть видео о том, как работает новый сервис RemoteHelp для устройств Android:
При развертывании новой версии платформы VMware vSphere 7 в виртуальной машине (вложенные/nested ESXi) на серверах со старыми процессорами вы можете столкнуться с тем, что ваш CPU не поддерживается со стороны платформы:
В этом случае вы все равно можете установить гипервизор ESXi седьмой версии. Для этого вам надо открыть настройки виртуальной машины:
В разделе CPUID Mask нажать ссылку Advanced и далее вбить в регистре eax для Level 1 следующие значения:
Для процессоров Intel CPU: 0000:0000:0000:0011:0000:0110:1100:0011
Для процессоров AMD CPU: 0000:0000:0110:0000:0000:1111:0001:0000
После этого включайте ВМ, где будет установлен ESXi 7, и проходите до конца установки:
После этого ваш ESXi 7 спокойно загрузится. Затем нужно откатить маскирование функций CPU к исходной чистой конфигурации, удалив значение регистра eax:
Обратите внимание, что такая конфигурация не поддерживается в производственной среде! Поэтому используйте такие виртуальные ESXi 7 только для тестирования и других некритичных задач.
На днях компания VMware выпустила большое обновление свой платформы для сетевой виртуализации датацентров NSX-T 3.0. Напомним, что это решение предназначено для сетевой виртуализации и агрегации виртуальных сетей датацентров, работающих на базе гибридной среды гипервизоров и контейнеров приложений Kubernetes/Docker. О версии NSX-T 2.5, выпущенной в рамках VMworld 2019, мы писали вот тут.
Давайте посмотрим, что нового в обновленном NSX-T 3:
1. Улучшения работы в облачной среде.
Здесь можно отметить следующие нововведения:
NSX Federation - с помощью нового компонента NSX Global Manager можно централизованно управлять распределенной виртуальной сетью в нескольких локациях, поддерживая их в синхронизированном виде с точки зрения конфигурации, политик безопасности и операционного управления. При миграции рабочих нагрузок между датацентрами их политики сохраняются и контролируются из единой точки.
Поддержка AWS GovCloud и Azure Government - эта возможность позволяет обслуживать облака на базе AWS и VMware для госструктур США с соблюдением всей необходимой регуляторики.
Улучшенная поддержка нескольких клиентов в облаке за счет VRF Lite и Layer 3 BGP EVPN. Средства VRF Lite позволяют упростить управление сетевой средой каждого клиента за счет поддержания для него отдельной таблицы маршрутизации, а Layer 3 EVPN бесшовно соединяет сети телеком-провайдеров с оверлейными сетями.
Dynamic Network Service Chaining - службы NSX service insertion теперь поддерживают механизм dynamic service chaining для трафика ВМ, контейнеров и физических серверов.
2. Улучшения безопасности.
Механизм Service-defined Firewall был значительно улучшен и теперь доступны следующие новые возможности:
NSX Distributed IDS/IPS – это расширенный механизм обнаружения вторжений для трафика east-west в мультиоблачных окружениях на уровне 7 модели OSI. Этот механизм использует знания о природе систем и характере обмена трафиком между ними, что позволяет создавать виртуальные защищенные сетевые зоны без необходимости физической изоляции зон друг от друга.
Улучшения L7 Edge Firewall – сетевой экран Layer 7 Edge Firewall приобрел функции анализа URL в рамках механизма URL Classification and Reputation.
DFW для Windows 2016 – теперь распределенный фаервол (DFW), помимо поддержки Linux, поддерживает и физические серверы Windows 2016.
Правила на базе времени и мастер настройки микросегментации - теперь правила фаервола можно привязать ко временным окнам, определенным администратором. Также новый мастер настройки упрощает конфигурацию микросегментации на базе сетей VLAN.
3. Сетевое взаимодействие для виртуальных машин и контейнеризованных приложений.
NSX-T полностью поддерживает инфраструктуру среды контейнеризованных приложений vSphere with Kubernetes. В единой среде контейнеров и виртуальных машин поддерживается маршрутизация, сетевое экранирование, балансировка нагрузки, NAT, IPAM и другие сетевые сервисы.
Вот как это работает в деталях:
Возможность изоляции пространств имен vSphere Namespaces - теперь в NSX-T есть логика для автоматической реализации логических сегментов с маршрутизацией и сетевым экраном, а также сервисами IPAM для изоляции пространств имен в кластере vSphere Supervisor Cluster. Все рабочие нагрузки, созданные в пространстве имен, автоматически наследуют политики безопасности этого неймспейса.
Интеграция с Cluster API в VMware Tanzu Kubernetes Grid Service –
решение NSX-T интегрируется с данными службами, позволяя разработчикам развертывать кластеры Tanzu Kubernetes Grid. Там можно создавать логические сегменты, шлюз Tier-1 Gateway, балансировщики нагрузки и прочие вещи, необходимые для этих кластеров.
Поддержка модулей Terraform Provider и Ansible - теперь поддерживаются расширенные рабочие процессы различных топологий для функций логического сегментирования, шлюза, а также сетевого оверлея и сегментов VLAN.
Упрощенная интеграция с решением vRealize Network Insight 5.2 - это позволяет организовать end-to-end видимость сетевых потоков, а также проводить более эффективный траблшутинг из дэшборда vRealize Network Insight. Также улучшены функции обнаружения приложений на платформах VMware.
Улучшения OpenStack Neutron - плагин Neutron к NSX-T был существенно доработан. Это привело к улучшению механизма управления для нескольких NSX-T endpoints. Также оператор может теперь настраивать дополнительные параметры IPv6 (DHCPv6, IPv6 LB и NAT64).
Полный список нововведений VMware NSX-T 3.0 приведен в Release Notes. Скачать это решение по этой ссылке.
RSS
