На проходящей сейчас конференции VMworld Europe 2016 в Барселоне компания VMware анонсировала скорую доступность новой версии своего флагманского продукта - серверной платформы виртуализации VMware vSphere 6.5.
Давайте посмотрим на новые возможности VMware vSphere 6.5:
1. Шифрование виртуальных машин (VM Encryption).
Наконец-то в vSphere появилось шифрование на уровне виртуальных дисков VMDK, работающее независимо от гостевой ОС в виртуальной машине.
Устроено это шифрование ВМ на базе алгоритма AES-NI, а управление ключами происходит по стандарту KMIP 1.1. Когда операция ввода-вывода приходит на диск виртуальной машины - она сразу же шифруется "на лету", что обеспечивает полную безопасность при попытке несанкционированного доступа к данным.
Шифруются не только виртуальные диски, но и конфигурационные файлы VMX, файлы снапшотов и все прочие файловые объекты, относящиеся к виртуальной машине.
Эта фича давно запрашивалась пользователями, и вот она наконец реализована в VMware vSphere 6.5. Шифрование включается на уровне отдельной ВМ, а для передачи данных в момент синхронизации используются 256-битные ключи шифрования.
Эта функция отключена по умолчанию и может быть включена для нешифрованных ВМ, но для шифрованных ВМ она используется в обязательном порядке.
3. Поддержка безопасной загрузки (Secure Boot).
Теперь при загрузке UEFI firmware валидирует цифровую подпись ядра VMkernel в соответствии с сертификатом, хранящемся в firmware. Это не позволяет постороннему ПО модифицировать ядро гипервизора, это же относится и к пакетам в VIB-формате, которые теперь также используют данный механизм валидации цифровой подписи после установки.
Механизм Secure Boot также теперь работает и для виртуальных машин (Windows и Linux):
4. Улучшенное логгирование (Enhanced Logging).
Тридиционно логи ESXi были предназначены для целей решения проблем, но не фокусировались на безопасности и фиксировании ИТ-операций. Теперь этот механизм был значительно переработан - он стал событийно-ориентированным.
То есть, теперь если происходит какое-нибудь событие, например, меняется конфигурация виртуальной машины, мы видим это в логе. Это помогает в управлении конфигурациями. Кроме того, если мы, например, переместим ВМ с виртуального свича PCI-vSwitch (защищенный) на Non-PCI-vSwitch (незащищенный) - мы сразу увидим это в логе, что отлично поможет в обеспечении безопасности:
Ну и, конечно же, решение VMware Log Insight теперь будет давать более детальную и структурированную информацию из логов.
5. Автоматизация управления жизненным циклом ВМ.
В vSphere 6.5 продукт VMware Update Manager (VUM) был окончательно интегрирован с VMware vCenter Server Appliance и полностью поддерживает все операции по патчингу и обновлениям. Теперь не нужно его отдельно устанавливать и интегрировать - он полностью готов к использованию.
Также функции VMware Host Profiles появились в vSphere Web Client, и для них был переработан интерфейс:
Для Host Profiles появились возможности простого копирования профилей в другие конфигурации через CSV-файл, в котором можно указать профили групп хостов. Также более плотная интеграция с DRS позволяет автоматизировать приведение хостов в соответствие с нужно конфигурацией с использованием режима Maintenance Mode.
Кроме того, был существенно доработан механизм Auto Deploy - он теперь имеет полноценный графический интерфейс и интегрирован с Web Client:
Теперь нет необходимости использовать PowerCLI для определения правил развертывания новых хостов ESXi. Также Auto Deploy интегрирован с VMware HA и теперь поддерживает UEFI hardware.
6. Функции Proactive HA.
Это очень интересная штука. Теперь в сотрудничестве с вендорами железа компания VMware разработала механизм проактивного обнаружения скорого сбоя хоста по датчикам аппаратных сенсоров (hardware sensors). В случае обнаружения скорого отказа хост помещается в режим Quarantine Mode. В этом режиме на него не мигрируют новые машины через механизм DRS, который пытается, в то же время, работающие ВМ убрать с проблемного хоста.
7. Функция vSphere HA Orchestrated Restart.
Теперь VMware HA позволяет учитывать взаимосвязи сервисов в виртуальных машинах при их рестарте в случае сбоя на основе заданных правил зависимостей VM-to-VM по приоритетам восстановления.
8. Упрощенный HA Admission Control.
Раньше то, как работает HA Admission Control, могли понять не все. Теперь администратор должен определить только параметр host failures to tolerate (FTT) - то есть, сколько отказов хостов должна пережить виртуальная инфраструктура с запасом по вычислительной емкости:
Также можно задать процент допускаемого падения ресурсов в случае отказа хостов ESXi.
9. Улучшения Fault Tolerance (FT).
Теперь DRS плотнее интегрирован с FT - при принятии решения о плейсменте FT-машин учитывается пропускная способность хоста по сети, что критически важно для таких ВМ.
Сам механизм Fault Tolerance был существенно доработан с точки зрения оптимизации использования канала. Также важно, что теперь Fault Tolerance умеет использовать сразу несколько физических интерфейсов для FT Logging (как и ранее vMotion). То есть теперь можно свободно применять несколько адаптеров для FT, если весь этот трафик не помещается в один NIC.
10. Новые DRS Advanced Options.
Теперь появились 3 новые опции для расширенных настроек механизма DRS:
VM Distribution - эта настройка устанавливает равномерное распределение ВМ по количеству в кластере (в целях высокой доступности - чтобы не вышли в офлайн сразу много машин одного хоста).
Memory Metric for Load Balancing - по умолчанию DRS прибавляет 25% к активной памяти ВМ при вычислении требуемых ресурсов. Здесь можно поставить вместо активной памяти параметр потребленной в данный момент памяти (consumed).
CPU over-commitment - эта опция позволяет перекрыть соотношение vCPU:pCPU в кластере.
11. Функции Network-Aware DRS.
Теперь DRS не мигрирует и не помещает ВМ на хосты, где утилизация сетевых ресурсов превышает 80%. Раньше DRS было пофиг, что там на хостах ESXi происходит с использованием физических аплинков.
12. Интеграция SIOC и SPBM.
Теперь функции Storage IO Control работают с использованием политик хранилищ (Storage Policies) и IO limits на базе механизма vSphere APIs for IO Filtering (VAIO). Через фреймворк Storage Based Policy Management (SPBM) администраторы могут определить пороговые значения для IOPS и политики хранилищ и назначить их виртуальной машине:
13. Улучшения Content Library.
Мы уже писали о компоненте Content Library, который упрощает использование образов для распределенной географически инфраструктуры. Теперь можно смонтировать ISO-образ и накатить профиль кастомизации прямо из Content Library.
14. Улучшения интерфейсов разработчика и автоматизатора.
Теперь появился API Explorer, через который удобно узнавать о функциях vSphere REST APIs для решения каких-либо административных или разработческих задач:
Также тут можно попробовать исполнение примера процедуры.
Кроме этого, механизм PowerCLI теперь полностью модульный. Также ESXCLI, который является частью интерфейсов vCLI, получил множество новых команд, поддерживает функции VSAN iSCSI и имеет множество других улучшений.
Ну и появился интерфейс Datacenter CLI (DCLI), который может вызывать vSphere REST APIs:
15. Улучшения vSphere with Operations Management (vSOM).
Тут множество действительно серьезных улучшений. vRealize Operations Manager (vROps) обновлен до версии 6.4, появилось множество новых дэшбордов (Operations Overview, Capacity Overview и Troubleshoot a VM) и средств анализа. Также был анонсирован Log Insight 4.0.
16. Улучшения vCenter Server Appliance.
Теперь vCSA имеет следующие эксклюзивные возможности по сравнению с традиционным vCenter:
Функцию Migration
Эту возможность Migration Tool для миграции сервисов vCenter в среду vCSA мы уже описывали вот тут.
Улучшенные средства управления виртуальным модулем
Здесь мы видим средства мониторинга состояния виртуального модуля vCSA и его компонентов (БД и т.п.):
Интегрированный VMware Update Manager (см. пункт 5)
Функции Native High Availability для обеспечения доступности vCenter
Эта функция позволяет обеспечить доступность для сервисов vCSA (обычный vCenter не поддерживается), развернув 2 экземпляра виртуального модуля и компонент Witness, обеспечивающий защиту от ситуации Split Brain:
Встроенные механизмы бэкапа и восстановления vCSA
Виртуальные модули vCenter Server и Platform Services Controller могут быть забэкаплены через VAMI или API вместе с компонентами VUM и Auto Deploy, которые располагаются вместе с vCSA. Резервная копия будет содержать набор необходимых файлов, которые будут переданы на целевое хранилище по протоколам SCP, HTTP(s) или FTP(s).
17. Чуть доработанный vSphere Web Client.
Да, тонкий клиент сейчас, по-прежнему, работает на базе Adobe Flex и требует Adobe Flash, что может потенциально вызвать проблемы с производительностью. Между тем, сообщают, что у веб-клиента появилось множество улучшений, включая переработанный интерфейс:
Веб-клиент vSphere доступен по этой ссылке:
http://<vcenter_fqdn>/vsphere-client
18. Новый vSphere Client.
О тонком HTML5-клиенте для платформы vSphere мы уже писали очень много (последний раз тут). Он скоро заменит толстый C#-клиент. Он полностью поддерживается для vSphere 6.5, но не имеет пока полного набора фичей, необходимого для управления платформой vSphere и всеми ее компонентами:
vSphere Client доступен по этой ссылке:
http://<vcenter_fqdn>/ui
Тем не менее, переход на HTML5 Client планируется в ближайшее время. Не успели, видимо, парни к релизу!)
Ожидается, что VMware vSphere 6.5 будет доступна до конца 2016 года. Ждем. Ну а в ближайшее время мы расскажем про анонсированные новые версии продуктов vRealize Automation 7.2, VMware Virtual SAN 6.5, SRM 6.5 и Virtual Volumes 2.0.