Квоты хранилищ позволяют администратору vSphere задавать лимиты хранения, которые доступны объектам Docker Endpoint, с помощью опции --storage-quota для команды vic-machine create. Квоты можно задавать для каждого из объектов Virtual Container Host (VCH), они срабатывают при создании контейнера или загрузке образа. В примере ниже видно, что квота задана на уровне 15 ГБ и при попытке завести еще один контейнер busybox возникает ошибка о превышении квоты по хранилищу.
2. Возможность загрузки альтернативного ядра Linux Kernel.
Photon OS дает массу возможностей для загрузки контейнеров, однако некоторым пользователям требуется собственная конфигурация ядра или вообще другой Linux-дистрибутив. Для них сделана возможность загружать собственное ядро, например, ниже приведена команда для запуска ядра CentOS 6.9, в среде которого будут работать контейнеры:
Помимо поддержки решения VMware NSX-V, которая была введена в прошлых версиях, теперь VIC 1.5 поддерживает и решение NSX-T для обеспечения прозрачной коммуникации между контейнерами, с управлением на основе политик и микросегментацией трафика. Делается это с помощью команды vic-machine create –container-network.
Виртуальные машины с контейнерами могут быть подключены к распределенной портгруппе логического коммутатора NSX, что позволяет использовать выделенное соединение этих ВМ к сети:
4. Поддержка Photon OS.
vSphere Integrated Containers 1.5 поставляется со всеми необходимыми компонентами для работы с Photon OS версии 2.0. Этот релиз предоставляет расширенные возможности обеспечения безопасности, а также поддерживает все новые функции второй версии Photon OS.
Получить больше информации о VIC 1.5 можно на этой странице.
На днях компания VMware выпустила несколько минорных обновлений серверной продуктовой линейки. Давайте посмотрим, что нового стало доступно для загрузки:
1. Обновление VMware Horizon 7.5.1
В этом обновлении не появилось ничего нового, за исключением исправления безопасности CVE-2018-6971. Эта уязвимость заключается в том, что в процессе установки Horizon в файл vmmsi.log записывалась информация об учетных записях, которую могли считать привилегированные пользователи. Более подробно об этом рассказано тут.
Более подробно о самом обновлении можно прочитать в Release notes. Скачать VMware Horizon 7.5.1 можно по этой ссылке.
2. Обновление VMware vCenter Server 6.0 Update 3g
Здесь было сделано несколько улучшений служб управления:
Pivotal tc Server заменен на сервер Tomcat версий 8.5.24 и 8.5.23.
Кастомизация гостевых ОС Windows и Linux на vCenter Server поддерживает самые актуальные временные зоны.
Поддержка TLS версии 1.2 для защищенного соединения с Microsoft SQL Server.
Поддержка баз данных Microsoft SQL Server 2014 Service Pack 2, SQL Server 2016, SQL 2016 Service Pack 1 и SQL Server 2012 Service Pack 4.
Более подробно об обновлении можно прочитать в Release notes. Скачать VMware vCenter Server 6.0 Update 3g можно по этой ссылке.
В этом обновлении только пофикшена проблема интеграции vSphere Integrated Containers Registry с компонентом сканирования на уязвимости Clair. Более подробно это улучшение описано вот тут.
Более подробно об обновлении можно прочитать в Release notes. Скачать vSphere Integrated Containers 1.4.2 можно по этой ссылке.
4. Обновление VMware vCenter Server 6.7.0c
Это обновление содержит в себе только исправления ошибок, которые описаны в разделе Resolved Issues документа Release notes. Скачать vCenter Server 6.7.0c можно по этой ссылке.
На днях компания VMware объявила о выпуске обновлений для нескольких своих продуктов. Самое интересное - это выпуск обновленной версии решения vSphere Integrated Containers 1.4, которое позволяет создавать инфраструктуру виртуальных приложений Docker в виртуальных машинах vSphere.
Давайте посмотрим, что нового в VMware VIC 1.4:
Появилась возможность добавлять объекты VCH в группы DRS VM affinity. Подробнее.
Теперь нет обязательного требования по включению DRS в кластере, в котором вы хотите использовать VCH. Подробнее.
Добавлена концепция пространств имен. Теперь администраторы могут разрешать или запрещать некоторые пространства имен при добавлении новых реестров в порталу управления. Подробнее.
Добавлены реестры уровня проекта в VIC Management Portal, который управляется администраторами отдела DevOps. Подробнее.
Режим whitelist для реестров, который позволяет искать и развертывать ресурсы из реестров, добавленных как глобальные или уровня проекта в VIC Management Portal. Подробнее.
Добавлено опциональное представление в виде карточек для страницы внутренних репозиториев, которое позволяет упростить развертывание образов, сохраненных в реестре vSphere Integrated Containers Registry.
На проходящей сейчас конференции VMworld Europe 2017 компания VMware представила обновленую версию решения vSphere Integrated Containers 1.2. Напомним, что эта технология позволяет создавать инфраструктуру виртуальных приложений Docker в виртуальных машинах vSphere. О версии vSphere Integrated Containers 1.1 мы писали вот тут, а о том, что это вообще такое - вот тут.
1. Нативные хосты Docker Containers.
vSphere Integrated Containers имеет возможность развернуть нативные хосты контейнеров Docker. Эта фича позволит администраторам развертывать контейнеры на хостах, сохраняя полный контроль над ресурсами датацентра.
2. Улучшения безопасности.
Белые списки (Registry Whitelists) - эот релиз позволяет создавать белые списки реестра образов для хостов Virtual Container Hosts, что позволит разработчикам загружать только правильные образы.
Возможности Image Scanning - теперь можно сканировать реестры на предмет известных уязвимостей. Администраторы также могут запретить образы, которые потенциально уязвимы. Как только образ загружается в реестр, он сразу сканируется.
Функции Content Trust - разработчики и администраторы теперь могут включить эти функции, которые позволяют запускать только корректно подписанные и валидированные образы. Также можно выставить эту возможность для отдельных проектов.
3. Идентификация и управление доступом.
В этом релизе улучшены возможности реестра и портала управления, включая:
Projects – администраторы могут объединить множество пользователей и ресурсов в логическую группу, для которой можно назначить правила авторизации и аутентификации.
Role-Based Access Control (RBAC) – пользователи и репозитории Docker организуются в проекты. Пользователи получают соответствующие разрешения для образов в рамках данного пространства имен.
Active Directory/Lightweight Directory Access Protocol (AD/LDAP) – можно интегрировать существующую инфраструктуру AD/LDAP для управления пользователями.
SSO – интеграция Single Sign On для компонента vSphere Platform Services Controller.
4. Улучшения UX.
Интегрированные портал и средства работы с реестрами - в новом релизе представлен полностью переработанный пользовательский интерфейс, реализующий новые средства интеграции портала и реестра. Теперь они разделяют общие правила авторизации и такие конструкты, как проекты и пользователи.
Новый vSphere Client на базе технологии HTML5 теперь поддерживается, а раздел vSphere Integrated Containers теперь выводит список всех хостов Virtual Container Hosts и контейнерных ВМ в данной инсталляции vSphere.
Улучшения установки и апгрейда - теперь установка стала значительно проще, а после развертывания есть специальный интерфейс для создания демо-хоста, который позволяет администратору исследовать возможности vSphere Integrated Containers.
Конфигурация Virtual Container Host - для поддержки быстрорастущих команд vSphere Integrated Containers 1.2 позволяет переконфигурировать хост VCH после развертывания.
VMware vSphere Integrated Containers 1.2 доступны для загрузки уже сейчас с сайта VMware.
Недавно мы писали об анонсированных новых возможностях продукта для организации кластеров хранилищ VMware vSAN 6.6, а вчера он стал официально доступен для скачивания. Так как VMware vSAN работает в рамках инфраструктуры серверной виртуализации VMware vSphere, были также выпущены обновления ESXi 6.5d и vCenter 6.5d, поддерживающие vSAN 6.6.
Напомним также, что совсем недавно выходил апдейт VMware vCenter 6.5c, в котором была исправлена уязвимость компонента Apache BlazeDS. Что касается обновления ESXi 6.5d, то оно включает в себя поддержку vSAN 6.6, исправления некоторых ошибок а также отображения статусов VMware vSAN health checks в интерфейсе клиента ESXi Host Client (он же Embedded Host Client).
Загрузить VMware vSAN 6.6 в составе платформы VMware vSphere 6.5 и ее компонентов можно по этой ссылке.
Недавно мы писали о новых возможностях VMware vSphere 6.5, где одним из нововведений стала релизная версия технологии vSphere Integrated Containers, позволяющая создавать инфраструктуру виртуальных приложений Docker в виртуальных машинах vSphere.
Недавно мы уже писали о vSphere Integrated Containers, а сегодня мы расскажем об этой технологии поподробнее. Начнем с обзорного видео:
Технологию можно представить следующей диаграммой:
Ниже будет рассказано о трех основных компонентах технологии vSphere Integrated Containers, каждый из которых построен как Open Source программное обеспечение, поэтому каждая компания может использовать различные компоненты экосистемы VIC, дорабатывать их и делать вклад в развитие этих проектов. Между тем, функциональность vSphere Integrated Containers доступна только для пользователей с лицензией vSphere Enterprise Plus (видимо, считается, что технология VIC нужна только крупным компаниям).
vSphere Integrated Container Engine (VIC Engine)
Это специальный движок контейнеров, который работает не в той же виртуальной машине, что и сам контейнер, а вынесен в специальный компонент Virtual Containter Host (VCH), который представляет собой специальный объект vApp, создаваемый при развертывании. Также VCH обслуживает компонент Docker Endpoint (это маленькая ВМ), который предоставляет внешние интерфейсы для управления контейнерами через API администраторам приложений (развертывание новых контейнеров и обслуживание существующих).
IP-адрес машины Docker Endpoint передается администратором vSphere пользователям, которые развертывают и обслуживают приложения Docker. Когда пользователь VIC Engine выполняет команду:
docker run –H <IP> busybox
то небольшой образ на базе busybox вытаскивается с хранилища Docker Hub и превращается в виртуальную машину со всеми необходимыми интерфейсами внутри объекта vApp, которым является Virtual Container Host.
Этот компонент позволяет хранить образы контейнеров. Если вам необходимо поместить приложение в контейнер и распространять его в своей инфраструктуре, нужно воспользоваться таким реестром. Для движка Docker - это компонент Docker Hub.
Проблема в том, что репозиторий Docker Hub открыт абсолютно всем, поэтому VMware сделала свой репозиторий Project Harbor (это форк проекта Docker Hub), который также является Open Source-компонентом, но предоставляет отдельное корпоративное хранилище образов в рамках инфраструктуры компании. Поставляется он в виде виртуального модуля в формате OVA.
Инженеры VMware взяли исходный код Docker Registry, добавили Enteprise-возможности, такие как поддержку LDAP/AD, ролевую модель доступа, а также пользовательский интерфейс - и выделили его в отдельный проект Harbor.
Вот тут на GitHub можно найти публичный репозиторий проекта Harbor.
Container Management Portal (Project Admiral)
Это специализированный портал управления, который при операциях с контейнерами предоставляет следующие возможности:
Создание нового хоста для контейнеров ( Virtual Containter Host, VCH).
Управление квотами ресурсов.
Определение новых шаблонов контейнеров для развертывания.
Управление состоянием контейнеров.
Admiral - это расширение набора средств автоматизации vRealize Automation 7.2, которое добавляет туда возможности управления контейнерами. Информация об этом доступна здесь.
Но поскольку Admiral может быть развернут отдельно от vRA, VMware включила его в состав VIC как отдельный продукт. Кстати, не все возможности Admiral используются для виртуальных машин с контейнерами внутри, так как типа они могут конфликтовать со средствами виртуализации, но все основные функции там есть.
Посмотрите, как работает Admiral:
Публичный репозиторий Project Admiral находится здесь. Помните, что он все еще находится в состоянии беты!
Таги: VMware, vSphere, VIC, Update, Open Source, Docker
На уже почти прошедшей главной конференции о виртуализации VMworld 2016 компания VMware сделала немало интересных анонсов. О некоторых из них мы уже писали тут и тут. А сегодня расскажем об обновлениях технологии VMware vSphere Integrated Containers (VIC), которая направлена на управление виртуальными контейнерами Docker на базе инфраструктуры vSphere. Напомним, что мы уже писали о vSphere Integrated Containers вот тут.
В рамках технологии VIC каждый контейнер Docker размещается в отдельной виртуальной машине. Сделано это с целью лучшей управляемости и надежной изоляции приложений для безопасной и стабильной их работы. Но это было бы слишком расточительно с точки зрения потребления ресурсов, поэтому VMware использует подход VMFork - создание мгновенных клонов работающей виртуальной машины. Например, вот тут мы как раз писали о таком подходе.
Photon Controller использует механизм VMFork (сейчас эта технология называется VMware Instant Clone и доступна в vSphere 6) для создания мгновенных экземпляров виртуальных машин на базе Photon OS (менее, чем за 1 секунду) с нужным приложением по запросу от пользователя.
То есть, на базе Photon OS развертывается новая машина через VMFork, а в ней уже тянется контейнер из нужного репозитория.
Теперь были анонсированы еще два важных компонента инфраструктуры VIC - Container Management Portal (он же Project Admiral) и Container Registry (он же Project Harbor):
vSphere Integrated Container Engine (VIC Engine)
Движок контейнеров не запущен в той же виртуальной машине, что и сам контейнер, а вынесен в специальный компонент Virtual Containter Host (VCH), который представляет собой специальный объект vApp, создаваемый при развертывании. Также VCH обслуживает компонент Docker Endpoint, который предоставляет внешние интерфейсы для управления контейнерами через API администраторам приложений (развертывание новых контейнеров и обслуживание существующих).
Таким образом, администраторы приложений Docker работают с ними как с обычными контейнерами в физической инфраструктуре, а администраторы vSphere относятся к ним как к виртуальным машинам, которые используются все те же самые технологии - HA, DRS, NSX, VSAN и прочие.
Container Management Portal (Project Admiral)
Теперь администраторы vSphere смогут использовать vSphere Web Client для управления объектом vApp, виртуальными машинами с контейнерами на борту и компонентами VCH, обслуживаемыми VIC engine. При операциях с контейнерами портал предоставляет следующие возможности:
Создание нового хоста для контейнеров ( Virtual Containter Host, VCH).
Управление квотами ресурсов.
Определение новых шаблонов контейнеров для развертывания.
Управление состоянием контейнеров.
Основная философия такого подхода - администраторы приложений Docker сами смогут управлять своими контейнерами через веб-клиент, а не через CLI.
Container Registry (Project Harbor)
Этот компонент позволяет хранить образы контейнеров. Если вам необходимо поместить приложение в контейнер и распространять его в своей инфраструктуре, нужно воспользоваться таким реестром. Для движка Docker - это компонентDocker Hub.
Проблема в том, что репозиторий Docker Hub открыт абсолютно всем, поэтому VMware сделала свой репозиторий Project Harbor (это форк проекта Docker Hub), который также является Open Source-компонентом, но предоставляет отдельное корпоративное хранилище образов в рамках инфраструктуры компании.
Также Project Harbor он предоставляет следующие Enterprise-возможности, в отличие от базового репозитория:
Ролевая модель доступа (Role Based Access Control, RBAC)
Репликация образов
Графический портал для пользователей
Поддержка интеграции с AD/LDAP
Средства аудита
Программный интерфейс RESTful API
Интернационализация на различные языки, в том числе русский
Кстати, анонсированная в рамках первого дня VMworld 2016 технология Cross-Cloud Architecture также будет полностью совместима с VMware vSphere Integrated Containers.
Таги: VMware, Docker, Update, VIC, Open Source, VMachines