Николай Куликов сделал (и недавно обновил) свою полезную табличку по типам хостов/инстансов, доступных в публичном облаке VMware Cloud on AWS (VMConAWS).
Теперь сравнительная таблица включает в себя новый тип хостов M7i.metal-24xl и обновленную информацию по архитектуре VMware vSAN. Также обратите внимание, что тип инстанса i3.metal больше недоступен для новых контрактов. Также мы рассказывали о производительности инстанса i4i.metal вот тут.
Начинаем рассказывать об анонсах новых продуктов и технологий, которые были сделаны на проходящей сейчас конференции VMware Explore 2023 в Лас-Вегасе, которая многие годы является главным событием в сфере виртуализации.
Решение VMware Cloud on AWS было разработано для преодоления эксплуатационных проблем публичной облачной инфраструктуры с использованием существующих инструментов и процессов, которые организации использовали в своих локальных датацентрах.
В последние несколько лет VMware предоставила пользователям возможность покупать продукты и услуги VMware Aria в качестве дополнительных опций для VMware Cloud на AWS, решая проблемы эксплуатации приложений с корпоративными требованиями в среде публичного облака. Также VMware предложила опцию покупки дополнения NSX Advanced Firewall для улучшения уровня безопасности VMware Cloud на AWS. Клиенты, выбравшие эти решения, уже оценили преимущества корпоративного уровня управления и безопасности VMware при решении нетипичных проблем публичного облака.
С подпиской VMware Cloud on AWS: Advanced пользователи теперь получат все эти преимущества "из коробки" для всех новых развертываний. Это естественное развитие текущего VMware Cloud на AWS с улучшенными функциями.
Вкратце, вот ключевые корпоративные возможности, недавно добавленные в услугу VMware Cloud на AWS с подпиской Advanced:
Современная, удобная для пользователя автоматизация инфраструктуры для оптимизации ИТ-процессов и предоставления платформы автоматизации, готовой к использованию в отделах DevOps.
Управление операциями на основе искусственного интеллекта для оптимизации производительности и повышения эффективности.
Быстрое устранение проблем благодаря глубокому оперативному контролю и интеллектуальному анализу журналов.
Усиленная защита с расширенными возможностями сети и безопасности, такими как контекстозависимая микросегментация (L7 DFW AppID), распределенный список разрешенных доменных имен, файервол на основе идентификации пользователя (IDFW).
Бесшовная сетевая интеграция с управлением политиками NSX+.
Давайте посмотрим, какие продукты получат клиенты при покупке плана подписки VMware Cloud на AWS.
VMware Aria Migration (бесплатная пробная версия на 30 дней)
Расширенные возможности безопасности: контекстозависимая микросегментация (L7 DFW AppID), распределенный список разрешенных доменных имен, файервол на основе идентификации пользователя (IDFW)
Управление политиками NSX+
Некоторые особенности новой подписки:
План VMware Cloud на AWS: Advanced будет доступен только для типов инстансов i3en.metal и i4i.metal.
Сам план планируется к выпуску в конце 3 квартала финансового года 2024 (до 3 ноября 2023 года).
Как только подписка станет доступной, все новые SDDC-развертывания VMware Cloud on AWS для типов хостов i3en.metal/i4i.metal будут включать в себя расширенное управление облаком, сетевые функции и безопасность и прочие новые возможности.
Существующие развертывания SDDC со временем получат эти расширенные функции. Ценообразование для VMware Cloud на AWS: Advanced остается таким же, как и ранее доступное ценообразование подписок на VMware Cloud on AWS.
На сайте проекта VMware Labs вышло обновлении утилиты SDDC Import/Export for VMware Cloud on AWS версии 1.9. С помощью этого средства можно сохранять конфигурацию виртуального датацентра SDDC в облаке VMConAWS, а также импортировать ее из сохраненной копии. В прошлый раз об этой утилите мы писали вот тут.
Иногда пользователи по разным причинам хотят мигрировать из одного SDDC-датацентра в другой. Для миграции виртуальных машин есть решение VMware HCX, а вот для переноса конфигурации среды до текущего момента не было. Теперь же можно сохранить конфигурацию исходного SDDC и развернуть ее на целевом, не тратя много времени на повторную настройку.
Давайте взглянем на новые возможности продукта:
Поддержка протокола IPv6
Поддержка механизма NSX dIDPS
Поддержка клиентских шлюзов VPN уровня Tier-1
Прием ресурсов Managed Prefix List Resource Share из подключенного VPC
Отличные новости! Компания VMware запустила программу бесплатного пробного доступа к VMware Cloud on AWS в течение 30 дней.
Это хороший способ получения первичного опыта работы с публичным облаком VMware Cloud on AWS. Процесс онбординга очень прост - надо заполнить вот эту форму, после чего в течение небольшого времени с вами свяжется команда VMware, чтобы проверить, подходите ли вы под условия программы.
Участвовать могут только новые клиенты облака VMware Cloud on AWS. Поддержка клиентов предоставляется во всех регионах мира (AMER, EMEA и APJ).
Что вы получаете в рамках этой пробной программы?
Бесплатный доступ к одному виртуальному центру обработки данных (SDDC) на одном хосте i3.metal или i4i.metal.
Во время пробного периода все расходы, которые выставляет VMware за использование VMware Cloud on AWS, включая использование хоста, адреса Elastic IP и передачу данных, являются бесплатными.
Пробный SDDC можно без проблем преобразовать в платный SDDC всего несколькими кликами в VMware Cloud Console.
Доступен во всех регионах, поддерживаемых VMware Cloud on AWS.
Бесплатный доступ к чат-поддержке VMware Cloud, историям успеха клиентов и техническим ресурсам.
Также по программе доступен FAQ, который объясняет нюансы бесплатного онбординга в публичное облако VMConAWS:
На днях компания VMware объявила о том, что решения VMware Cloud on AWS Terraform Provider и Python Automation Utility for VMware Cloud on AWS теперь поддерживают аутентификацию приложений OAuth 2.0 для VMware Cloud, что позволяет зарегистрировать средства автоматизации с поддержкой этого типа аутентификации. Теперь администраторы могут управлять учетными данными, привязанными к API-токенам доступа отдельных разработчиков, на уровне организации.
Объекты OAuth app действуют как сущности в рамках коммуникаций server-to-server и могут быть использованы в разных организациях. Только пользователь, создавший API-токен, может управлять им, а владелец OAuth app - это организация, которая управляется администратором с ролью Developer. Поэтому для использования API, где не требуется связывание токена с пользователем (например, полностью автоматизированные решения), рекомендуется не использовать API-токены персональных аккаунтов.
Это позволяет избежать ситуации, когда аккаунт этого человека был деактивирован или устарел, для него изменилась роль и т.п., что может повлиять на сервисы, использующие этот токен. Вместо этого владелец объекта Organization создает OAuth App с App ID и App Secret, чтобы дать доступ приложению по API. Детали этого процесса на платформе VMware Cloud on AWS приведены вот в этой статье.
Итак, здесь есть 2 важных шага по созданию OAuth: создать объект App и назначить его объекту Org.
Для создания App нужно сделать следующее:
Логинимся в CSP, кликаем на имя пользователя и выбираем для него View Organization
Переходим на вкладку OAuth Apps в самом верху страницы
Нажимаем Create App и выбираем Server to server app
Определяем имя приложения, описание, время жизни токена (Access Token TTL, рекомендуется 30 минут). Надо помнить, что как только токен создан - уже нет способа отозвать доступ, поэтому не надо задавать слишком большое время.
Нажимаем Create. Надо помнить, что стоит максимально ограничивать роли для сервисов и действий в рамках организации минимально необходимыми привилегиями.
Скачиваем копию App ID и App Secret.
Помните, что после этого экрана вы уже не сможете скачать App Secret, но вы можете просмотреть App ID, а сам App Secret можно сгенерировать снова. Другие свойства приложения также можно редактировать после создания.
Назначаем объект App объекту Org:
Нажимаем Add после того, как вы создали App, чтобы добавить приложение в текущую организацию.
Переходим на страницу OAuth Apps со страницы View Organization (у пользователя должны быть права по добавлению в эту организацию)
Последний релиз VMware Cloud on AWS Terraform Provider был обновлен и теперь включает два новых поля в файле переменных variables.tf: client_id и client_secret. Параметр client_id - это идентификатор объекта OAuth App, ассоциированный с организацией, а client_secret - это его пароль. Оба этих параметра вместе используются для аутентификации при вызове VMware Cloud Services API. Помимо этой комбинации, вы можете использовать и один параметр api_token.
Решение Python Automation Utility for VMware Cloud on AWS также было обновлено, чтобы поддерживать метод аутентификации OAuth 2.0 app. Чтобы использовать его, нужно указать параметры oauth_clientId и oauth_clientSecret в файле config.ini, как показано в примере ниже:
По умолчанию механизм аутентификации использует API-токен, указанный в поле refresh_Token файла config.ini. Чтобы использовать новый метод аутентификации OAuth app, нужно добавить параметр -oauth при запуске команд, указанных ниже.
Пример команды для использования аутентификации по умолчанию с использованием refresh_Token:
./pyVMC.py sddc show-sddcs
А вот так нужно запускать эту команду для использования аутентификации OAuth app:
./pyVMC.py sddc show-sddcs –oauth
Для получения полного списка команд и инструкций по использованию средства Python Utility for VMware Cloud on AWS обратитесь к этому документу.
В конце января компания VMware объявила об очередном обновлении своей флагманской облачной платформы VMware Cloud on AWS January 2023 (сокращенно она называется VMConAWS). Напомним, что она построена на архитектуре VMware vSphere, которая работает поверх инфраструктуры Amazon AWS. В последний раз мы писали об обновлении этой платформы летом прошлого года.
Давайте посмотрим, что нового теперь есть в VMware Cloud on AWS:
1. Улучшения поддержки enterprise-нагрузок
Расширение доступности AWS в Африке (локация Кейптаун). Теперь в состав сервиса входит 22 региона. Подробнее об этом тут.
Модернизация приложений в рамках VMware Cloud on AWS - здесь появилась возможность миграции приложений с минимальным простоем за счет использования Kubernetes, нативных облачных сервисов и средства автоматизации инфраструктуры. Также появилась группировка SDDC средствами Terraform - этот функционал позволяет сгруппировать объекты как код в рамках рабочих процессов автоматизации. Подробнее тут.
2. Улучшения в работе с ресурсами облака
Теперь инстанс Amazon EC2 i4i.metal доступен для всех клиентов облака. Теперь можно выбрать i4i.metal как при развертывании нового SDDC, так и смигрировать рабочие нагрузки с хостов i3.metal и i3en.metal. Напомним, что новый инстанс i4 построен на базе процессоров Intel Xeon Ice Lake третьего поколения, которые дают лучшую производительность ввода-вывода и повышенную безопасность. Подробнее об этом тут.
Если вкратце, то вот характеристики производительности i4i.metal (на базе результатов SQL Server benchmarking tool):
~20TiB хранилища NVMe (в 2 раза больше, чем у i3.metal)
64 физических / 128 логических CPU (в 1.8 раза больше)
1 024 ГБ памяти (в 2 раза больше)
Скорость соединения до 75 Gbps (в 3 раза выше)
Включенное по умолчанию шифрование host encryption
Улучшенная производительность по сравнению с i3.metal на 125% в целом и на 51% выше, чем у i3en.metal
Также появились автоматически обновления firmware для существующих развертываний SDDC. На время обновления появляется новый бесплатный хост в инфраструктуре, который поддерживает нужный уровень емкостей датацентра. Подробнее тут.
Кроме того, появилось несколько улучшений в плане хранилищ:
Поддержка одной зоны доступности AZ для интеграции между Amazon FSx for NetApp ONTAP. Подробнее тут.
Финальная доступность VMware Cloud Flex Storage - мы писали об этом здесь. В решении доступны такие возможности, как эффективные снапшоты, неизменяемость бэкапов (immutability), защита от ransomware и многое другое, что позволяет использовать их для разных типов организаций и рабочих нагрузок.
3. Улучшения механизмов доступности и надежности
VMware Cloud Disaster Recovery - теперь появилось расширение географической доступности на AWS Africa (Cape Town).
VMware Site Recovery - появилась поддержка инстансов I4i.metal, а также был добавлен регион AWS Africa (Cape Town).
4. Изменения в сайзинге, ценообразовании и подписках
Окончание продаж подписок на 1 и 3 года для инстансов i3.metal в связи с выпуском I4i.metal. Более подробно об этом тут.
Мультиоблачная программа по адаптации пользователей - Multi-Cloud Adoption Program (MCAP). Она была анонсирована в прошлом году, а сейчас запущена и расширена на большую партнерскую экосистему.
5. Улучшения пользовательского опыта
В связи с выпуском решения VMware Ransomware Recovery as a Service, оно было включено в решение VMware Cloud Launchpad. Эта программа позволяет пользователям понять, как выходить из ситуации, когда инфраструктуру атаковало Ransomware.
6. Улучшения решения VMware HCX
Поддержка прямой миграции vMotion для переноса с NSX-V на NSX-T в рамках процесса HCX Assisted vMotion.
Поддержка OSAM (OS Assisted Migration) для RHEL 8.5 и 8.6.
Поддержка кастомных атрибутов Power CLI.
Поддержка технологии Mobility Optimized Networking (MON) для нескольких IP и адаптеров vNIC.
Поддержка Replication Assisted vMotion (RAV) Seed Checkpoint для больших миграций (создается контрольная точка, с которой можно продолжить неудачно завершившуюся миграцию).
Поддержка последних версий vSphere 8.0, VM Hardware version 20, vSAN 8 и vSphere Distributed switch version 8.
Платформа VMware HCX 4.5 теперь поддерживается для пользователей, работающих в среде VMware Cloud on AWS SDDC Version 1.20+.
Пользователи могут видеть детали deployment / un-deployment при просмотре статуса задачи.
Простая фильтрация событий миграции на дэшборде, что удобно при большом количестве миграций.
Добавлен диагностический тест для проверки доступности порта управления, также есть сбор статистики по каналу передачи.
Улучшен механизм очистки устаревших данных при обработке неудачных или отмененных миграций.
Возможность просмотра задач, которые завершились успешно, но с предупреждениями.
Больше подробностей о новой версии VMware HCX 4.5 можно узнать по этой ссылке. Ну а главная страница платформы VMware Cloud on AWS находится здесь (а тут - последние Release Notes).
Недавно компания VMware объявила о масштабном обновлении своей облачной платформы VMware Cloud on AWS (VMConAWS), построенной на базе инфраструктуры Amazon AWS. В июле платформа обновлялась два раза, было сделано очень много как больших нововведений, так и несколько маленьких улучшений.
Давайте посмотрим на основные новые возможности VMware Cloud on AWS July 2022:
1. Изменения в ценовой политике и опциях подписки
Были продлены промо-акции: 15% скидка на инстансы i3.metal (до 31 августа) и пониженная стартовая цена для новых клиентов для хостов i3.metal и i3en.metal (до 3 января 2023).
Гибкая подписка VMware Cloud on AWS Flexible subscription не только для хостов i3.metal, но и i3en.metal (подробнее). Пользователи со старым типом подписки могут отменить ее и переключиться на новую.
2. Улучшения поддержки производственных нагрузок
Теперь облачные сервисы доступны в регионе AWS Asia Pacific (Hong Kong).
Улучшения интерфейса и масштабируемости сервисов Tanzu - если у вас есть 3 и более хостов в одной Availability Zone (AZ), то вам становится доступной опция "Activate Tanzu Kubernetes Grid".
Поддержка Kubernetes 1.22 для supervisor-кластеров (также осталась поддержка версий 1.21 и 1.20).
Поддержка Windows 11 VMConAWS с провайдерами vTPM за счет использования механизма vSphere Native Key Provider (NKP). vTPM полностью совместим со стандартом TPM 2.0.
Комплаенс по стандарту Singapore Multi-Tier Cloud Security Standard (MTCS).
3. Улучшения в вычислительной платформе и пользовательском опыте
Улучшения в механизме VMware Cloud Disaster Recovery - защита до 6000 виртуальных машин на один vCenter, экспорт логов событий в vRealize Log insight Cloud, алерты и нотификации по статусам показателей качества обслуживания (SLA), глобальный экспорт маппингов ВМ и их Protection Groups в один файл, трекинг переданных данных и интенсивности их изменения для снапшотов, поддержка всех операций из одной консоли Global DR Console, G-Cloud комплаенс для UK-региона.
Улучшения механизма VMware Site Recovery - теперь сервисы доступны в регионе AWS Asia Pacific (HongKong), а также заявлена поддержка совместимости VMware Site Recovery Manager on Azure VMware Solution и VMware Site Recovery on VMware Cloud on AWS, между которыми теперь можно совершать DR-операции.
Теперь доступен бэкап и восстановление машин VM Service любыми вендорами поддерживающими механизм vSphere Storage APIs for Data Protection (VADP), в частности, продуктом Veeam Backup and Replication.
Улучшения сети - апдейт драйвера Low-latency ENA для хостов i3en.metal, функции Live Traffic Analysis (LTA), доступ к NSX Manager Standalone UI, улучшения VPN, улучшения VMware NSX Advanced Firewall for VMware Cloud on AWS Add On.
Улучшения графического интерфейса настройки DHCP.
VMware теперь публикует план обновлений VMware Cloud on AWS SDDC на вкладке "Maintenance" консли VMware Cloud console.
VMware Cloud Federation: поддержка SSO между VMware Cloud console и облачным инстансом vCenter.
4. Улучшения механик управления облачными сервисами
Улучшения покупки облачных продуктов для сервис-провайдеров и конечных клиентов.
Простой запуск пробной версии vRealize Automation Cloud для VMware Cloud on AWS.
Шаблоны наименований (custom naming) сущностей VMware Cloud on AWS в vRealize Automation Cloud.
Multi-level approvals в VMware Cloud on AWS для пользователей из разных иерархий и департаментов.
Возможность активации vRealize Automation Cloud Add-On из VMware Cloud Console.
Улучшения vRealize Network Insight (SaaS) для пользователей VMware Cloud on AWS - функции автоматического развертывания компонентов proxy и collector, а также интеграция с решением VMware HCX.
Новые опции приобретения VMware vRealize Log Insight Cloud с долговременным хранением логов в non-index storage до 7 лет (подробнее тут).
Более подробно обо всех нововведениях июльской версии платформы VMware Cloud on AWS вы можете прочитать в Release Notes.
Это все позволяет администраторам виртуальной инфраструктуры VMware vSphere видеть информацию о сетевом взаимодействии в виртуальном датацентре и потоках виртуальных машин сразу в клиенте vSphere, без необходимости постоянно переключаться между двумя консолями:
Что нового в версии 2.1:
Поддержка vRealize Network Insight 6.4 и выше (теперь нет сообщения "Connection failed!")
Улучшена обработка ошибок при неудачном соединении (неправильные креды, слишком много попыток логина, невозможно соединиться по другой причине)
Скачать vCenter Plugin for vRealize Network Insight 2.1 можно по этой ссылке.
2. Обновился SDDC Import/Export for VMware Cloud on AWS
до версии 1.7
С помощью этого средства можно сохранять конфигурацию виртуального датацентра SDDC в облаке VMConAWS, а также импортировать ее из сохраненной копии.
Иногда пользователи по разным причинам хотят мигрировать из одного SDDC-датацентра в другой. Для миграции виртуальных машин есть решение VMware HCX, а вот для переноса конфигурации среды до текущего момента не было. Теперь же можно сохранить конфигурацию исходного SDDC и развернуть ее на целевом, не тратя много времени на повторную настройку.
Что нового в версии 1.7:
Новые флаги в файле config.ini flags для пропуска импорта групп и сервисов
Улучшенная обработка ошибок при неудачном импорте (например, неподдерживаемое членство ВМ во внешней группе)
Скачать SDDC Import/Export for VMware Cloud on AWS 1.7 можно по этой ссылке.
3. Обновился Python Client for VMC on AWS
до версии 1.8
С помощью этой утилиты пользователям публичного облака VMware Cloud on AWS можно автоматизировать операции с инфраструктурой виртуального датацентра VMConAWS SDDC.
Это средство представляет собой не клиент для работы с сервером vCenter, а средство удаленного исполнения задач в облаке, таких как создание сетей или настройка групп и правил безопасности на шлюзах Management и Compute Gateways.
Что нового появилось в версии 1.8:
Поддержка VCDR API, которой давно ждали пользователи.
Был проведен рефакторинг функций, в результате вызовы API были разнесены по разным библиотекам. Это позволяет более универсально использовать API-вызовы, в том числе для повторного использования.
Исправлены ошибки при обработке символов нижнего регистра во время создания правил сетевого экрана.
Улучшена документация и прояснено значение некоторых аргументов функций (new-network и new-group).
Скачать Python Client for VMC on AWS
1.8 можно по этой ссылке.
Мы много писали о решении VMware Cloud Disaster Recovery, которое позволяет обеспечивать катастрофоустойчивость виртуальных инфраструктур за счет резервирования онпремизных ресурсов в облаке. Службы VMware Cloud Disaster Recovery позволяют производить восстановление после сбоев по запросу (On-Demand Disaster Recovery) напрямую в облаке VMware Cloud on AWS.
VMware Cloud Disaster Recovery обеспечивает оркестрацию процесса создания реплик на хранилищах S3 Cloud, а также реализацию процесса восстановления инфраструктуры на стороне VMware Cloud on AWS с сохранением показателя RPO равного 30 минутам.
У многих пользователей такой схемы возникает вопрос - а за что они отвечают в этом процессе, за что отвечает VMware, а за что - Amazon?
Ответ можно найти вот тут, мы расскажем об этом вкратце. Итак, VMware Cloud Disaster Recovery состоит из трех компонентов:
Файловая система Scale-out Cloud File System (SCFS)
Оркестратор (Orchestrator)
Коннекторы DRaaS Connectors
VMware запустила свое DRaaS решение в октябре 2020 года и с тех пор предоставляет круглосуточную поддержку этих компонентов, включая накатывание патчей и обновлений на них.
С точки зрения безопасности и операций, ответственность распределяется по трем основным уровням - пользователь, VMware и Amazon AWS:
Пользователь отвечает за:
"Security in the Cloud":
Безопасность в облаке при развертывании и поддержке окружений VMware Cloud Disaster Recovery
Безопасность собственной виртуальной инфраструктуры и установку компонентов решения, необходимых для функционирования инфраструктуры катастрофоустойчивости. Также это включает в себя поддержку достаточной скорости соединения между площадками. Пользователь должен заботиться о протоколах шифрования, своевременном обновлении ПО, аудите систем, изменении паролей и всем прочем, что от него зависит.
VMware отвечает за:
"Security of the Cloud" - то есть за безопасность самого облака, что означает защиту систем и программного обеспечения, составляющего основу облака для служб VMware Cloud Disaster Recovery. Очевидно, что это включает в себя не только DRaaS-cервисы, но и платформенные составляющие, такие как VMware vSphere и vSAN.
Amazon отвечает за:
"Security of the Infrastructure" - физические серверы, доступ к ним в датацентрах, функционирование аппаратного обеспечения, исправность физических линий связи и соединений в рамках ЦОД.
Если говорить о разделении зон ответственности в плане конкретных операций и функциональности, то таблица в разрезе указанных трех сущностей выглядит так:
Сущность
Ответственность / Активности
Customer
Развертывание на резервном сайте в облаке объектов Software Defined Data Centers (SDDC):
Определение числа и типа хостов (i3, i3en)
Конфигурация кластера
Поддержка связанного AWS-аккаунта
Определение диапазона адресов управляющей сети
Настройка сети и безопасности SDDC:
Настройка сетевых сегментов
Конфигурация публичных IP-адресов
Настройка NAT
Настройка сетевых экранов
Защищаемый сайт:
Развертывание коннекторов
Настройка фаерволов
Настройка сетевых сегментов
Аутентификация пользователей
Регистрация серверов vCenter
SCFS:
Настройка групповых политик защиты
Конфигурация vCenter защищаемого сайта
Orchestrator:
Разработка плана восстановления (DR Plan)
Управление пользователями, ролями и аутентификацией в целом
VMware
Жизненный цикл SCFS:
Обновления ПО
Консистентность данных снапшотов
Жизненный цикл Orchestrator:
Обновления ПО
Проверка и контроль Inventory (политики и планы восстановления)
Жизненный цикл Connector:
Обновления ПО
Жизненный цикл резервного SDDC:
Апгрейд и обновление ESXi
Апгрейд и обновление vCenter Server
Апгрейд и обновление vSAN
Апгрейд и обновление NSX
AWS – Amazon Web Services
Физическая инфраструктура:
AWS Regions
AWS Availability Zones
Физическая безопасность датацентров AWS
Compute / Network / Storage:
Обслуживание стоек хостов Bare Metal (например, i3.metal и i3en.metal)
Поддержка железа стоек, компонентов питания и инфраструктуры сети
Мы много пишем про растянутые кластеры VMware vSAN Stretched Clusters для онпремизной инфраструктуры VMware vSphere, но не особо затрагивали тему растянутых кластеров в публичных облаках. В частности, в инфраструктуре VMware Cloud on AWS можно создавать такие кластеры, работающие на уровне зон доступности (Availability Zones).
Облачные администраторы знают, что публичное облако AWS разделено на регионы (Regions), в рамках которых есть зоны доступности (Availability Zones, AZ), представляющие собой домены отказа (аналогичные таковым в vSAN). То есть если произойдет сбой (что довольно маловероятно), он затронет сервисы только одной зоны доступности, остальные AZ этого региона продолжат нормально функционировать.
Сама Amazon рекомендует дублировать критичные сервисы на уровне разных зон доступности, а с помощью растянутых кластеров VMware vSAN можно сделать полноценную задублированную среду на уровне AZ в рамках одного региона с компонентом Witness для защиты от ситуации Split-brain, когда будет разорвана коммуникация между зонами:
Для такой конфигурации вам потребуется создать SDDC с поддержкой Stretched Cluster, который создается на этапе настройки SDDC на платформе VMC on AWS. Надо понимать, что при развертывании SDDC можно задать тип кластера Standard или Stretched, который уже нельзя будет поменять в дальнейшем.
Пользователь задает AWS Region, тип хоста, имя SDDC и число хостов, которые он хочет развернуть. Далее администратор выбирает аккаунт AWS и настраивает VPC-подсеть, привязывая ее к логической сети для рабочих нагрузок в аккаунте. Нужно выбрать 2 подсети для обслуживания двух зон доступности. Первая устанавливается для preferred-площадки vSAN, а вторая помечается как сеть для "non-preferred" сайта.
После создания кластера, когда вы зайдете в инстанс Multi-AZ SDDC vCenter вы увидите растянутый кластер vSAN с одинаковым числом узлов на каждой из AZ и один компонент Witness, находящийся за пределами данных AZ.
Такая конфигурация работает как Active-Active, то есть вы можете помещать производственные виртуальные машины в каждую из зон, но вам нельзя будет использовать более 50% дисковой емкости для каждой из облачных площадок.
Конечно же, нужно позаботиться и о защите виртуальных машин как на уровне площадки, так и на уровне растянутого кластера. Лучше всего использовать политику хранения "Dual site mirroring (stretched cluster)" на уровне ВМ. В этом случае при сбое виртуальной машины в рамках одной зоны доступности она будет автоматически перезапущена в другой AZ с помощью механизма VMware HA.
Также администратору надо контролировать физическое размещение виртуальных машин по площадкам, а также политику Failures to tolerate (FTT):
Конечно же, не все виртуальные машины нужно реплицировать между площадками - иначе вы просто разоритесь на оплату сервисов VMConAWS. Администратор должен выставить правила site affinity rules, которые определяют, какие машины будут реплицироваться, а какие нет. Делается это с помощью движка политик storage policy-based management (SPBM) для ВМ и их VMDK-дисков:
На днях компания VMware обновила свое облачное решение VMware vRealize Log Insight Cloud. Напомним, что это решение предназначено для аналитики лог-файлов и мониторинга инфраструктуры в облаке. О прошлой версии этого продукта мы писали вот тут.
Давайте посмотрим, что появилось нового в декабрьском обновлении vRLI Cloud:
1. Расширение локаций, где доступен продукт
Теперь Log Insight Cloud можно получить в регионе Asia Pacific (Tokyo, Japan).
Таким образом, полный список доступных регионов выглядит так:
US West (Oregon)
Europe (London, Frankfurt)
Canada (Central)
Asia Pacific (Sydney, Singapore)
South America (Sao Paulo)
Asia Pacific (Tokyo, Japan)
2. Загрузка локальных логов в облако
Часто администраторы загружают лог-файлы своей онпремизной инфраструктуры в облако во время пробного периода, для этого и предусмотрели данную возможность. Можно загружать файлы в формате .log и .txt и 10 файлов одновременно (до 10 МБ каждый).
3. Интеграция с AWS Lamba и HashiCorp Vault
Новая возможность интеграции с функциями платформы AWS Lambda теперь позволяет перенаправить логи CloudWatch, CloudTrail и многих других сервисов в Log Insight Cloud. Если вам нужна дополнительная безопасность по хранению учетных данных, то можно использовать функции интеграции с защищенным хранилищем учетных данных HashiCorp Vault.
4. Новые функции аудита событий через VMware Cloud Services Content Pack 2.0
Дополнительные аудируемые события контент-пака были добавлены для того, чтобы соблюсти регуляторные требования платформы VMware Cloud Service Portal (CSP). Теперь в VMware Cloud Services Content Pack 2.0 есть следующие новые события:
Access Request Raised by Org Members
Access Request Raised by Non Org Members
Entitlement Request for Org Member Cancelled
Entitlement Request for Non Org Member Cancelled
Entitlement Request Actions
Entitlement Request Approval Actions
Violation Policies Updated
Entity Violations Count Update OAuth App
Entity Violations Count Update API Token
Advance Features Toggled
5. Поддержка SSL для Cloud Proxy
Cloud Proxy получает логи и информацию о событиях из разных источников мониторинга и отправляет эти данные в vRealize Log Insight Cloud, которые уже дальше запрашиваются и анализируются. Теперь эти логи могут пересылаться по защищенному каналу SSL.
6. Алерты об изменении статуса форвардинга логов
Теперь по почте можно получать оповещения о следующих событиях:
Log Forwarding Disabled Temporarily – перенаправление логов отключено на несколько следующих минут, ввиду обнаружения слишком большого количества ошибок на источнике.
Log Forwarding Disabled – перенаправление логов отключено постоянно из-за невозможности установить соединение.
Попробовать vRealize Log Insight Cloud в виртуальной тестовой лаборатории и запросить пробную версию в облаке VMware Cloud on AWS можно по этой ссылке.
Компания VMware выпустила интересный плакат, который может быть полезен Enterprise-администраторам, использующим в своей компании гибридную среду с применением публичного облака VMware Cloud on AWS. В постере AWS Logical Design Poster for Workload Mobility рассказано о том, какими способами можно перенести рабочие нагрузки собственного датацентра в облачную среду VMConAWS (например, с помощью решения VMware HCX), а также, каким образом организовать сетевой сопряжение компонентов гибридной среды.
Постер состоит из 5 основных секций, давайте рассмотрим их несколько подробнее:
On-Premises Datacenter – это собственная виртуальная инфраструктура предприятия, которая может содержать в себе различные типы сетей и хранилищ. В ней должна работать платформа vSphere не ниже версии 6.0 и решение HCX для миграции рабочих нагрузок.
Amazon Web Services - организации заводят себе учетную запись AWS VPC, которая работает со службой VMware Cloud on AWS. Можно иметь несколько сред AWS VPC, но только одна может быть соединена с VMConAWS. Другие VPC соединяются с VMware Cloud on AWS через VMware Transit Connect и AWS Transit Gateway.
VMware Cloud on AWS - объект Software-Defined Data Center (SDDC) использует архитектуру VMware Cloud Foundation (VCF) и включает в себя решение VMware HCX для переноса онпремизных нагрузок в облачную среду (это аддон к VMConAWS). Можно использовать несколько SDDC в составе группы. При включении VMware HCX его компоненты автоматически развертываются в облаке. Как только будет настроено соединение между собственным датацетром и VMware Cloud on AWS, организация сразу может приступить к настройке HCX и миграции виртуальных машин в публичное облако.
Network Connectivity Options - компании могут выбрать из нескольких вариантов сетевых соединений между собственным датацентром и облачным, в зависимости от имеющейся сетевой инфраструктуры и типа соединения с удаленным датацентром.
Workload Migration Steps Using VMware HCX – в этом разделе указан список шагов, которые нужно предпринять при миграции ВМ в облако с помощью HCX. Там есть кликабельные ссылки для получения детальной информации, например, об используемых портах и соединениях, а также методах миграции, которые использует HCX.
Скачать VMware Cloud on AWS Logical Design Poster for Workload Mobility в размере плаката можно по этой ссылке.
Компания VMware заявила о доступности решения VMware NSX Advanced Firewall for VMware Cloud on AWS, предназначенного для защиты сетевых соединений организаций, использующий публичное облако VMware Cloud на базе инфраструктуры AWS SDDC (software-defined data center). С помощью этого фаервола администраторы смогут контролировать все коммуникации на уровне 7, используя DPI-техники анализа пакетов на всех виртуальных сетевых адаптерах vNICS виртуальных машин на хостах ESXi виртуального датацентра SDDC.
Используя NSX Advanced Firewall for VMConAWS, вы получите следующие возможности:
Обнаружение попыток использования эксплоитов и уязвимостей в вашей инфраструктуре
Защита от уязвимостей на базе гранулярных политик безопасности, работающих на уровне приложений
Уменьшение поверхности атаки для ваших рабочих нагрузкой за счет регулирования только разрешенного трафика приложений в вашем датацентре
Бесшовный анализ всего трафика датацентра без единой точки анализа, которая могла бы вызвать падение сетевой производительности
Возможности для обеспечения соответствия отраслевым стандартам (compliance)
NSX Advanced Firewall можно купить как аддон к вашей инфраструктуре VMware Cloud on AWS. Подробнее об этом фаерволе вы можете прочитать в блоге VMware.
На сайте проекта VMware Labs очередная новая утилита - SDDC Import/Export for VMware Cloud on AWS. С ее помощью можно сохранять конфигурацию виртуального датацентра SDDC в облаке VMConAWS, а также импортировать ее из сохраненной копии.
Иногда пользователи по разным причинам хотять мигрировать из одного SDDC-датацентра в другой. Для миграции виртуальных машин есть решение VMware HCX, а вот для переноса конфигурации среды до текущего момента не было. Теперь же можно сохранить конфигурацию исходного SDDC и развернуть ее на целевом, не тратя много времени на повторную настройку.
Это может вам, например, пригодиться для проведения миграций в следующих случаях:
Миграция с одного на другой SDDC с разным типом железа (например, с i3 на i3en)
Миграция с одного на другой SDDC с VMware-based организации на AWS-based
Миграция с одного на другой SDDC в другом регионе (например, из Дублина в Лондон)
Также есть вот такие полезные юзкейсы:
Сохранение бэкапов конфигураций SDDC
Быстрое развертывание преднастроенного SDDC для тестовых целей
Развертывание конфигурации на DR-площадке в связке с VMware Site Recovery Manager или VMware Cloud Disaster Recovery
Вот небольшое видео о том, как работает утилита:
Скачать SDDC Import/Export for VMware Cloud on AWS можно по этой ссылке.
На сайте проекта VMware Labs появилось новое средство Enterprise OpenShift as a Service on Cloud Automation Services, позволяющее облачным администраторам загрузить пакет, интегрировать его с Cloud Assembly и другими сервисами инфраструктуры, чтобы организовать кластер OpenShift как услугу (OpenShift Cluster as a Service) для гибридной облачной среды.
Данное средство автоматизирует весь процесс развертывания пакетов OpenShift в облаке VMware vCloud on AWS (end-to-end). Таким образом можно построить полностью готовый промышленный кластер OpenShift с использованием служб VMware Cloud Assembly Services. При этом данный процесс полностью повторяем и автоматизирован.
Как именно это работает, вы можете увидеть в видео ниже:
Для начала работы с данным средством вам понадобится достаточно серьезный набор решений в вашей ИТ-инфраструктуре:
ОС Red Hat Enterprise 7.5 с активной подпиской для получения пакетов.
OpenShift версии 3.11.
Аккаунт в облачной инфраструктуре VMware Cloud on AWS или онпремизная среда vSphere.
Аккаунт VMware Cloud Services с доступом к Cloud Assembly Services (CAS).
vRealize Orchestrator 7.6, лицензированный с SaaS.
Windows 2016, работающий как хост PowerShell (Windows PowerShell версии 5.1.14393.3053)
Инфраструктурный сервер Windows 2016 Server (с ролями AD, DNS и NTP).
Скачать Enterprise OpenShift as a Service on Cloud Automation Services можно по этой ссылке. В комплекте с утилитой идет подробная документация на 40 страниц.
Таги: VMware, Labs, Cloud, VMConAWS, Amazon, AWS, OpenShift, Red Hat
Начать надо с того, что когда вы запустите графический установщик виртуального модуля vCSA в среде VMC, то получите вот такое сообщение об ошибке на этапе указания параметров хоста для развертывания:
User has no administrative privileges
Это интересно тем, что на самом деле установщик vCSA не требует административных привилегий и, по идее, не должен выдавать такого сообщения об ошибке. Поэтому Вильям нашел, все-таки, способ развернуть vCSA в публичном облаке.
Для этого надо сделать следующее:
1. Создать вспомогательную ВМ (например, с Windows 10 на борту), которая будет использовать для развертывания нового экземпляра vCSA с помощью командной строки. Вы можете использовать для этой цели любую ОС, которая поддерживает интерфейс vCSA CLI.
2. Настроить соединение между сетевыми экранами Management (MGW) и Compute (CGW) для этой машины, как мы писали вот тут, чтобы установщик имел доступ к административной сети.
3. Развернуть vCSA через CLI с помощью файла конфигурации развертывания в формате JSON, настроенного под ваше окружение. Вот пример содержимого такого файла, который вы можете взять за основу:
После этой процедуры вы получите работающий VMware vCenter Server Appliance 6.7 Update 2 в своей инфраструктуре, который сможете использовать как для тестирования его возможностей, так и для полноценного управления виртуальной средой:
Для многих пользователей публичного облака VMware vCloud on AWS одним из первых возникает вопрос - как предоставить доступ из виртуальной машины в сети Compute Network в сеть SDDC Management Network, например, для целей управления сервисами vCenter или другими службами виртуального датацентра?
Также этот вариант использования может быть востребован, когда вам требуется доступ к управляющим компонентам посредством таких интерфейсов, как PowerCLI, или развертывание виртуальных сервисов с помощью утилиты OVFTool. Вильям Лам написал об этом хорошую статью, и мы приведем здесь ее основные моменты.
Естественно, что для целей обеспечения безопасности в облаке, эти две сети по умолчанию разделены. Первое, что вам нужно сделать - это понять, с каким типом решения NSX для управления сетью вы работаете (NSX-T или NSX-V). Сделать это можно с помощью вот этой статьи.
Процедура для NSX-V
В среде NSX-V вам нужно настроить IPsec VPN между компонентами Management Gateway (MGW) и Compute Gateway (CGW) перед тем, как заработает коммуникация между сетями.
Для настройки VPN для компонента Management Gateway нажимаем Add VPN в консоли VMC и вводим требующуюся информацию сетевой идентификации (публичный IP удаленного шлюза, параметры удаленной сети и ключи), что должно отражать конфигурацию Compute Gateway (остальные настройки можно оставить по умолчанию).
Далее надо настроить VPN для Compute Gateway путем выполнения тех же шагов, что и в предыдущем абзаце, только указав конфигурацию шлюза Management Gateway. После того, как настройки обеих VPN будут сохранены, начнет отображаться статус "Partially Connected". Потом нажимаем ссылку Actions в правом верхнем углу, выбираем Edit и сохраняем настройки еще раз, чтобы на обоих шлюзах показался статус "Connected":
Теперь надо настроить сетевой экран Compute Gateway Firewall, чтобы разрешить исходящие соединения в SDDC Management Network по порту 443 для требуемых ВМ (этот порт используется для vSphere Client, а также для доступа через средства OVFTool и PowerCLI).
В приведенном ниже примере машина имеет адрес 192.168.1.4, и мы хотим позволить ей общаться с сетью 10.2.0.0/16 через порт 443:
Теперь нужно добавить в фаервол Management Gateway Firewall правила для разрешения входящих соединений для vCenter Server и хостов ESXi по порту 443 от наших определенных ВМ. Здесь все точно так же - указываем IP машины 192.168.1.4, и нам нужно добавить 2 правила для входящего трафика для разрешения коммуникации со средствами управления виртуальной инфраструктурой:
После этого вы можете залогиниться в виртуальную машину и использовать средства управления платформой vSphere, например, применять утилиту импорта виртуальных модулей OVFTool, как рассказано тут.
Процедура для NSX-T
В среде NSX-T вам не нужно создавать VPN для получения функциональности маршрутизации, которая изначально заложена в маршрутизаторе T0, ведь обе сети Management и Compute Network присоединены к T0. Между тем, правила сетевого экрана добавлять, конечно же, нужно.
В решении NSX-T используются сущности Inventory Groups, чтобы сгруппировать набор виртуальных машин и/или IP-адреса/сети, которые можно использовать при создании правил сетевого экрана.
Создаем две Inventory Groups для нашей Compute Group - одну для нашей виртуальной машины и одну для того, чтобы представлять сеть Management Network. Идем в Groups и в левой части выбираем пункт "Workload Groups", где создаем 2 группы:
Windows10 с Member Type вида Virtual Machine и указываем ВМ из инвентаря.
VMC Management Network с Member Type вида IP Address и указываем сетевой диапазон 10.2.0.0/16.
Теперь нужно создать еще одну Inventory Group для нашей Management Group, которая будет отражать ВМ, для которой мы хотим сделать доступ. Чтобы это сделать, идем в Groups, выбираем "Management Groups" и создаем следующую группу:
Windows10 Private IP с Member Type вида IP Address и указываем частный IP-адрес ВМ (в данном случае это 192.168.1.2).
Не забывайте нажать кнопку Publish, чтобы сохранить и применить правило сетевого экрана.
Теперь нужно создать правило сетевого экрана, чтобы разрешить Compute Gateway исходящие соединения к SDDC Management Network по порту 443 для нужных ВМ. Идем в Gateway Firewall и выбираем "Compute Gateway", где создаем новое правило, которое отражает группу Windows 10 как источник и группу VMC Management Network как назначение, а в качестве сервиса выбираем HTTPS (помним также про кнопку Publish).
Теперь надо создать правила на уровне Management Gateway, чтобы разрешить входящие соединения к хостам vCenter Server и ESXi по порту 443 из нужных нам ВМ. Идем в Gateway Firewall, слева выбираем "Management Gateway", затем создаем правило, которое отражает группу Windows 10 как источник, а в качестве группы назначения указываем vCenter и ESXi (сервис ставим также HTTPS):
После выполнения этой процедуры вы сможете залогиниться в ВМ Windows и использовать утилиту OVFTool для импорта/экспорта ВМ в ваш виртуальный датацентр (см. также данную процедуру здесь).
Если все было сделано правильно, вы должны иметь возможность доступа к интерфейсу vSphere Client из нужной вам ВМ, а также возможность выполнять сценарии PowerCLI и использовать утилиту OVFTool, как показано на скриншоте ниже:
Как вы знаете, уже довольно давно компании Amazon и VMware совместно продвигают публичное облако VMware Cloud on AWS, где можно взять в аренду виртуальные машины. Недавно компания VMware выпустила документ VMware Cloud on AWS Evaluation Guide, который позволит вам понять процедуру развертывания и начать тестирование виртуальной инфраструктуры в облаке VMConAWS.
В документе представлен обзор функциональности платформы, ее основные возможности и основные шаги по ее первоначальной конфигурации. Также рассматривается опциональный вариант сопряжения облачного SDDC (Software-Defined Data Center) и онпремизной виртуальной инфраструктуры с настройкой средств катастрофоустойчивости.
Вы также научитесь строить и конфигурировать сети software defined networks в гибридном облаке, настраивать сетевые экраны, развертывать сервисы DNS, VPN, отчетности и многое другое. Лучше всего использовать данное руководство с функциональностью сервиса Get Started в облаке VMConAWS (оно под него и заточено). Для построения гибридной облачной среды вам потребуется как минимум один хост ESXi на платформе vSphere 6.0 Update 3 или более поздней в своем датацентре.
Необычно и печально то, что сервис VMware Cloud on AWS не предоставляет бесплатного триала (у всех остальных он есть), поэтому нужно быть готовым сразу платить.
Компания VMware недавно выпустила интересный постер, посвященный облачной IaaS-инфраструктуре, предоставляемой в партнерстве с Amazon - VMware Cloud on AWS - Quick Reference.
Постер дает информацию о различных типах соединений, которые доступны в облаке VMConAWS:
Плакат разделен на 5 секций, заголовки у которых кликабельны - по ссылкам находится детальная информация по соответствующей теме (кроме секции Firewall Rules, где кликабельны подзаголовки).
Содержимое разделов:
Infrastructure Overview - высокоуровневая диаграмма, показывающая отношения между онпремизным датацентром, инфраструктурой VMware Cloud on AWS SDDC и нативными сервисами AWS.
HCX Enterprise Network - детальная диаграмма, раскрывающая суть компонентов HCX, соединения, потоки и порты, используемые между онпремизным датацентром и облаком VMware Cloud on AWS.
Direct Connect Topology - эта секция показывает компоненты и общую топологию использования технологии AWS Direct Connect (DX) для организации соединения между онпремизным датацентром и облаком VMware Cloud on AWS.
NSX-T AWS Connected VPC - эта диаграмма показывает, каким образом организуется коммуникация между виртуальным частным облаком VMware Cloud on AWS VPC (Virtual Private Cloud) и пользовательским соединением VPC, в случае если используются родные сервисы AWS.
Firewall Rules - последняя секция включает список самых часто используемых правил сетевого экрана, используемых между онпремизным датацентром и облаком VMware Cloud on AWS для компонентов Management Gateway, HCX и Site Recovery.
Постер VMware Cloud on AWS - Quick Reference доступен по этой короткой ссылке. Напомним также, что все постеры VMware находятся здесь.