Как знают многие пользователи решения для создания отказоустойчивых кластеров VMware vSAN, в данном продукте есть возможность перевода хоста в режим обслуживания (Enter Maintenance Mode, EMM), который позволяет вывести его на время из эксплуатации с сохранением работоспособности кластера в целом. При этом происходит взаимодействие vSAN и механизма балансировки нагрузки VMware vSphere Distributed Resource Scheduler (DRS), который эвакуирует виртуальные машины с хоста ESXi.

Давайте посмотрим, как работает EMM для кластера vSAN, и какие есть опции для данной процедуры. Чтобы перевести хост ESXi в режим обслуживания, надо нажать на него правой кнопкой в vSphere Client и выбрать пункт Maintenance Mode > Enter Maintenance Mode.

Далее мы увидим окно перевода хоста в режим обслуживания, где можно выбрать одну из трех опций:

• Full Data Migration – это миграция всех компонентов дисковых объектов на другие хосты кластера.
• Ensure Accessibility – это миграция только тех компонентов, которые есть в кластере в единственном экземпляре. При этом, для некоторых объектов в этом случае не будет соблюдена политика Failures to tolerate (FTT).
• No Data Migration – в этом случае никакие компоненты не будут перемещены с хоста, поэтому некоторые ВМ могут оказаться недоступными (если на этом хосте их дисковые компоненты находятся в единственном экземпляре, а уровень RAID недостаточен для предоставления доступа к объекту).

С первым пунктом (Full Data Migration) все ясно - он вызывает долговременную процедуру миграции всех дисковых объектов и не всегда оправдан, когда хост ESXi нужно погасить лишь ненадолго. Но если вы выводите хост ESXi из эксплуатации производственного кластера (либо останавливаете, например, на несколько дней), то нужно выбирать именно Full Data Migration.

Давайте подробнее рассмотрим вариант Ensure Accessibility, который как раз подходит для кратковременного обслуживания хоста и последующего его повторного ввода в эксплуатацию. Если у вас достаточно запаса дисковых ресурсов, и виртуальные диски машин работают в RAID-1, то копии дисковых объектов переводимого в режим обслуживания хоста должны быть на других серверах. На картинке ниже реплика объекта C1 есть на другом хосте, поэтому в режиме Ensure Accessibility никаких миграций данных производиться не будет, кластер продолжит работать в режиме полной производительности:

Если же у вас, например, задана политика кластера FTT=1 на четырех хостах, и компоненты дисковых объектов хранятся в соответствии с политикой RAID-5, то картина будет следующей:

В этом случае EMM также не будет перемещать никаких компонентов, так как данные дискового объекта в целом продолжают оставаться доступными. Более подробно о различных вариантах перехода в режим EMM вы можете почитать вот в этой статье.

Между тем, если vSAN object manager будет наблюдать ситуацию несоответствия политики надежности более чем 60 минут (см. параметр Object repair timer в конце статьи), то он, все-таки, запустит синхронизацию дисковых объектов, чтобы их конфигурация в итоге соответствовала действующим политикам.

Кстати, обратите внимание, что такое поведение кластера vSAN - это одна из причин, почему VMware Update Manager не делает обновление хостов ESXi кластера vSAN в параллельном режиме, а проводит это последовательно. Ведь если бы это происходило параллельно, не факт, что можно было бы выполнить требования опции Ensure Accessibility, а также происходило бы много миграций дисковых компонентов.

Кроме того, перед переходом в режим обслуживания хоста, EMM делает полную симуляцию перемещений данных, которые будут проведены в процессе выключения хоста. Например, у нас есть 3 виртуальные машины: vm01 с политикой RAID-0 (без избыточных копий данных), а также машины vm02 и vm03 в режиме RAID-1 (зеркало).

Обратите внимание на картинку ниже:

Здесь показано, что в соответствии с вариантом No data migration 3 дисковых объекта виртуальной машины vm01 окажутся недоступными, а 30, относящихся к vm02 и vm03, не будут соответствовать действующей политике по обеспечению надежности.

Если мы нажмем на ссылку See detailed report, то увидим подробную картину симуляции EMM:

То есть, vm01 окажется недоступной, а vm02 и vm03 будут Non-compliant, пока хост находится в режиме обслуживания.

Если же вы выберете вариант Ensure Accessibility, то прогноз будет следующим:

440 МБ дисковых объектов, относящихся к vm01 будут перемещены, а 30 объектов не будут соответствовать политике, при этом все ВМ останутся доступными. Также в VMware vSAN 6.7 Update 1 появились новые предупреждения о том, что в кластере есть активные процессы синхронизации, а также переходящие или уже перешедшие в режим обслуживания хосты ESXi.

Ну и напомним о настройке Object Repair Timer, которую мы детально рассматривали вот тут. Она то, как раз, и позволяет вам расширить окно обслуживания хоста ESXi в Maintenance Mode, если вам это требуется для проведения какой-то долгой операции. По умолчанию синхронизация не соответствующих политике дисковых объектов начнется через 60 минут:

Удобно, что эта настройка задается на уровне всего кластера vSAN, поэтому не нужно как раньше ходить на каждый хост ESXi и задавать ее.

Как многие из вас знают, в последней версии платформы виртуализации VMware vSphere 6.7 Update 1 компания VMware сделала поддержку горячей миграции vMotion для виртуальных машин, которые имеют на борту технологию vGPU в целях прямого использования ресурсов видеокарт NVIDIA.

Напомним, что ранее была введена поддержка операций Suspend/Resume для GRID, а теперь появилась и поддержка горячей миграции vMotion для машин с привязкой к карточкам NVIDIA Quadro vDWS.

Между тем, по умолчанию эта поддержка для виртуальных машин отключена, и чтобы начать пользоваться этой функцией нужно внести изменения в настройки vCenter. Если вы попробуете сделать vMotion машины с vGPU, то получите вот такую ошибку:

Migration was temporarily disabled due to another migration activity. vGPU hot migration is not enabled.

Вильям Лам написал о том, как включить поддержку vMotion в этой ситуации. Вам надо пойти в Advanced Settings на сервере vCenter и поставить там значение true на настройки vgpu.hotmigrate.enabled:

Эта настройка также рассматривается в документации вот тут. Надо отметить, что вступает в действие она сразу же, и вы можете делать не только vMotion, но и Storage vMotion любой машины (одновременно с vMotion, кстати). Помните, что для успешной работы vMotion на всех хостах ESXi должны быть карточки NVIDIA GRID и установлен соответствующий VIB-пакет.

Также установить эту настройку можно и с помощью командлета PowerCLI:

Get-AdvancedSetting -Entity $global:DefaultVIServer -Name vgpu.hotmigrate.enabled | Set-AdvancedSetting -Value $true -Confirm:$false

Компания Amazon, в рамках конференции AWS re:Invent 2018, объявила о запуске инициативы AWS Outposts, которая будет предоставлять облачные сервисы AWS на площадке и оборудовании заказчика, в том числе сервисы VMware Cloud on AWS.

По-сути, механизм AWS Outposts позволит вам использовать стандартные сервисы AWS, как будто они работают в облаке, но реально исполнять их на своем оборудовании. Это позволит получить все сервисы AWS SDDC, такие как vSphere, NSX и vSAN в своем датацентре, при этом платить по модели повременного использования ресурсов AWS.

Такое может пригодиться в отраслях, где существуют высокие требования к задержкам проведения операций (latency), что требует локального исполнения вычислительных ресурсов, например, в телекоме, высокочастотной биржевой торговле, промышленной автоматизации, финансовых сервисах, ИТ-системах здравоохранения и других приложениях.

Здесь логично напрашивается вопрос - а зачем нужно локально исполнять VMware Cloud on AWS, если можно просто развернуть на своем оборудовании VMware vSphere и остальные компоненты? Использовать VMware Cloud on AWS в таком режиме будет целесообразно, когда у вас есть гибридная среда из локальных и облачных датацентров, а вы хотите получать виртуальные ресурсы от единого поставщика - Amazon, а сервисы по управлению и апдейту всех компонентов SDDC - от VMware.

Также можно будет использовать единую консоль VMConAWS для управления всеми виртуальными инфраструктурами в распределенных датацентрах с возможностью соблюдения единых требований к оборудованию и ПО, политик и рабочих процессов.

Надо отметить, что AWS Outposts предполагает развертывание как в варианте с VMware Cloud on AWS, так и без него - с нативными службами Amazon и их API.

Сервис AWS Outposts будет доступен для пользователей, начиная со второй половины 2019 года. Изменения можно отслеживать на этой странице.

Как знают администраторы больших инфраструктур VMware, для среды управления vSphere есть компонент Platform Services Controller, который может быть внешним (External PSC) и внедренным (Embedded PSC). Недавно мы писали о том, как провести миграцию на внедренный PSC с внешнего PSC с помощью утилиты vCenter Server Converge Tool.

VMware везде рассказывает об этом неспроста - недавно было заявлено, что в следующей версии VMware vSphere внешний сервис PSC будет отсутствовать в принципе. А в данный момент Embedded PSC является рекомендуемым способом развертывания инфраструктуры vCenter (как и виртуальный модуль vCSA).

Возможность создания внешнего PSC появилась в версии vSphere 6.0, а еще в vSphere 5.1 компания VMware предоставила возможность размещать отдельные компоненты, такие как VMware Update Manager (VUM) или vCenter Server Database (VCDB) на отдельных серверах. Это привело к тому, что средства управления виртуальной инфраструктурой можно было развернуть аж на 6 серверах, что рождало проблемы интеграции, обновления и сложности обслуживания.

Когда VMware предложила модель с внешним PSC инфраструктура свелась всего к двум узлам сервисов vCenter. PSC обслуживает инфраструктуру SSO (Single Sign-On), а также службы лицензирования, тэгов и категорий, глобальных прав доступа и кастомных ролей. Помимо этого PSC отвечает за сертификаты данного SSO-домена.

В то время, как службы PSC принесли гибкость развертывания, они же принесли и сложность обслуживания, так как для них нужно было обеспечивать отдельную от vCenter процедуру отказоустойчивости в инфраструктуре распределенных компонентов vCenter Enhanced Linked Mode (ELM).

Еще в vSphere 6.7 и vSphere 6.5 Update 2 была введена поддержка режима ELM для Embedded PSC, поэтому с внедренным PSC уже не требуется обеспечивать отказоустойчивость дополнительных узлов, балансировку нагрузки, а также их обновление. Теперь можно обеспечивать доступность узлов vCenter посредством технологии vCenter High Availability.

Поэтому уже сейчас можете использовать vCenter Server Converge Tool для миграции внешних PSC на Embedded PSC виртуального модуля vCenter Server Appliance. А возможности развернуть внешние PSC в следующих версиях vSphere уже не будет.

Многие администраторы VMware vSphere весьма консервативны и подолгу не обновляют версию платформы виртуализации, даже когда есть деньги на продление поддержки. Отчасти это верная стратегия - VMware так часто пропускает серьезные баги в мажорных релизах, что многие ждут пока обновление "настоится".

Но долго ждать тоже не стоит, так как можно недополучить преимущества новых версий. Например, всегда от релиза к релизу у платформы vSphere растет производительность в различных аспектах. В частности, давайте посмотрим, как выросла производительность технологии миграции хранилищ Storage DRS в VMware vSphere 6.7 по сравнению с версией 6.5.

VMware провела тестирование двух версий платформы и посмотрела, как быстро происходит генерация рекомендаций DRS в разрезе следующих операций в кластере:

• CreateVM
• CloneVM
• ReconfigureVM (добавление дополнительного диска)
• RelocateVM (перемещение на другой датастор)
• Datastore Enter Maintenance (перевод датастора в режим обслуживания)

При одновременном исполнении в кластере множества данных задач одновременно имеет значение своевременное формирование рекомендаций (куда поместить ВМ, куда ее клонировать и т.п.). По итогам тестирования были получены следующие результаты (столбики показывают процент улучшения по времени для 5 одновременных исполняемых операций):

Для 16 одновременных операций:

Отдельно представлен график для операций Datastore Enter Maintenance:

Все это приводит к увеличению скорости развертывания и миграции виртуальных машин и их VMDK-дисков в больших инфраструктурах, где в этом участвует механизм SDRS (генерация рекомендаций по размещению виртуальных машин).

Уважаемые читатели! Некоторые из вас знают, что у нас на сайте есть цикл статей от Романа Гельмана, который разрабатывает различные функции своего PowerCLI-модуля Vi-Module. Они позволяют управлять многими аспектами виртуальной инфраструктуры VMware vSphere с помощью механизмов, недоступных в рамках стандартных средств управления.

Недавно Роман подал свой англоязычный блог ps1code.com на голосование по выбору лучшего блога о виртуализации Top vBlog 2018. И мы от лица всей редакции очень просим проголосовать за Романа - ведь его блог этого действительно достоин!

Спасибо вам заранее.

И вот статьи Романа на нашем ресурсе, чтобы вам удобнее было найти нужную функцию:

• PowerShell скрипт для автоматической установки ESXi хостов на серверах IBM/Lenovo
• Как получить расширенную информацию об RDM-дисках с помощью PowerCLI
• Как конвертировать «тонкие» VMDK-диски в Eager Zeroed Thick с помощью VMware PowerCLI
• Как найти хост ESXi с виртуальными машинами VMware vCenter и SQL Server, когда они выключены?
• Команда Connect-VIServer в PowerCLI: глубокое погружение или «куда же я подключен?»
• Как скопировать VMware ВМ Notes в Computer/AD Computer Account description
• Как узнать версию BIOS/Firmware ESXi сервера при помощи PowerCLI
• Как узнать дату и время установки хоста ESXi
• Как сравнить установленные VIB packages между двумя и более хостами ESXi
• Как включить/отключить SSH на всех хостах ESXi в кластере при помощи PowerCLI
• Как задать/изменить NTP-серверы для хостов ESXi с помощью PowerCLI
• Как узнать версию любого объекта VMware? Используйте Get-Version!
• Azure Automation: как включить/выключить ВМ в облаке Microsoft Azure по расписанию
• Автоматизация работы с тегами Azure VM
• Как найти потерянные VHD файлы в облаке Azure IaaS?
• Как просматривать датасторы VMware с помощью PowerCLI
• Как сравнить 2 или более хостов VMware ESXi с помощью PowerCLI
• Как мигрировать VMware VM Templates на другой Datastore с помощью PowerCLI
• PowerShell и putty – лучше вместе
• Как получить информацию о графическом процессоре ESXi с помощью PowerCLI
• Как проверить наличие хотфикса в VMware ВМ с помощью PowerCLI
• Как конфигурировать Storage DRS кластеры с PowerCLI – Часть 1
• Как создавать и удалять SDRS Anti-Affinity правила с PowerCLI – Часть 2
• Как конфигурировать SDRS Anti-Affinity правила с PowerCLI – Часть 3
• Как увеличить VM Guest Partition с помощью PowerCLI
• Сохранять и извлекать учетные данные с помощью PowerCLI
• Как узнать срок годности резервных копий vCSA с помощью PowerCLI?
• Как получить данные CDP протокола с помощью PowerCLI
• Как мониторить задачи Nutanix с PowerShell

Голосуйте за Романа и его ps1code.com!

Некоторое время назад мы рассказывали об анонсах конференции VMworld Europe 2018, одним из которых была покупка компании Heptio, предоставляющая решения для управления контейнерами платформы Kubernetes в облаке. Ну а на днях на сайте проекта VMware Labs появился плагин к vSphere Client, который позволяет видеть кластеры и узлы Kubernetes, которые находятся под управлением Pivotal Container Service - vSphere PKS Plugin.

Возможности плагина PKS:

• Визуализация, настройка и управление кластерами Kubernetes, развернутыми и управлеяемыми с помощью PKS.
• Средства просмотра нижележащей инфраструктуры для контейнеров, включая виртуальные машины, сетевые ресурсы и объекты хранилищ, которые созданы в кластере Kubernetes, развернутом в окружении VMware vSphere.
• Единая точка просмотра компонентов кластера Kubernetes, включая узлы и сетевые объекты, такие как роутеры, логические коммутаторы и балансировщики.
• Простой интерфейс для доступа к кластеру через kubectl и дэшборд.

Для работы плагина вам понадобятся следующие компоненты:

• PKS v1.2.x
• NSX-T v2.3
• vSphere v6.7.x, v6.5 U1, U2

Загрузить vSphere PKS Plugin можно по этой ссылке (там же вы найдете и документацию).

Совсем недавно стало известно о трех очень серьезных багах в платформе VMware vSphere, которые затронули, как платформу vSphere 5.x/6.x, так и средство создания отказоустойчивых хранилищ для виртуальных машин VMware vSAN 6.6/6.7.

1. Повреждение данных виртуальных дисков снапшотов формата SEsparse.

Начиная с VMware ESXi 5.5, диски стапшотов виртуальных машин стали создаваться в формате SEsparse. Такой диск создается в ESXi 5.5 если диск машины более 2 ТБ, а начиная с ESXi 6.0 / VMFS6 - он используется для снапшотов всех машин. Так что под угрозой практически все виртуальные машины со снапшотами. А ведь снапшоты используются всеми ВМ, для которых применяется резервное копирование через механизм vSphere API for Data Protection (например, с помощью продукта Veeam Backup and Replication).

Ну а суть бага заключается в том, что блоки данных могут оказаться поврежденными, что приводит к неконсистентности файлов для приложений (например, баз данных), а также иногда к невозможности загрузки виртуальной машины!

Баг и возможные способы решения описаны в KB 59216. В vSphere 6.7 Update 1 баг уже пофикшен. Для остального есть следующие апдейты:

• vSphere 6.5 Patch - VMware ESXi 6.5, Patch Release ESXi650-201810002.
• vSphere 6.0 Patch - VMware ESXi 6.0, Patch Release ESXi600-201810001.

Для ESXi 5.5 обновления нет, но вы можете отключить функцию "IO coalescing" для формата дисков SEsparse. Делается это следующей командой:

esxcli system settings advanced set -i 0 -o /COW/COWEnableIOCoalescing

2. Проблема консистентности виртуальных дисков машин на платформе vSAN 6.6.

Аналогично багу из прошлого пункта, здесь может произойти неприятность с целостностью данных виртуальных машин, которые работают в кластере хранилищ VMware vSAN 6.6. Это может случиться в следующих обстоятельствах:

• vSAN начинает процесс ресинхронизации
• В этот момент вы расширяете диск VMDK виртуальной машины
• vSAN снова начинает ресинхронизировать уже расширенный диск виртуальной машины

Проблема описана в KB 58715. В этом случае вы сможете только восстановить консистентность виртуальных машин, но сами данные приложений вы уже не вернете.

Для устранения бага накатите патчи на vSAN:

• vSAN 6.7 - Express Patch 4 Release: http://kb.vmware.com/kb/58848
• vSAN 6.6 - Express Patch 9 Release: http://kb.vmware.com/kb/58852

Также вы можете временно избежать проблемы, выполнив такую команду на каждом хосте ESXi:

esxcfg-advcfg -s 0 /VSAN/ClomEnableInplaceExpansion

3. Получение доступа root к хосту ESXi из виртуальной машины.

Если вы используете виртуальные машины с драйвером сетевого адаптера vmxnet3 (у него был еще один отдельный баг), то для непропатченных хостов есть возможность получения доступа root к шеллу ESXi из виртуальной машины.

Кстати, это было публично показано впервые:

#GeekPwn2018 Chaitin Tech security researcher f1yyy has escaped VMware EXSi and got root shell on the host for the first time in the world. After demonstrating it at GeekPwn 2018, f1yyy received the Best of Tech Award and was selected to the GeekPwn Hall of Fame.@GeekPwn pic.twitter.com/2Y2kYKaw4d

— Chaitin Tech (@ChaitinTech) October 31, 2018

Информация об этой уязвимости опубликована в VMware advisory VMSA-2018-0027. Там же есть и названия необходимых вам патчей (обратите внимание, что багу подвержены также и платформы Workstation / Fusion).

Мы много писали о рещениях NVIDIA GRID / Quadro vDWS  (они используют технологии virtual GPU или vGPU), например здесь, здесь и здесь. Ранее эта технология предполагала только применение vGPU для нагрузок в виртуальных машинах, которые требовательны к графике, поэтому используют ресурсы графического адаптера в разделенном режиме.

Между тем, начиная с недавнего времени (а именно с выпуска архитектуры Pascal GPU), VMware и NVIDIA предлагают использование vGPU для задач машинного обучения (CUDA / Machine Learning / Deep Learning), которые в последнее время становятся все более актуальными, особенно для крупных компаний. С помощью этой технологии виртуальная машина с vGPU на борту может эффективно использовать библиотеки TensorFlow, Keras, Caffe, Theano, Torch и прочие.

Например, можно создать использовать профиль P40-1q vGPU для архитектуры Pascal P40 GPU, что позволит иметь до 24 виртуальных машин на одном физическом адаптере (поскольку на устройстве 24 ГБ видеопамяти).

Зачем же использовать vGPU для ML/DL-задач, ведь при исполнении тяжелой нагрузки (например, тренировка сложной нейронной сети) загружается все устройство? Дело в том, что пользователи не используют на своих машинах 100% времени на исполнение ML/DL-задач. Большинство времени они собирают данные и подготавливают их, а после исполнения задачи интерпретируют результаты и составляют отчеты. Соответственно, лишь часть времени идет большая нагрузка на GPU от одного или нескольких пользователей. В этом случае использование vGPU дает максимальный эффект.

Например, у нас есть 3 виртуальных машины, при этом тяжелая нагрузка у VM1 и VM2 пересекается только 25% времени. Нагрузка VM3 не пересекается с VM1 и VM2 во времени:

Компания VMware проводила тест для такого случая, используя виртуальные машины CentOS с профилями P40-1q vGPU, которые имели 12 vCPU, 60 ГБ памяти и 96 ГБ диска. Там запускались задачи обучения TensorFlow, включая комплексное моделирование для рекуррентной нейронной сети (recurrent neural network, RNN), а также задача распознавания рукописного текста с помощью сверточной нейронной сети (convolution neural network, CNN). Эксперимент проводился на серверах Dell PowerEdge R740 с 18-ядерным процессором Intel Xeon Gold 6140 и карточками NVIDIA Pascal P40 GPU. 

Результаты для первого теста оказались таковы: 

Время обучения из-за наложения окон нагрузки в среднем увеличилось на 16-23%, что в целом приемлемо для пользователей, разделяющих ресурсы на одном сервере. Для второго теста было получено что-то подобное:

Интересен тест, когда все нагрузки исполнялись в одном временном окне по следующей схеме:

Несмотря на то, что число загруженных ML/DL-нагрузкой виртуальных машин увеличилось до 24, время тренировки нейронной сети увеличилось лишь в 17 раз, то есть даже в случае полного наложения временных окон рабочих нагрузок есть некоторый позитивный эффект:

Интересны также результаты с изменением политики использования vGPU. Некоторые знают, что у планировщика vGPU есть три режима работы:

• Best Effort (это исполнение задач на вычислительных ядрах по алгоритму round-robin).
• Equal Share (всем дается одинаковое количество времени GPU - это позволяет избежать влияния тяжелых нагрузок на легкие машины, например).
• Fixed Share (планировщик дает фиксированное время GPU на основе профиля нагрузки vGPU).

VMware поэкспериментировала с настройками Best Effort и Equal Share для тех же тестов, и вот что получилось:

С точки зрения времени исполнения задач, настройка Best Effort оказалась лучшим выбором, а вот с точки зрения использования GPU - Equal Sharing меньше грузила графический процессор:

Некоторые остальные детали вы можете почитать в оригинальной статье VMware.

Мы немного рассказывали о новой функции технологии VMware HA, которая появилась в vSphere 6.5 - Orchestrated Restart (она же VM Restart Dependency). С помощью нее можно сделать так, чтобы виртуальные машины (или группы ВМ) могли запускаться после того, как предварительно будет запущена указанная ВМ или группа.

На практике это работает так. В vSphere Web Client идем на вкладку Configure для выбранного кластера HA и в разделе VM/Host Groups добавляем группу ВМ:

Далее в группу добавлем одну или несколько виртуальных машин:

Например, мы создали 3 группы (в данном случае, это классическая трехзвенная архитектура - серверы БД, серверы приложений и веб-серверы):

После этого можно задать правила запуска групп виртуальных машин в разделе VM/Host Rules, указав предварительное условие для запуска некоторой группы:

В данном случае мы запускаем серверы приложений только после запуска серверов баз данных. Очевидно, что нужно создать такое же правило для веб-серверов, которые будут запускаться после серверов приложений. Это и создаст требуемые зависимости ВМ для их запуска в случае сбоя одного или нескольких хостов в кластере VMware HA. Это и называется VMware HA Orchestrated Restart.

В то же время, у виртуальных машин в кластере HA есть параметр VM Restart Priority, который определяет приоритет запуска виртуальных машин в случае их восстановления после сбоя:

Этот вопрос затрагивает Дункан в своей заметке о настройке VM dependency restart condition timeout. Оказывается, она задает задержку между стартом виртуальных машин разного приоритета (а не для групп зависимостей, как может показаться из названия) и по умолчанию выставлена в 600 секунд.

Так вот, возвращаясь к Restart Priority и VM Dependency, Вова в комментариях к статье об HA Orchestrated Restart спросил: а что важнее - приоритет или зависимости? Опираясь на слова Дункана ("Restart Dependency is a rule, a hard rule, a must rule, which means there’s no time-out. We wait until all VMs are restarted when you use restart dependency"), можно сказать, что зависимости важнее - сначала будут подняты все машины первичной группы (между которыми будет соблюдаться порядок запуска в рамках приоритета), а потом уже те, которые от них зависят.

Таким образом, ответ на вопрос Вовы ("Допустим ВМ1 имеет приоритет high, но зависит от ВМ2 которая имеет приоритет low. Какая будет последовательность запуска?") - сначала запустится ВМ2.

В догонку к найденным и, вроде бы, поборенным уязвимостям Meltdown и Spectre, в процессорах Intel нашли еще одну потенциальную дыру - L1 Terminal Fault Vulnerability, которая затрагивает современные процессоры (2009-2018 годов выпуска) и гипервизор VMware ESXi (а также и все остальные гипервизоры).

Для начала надо сказать, что на днях стали доступны вот такие патчи для платформы виртуализации VMware vSphere, которые настоятельно рекомендуется установить:

VMware vCenter:

• vCenter Server 6.7 – VC 6.7.0d build 9451876
• vCenter Server 6.5 – VC 6.5 Update 2c – build 9451637
• vCenter Server 6.0 – VC 6.0 Update 3h – build 9451619
• vCenter Server 5.5 – VC 5.5 Update 3j – build 9313450

VMware ESXi:

• ESXi 6.7 – ESXi670-201808401-BG
• ESXi 6.5 – ESXi650-201808401-BG
• ESXi 6.0 – ESXi600-201808401-BG
• ESXi 5.5 – ESXi550-201808401-BG

Суть уязвимости, описанной в CVE-2018-3646 заключается в том, что виртуальная машина, исполняемая на конкретном ядре, может получить доступ к данным других машин, использующих это ядро, или самого гипервизора через L1 Data Cache, который совместно используется машинами, выполняющими команды на данном ядре.

Для такой уязвимости возможны 2 типа векторов атаки:

• Sequential-context - вредоносная машина получает доступ к данным другой ВМ, которая исполнялась на этом ядре ранее и получала доступ к кэшу L1.
• Concurrent-context - вредоносная машина прямо сейчас получает доступ к данным ВМ или гипервизора, которые исполняются планировщиком на этом ядре.

Решение вопроса уровня Sequential-context заключается просто в накатывании патчей, которые не должны приводить к падению производительности (как это было с Meltdown и Spectre). А вот для избавления от риска применения вектора атаки Concurrent-context нужно включить фичу, которая называется ESXi Side-Channel-Aware Scheduler. И вот в этом случае влияние на производительность может уже быть существенным, поэтому нужно либо принять риск Concurrent-context, либо следить за производительностью систем.

Таким образом, процесс обновления инфраструктуры VMware vSphere должен выглядеть так:

• Обновляете сначала серверы vCenter, потом хосты ESXi.
• Смотрите, есть ли на хостах запас по CPU на случай возникновения проблем с производительностью.
• Если запас есть - включаете функцию ESXi Side-Channel-Aware Scheduler и наблюдаете за производительностью систем по CPU.

Детальные инструкции по включению ESXi Side-Channel-Aware Scheduler вы найдете здесь. Действовать нужно по следующей схеме:

Ну и в заключение, вот список процессоров, которые подвержены атакам типа L1 Terminal Fault:

Не так давно мы писали о новых возможностях платформы VMware vSphere 6.7 Update 1, где, помимо прочего, было обновлено средство для накатывания апдейтов на хосты - VMware Update Manager (VUM). Мы вкратце упоминали о его новых фичах, а сегодня посмотрим на них в деталях.

Сперва надо отметить, что Update Manager теперь полностью поддерживается в новом клиенте vSphere Client на базе технологии HTML5, где он получил несколько новых рабочих процессов по сравнению со устаревшим Web Client.

Итак, давайте взглянем подробнее:

1. Новая секция Datacenter and Cluster Overview.

Здесь мы видим версии ESXi, соответствие хостов базовым уровням и статусы предпроверок для процесса обновления (Remediation):

2. Доработанные рабочие процессы.

В разделе Update Manager Administration были обновлены некоторые рабочие процессы, а также появился один новый - возможность отфильтровать обновления по базовому уровню (baseline):

3. Улучшенные функции импорта.

Теперь можно импортировать патчи и образы ESXi по имени файла или указанному URL. Теперь это делается в один клик:

4. Улучшение представления Host Overview.

Теперь в Host Overview появилась дополнительная информация: включена ли функция Quick Boot, какие патчи установлены, в каком состоянии host compliance и предпроверки для обновления: 

5. Проверки перед обновлением (Remediation Pre-Check).

В vSphere 6.7 и более поздних версий есть предпроверка обновления (Remediation Pre-Check). Они могут препятствовать накатыванию обновления на хост. Некоторые изменения может произвести сам VUM перед апдейтом хоста:

• Отключить HA Admission Control
• Отключить Fault Tolerance (FT)
• Отключить Distributed Power Management (DPM)

Но некоторые настройки надо сделать вручную, например:

• Отключить приводы CD-ROM

Функция Remediation Pre-Check проверит все необходимые требования и даст пользователю знать, если с его стороны нужны какие-нибудь действия.

6. Улучшения процесса обновления (Host Remediation).

Также был улучшен рабочий процесс Host Remediation - теперь на одном экране можно видеть и функцию remediation, и функцию планировщика обновлений (scheduler), которая размещена под списком апдейтов:

Также VMware убрала некоторые настройки, которые раньше можно было менять, например, возможность параллельного обновления хостов и отключение Quick Boot. Поэтому теперь осталось не так много настроек, все их можно посмотреть в Update Manager Overview:

7. Улучшения обновления виртуальных машин в части VMware Tools и Compatibility.

Самое главное, что теперь не нужно создавать baseline для обновления ВМ - ее можно выбрать в представлении VMware Tools и сделать сразу апгрейд тулзов, чтобы соответствовать версии хоста, одним действием:

То же самое можно сделать и в разделе VM Hardware, где обновляется виртуальное железо машин:

8. Обновление Firmware IO-контроллера.

Также появилась интеграция микрокода контроллера ввода-вывода с vSphere Update Manager (VUM), который использует утилиту обновления драйверов от вендора сервера. Таким образом, обновление драйвера I/O-адаптера можно включить в цикл обновления хоста и не заниматься этим отдельно.

Если VUM не нашел утилиты обновления от вендора, он предлагает загрузить ее (можно использовать как дефолтный, так и свой репозиторий):

Сейчас в Барселоне заканчивается конференция VMworld Europe 2018, которая традиционно проводится после летней конференции VMworld 2018 в США. В отличие от американской конференции, европейская ее версия не содержала так много анонсов новых продуктов и технологий, но кое-что интересное все же было заявлено.

Давайте посмотрим на самые главные новости:

1. Появился VMware vCloud Suite 2018 Platinum.

Компания VMware расширяет функционал своего решения vCloud Suite, которое теперь имеет самое высшее издание - Platinum. Об этом пакете продуктов мы писали последний раз вот тут. В версии 2018 года vCloud Suite содержит в себе следующие продукты:

• vRealize Suite Lifecycle Manager
• vRealize Suite Operations Advanced
• vRealize Suite Log Insight
• vRealize Suite Automation
• vSphere Platinum (напомним, что это комбинация из двух продуктов: платформы VMware vSphere Enterprise Plus и решения VMware AppDefense).

Таким образом, vCloud Suite Platinum = vRealize Suite + vSphere Platinum

Как ни странно, vCloud Suite 2018 Platinum будет доступен в трех изданиях (два из них соответствуют изданиям пакета vRealize Suite):

• vCloud Suite 2018 Platinum – Standard (здесь нет продукта vRealize Automation)
• vCloud Suite 2018 Platinum – Advanced
• vCloud Suite 2018 Platinum – Enterprise

Более подробно об этом пакете продуктов можно узнать из пресс-релиза и на странице решения.

2. Анонсирован VMware Cloud Foundation 3.5.

Еще в начале октября мы писали об анонсе архитектуры Cloud Foundation 3.0, а уже на VMworld Europe 2018 была анонсирована платформа VMware Cloud Foundation 3.5.

Архитектура VCF включает в себя компоненты VMware vRealize Suite, VMware vSphere Integrated Containers, VMware Integrated OpenStack, VMware Horizon, NSX и другие, работающие в онпремизной, облачной или гибридной инфраструктуре предприятия, которые желательно развертывать все вместе, но можно какие-то и опустить.

Вот какие версии продуктов VMware будут в составе VCF 3.5:

Новые возможности обновленной облачной архитектуры:

• Поддержка любых узлов vSAN ReadyNode.
• Поддержка любых сетевых ToR-коммутаторов, которые соответствуют требованиям vSAN.
• Пользователи могут создавать домены рабочей нагрузки (workload domains) для хранилищ NFS, а потом постепенно переносить их на гиперконвергентную архитектуру vSAN.
• Обновление поддерживаемых версий vSphere, vSAN, vRealize и NSX-V.
• Поддержка нескольких площадок и растянутых кластеров (vSAN Stretched Clusters), а также восстановление после сбоев на уровне площадки/региона с разными vCenter.
• Возможность перемещать рабочие нагрузки между сайтами и масштабировать их с помощью технологии NSX Hybrid Connect.

3. Сотрудничество с IBM в сфере облачной инфраструктуры.

VMware договорилась с IBM об использовании инфраструктуры IBM Cloud для предоставления пользователям облачных сервисов виртуальной среды:

Упор делается на обеспечение высокой доступности рабочих нагрузок (виртуальых машин и контейнеров) в этом облаке. Более подробно об этом рассказано здесь.

4. Расширение географии присутствия VMware vCloud on AWS.

На конференции было объявлено о еще большей экспансии публичных облаков VMware и Amazon в Европе и США:

Теперь в географию присутствия сервисов vCloud будут включены датацентры AWS EU (Ireland), AWS West (N. California) и AWS East (Ohio) в четвертом квартале 2018 года.

Завтра мы расскажем об остальных интересных новостях VMworld Europe 2018 - приходите!

На днях компания VMware выпустила финальную версию своего руководства по обеспечению безопасности виртуальной инфраструктуры vSphere 6.7 Update 1 Security Configuration Guide. Напомним, что ранее мы писали о документе vSphere 6.5 Update 1 SCG, который описывал основные аспекты обеспечения безопасности прошлой версии платформы (оказывается, был и гайд по vSphere 6.7 - он публично не анонсировался, но теперь находится в статусе Deprecated).

Напомним, что этот документ доносит концепцию "Secure by design", что означает, что среда VMware vSphere изначально настроена оптимальным образом с точки зрения безопасности, поэтому вносить изменения вам нужно только в случае наличия каких-либо специальных требований в вашей инфраструктуре.

В документе, помимо описания рекомендуемой настройки и лога изменений, есть следующие полезные колонки:

• Hardening - указывает на то, что это действительно настройка, которой нужно уделить внимание при конфигурации.
• Site Specific Setting - говорит о том, что задать конфигурацию должен сам пользователь, в зависимости от его окружения.
• Audit Setting - указывает, что вам необходимо время от времени проверять эту настройку, чтобы убедиться, что значение по умолчанию не было изменено администратором необоснованно. 
• Desired value - рекомендуемое значение, оно же и является значением по умолчанию, если это не site specific.

Сейчас распределение по этим настройкам выглядит так (50 настроек в vSphere 6.7 U1 против 68 опций в версии vSphere 6.5 U1):

Давайте посмотрим на отличие vSphere 6.7 U1 SCG от прошлых версий руководства:

• Появились настройки категории deprecated - они описывают параметры ESXi или vCenter, которые больше нет необходимости изменять, так как они потеряли актуальность. Все настройки этой категории приведены в отдельном документе, который настоятельно рекомендуется изучить. Если вы их использовали - то лучше перестать это делать, так как это только добавляет дополнительной работы по их обслуживанию.
• Больше нет категории "Risk Profiles". Причина в том, что только настройка "ESXi.enable-strict-lockdown-mode" подпадает под Risk Profile 1, а остальные находятся во 2-й или 3-й категории, поэтому было решено отказаться от этой таксономии. Вместо этого было добавлено больше содержимого в колонку Vulnerability Discussion, где обсуждаются конкретные факторы риска.
• Настройка vNetwork.enable-bpdu-filter переместилась из категории Hardening в Site Specific, так как при нормальных условиях функционирования сети ее менять не требуется (а она также затрагивает конфигурацию аппаратных коммутаторов и гостевой ОС). Да, она защищает от Spanning Tree Loops, но в нормально настроенной сетевой конфигурации менять ее не следует.

В гифке ниже можно посмотреть прогресс Security Configuration Guide с версии vSphere 6.5:

Скачать VMware vSphere 6.7 Update 1 Security Configuration Guide можно по этой ссылке.

Как некоторые уже читали, в VMware vSphere 6.7 Update 1 появилась возможность управлять обновлениями VMware Tools и VM Hardware updates напрямую через клиент на HTML5 (vSphere Client), который уже является полноценным средством управления виртуальной инфраструктурой.

Если для виртуальной машины перейти на вкладку Updates, то нам предложат включить функционал апгрейдов VMware Tools и виртуального аппаратного обеспечения (VM Hardware):

После его включения мы увидим две панели обновления данных компонентов ВМ:

Тут пока пусто, нам нужно запустить первое сканирование виртуальной машины, после чего мы получим отчет о том, доступно ли обновление тулзов и виртуального железа:

Обратите внимание, что для VMware Tools есть опция автоматического их обновления при перезагрузке (Automatically upgrade on reboot).

При нажатии на Upgrade для тулзов запустится мастер обновления:

Как мы видим из картинки выше, обновление тулзов можно запланировать на нужное время, при этом можно создать снапшот виртуальной машины перед обновлением и хранить его в течение заданного количества часов. Это позволит в случае чего сделать экстренный Rollback.

Но самое интересное, что процесс обновления VMware Tools и Virtual Hardware version вы можете запустить централизованно для всего датацентра в целом, кластера или VM folder - для этого нужно в выбранном объекте перейти на вкладку Updates:

Не все администраторы платформы виртуализации VMware vSphere знают, что такое Network I/O Control (NIOC). Причина проста - функции механизма регулирования полосы пропускания NIOC для различных видов трафика на стороне vSphere Distributed Switch (vDS) есть только в издании vSphere Enterprise Plus, которое, как правило, приобретают большие и средние компании.

Давайте посмотрим, что такое NIOC и разберем эту функциональность на примерах. Прежде всего, функция NIOC появилась тогда, когда с появлением сетей 10G стало понятно, что можно делать сетевую инфраструктуру на хостах ESXi с небольшим числом сетевых адаптеров, обладающих высокой пропускной способностью. Но в этих условиях также стало ясно, что сетевой трафик, идущий по таким сетям, надо в рамках того же 10G-канала как-то разграничивать.

NIOC позволяет системным и сетевым администраторам настраивать приоритизацию следующих видов трафика для пула сетевых адаптеров хостов ESXi:

• Fault tolerance traffic
• iSCSI traffic
• vMotion traffic
• Management traffic
• vSphere Replication traffic
• Network file system (NFS) traffic
• Virtual machine (VM) traffic
• User-defined traffic

Механизм NIOC появился еще в 2010 году в VMware vSphere 4.1, и с тех пор был очень сильно доработан (сейчас в vSphere 6.7 Update 1 доступна третья версия NIOC v3).

В интерфейсе HTML5-клиента vSphere Client эти настройки выглядят так (новый клиент полностью поддерживает рабочие процессы NIOC):

В vSphere Web Client вы можете увидеть эти настройки по адресу vDS > Manage > Resource Allocation > System traffic:

Механизм NIOC включен по умолчанию (для vSphere 6.0 и выше), но для типов трафика не заданы никакие ограничения (Limit) и резервации (Reservation) - только приоритеты между типами трафика (Shares). Работают эти 3 техники регулирования типа трафика так же, как и аналогичные механизмы для хранилищ или вычислительных ресурсов:

• Reservation - гарантирует тому или иному типу трафика пропускную способность канала в Мбит/с. Важно помнить, что эта ширина канала резервируется, но в случае ее простоя ее смогут использовать другие типы системного трафика. Между тем, простой канала зарезервированного системного трафика не дает возможность распределить полосу на виртуальные машины. В любом случае, Reservation (если он вам очень нужен) нужно выставлять таким, чтобы обеспечить только минимальные запросы сервиса для его функционирования, а не средние и максимальные.
• Limit - ограничивает сверху используемый канал для выбранного типа трафика.
• Shares - с помощью чисел приоритета (от 1 до 100) позволяет выделить группы которые будут получать больше или меньше пропускной способности канала (например, если одна группа имеет 100, а другая 50 - то первая будет получать в два раза больше на фоне распределения всего трафика адаптеров по группам). Механизм этот начинает распределять канал после раздачи всех заданных резерваций.

Есть еще один нюанс - только 75% совокупной ширины канала на хосте ESXi может быть зарезервировано (а если говорить точнее - от адаптера с самой низкой пропускной способностью в этой группе на хосте). Остальные 25% остаются на всякий случай (например, компенсация всплесков управляющего трафика). Все, что не распределено с помощью Reservation, будет регулироваться средствами механизма Shares.

Для изменения резервации, лимита или shares категорий системного трафика надо открыть настройки конкретного типа трафика:

Для удобства Shares можно указывать не цифрами, а выбрать из комбо-бокса один из вариантов - Low (25), Normal (50) и High (100). В этом случае цифры для Shares автоматически подберутся (они указаны в скобках), чтобы составлять верные соотношения согласно выставленным приоритетам. После выставления этих параметров они будут применены на всех физических адаптерах хостов ESXi, подключенных к распределенному коммутатору vDS на сервере vCenter.

Когда вы задаете Reservation, максимальная пропускная способность для данного типа трафика будет равна этому значению, умноженному на число физических адаптеров на хостах, выделенных для этого типа трафика.

NIOC v3 также позволяет сконфигурировать резервации как на уровне отдельных виртуальных машин (в свойствах адаптера), так и создавать собственные пользовательские пулы (User-Defined Network Resource Pools), которые являются подмножеством корневого пула Virtual machine (VM) traffic.

Для User-Defined Network Resource Pools выставление лимитов и Shares не предусмотрено - только Reservation.

В свойствах адаптера vNIC резервации на уровне отдельной ВМ можно выставить в ее настройках (это только гарантированная полоса, но машина может использовать и больше, если есть доступные ресурсы):

Если вы выставляете Reservation для адаптеров виртуальных машин, то их суммарная резервация не может быть больше, чем резервация для VM system traffic на этом хосте:

Если нужно настроить сетевые пулы ресурсов для групп виртуальных машин, то нужно создать новый пул в Web Client:

А потом указать резервацию для него:

Потом этот пул нужно указать при настройке распределенной группы портов на распределенном коммутаторе vDS:

Ну а к этой распределенной группе портов нужно уже подключить виртуальные машины, которые на всех получат эту резервацию.

При этом если вы задали резервацию 1 Мбит/с, а физических адаптеров на хосте ESXi у вас 5, то такая распределенная группа портов получит до 5 Мбит/с на свои виртуальные машины.

В итоге картина выглядит подобным образом:

Когда вы создадите новый пул в разделе Network Resource Pools, вы сможете посмотреть список виртуальных машин в нем на вкладке Virtual Machines:

Ну и напоследок отметим, что лимиты для сетевых адаптеров машин должны согласовываться с лимитами политики traffic shaping для распределенной группы портов, куда они воткнуты. Например, если для адаптера выставлен лимит 200 Мбит/с, а для всей порт-группы на vDS только 100 Мбит/с, то эффективным ограничением будет именно 100 Мбит/с.

Мы уже писали о новых возможностях платформы виртуализации VMware vSphere 6.7 Update 1, которая стала доступна для загрузки совсем недавно. Сегодня мы остановимся на отдельных новых функциях управляющего сервера VMware vCenter Server 6.7 Update 1 и его клиента vSphere Client 6.7 U1 на базе технологии HTML 5, который стал полнофункциональным и заменил ушедший в прошлое Web Client.

Давайте посмотрим, что нового появилось в VMware vCenter Server 6.7 Update 1:

1. Улучшенные возможности поиска.

Теперь при поиске различных объектов можно использовать строковый параметр и различные фильтры (например, тэги, кастомные атрибуты и состояние питания ВМ). Также очень удобная функция - это возможность сохранить результаты поиска:

2. Темная тема vSphere Client.

Об этой функции мы уже упоминали - это один из главных запросов администраторов vSphere, которые любят поуправлять виртуальной инфраструктурой в темноте.

3. Утилита vCenter Server Converge Tool.

Эта новая утилита позволяет смигрировать внешний сервер Platform Services Controller (PSC) на простой в управлении embedded PSC. Проблема заключалась в том, что ранее пользователи использовали внешний PSC, поскольку он поддерживал Enhanced Linked Mode (ELM). И несмотря на то, что внедренный PSC стал поддерживать ELM еще в vSphere 6.7 и vSphere 6.5 Update 2, многие пользователи еще с предыдущих версий поддерживают комплексную инфраструктуру внешних PSC с репликацией между площадками.

Сейчас все стало проще - утилита vCenter Server Converge Tool устанавливает embedded PSC на vCenter Server Appliance (vCSA), после чего налаживает канал репликации с оставшимися внешними PSC. После того, как эта процедура пройдет на всех площадках, вы сможете отключить внешние PSC, а встроенный механизм vCenter HA сам настроится на работу с внедренными PSC.

Утилита vCenter Server Converge Tool работает из командной строки (команда vcsa-converge-cli) и поставляется в комплекте с установщиком vCSA. Ее можно запускать в ОС Windows, macOS и Linux, а конфигурируется она через файл в формате JSON:

Надо понимать, что теперь Embedded PSC - это рекомендуемый способ развертывания инфраструктуры vCenter:

4. Функции Embedded Domain Repoint.

vCenter Server с компонентом embedded PSC с помощью функции Domain Repoint теперь можно перенаправить на другой домен vSphere SSO (это позволяет более гибко распределять и разделять домены SSO в корпоративной инфраструктуре). Ранее это было сделано только для внешних SSO, а теперь доступно и для vCSA.

5. Улучшения vSphere 6.7 Update 1 vCenter High Availability.

Функции vCenter HA были введены еще в vSphere 6.5. Теперь эти возможности были доработаны - вместо рабочих процессов basic и advanced появился единый и простой workflow. Он включает в себя три стадии:

• Создание vSphere SSO credentials для управление сервером vCenter и всей инфраструктурой.
• Настройки ресурсов для пассивного узла и узла Witness, включая вычислительные ресурсы, хранилище и сеть.
• Настройки IP для пассивного узла и узла Witness.

Также в процессе настройки автоматически создается клон активного vCenter для создания пассивного узла и Witness - для этого лишь нужно ввести учетные данные vSphere SSO.

Во время апгрейда автоматически обнаруживаются настройки vCHA, поэтому при обновлении на новую версию не требуется разбивать кластер серверов vCenter. Это учитывает мастер обновления и накатывает апдейт.

6. Интерфейс REST API для VCHA.

Для механизма vCenter High Availability стал доступен API, который позволяет управлять кластером vCenter:

7. Улучшения Content Library.

Теперь OVA-шаблоны можно импортировать из HTTPS-источника или с локального хранилища. Также содержимое OVA-пакетов можно синхронизировать между несколькими серверами vCSA (сами шаблоны синхронизировать пока нельзя). Content Library обрабатывает сертификаты и файлы манифеста, входящие в OVA-пакеты в соответствии с лучшими практиками безопасности.

Content Library также нативно поддерживает формат шаблонов VMTX и ассоциирует с ними операции, такие как развертывание ВМ напрямую из Content Library.

8. Функция vSphere Health.

Это новая функциональность vCenter с большим потенциалом. Она позволяет при включенной функции передачи данных CEIP (customer experience improvement program) обрабатывать данные телеметрии виртуальной инфраструктуры на стороне VMware и на основе экспертных алгоритмов вырабатывать рекомендации по ее улучшению. Например, если у вас один Management network, вам могут порекомендовать его задублировать.

9. Улучшения Virtual appliance management interface (VAMI).

В интерфейсе VAMI появилась новая вкладка Firewall, где можно задавать правила сетевого экрана на vCSA (ранее это было доступно только через VAMI API):

Также появилась возможность зайти в VAMI под локальным vSphere SSO аккаунтом, который является членом группы SytemConfiguration.Administrators. Также члены группы Systemonfiguration.BashShellAdministrators могут зайти в шелл VCSA, например, для целей аудита безопасности.

На прошлой неделе компания Veeam в Праге собирала участников сообщества Veeam Vanguards 2018, где мы пили чешское и катались по Влтаве. Но самым интересным было не это, а рассказы о перспективах компании, ее новых продуктах и технологиях, о которых мы расскажем в ближайшем будущем.

Один из самых ожидаемых релизов - это Veeam Backup and Replication 9.5 Update 4, который, скорее всего, будет официально поддерживать резервное копирование виртуальных машин на недавно вышедшей новой версии платформы VMware vSphere 6.7 Update 1 (хотя и на данный момент фактически он на ней прекрасно работает, но нужно кое-что сделать).

В новой версии VBR будет много всего полезного, но давайте остановимся на двух возможностях. Первая - это функция Staged Restore, которая позволяет проводить манипуляции с данными внутри бэкапов с помощью скриптов перед их реальным восстановлением в производственную среду.

Главное назначение этой возможности - соблюдения комплаенса GDPR (если вы работаете с данными европейцев), который закрепляет, в частности, за бывшим работником организации право на удаление персональной информации о нем, которая хранится, как минимум, в Active Directory. Поэтому с помощью сценариев можно удалить аккаунт бывшего пользователя из AD и, например, его почтовый ящик из Exchange, чтобы не нарваться на нарушение и штраф.

Схема выглядит так - администратор восстанавливает резервную копию в полностью изолированное окружение, с помощью сценария PowerShell удаляет из машины требуемые данные, после чего она переходит в производственную среду:

В принципе, вы можете создать список действующих сотрудников в текстовом документе и удалять из бэкапа тех, кто ему не соответствует. Но для этого надо быть знакомым с PowerShell. Ну а примеры подобных сценариев вы скоро найдете в репозитории Veeam на GitHub (VeeamHub).

Вторая интересная фича Update 4 - это возможность проверки антивирусом резервной копии перед восстановлением (как раз на стадии Staged Restore), чтобы она не заразила производственную среду:

Причем поддерживаются не только самые распространенные антивирусы, но и с помощью сценариев вы сможете интегрировать любой антивирус, который поддерживает запуск из командной строки. В этом случае виртуальная машина и ее данные как бы помещаются на карантин (Antivirus Quarantine) и далее, пролечившись, они могут быть восстановлены в продакшен.

Зачем это нужно, если у вас уже есть антивирус внутри ВМ? Очень просто - есть атаки, называемые Zero-day, то есть, например, ваши данные были заражены вирусом, о котором еще не знает ваш антивирус. В этом случае в бэкап этот вирус попадет, ну а при восстановлении он заразит вашу виртуальную машину, вызвав, например, полное блокирование ее работы.

Процесс Secure Restore позволяет защититься от этого вида уязвимостей:

Более подробно о новых возможностях Veeam Backup and Replication 9.5 Update 4 мы расскажем в ближайшем будущем - когда он выйдет.

Спустя несколько недель ожидания после анонса обновленной версии платформы виртуализации VMware vSphere 6.7 Update 1, компания VMware сделала ее доступной для загрузки. Скачать продукт, включая ESXi 6.7 Update 1 и vCenter 6.7 Update 1, можно по этой ссылке:

https://my.vmware.com/en/web/vmware/info/slug/datacenter_cloud_infrastructure/vmware_vsphere/6_7

Напомним, что обо всех новых возможностях этого решения мы писали вот тут. Кроме того, в составе vSpher 6.1 Update 1 стал доступен и VMware vSAN 6.7 Update 1, про который мы писали вот тут.

Ну и главная новость этого релиза - это, бесспорно, полнофункциональный vSphere Client на базе HTML5! Мы ждали этого годами, и это сбылось. Вот пост об этом от VMware, там много подробностей, о которых мы скоро тоже расскажем.

Для него, кстати, доступна темная тема (см. последние наши новости о vSphere Client 3.42):

Клиент на HTML5 включает в себя не только все старые рабочие процессы, но и новые возможности, такие как упрощенная настройка механизма отказоустойчивости vCenter HA (VCHA) и функции обновлений vSphere Update Manager (VUM).

Вкратце суммаризуем все новые возможности VMware vSphere 6.7 Update 1:

• Полнофункциональный VMware vSphere Client на базе HTML5
• Утилита vCenter Server Converge Tool для миграции на внедренный (embedded) PSC
• Новая версия vSAN и улучшения HCI (обновления микрокода через Update Manager)
• Улучшения Content Library
• vMotion для карточек NVIDIA Quadro vDWS и поддержка Intel FPGA

Отдельно давайте посмотрим, а что нового появилось в VMware vSAN 6.7 Update 1:

• Новый мастер Cluster quickstart
• Обновление драйверов и firmware через Update Manager
• Механизмы защиты при выводе хостов из эксплуатации и переводе в режим обслуживания
• Разные представления vROPs для обычных и растянутых кластеров vSAN
• Улучшенные возможности Capacity reporting
• Поддержка TRIM/UNMAP
• Поддержка режима Mixed MTU для растянутых кластеров
• Обновленные средства для сайзинга инфраструктуры
• Улучшенные функции Health Check
• Улучшенная диагностика для персонала поддержки VMware GSS

Обновить VMware vCenter Server Appliance 6.7 на Update 1 можно через интерфейс VAMI (vCenter Appliance Management Interface, он же Appliance Management User Interface или MUI):

Ну и, конечно же, скоро будет много интересных статей про отдельные фичи. Не забывайте наведываться.

Когда мы писали о новых возможностях платформы VMware vSphere 6.5 два года назад, мы упомянули о новой возможности резервного копирования и восстановления сервисов vCenter на уровне файлов. Сегодня мы расскажем о функциональности VMware vCenter File-Based Backup and Restore несколько подробнее.

Этот механизм доступен через интерфейс VMware Appliance Management Interface (VAMI), работа с которым происходит по порту 5480. Бэкапить можно как сам сервер vCSA, так и службы Platform Services Controller (PSC). При этом во время бэкапа не потребуется никаких дополнительных процедур - ни установки агентов, ни "подмораживания" служб vCenter на время работы резервного копирования.

В качестве канала для бэкапа может быть использован один из протоколов: FTP(s), HTTP(s) или SCP. По ним передаются все файлы, составляющие сервисы vCenter, включая файлы базы данных. Во время восстановления vCSA или PSC вам потребуется только монтирование ISO-образа vCSA.

Процесс восстановления подразумевает развертывание нового ISO-образа vCSA с сохранением прошлых параметров идентификации (UUID и прочее). После развертывания образа происходит накат забэкапленных файлов.

В VMware vSphere 6.7 сервисы резервного копирования и восстановления vCenter были существенно улучшены. Во-первых, для этой задачи появился отдельный раздел Backup. Во-вторых, появилась опция запланированного бэкапа, которая очень удобна:

В качестве места назначения резервных копий используется адрес:

Protocol://Server Address: Port/Backup Folder/Subfolder

При этом вам не нужно создавать папки Backup Folder (по умолчанию это "vCenter") и Subfolder (по умолчанию это VCSA FQDN) - они будут созданы автоматически.

В третьих, обратите также внимание на новую опцию Number of backups to retain - она позволит хранить несколько бэкапов. После создания расписания резервного копирования его можно изменять в любой момент:

Обратите внимание, что внизу приведен список выполненных задач и их статусы.

Также в версии vCSA 6.7 появился браузер файлов резервного копирования, поэтому теперь нет необходимости знать все пути к бэкапам. Кстати, обратите внимание на первую букву в названии бэкапа (S - значит scheduled, то есть запланированный, а M - manual, сделанный вручную).

При восстановлении сервера vCSA вам понадобятся данные учетной записи vSphere SSO. Если у вас несколько внешних серверов PSC, то в этом случае не поддерживается восстановление узла PSC при доступности остальных партнеров. Надо вывести этот узел из эксплуатации с помощью команды cmsso-util unregister и развернуть новый узел PSC, синхронизировав его с партнерами. В этом и будет суть восстановления узла PSC.

Также для целей обучения у VMware есть свои Walkthrough, которые очень полезно пройти, чтобы увидеть процесс резервного копирования и восстановления vCenter в деталях:

• vCenter Server Appliance 6.7 File-Based Backup
• vCenter Server Appliance 6.7 File-Based Restore

Недавно мы писали про обновление VMware Tools и Virtual Hardware для виртуальных машин на платформе VMware vSphere через PowerCLI. Эта заметка была опубликована как перевод одной из статей цикла об апгрейде VMware vSphere и ее компонентов на версии 6.7 и выше. Сегодня мы поговорим об обновлении кластерной файловой системы хранения ВМ VMFS-5 на следующую версию - VMFS-6.

Напомним, что VMFS-6 впервые появилась в VMware vSphere 6.5 и с тех пор сильно не изменялась, но если посмотреть на отличия шестой версии от пятой, то они весьма существенные:

Как мы видим, основных отличий четыре:

• Доступ к хостам ESXi 6.0 и более ранних к VMFS-6 уже невозможен.
• В VMFS-6 присутствуют функции Automatic space reclamation (он же Automatic VMFS UNMAP), доступные также через PowerCLI.
• Функции возврата дискового на уровне гостевой ОС ограничены в VMFS-5.
• Нативная поддержка 4K native storage.

Последний пункт как раз и стал причиной того, что произошло изменение в структуре метаданных томов, а значит VMFS-5 нельзя проапгрейдить до VMFS-6. Альтернативой является создание нового датастора VMFS-6, перемещение туда всех виртуальных машин и удаление старого.

Создаем новый VMFS-6:

Перемещаем туда все виртуальные машины тома VMFS-5 через Storage vMotion или Cold migration и удаляем его:

Как стало понятно, для такого "апгрейда" датастора VMFS-5 вам потребуется еще столько же места на другом датасторе или готовом к форматированию под VMFS-6 хранилище, чтобы переместить туда виртуальные машины.

Чтобы посмотреть текущие версии VMFS с помощью PowerCLI, нужно выполнить команду:

Get-Datastore | Select Name, FileSystemVersion | Sort Name

Перед началом процесса апгрейда нужно ознакомиться со статьей KB "Migrating VMFS 5 datastore to VMFS 6 datastore". Для миграции надо использовать командлет Update-VmfsDatastore, который также делает некоторые проверки перед миграцией.

При этом надо учитывать несколько моментов:

• На время миграции нужен датастор VMFS-5 такой же или большей свободной емкости.
• Машины перемещаются средствами Storage vMotion на временное хранилище.
• Командлет убеждается, что на датасторе не осталось ВМ, миграция которых не поддерживается (это машины с поддержкой SRM, VADP, VRM и Clustering).
• Командлет временно отключает механизм Storage DRS при своей работе (и включает по окончании). Если сценарий во время исполнения упадет, то вам придется включать Storage DRS вручную.
• Нужно внимательно изучить использование параметров Resume и Rollback в случае появления ошибок.

Посмотрим, какие последовательные действия делает сценарий:

1. Проверяет наличие ВМ с поддержкой VADP, SMPFT, MSCS/RAC на исходном датасторе.
2. Убеждается, что датастор доступен со всех хостов.
3. Валидирует, что временный датастор имеет достаточно емкости для размещения виртуальных машин.
4. Устанавливает функцию Storage DRS Automation в режим manual.
5. Размонтирует исходный датастор.
6. Удаляет старый датастор и создает на его месте новый датастор VMFS-6.
7. Перемещает ВМ и другие данные со временного датастора на новый.
8. Восстанавливает настройку Storage DRS Automation.

Теперь, собственно, как использовать командлет Update-VmfsDatastore:

Connect-VIServer ds-vcsa-03.cpbu.lab

$Source = Get-Datastore "DS02"

$Temp = Get-Datastore "DS-TEMP"

$Server = (Get-VIServer -Server "ds-vcsa-03.cpbu.lab")
Update-VmfsDatastore -Datastore $Source -TemporaryDatastore $Temp -TargetVmfsVersion "6" -Server $Server

Если у вас что-то пошло не так, вы сможете использовать параметр rollback для отката, а также если возникают ошибки, то после их исправления можно использовать параметр resume.

Больше об использовании командлета Update-VmfsDatastore написано вот тут.

Информация этой заметки не покажется многим из вас новой, но для некоторых может оказаться полезной. Как вы знаете, управляющий компонент VMware vCenter Server сейчас поставляется в двух изданиях vCenter Server, устанавливаемый на платформе Windows, и vCenter Server Appliance (vCSA), представляющий собой готовую к использованию виртуальную машину с сервисами vCenter.

Напомним, что развертывание vCSA уже является опцией по умолчанию, а vCenter для Windows уже не будет присутствовать в следующих версиях VMware vSphere после 6.7.

На данный момент есть 3 издания VMware vCenter:

1. VMware vCenter Essentials

Это издание vCenter недоступно к отдельному заказу. Оно входит в состав изданий vSphere Essentials и vSphere Essentials Plus, которые допускают управление не более чем тремя хостами ESXi (в каждом не более двух физических CPU). Помимо данного ограничения, vCenter Essentials не имеет поддержки таких функций как (детальнее о них - далее):

• Enhanced Linked Mode (ELM) 
• vCenter Server High Availability (VCHA) 
• vCenter Server File-Based Backup and Restore
• vCenter Server Migration Tool
• vRealize Orchestrator

vCenter Essentials в составе издания Essentials Plus можно проапгрейдить на vCenter Standard в составе пакета vSphere with Operations Management Acceleration Kit для одного из более высших изданий:

2. VMware vCenter Foundation

Это издание vCenter также не содержит в себе пять перечисленных выше фичей, но позволяет управлять не тремя, а уже четырьмя хостами ESXi с любым числом физических процессоров на борту (ранее число хостов было равно трем, но, начиная с vSphere 6.5 Update 1, его увеличили до четырех). Его можно купить отдельно от лицензий на хосты VMware vSphere / ESXi.

Одна лицензия vCenter Foundation также позволяет создать растянутый кластер из двух площадок, на каждой из которых есть по два хоста ESXi (суммарно под управлением vCenter там находится 4 хоста и Witness VM).

3. VMware vCenter Standard

Это, несмотря на название, самое максимальное издание vCenter. Оно не ограничивает никакую функциональность, то есть в нем доступно управление аж до 2000 хостами ESXi. Здесь вам будут доступны возможности объединения нескольких управляющих серверов Enhanced Linked Mode (ELM), но для каждого из серверов vCenter нужна, само собой, отдельная лицензия Standard.

Также вы сможете производить резервное копирование на уровне файлов (File-Based Backup and Restore) и обеспечивать высокую доступность сервисов vCenter (VCHA) - при этом для нее не нужна дополнительная лицензия на резервный vCenter, хватит одной:

Помимо этого, пользователи vCenter Standard могут применять vCenter Server Migration Tool для миграции с сервисов vCenter для Windows на платформу vCSA. Ну и можно использовать vRealize Orchestrator, который очень пригодится для автоматизации операций в больших инфраструктурах.

Сотрудники компании VMware написали интересную серию статей об обновлении VMware vSphere, где одной из самых интересных оказалась статья про обновление VMware Tools через PowerCLI. Одновременно там рассматриваются и вопросы обновления виртуального железа ВМ.

Давайте посмотрим, как правильно выполнять эту процедуру. Прежде всего, помните: сначала надо обновить VMware Tools во всех ВМ и только после этого обновлять VM Hardware, а не наоборот!

Итак, давайте пройдем процедуру апгрейда VMware Tools с помощью фреймворка PowerCLI.

1. Если вы посмотрите в интерфейс vSphere Client, то увидите, что на вкладке Summary написана текущая версия VMware Tools а также приведена информация о том, нужен ли их апгрейд.

2. Чтобы увидеть, какие машины нуждаются в апгрейде, а какие имеют последние версии VMware Tools, нужно выполнить команду:

Get-Folder -name Testing | Get-VM | % { get-view $_.id } | select name, @{Name=“ToolsVersion”; Expression={$_.config.tools.toolsversion}}, @{ Name=“ToolStatus”; Expression={$_.Guest.ToolsVersionStatus}}|Sort-Object Name

Если нужно вывести только машины с устаревшими VMware Tools, надо выполнить вот такую команду:

Get-Folder -name Testing | Get-VM | % { get-view $_.id } |Where-Object {$_.Guest.ToolsVersionStatus -like "guestToolsNeedUpgrade"} |select name, @{Name=“ToolsVersion”; Expression={$_.config.tools.toolsversion}}, @{ Name=“ToolStatus”; Expression={$_.Guest.ToolsVersionStatus}}| Sort-Object Name

3. Непосредственно обновить VMware Tools на всех машинах, где они устарели, можно одной командой с помощью командлета Update-Tools:

Get-Folder -name Testing | Get-VM | % { get-view $_.id } |Where-Object {$_.Guest.ToolsVersionStatus -like "guestToolsNeedUpgrade"} |select name, @{Name=“ToolsVersion”; Expression={$_.config.tools.toolsversion}}, @{ Name=“ToolStatus”; Expression={$_.Guest.ToolsVersionStatus}}| Update-Tools -NoReboot -VM {$_.Name} -Verbose

Неудобство здесь в том, что обновление VMware Tools на всех машинах происходит в одно время. Поэтому нужно загнать процесс в цикл, где в один момент будет обрабатываться одна машина:

$OutofDateVMs = Get-Folder -name Testing | Get-VM | % { get-view $_.id } |Where-Object {$_.Guest.ToolsVersionStatus -like "guestToolsNeedUpgrade"} |select name, @{Name=“ToolsVersion”; Expression={$_.config.tools.toolsversion}}, @{ Name=“ToolStatus”; Expression={$_.Guest.ToolsVersionStatus}}

ForEach ($VM in $OutOfDateVMs){Update-Tools -NoReboot -VM $VM.Name -Verbose}

Более подробную информацию об обновлении VMware Tools через PowerCLI можно получить здесь.

4. Также в настройках виртуальной машины можно поставить галку "Check and upgrade VMware Tools before each power on", которая позволит проверять обновления тулзов и накатывать их при каждой загрузке ВМ:

Напомним, что сейчас обновление VMware Tools работает без перезагрузки гостевой ОС, поэтому такая схема обновления очень удобна.

5. С помощью вот такой команды PowerCLI можно вывести машины и их настройки касательно обновления VMware Tools при загрузке:

Get-Folder Testing|Get-VM|Get-View | select name,@{N='ToolsUpgradePolicy';E={$_.Config.Tools.ToolsUpgradePolicy } } |Sort Name

6. Ну а вот так можно выставить опцию автоматического обновления VMware Tools при загрузке для всех виртуальных машин:

$ManualUpdateVMs = Get-Folder Testing|Get-VM|Get-View | Where-Object {$_.Config.Tools.ToolsUpgradePolicy -like "manual"}|select name,@{N='ToolsUpgradePolicy';E={$_.Config.Tools.ToolsUpgradePolicy } }

Foreach ($VM in ($ManualUpdateVMs)) {

  $VMConfig = Get-View -VIObject $VM.Name

  $vmConfigSpec = New-Object VMware.Vim.VirtualMachineConfigSpec

  $vmConfigSpec.Tools = New-Object VMware.Vim.ToolsConfigInfo

  $vmConfigSpec.Tools.ToolsUpgradePolicy = "UpgradeAtPowerCycle"

  $VMConfig.ReconfigVM($vmConfigSpec)

  }

Запустим команду из п.5, чтобы убедиться, что настройка автоматического обновления выставлена:

7. Теперь настало время обновить VM Compatibility, то есть виртуальное аппаратное обеспечение виртуальной машины (Virtual Hardware). Для этого сначала проверим текущие его версии на всех виртуальных машинах командой:

Get-folder Testing | Get-VM | Select Name, Version | Sort Name

Помните, что апгрейд Virtual Hardware процедура очень ответственная, например, 14-я версия железа совместима только с vSphere 6.7. И перед каждым обновлением VM Hardware делайте снапшот виртуальной машины (он сохраняет конфигурацию виртуального железа), чтобы откатиться к тему в случае проблем гостевой ОС с новым виртуальным железом.

8. Для обновления Virtual Hardware, например, на машине VM08 используйте вот такой скрипт:

$HardwareUpdateVMs = Get-Folder Testing | Get-VM VM08

Foreach ($VM in ($HardwareUpdateVMs)) {

  $VMConfig = Get-View -VIObject $VM.Name

  $vmConfigSpec = New-Object VMware.Vim.VirtualMachineConfigSpec

  $vmConfigSpec.ScheduledHardwareUpgradeInfo = New-Object -TypeName VMware.Vim.ScheduledHardwareUpgradeInfo

  $vmConfigSpec.ScheduledHardwareUpgradeInfo.UpgradePolicy = “always”

  $vmConfigSpec.ScheduledHardwareUpgradeInfo.VersionKey = “vmx-14”

  $VMConfig.ReconfigVM($vmConfigSpec)

  }

Это можно проделать только для выключенной виртуальной машины, и тут не бывает настройки автоматического обновления, так как это процедура ответственная и довольно редкая. Больше о функциях VM Compatibility вы можете прочитать здесь.

В рамках прошедшей конференции VMworld 2018 компания VMware анонсировала скорую доступность платформы VMware vSphere 6.7 Update 1, в которой будет доступен полнофункциональный vSphere Client. Ну а пока его нет, всем приходится довольствоваться тем, что доступно на VMware Labs (в прошлый раз мы писали о vSphere Client 3.41).

На днях VMware выпустила обновленную версию vSphere Client 3.42, давайте посмотрим, что там нового:

• Темная тема вернулась! Как некоторые из вас помнят, весной 2017 года в vSphere Client появилась темная тема, которую потом убрали. Сейчас она вернулась. Чтобы включить ее, нужно в меню User выбрать пункт Switch theme.

Раньше она выглядела так:

• В vCenter добавлен интерфейс Authentication Proxy, который доступен по следующему адресу: vCenter -> Configure -> Authentication Proxy.
• Раздел System configuration отображает сводную информацию по vCenter (или нескольким серверам vCenter в linked mode), а также по узлам PSC (если они у вас внешние). Также они показаны как ссылки, при клике на которые откроется интерфейс VAMI на этих узлах.
• Обновился раздел content library.
• Возможность клонирования vApp в шаблон vApp в content library и возможность создания нового vApp из шаблона.
• Улучшения работы с режимом vCenter linked mode.

Скачать VMware vSphere Client 3.42 можно по этой ссылке.

Один из наших читателей Сергей справедливо отметил, что мы обошли вниманием бесплатное решение SexiGraf, предназначенное для мониторинга виртуальной инфраструктуры VMware vSphere. Оно было сделано энтузиастами (Raphael Schitz и Frederic Martin) в качестве альтернативы платным продуктам для мониторинга серверов ESXi и виртуальных машин.

Представления SexiPanels для различных метрик в различных разрезах есть не только для VMware vSphere и vSAN, но и для ОС Windows и FreeNAS, но мы остановимся только на панелях для vSphere. Да и то, давайте посмотрим только на 17 самых интересных из них, поскольку различных фильтров, вариаций и комбинаций этих панелей и представлений очень много, все в одну статью не поместится.

SexiGraf представляет собой виртуальный модуль (Virtual Appliance) с веб-интерфейсом администрирования, который можно удобно настроить под себя. Давайте посмотрим, какие самые интересные представления есть в SexiGraf:

1. Полная статистика по одному или нескольким кластерам.

Кое-что здесь взято из раздела производительности vCenter, но большинство метрик отличаются и могут быть вам очень интересны:

2. Полная статистика по одному или нескольким серверам ESXi.

Это представление похоже на предыдущее, только статистика по датасторам и адаптерам vmnic не агрегируется и представляется отдельно:

3. Планирование емкости одного или нескольких кластеров.

Прикольная штука - задаете кластер (один или несколько), масштаб заполнения для процессорных ресурсов (scale) и получаете статистики по числу используемых виртуальных машин и сколько их еще можно в кластер вместить:

4. Использование процессоров и памяти.

Можно выбрать один или несколько кластеров, сравнить их между собой, а также представить агрегированные данные по всей инфраструктуре:

5. Хранилища по IOPS и Latency.

Можно вывести датасторы и сравнить их по числу операций в секунду (IOPS) и возникающей задержке:

6. Агрегированное заполнение ресурсов по кластерам.

Выбираем кластер, и нам показывают...Читать статью далее->>

Недавно мы написали о постере VMware vCloud Foundation Architecture Poster 3.0, который описывает новую версию облачной архитектуры VMware, но мы не рассказали непосредственно о самой архитектуре VCF 3.0, поэтому ниже восполним этот пробел.

Архитектура VCF включает в себя компоненты VMware vRealize Suite, VMware vSphere Integrated Containers, VMware Integrated OpenStack, VMware Horizon, NSX и другие, работающие в онпремизной, облачной или гибридной инфраструктуре предприятия, которые желательно развертывать все вместе, но можно какие-то и опустить.

Важно, что в рамках этой архитектуры полностью поддерживается взаимодействие всех компонентов друг с другом, поэтому для VCF есть список продуктов и их версий (и это могут быть не самые последние версии), который и составляет архитектуру VCF, в данном случае третьей версии:

Все это вместе позволяет создать глобальную логическую сущность виртуального датацентра в рамках концепции Software-Defined Data Center (SDDC):

Давайте посмотрим, что нового появилось в vCloud Foundation 3.0:

1. Поддержка всех серверных узлов vSAN ReadyNode, которые указаны в vSAN VMware Compatibility Guide. Полный их список можно получить в VMware Compatibility Guide for vSAN.

2. Поддержка пользовательского производителя сетевого оборудования и топологии. Новая архитектура позволяет использовать собственные коммутаторы, архитектуру построения сети и средства управления ею.

3. Улучшенная поддержка компонентов vRealize Suite. Она включает в себя доработанные рабочие процессы для развертывания и первоначальной конфигурации компонентов vRealize Suite к доменам рабочей нагрузки, объединяющим несколько кластеров по бизнес-признаку (workload domains).

4. Виртуальный модуль Cloud Foundation Builder (Virtual Appliance на базе Photon OS). Это новый метод для развертывания компонентов архитектуры SDDC, с помощью которого заметно упрощается построение архитектуры VCF.

5. Новый интерфейс Cloud Foundation для консоли SDDC Manager. Как и множество других продуктов VMware, он построен на фреймворке Clarity, что существенно улучшает восприятие при работе с задачами.

6. Возможность пропуска промежуточных апгрейдов для контроллеров Platform Service Controller, серверов vCenter Server и ESXi. Теперь им можно накатывать кумулятивные обновления.

7. Поддержка нескольких кластеров в одном workload domain. Они могут управляться одним vCenter Server.

8. Возможности работы с сертификатами для различных продуктов из дэшборда SDDC Manager. Теперь можно установить, настроить и управлять сертификатами Microsoft Certificate Authority напрямую из интерфейса.

9. Инструкции для по настройке растянутых кластеров (vSAN Stretched Clusters) в рамках Dual Availability Zone (AZ). Теперь есть инструкции по ручному развертыванию растянутых кластеров в рамках Cloud Foundation между двумя зонами доступности AZ.

10. Сетевые пулы (Network Pools) позволяют управлять IP-адресацией VMkernel (который отвечает за vSAN и vMotion) напрямую из SDDC Manager в таком же ключе, как это делает NSX Manager.

Интересный момент, что домены виртуальных ПК (VDI workload domains) недоступны в рамках VCF 3.0, поэтому нужно будет сначала имплементировать архитектуру VCF, а потом накатить на нее VDI-инфраструктуру VMware Horizon поверх получившейся архитектуры.

Загрузить компоненты vCloud Foundation 3.0 в виде виртуальной машины Cloud Foundation Builder VM можно по этой ссылке.

Ну и немного документации о VCF 3.0:

• Planning and Preparation Guide
• Architecture and Deployment Guide
• Operations and Administration Guide

Гостевой пост компании ИТ-ГРАД, предоставляющей услуги аренды виртуальной инфраструктуры на базе VMware vSphere по модели IaaS.

Трудно представить ситуацию, в который бизнес не заботился бы о сохранности данных, критичных для него приложений. Рано или поздно любая компания, использующая современные IT-технологии, приходит к пониманию, что даже незначительный простой в работе может повлечь крупные финансовые издержки, а потеря информации – так и вовсе стать причиной гибели бизнеса.

Для предотвращения остановок работы сервисов используются средства для повышения доступности и отказоустойчивости, дублируются узлы в IT-инфраструктуре либо сервис передается на подготовленную и изначально сконфигурированную на отработку отказов площадку IaaS-провайдеров. Но для сохранности данных используются системы для их резервного копирования и восстановления.

Резервное копирование – гарант надежности данных бизнеса

Вспоминая высказывание о том, что люди делятся на два типа: на тех, кто не делает бэкап, и на тех, кто уже делает, хочется отметить, что это не интернет-шутка, а горькая правда жизни. За этой фразой скрывается боль и отчаяние людей, слишком поздно осознавших необходимость резервного копирования.

Некоторые до сих пор ошибочно полагают, что повышение уровня отказоустойчивости и доступности является средством защиты информации и развернутые на многочисленных кластерных нодах дублирующие друг друга сервисы спасут их от, скажем, работы вирусов-шифровальщиков, от повреждений баз данных, моментально среплицируемых по всему кластеру, и от человека, случайно или злонамеренно нанесшего ущерб целостности данных. Поэтому покупка системы резервирования данных воспринимается не как неизбежные траты, а как шаг по защите инвестиций в информационную составляющую вашего бизнеса.

Системы резервного копирования необходимы вне зависимости от модели инфраструктуры, будь то on-premises – когда все системы сосредоточены на локальных площадках компании, cloud – когда задача отдана в том или ином виде в зону ответственности облачного провайдера, или гибридная. Любые данные требуют защиты, и с ростом перехода компаний на организацию инфраструктуры по модели IaaS данный вопрос вставал все острее. Камнем преткновения в отношениях IaaS-провайдеров и их клиентов были вопросы резервирования данных, сроки их хранения, расписание и сама возможность делать резервные копии. Если даже такая возможность предоставлялась, то о тонкостях настройки речи не было, все «кастомные» изменения осуществлялись посредством контакта со службой поддержки. Но сейчас резервное копирование данных в облаке как услугу предлагает все большее число облачных провайдеров, и это стало стандартом.

Место Veeam Backup & Replication на рынке ПО резервного копирования

Одним из лидеров в индустрии резервного копирования является компания Veeam. Она прочно укрепилась в лидирующей пятерке магического квадрата Gartner, а по версии IDC будет занимать первое место на рынке. И не удивительно – продукт Veeam Backup & Replication зарекомендовал себя как надежное средство резервного копирования и восстановления данных с богатым функционалом и простым, интуитивно понятным интерфейсом.

Self-Service Portal – инструмент для самостоятельного управления резервным копированием облачной инфраструктуры

Начиная с версии 9.0 пользователям стал доступен Veeam Backup Enterprise Manager, созданный для централизации управления серверами Veeam с возможностью делегирования прав управления резервным копированием. Последняя функция позволила облачным провайдерам предоставлять своим клиентам Self-Service Portal для самостоятельного управления резервным копированием своей облачной инфраструктуры. Никаких отличий от решения для on-premises нет: пользователь получает весь функционал продукта с полной интеграцией с предоставленной облачной инфраструктурой.

Dashboard позволяет получить...Читать статью далее->>

Спустя некоторое время после окончания конференции VMworld 2018, компания VMware выложила в открытый доступ полный список всех лаб, которые были доступны во время конференции. Практические занятия Hands-On Labs (HOL) позволят вам выполнить реальные задачи в интерфейсе различных продуктов без необходимости их развертывания в своей тестовой среде.

В процессе обновления были доработаны предыдущие лабы, а также добавлены несколько новых, которые раньше были недоступны. Вот все эти лабораторки:

Недавно компания VMware выпустила обновленную версию полезного постера vCloud Foundation Architecture Poster 3.0. Напомним, что о прошлой версии постера мы писали вот тут, а о самой инициативе vCloud Foundation (VCF) - тут.

Данная архитектура включает в себя компоненты VMware vRealize Suite, VMware vSphere Integrated Containers, VMware Integrated OpenStack и VMware Horizon в онпремизной или облачной инфраструктуре.

Этот релиз платформы VCF увеличил гибкость для заказчиков при выборе оборудования с поддержкой сетевых компонентов для решения NSX и готовых узлов кластеров хранилищ vSAN ReadyNodes. Так как архитектура VCF имеет в своем составе множество тесно интегрированных продуктов, этот постер поможет понять, как они взаимодействуют в рамках концепции программно-определяемого датацентра (Software-Defined Data Center, SDDC).

Первое нововведение в VCF, рассмотренное в постере - домены рабочих нагрузок (Workload Domains), состоящие из нескольких кластеров:

Каждый такой домен имеет собственный сервер vCenter и сетевой управляющий слой NSX manager, а также его контроллеры (NSX controllers). Одна из главных сфер применения этой технологии - выделение домена рабочей нагрузки под бизнес-единицу крупного предприятия (например, сектор ERP). Управление таким доменом можно делегировать администратору, а облачный администратор может управлять всеми доменами в режиме Enhanced link mode.

Также в постере рассматривается архитектура NSX Hybrid Connect, которая позволяет на уровне L2 объединить географически разделенные онпремизные облака.

NSX Hybrid Connect с помощью специального модуля создает Hybrid Mobility Tunnel, который прокладывает канал в существующую сеть. В этой гибридной среде доступны такие возможности, как vMotion, массовая миграция ВМ, High Throughput Network Extension, функции WAN optimization, Traffic Engineering, Load Balancing, Automated VPN with Strong encryption и средства восстановления после сбоев.

 Скачать VMware vCloud Foundation Architecture Poster 3.0. можно по этой ссылке.

Компания StarWind Software, известная своим решением номер 1 для создания отказоустойчивых хранилищ Virtual SAN, на мероприятии Storage Field Day, где она является спонсором, анонсирует программное решение NVMe over Fabrics Target and Initiator для платформ Microsoft Hyper-V и VMware vSphere.

В рамках мероприятия спикеры StarWind:

• Объяснят сценарии использования NVM Express over Fabrics (NVMf) и расскажут, как облачные провайдеры могут использовать хранилища NVMe flash.
• Наглядно покажут, как небольшой бизнес сможет увеличить отдачу от ИТ-инфраструктуры с использованием NVMf.
• Объяснят, как существующие пользователи StarWind смогут получить обновление инфраструктуры за счет нового продукта.
• Продемонстрируют решение NVMf в действии (таргет и инициатор).
• Расскажут об аспектах производительности хранилищ и особенностях архитектуры решений.

Для того, чтобы узнать больше о решении StarWind на базе NVMf присоединяйтесь сегодня к трансляции Storage Field Day 17 (StarWind будет презентовать свое решение в 23-00 по московскому времени, стрим появится на этой же странице).