Компания VMware на днях объявила о скором выпуске новой версии решения VMware Integrated OpenStack 5.0 (VIO), предназначенного для построения инфраструктуры OpenStack на базе платформы виртуализации VMware vSphere за счет развертывания виртуального модуля vSphere OpenStack Virtual Appliance (VOVA). Напомним, что о прошлой версии - VMware Integrated OpenStack 4.1, мы писали в январе этого года вот тут. В первую очередь, новый релиз VIO 5.0 направлен на поддержку дистрибутива OpenStack Queens, который можно использовать совместно с решениями vSAN и NSX.
Давайте посмотрим, что нового появилось в пятой версии решения Integrated OpenStack 5.0:
Расширенная поддержка Kubernetes:
VIO 5.0 идет с дистрибутивом Kubernetes версии 1.9.2. Также включена поддержка релиза NSX-T 2.2. Пользователи Kubernetes могут использовать решение N-VDS через плагин Multus CNI. Также поддерживается Red Hat Enterprise Linux в качестве образа для кластера K8S.
Гетерогенные кластеры за счет использования Node Group - теперь можно использовать различные типы узлов-воркеров в рамках одного кластера. Теперь кластер может иметь несколько node groups, каждая из которых мапится на профиль узла. Это позволяет более эффективно использовать ресурсы для различных типов нагрузок в одном кластере.
Функции vkube heal позволяют зайти на узел кластера по ssh и восстановить его на базе состояния ETCD state или из резервной копии в случае полного сбоя всего кластера.
Расширенные возможности сетевого взаимодействия:
N-VDS - также известен как NSX-T VDS в режиме Enhanced Data-path. Позволяет компоненту N-VDS работать в режиме DPDK, что дает улучшения производительности для контейнеров и ВМ.
NSX-V Search domain - новая настройка NSX-V позволяет администратору настроить global search domain. Клиенты облака будут использовать этот домен поиска, если он не задан отдельно для его подсети.
NSX-V Exclusive DHCP server per Project - вместо общего DHCP edge, основанного на подсетях для нескольких проектов, теперь появилась возможность назначить DHCP-серверы для сетевого сегмента отдельного проекта. Это позволяет обеспечить лучшую изоляцию клиентов и их проектов.
NSX-T availability zone (AZ) - зона доступности используются для обеспечения высокой доступности сетевых узлов, которые поддерживают такие сервисы, как DHCP, L3, NAT и прочие.
Возможности безопасности:
Keystone Federation - функции Federated Identity позволяют безопасно использовать единые креденшелы для доступа к облачным ресурсам, таким как серверы, тома и базы данных, между различными устройствами доступа и облачными средами. Также обеспечивается поддержка функций Keystone to Keystone (K2K) federation.
Поддержка Gnocchi - это название проекта TDBaaS (Time Series Database as a Service), который позволяет ускорить работу архитектуры Ceilometer за счет более эффективной организации хранилищ для биллинга и мониторинга.
Default Drop Policy - позволяет убедиться в том, что трафик к порту, для которого не прописаны security groups и включена настройка port security, всегда будет сбрасываться.
End to End Encryption - администратор теперь имеет возможность включить шифрование API для внутренних вызовов (TLS 1.2) в дополнение к публичным вызовам через OpenStack endpoints. Это позволяет избежать внутренних угроз в инфраструктуре.
Производительность и управляемость:
VIO-in-a-box - также известный как развертывание типа "Tiny". Все компоненты OpenStack теперь можно развернуть на одном физическом сервере. Это можно сделать вручную или через OMS API.
Функции Hardware Acceleration - теперь появилась поддержка vGPU для требовательных к графике нагрузок.
Улучшенная масштабируемость OpenStack - инфраструктура VIO 5 была протестирована на 500 хостах и 15 000 виртуальных машинах в рамках одного региона (в этом релизе поддерживается несколько регионов).
Возможность Elastic TvDC - датацентр уровня клиента (Tenant Virtual Datacenter, TvDC) может быть расширен на несколько кластеров в VIO 5.0. Администратор может создать несколько пулов ресурсов, объединяющих ресурсы нескольких кластеров с одним именем, project-id и уникальным provider-id. Когда клиент облака запускает новый инстанс, планировщик OpenStack выделит для ВМ один из пулов ресурсов, замапленных на этот объект TvDC.
Решение VMware Integrated OpenStack 5.0 будет доступно для загрузки до 3 августа 2018 года.
На днях компания VMware сделала доступной новую версию HTML5-клиента для управления виртуальной инфраструктурой VMware vSphere 6.7. Это первый релиз, который вышел с момента включения нового клиента в состав последней версии vSphere 6.7 (напомним, что об этом мы писали тут и тут). Ну а о прошлой версии vSphere Client 3.36, доступной ранее на VMware Labs, мы писали вот тут.
Давайте посмотрим, что нового появилось в версиях vSphere Client 3.37 и 3.38:
Пользовательские маппинги гостевых ОС для виртуальных машин.
Поддержка последовательных портов для ВМ.
Улучшенный поиск, включая:
Редизайн страниц результатов
Возможность фильтрации результатов поиска по таким полям, как power state, guest os, host, clusters, datacenter
Возможность сохранить поиск.
Улучшения быстрых операций с питанием ВМ.
Просмотр опций объекта vApp для виртуальных машин в режиме только для чтения.
Возможности сетевых функций SRIOV в мастере клонирования на вкладке Hardware.
Ресайзинг мастера миграции до любых размеров за счет функций фреймворка VMware Clarity.
Скачать обновленный VMware vSphere Client 3.38 можно по этой ссылке.
Давненько ничего нового не было на сайте проекта VMware Labs. А вот на днях компания VMware выпустила полезную утилиту ESXi Compatibility Checker, представляющую собой Python-скрипт, проверяющий аппаратные компоненты хост-серверов на совместимость с платформой VMware vSphere и ее различными версиями.
Эта утилита может быть использована при замене различных компонентов хостов ESXi, а также обновлении серверов vCenter/ESXi. В целом, такую информацию можно собрать и вручную с помощью различных команд и в графическом интерфейсе, но у сервера так много системных девайсов, устройств ввода-вывода и прочего, что скрипт весьма и весьма упрощает эту задачу.
Результаты работы сценария ESXi Compatibility Checker можно вывести в xls-отчет, который потом можно использовать для планирования обновлений и обсуждения.
Кроме того, можно проверить хосты на возможность апгрейда на какой-нибудь релиз ESXi и соответствие аппаратным требованиям какой-либо версии, например:
Host 10.143.XX.XX> upto 6.5.0 -s
[OK] The specified release (VMware vSphere Hypervisor (ESXi) 6.5.0) is upgradable from this VMware vSphere Hypervisor (ESXi) 6.0.0
[Server: Warnings] Server 'PowerEdge R720' may not be compatible for ESX 6.5.0
[IO: Warnings] Some IO devices may not be compatible for ESX 6.5.0
Compatibility issues:
- Server Model 'PowerEdge R720' with Intel Xeon E5-2600-v2 Series (ID:33815) is certified
but current CPU Series (features:0x206d7) is not supported
Certified BIOS versions are higher than 2.1.2
More information: http://www.vmware.com/resources/compatibility/detail.php?deviceCategory=server&productid=33815
- IO Device 'PERC H310 Mini' (PCIID:1000:0073:1028:1f51) is certified
but current driver (megaraid_sas) is not supported
More information: http://www.vmware.com/resources/compatibility/detail.php?deviceCategory=io&productid=40344
Возможно, когда-нибудь эта функциональность станет частью vCenter. Скачать скрипт ESXi Compatibility Checker можно по этой ссылке.
Некто Bery Ju разработал интересный плагин к браузеру - темную тему для консоли VMware vSphere HTML5 Client, которая называется dark-vcenter (кстати, некоторое время назад темный режим уже был в клиенте, но его убрали). Эта тема работает для платформ VMware vSphere версий 6.5 и 6.7 под браузеры Google Chrome и Mozilla Firefox.
Это всего лишь CSS-тема для браузера, которая применяется, когда вы заходите на сервер vCenter через vSphere Client. В этом случае плагин автоматически подхватывает клиента. Ничего на самом сервере vCenter при этом не меняется.
Тема, конечно, на любителя - у многих, например, от темных фонов болят глаза. Но если кто-то работает с клиентом vSphere Client в темноте, почти без освещения, такая тема вполне может пригодиться.
На днях компания VMware после больших анонсов платформы VMware vSphere 6.7 и других продуктов серверной линейки перешла к обновлениям решений для виртуализации корпоративных ПК. На днях был анонсирован выпуск продукта для создания VDI-инфраструктуры VMware Horizon 7.5. Напомним, что о прошлой версии VMware Horizon 7.4 мы писали вот тут, а о технологическом превью Horizon on VMware Cloud on AWS мы рассказывали здесь.
Давайте посмотрим на новые возможности решения Horizon 7.5:
1. Бесшовная интеграция компонентов гибридного облака в рамках архитектуры Cloud Pod.
Теперь онпремизная инфраструктура Horizon 7 и облачная VMware vCloud on AWS полностью интегрированы для виртуальных десктопов и приложений.
Это не полноценное решение Desktop as a Service (DaaS), поскольку VMware отвечает за серверную инфраструктуру, а клиент за развертывание и обслуживание Horizon 7 и его компонентов.
Horizon 7 можно развертывать как в облаке в виртуальных машинах на платформе VMware vCloud on AWS, так и в онпремизной среде предприятия, используя архитектуру Cloud Pod Architecture (CPA), частью которой могут быть облачные инсталляции VMware vCloud on AWS.
Для оперирования как облачной, так и онпремизной частью используются одни и те же инструменты, консоли и утилиты:
2. Подписка Horizon Universal Subscription.
Ранее VMware анонсировала эту подписку для решения Workspace ONE Enterprise. Она позволяет платить за ресурсы по мере их потребления, что позволяет использовать облачные лицензии Horizon, как часть общей лицензии pay-as-you-go решения Workspace ONE.
Стоимость такой лицензии начинается от $8.25 за пользователя в месяц (для приложений из облака) и $16.5 за пользователя виртуального ПК, доставляемого из облака Horizon Cloud (это уже полноценное DaaS-решение).
Такая схема дает большое преимущество для проектов, рост которых трудно предсказать заранее, либо для временных нагрузок, которые также удобно размещать в облаке, растягивая онпремизную инфраструктуру на Horizon Cloud и управляя ею из одной консоли.
3. Новый рабочий процесс JMP (Just-in-Time Management Platform).
JMP - это новый подход VMware к организации пользовательских десктопов, позволяющий разделить уровни управления (операционная система, приложения и персональные настройки и данные) с помощью технологий Instant Clones, App Volumes и User Environment Management (UEM). Это позволяет собрать десктоп на лету, сделав мгновенную копию ОС средствами Instant Clone, прикрутив приложения на виртуальных дисках с помощью App Volumes и персонализировав десктоп под конкретного пользователя с помощью UEM:
Новый JMP workflow в Horizon 7.5 позволяет с помощью интерфейса консоли, построенного на базе HTML5, определить в шагах мастера требования к тому, какой десктоп нужен пользователю, после чего система динамически создаст его в VDI-инфраструктуре:
Это позволяет сфокусироваться не на технических параметрах десктопа, а на бизнес-критериях. Например, можно определить политики и набор приложений для финансового отдела и далее создавать десктопы типа Finance, которые будут иметь определенные опции виртуальной машины, набор приложений и персонализацию. И все это делается в одной консоли.
Такой подход более чем в два раза снижает время развертывания новых рабочих мест. Вот как это работает для Windows 10:
Эта механика имеет преимущества и с точки зрения безопасности: во-первых, десктопы развертываются из защищенных и обновляемых "золотых" образов, а, во-вторых, после окончания работы пользователя его десктоп уничтожается, а значит и пропадают вероятные вредоносные программы, которые могли завестись во время работы пользовательской сессии.
Кастомизировать десктоп можно не только на базе идентификации конкретного пользователя, но и на основе IP-адреса подключения, устройства и других переменных. Используя умные политики (Smart Policies) можно управлять такими фичами, как clipboard redirection, доступ к USB, печать и перенаправление пользовательских дисков.
Среди прочих нововведений можно отметить улучшения протокола Blast Extreme, который научился автоматически выбирать транспорт, в зависимости от качества отображения контента у пользователя и его user experience. Это позволяет не ломать голову над тем, какой транспорт выбрать в той или иной ситуации.
VMware обещает, что решение VMware Horizon 7.5 будет доступно для загрузки до конца июня этого года.
На днях (уже почти неделю назад) компания VMware объявила о релизе второго пакета обновлений VMware vSphere 6.5 Update 2. Мы упустили этот момент и теперь восполняем пробел. Но зато можно сказать, что за прошедшую неделю никаких серьезных багов обнаружено не было, поэтому обновляться можно смело.
Но есть важный нюанс: прямой апгрейд с VMware vSphere 6.5 Update 2 на VMware vSphere 6.7 - не поддерживается! Если же вы будете обновляться с vSphere 5.5, то вам минимально потребуется Update 3b для старта процедуры апгрейда на 6.5 U2.
Посмотрим, что нового появилось в vSphere 6.5 Update 2:
1. Новое в vCenter Server 6.5 Update 2.
vCenter теперь поддерживает режим Enhanced Linked Mode (ELM) при развертывании с Embedded Platform Service Controller (PSC):
Такая конфигурация поддерживает до 15 серверов vCenter режиме ELM, при этом она может быть создана только с нуля, а не в результате апгрейда предыдущих версий vCenter.
Также vCenter 6.5 U2 получил следующие новые возможности:
Windows vCenter Server с кастомными портами HTTP/HTTPS теперь поддерживается при миграции на vCenter Server Appliance.
С помощью утилиты TLS Configuration можно настроить SSL-туннели на порту 8089.
Возможность резервного копирования и восстановления в режиме Embedded Linked Mode с репликацией deployment topology API.
vMotion и холодная миграция ВМ между инфраструктурами vCenter Server версии 6.0 Update 3 и более поздних, кроме того поддерживается и миграция в среду VMware Cloud on AWS.
2. Обновления платформы и серверов ESXi.
Здесь можно отметить следующие улучшения:
Поддержка IPv6 для Key Management Server (KMS) при шифровании виртуальных машин средствами VM Encryption.
Дополнительные алармы об устаревании сертификатов KMS, отсутствующих хостах и ключах виртуальных машин.
Кастомизация дефолтных портов службы HTTP Reverse Proxy в графическом интерфейсе и через CLI при развертывании vCenter Server Appliance.
Управление несколькими пространствами имен совместимыми со спецификациями Non-Volatile Memory Express (NVMe) 1.2, а также улучшенный диагностический лог.
Добавления тэгов к модулю Trusted Platform Module (TPM) версии 1.2 на серверах ESXi через интерфейс ESXCLI.
Поддержка нативных драйверов контроллеров roadcom SAS 3.5 IT/IR в комбинациях дисковых устройств NVMe, SAS и SATA.
Поддержка драйверов Microsemi Smart PQI (smartpqi) для контроллеров HPE ProLiant Gen10 Smart Array Controller.
Отдельные драйвера адаптеров LightPulse и OneConnect.
В начале марта этого года мы писали о большом релизе VMware PowerCLI 10.0, в котором основной фичей была поддержка работы фреймворка в ОС Linux и Mac OS (см. постер на эту тему). Одновременно с выпуском новой версии платформы VMware vSphere 6.7 обновился и PowerCLI до версии 10.1.
Вот какие основные нововведения появились в PowerCLI 10.1:
Полная поддержка VMware vSphere 6.7
Поддержка решения NSX-T 2.1
Новый модуль VMware.Vim
Новые командлеты для управления бандлами сценариев Auto Deploy
Модуль VMware.Vim - это двадцатый модуль PowerCLI, который дает доступ к последним API платформы, включая те, что используются для управления облачной инфраструктурой VMware Cloud on AWS.
Для Auto Deploy появилось два новых командлета:
Set-ScriptBundleAssociation - позволяет ассоциировать хост ESXi с определенным бандлом сценариев.
Remove-ScriptBundle - соответственно, удаление бандла сценариев.
Напомним, что начиная с версии 10.0, фреймворк PowerCLI не дает возможность работать с недействительным сертификатом. Чтобы разрешить это, надо выполнить команду:
Ну а сегодня расскажем о новых возможностях программных интерфейсов API в vSphere 6.7. В первую очередь надо сказать, что появилось несколько наборов RESTful API, которые были полностью переписаны, чтобы соответствовать современному состоянию виртуальной инфраструктуры vSphere.
1. API виртуальных модулей (Appliance API).
Здесь основные улучшения произошли в сфере резервного копирования и восстановления модулей, а также их обновления. Помимо этого, был улучшен процесс мониторинга процесса бэкапа, и, что главное, появилась возможность запланированного запуска резервного копирования через API:
Кроме этого, теперь есть возможность управления жизненным циклом модуля и его обновлением через API. Здесь доступен полный набор интерфейсов - от предпроверок для проведения обновления, до стэйджинга и накатывания самого апдейта с последующей валидацией.
Многие API виртуальных модулей, которые ранее были доступны как превью, теперь выпущены официально. Среди них: управление службами модуля, изменение сетевой конфигурации и настроек NTP. Также появилась давно ожидаемая фича - питанием виртуального модуля теперь можно управлять через API.
2. Обновления vCenter API.
В интерфейсе vCenter RESTful API появилось более 40 новых методов. Они касаются взаимодействия с гостевыми ОС виртуальных машин, просмотра политик хранилищ Storage Policy Based Management (SPBM), а также управления службами vCenter.
Кроме того, через API теперь доступны операции по управлению жизненным циклом vCenter - развертывание, реконфигурация развернутой топологии, отчет о текущем состоянии Platform Services Controller (PSC) и т.п.
Также появилась возможность и обновлять vCenter через API:
3. Прочие улучшения API.
Помимо перечисленного, были сделаны улучшения в vSphere Web Services (SOAP) API. Появились методы по очистке всех сработавших алармов, функциональность управления виртуальным Trusted Platform Module (TPM), а также механизмом Enhanced vMotion Compatibility (EVC).
Также, как мы писали вот тут, появился новый метод по созданию мгновенного клона ВМ (Instant Clone):
Ну и, наконец, появилась возможность узнать дату и время создания виртуальной машины. Для этого нужно обратиться к свойству createDate объекта VirtualMachineConfigInfo.
Мы много писали о релизе новой версии платформы виртуализации VMware vSphere 6.7 и ее возможностях, а сегодня хотим рассказать про нововведения функции Instant Clone, о которых написал Дункан Эппинг. Напомним, что функция мгновенного клонирования виртуальной машины (ранее известная как VMFork) позволяет очень быстро сделать работающую копию запущенной ВМ на платформе VMware vSphere.
Делается это за счет того, что "на лету" создается клон виртуальной машины (VMX-файл, процесс в памяти), который начинает использовать ту же память (Shared memory) на чтение, что и родительская ВМ. При этом дочерняя ВМ в общую память писать не может, а для записи собственных данных используется выделенная область памяти. Для дисков аналогично - с использованием технологии Copy-on-write в дельта-диск дочерней ВМ пишутся отличия от базового диска родительской ВМ:
Такая схема использования родительской ВМ в VMware vSphere 6.5 требовала, чтобы родительская машина и ее мгновенные клоны находились на одном сервере ESXi. А значит для этих ВМ не поддерживались такие технологии, как vMotion/HA/Storage vMotion и DRS. Между тем, это очень важно для служб тестирования, отделов DevOps и т.п.
Теперь же в VMware vSphere 6.7 появились следующие улучшения Instant Clone:
Появился простейший публичный API, который позволяет автоматизировать процесс создания и перемещения мгновенных клонов. Он умеет пока не все, но будет развиваться. GUI для этого пока также нет.
Интеграция с технологиями vSphere для обеспечения доступности виртуальных машин (HA, DRS, vMotion, Storage / XvMotion и т.п.).
Поддержка двух рабочих процессов создания мгновенных клонов: первый - это последовательное создание клонов в процессе работы родительской виртуальной машины, второй - отпочковывание клонов от "замороженной" родительской ВМ.
Использование технологии P-Share для дедупликации страниц памяти средствами технологии Transparent Page Sharing (даже когда она отключена на хосте ESXi).
Теперь отношение родитель-клон не такое тесно связанное, как раньше.
Давайте посмотрим на первый рабочий процесс - создание мгновенных клонов работающей ВМ. Это, например, может пригодиться, когда вы массово тестируете обновление компонентов какого-либо приложения. Обновили первый компонент - сделали несколько клонов для тесткейсов, провели тесты, потом обновили следующий - и снова сделали несколько клонов для тестирования.
Схематично это выглядит вот так:
У родительской ВМ создается дельта-диск, который используется первым мгновенным клоном, потом базовая ВМ несколько меняется за время до создания следующего - и на момент создания нового мгновенного клона будет использоваться уже следующий дельта-диск и так далее. Пока для этого нет визуального интерфейса, но все это можно потестировать через MOB-браузер.
Такая схема имеет недостаток в том, что у родительской ВМ плодятся дельта-диски, что приводит к тому, что быстродействие родительской ВМ замедляется, а сама структура за счет увеличения числа дисков существенно усложняется, что потенциально может привести к различного рода сбоям.
Также в данном случае есть проблема сетевой идентификации - все виртуальные машины, которые рождаются как мгновенные клоны имеют те же настройки IP и MAC-адреса, что и родитель. Чтобы изменить их потребуется выполнить следующие действия:
После создания Instant Clone внутри нужно отключить сетевой интерфейс через свойство VirtualEthernetCard->connectable->migrateConnect, устанавливаемое в значение disconnect. Далее нужно задать настройки сетевой идентификации ВМ.
Если не хочется менять параметры сетевой идентификации, новые ВМ можно просто запускать в отдельной портгруппе, без выхода во внешнюю сеть во избежание конфликтов IP и MAC-адресов.
Внутри мгновенного клона нужно обновить настройки сетевого интерфейса, чтобы гостевая ОС получила новый MAC-адрес. Это можно автоматизировать через Guest Operations API.
Снова присоединить виртуальную сетевую карту к ВМ, чтобы новые настройки были применены и машина свободно работала в сети. Для этого нужно установить значение свойства VirtualEthernetCard->connectable->connected в true.
Вторая схема - это "заморозка" родительской ВМ таким образом, что ее CPU перестает исполнять инструкции (для этого используется функция instantclone.freeze в утилите vmware-rpctool). После этого механизм Instant Clone способен создавать связанные клоны этой подмороженной ВМ.
Это позволяет не плодить дельта-диски родительской ВМ (так как ее состояние не изменяется) и достичь унифицированной конфигурации мгновенных клонов:
Такая схема может подойти для масштабирования каких-либо типовых унифицированных нагрузок в виртуальных машинах - например, VDI, хосты с контейнерами, Hadoop-воркеры и так далее.
Поморозка ВМ происходит средствами утилиты vmware-rpctool, которая развертывается в виртуальной машине вместе с VMware Tools.
Также теперь мгновенные клоны существенно меньше привязаны к родительской ВМ, что позволяет использовать их более широко, а сами они называются "parentless".
Ну и напоследок обзорное видео от Дункана, посвященное использованию Instant Clones в платформе VMware vSphere 6.7:
Кроме этого, советуем также почитать вот эту статью Вильяма Лама, посвященную мгновенным клонам.
Как все уже знают, недавно компания VMware выпустила обновленную версию платформы виртуализации VMware vSphere 6.7. Напомним наши статьи о нововведениях этого решения:
Ну а сегодня мы расскажем еще об одной возможности vSphere в плане безопасности - поддержке технологии Virtualization Based Security (VBS) операционных систем Microsoft. Механизм VBS позволяет превратить сервер или рабочую станцию на базе ОС Windows Server 2016 или Windows 10 в защищенные системы, исполняющиеся в рамках гипервизора Windows, при этом некоторые компоненты выносятся за пределы гостевой системы. Например, за рамки ОС выносится система управления хэшированными парами логин/пароль (креденшены), называющаяся Credential Guard.
Как мы видим на картинке, гипервизор обеспечивает виртуализацию гостевой системы на сервере или ноутбуке, а также канал обмена между внешними компонентами (Credential Guard, Device Guard) и ОС. Такая архитектура обеспечивает большие трудности при доступе злоумышленников к областям памяти, где хранятся хэши паролей различных пользователей - ведь эта область вынесена за пределы операционной системы.
Также аппаратное обеспечение компьютера должно иметь в своем составе модуль TPM 2.0 (Trusted Platform Module), который обеспечивает механику безопасной загрузки (Secure Boot). Ведь если не использовать механизм безопасной загрузки, то атаку можно провести на сам гипервизор, подменив его компоненты, а дальше уже иметь доступ к основной виртуальной машине и остальным компонентам гипервизора, в том числе хранилищу паролей. Таким образом, для полной защиты нужно использовать связку VBS+TPM 2.0 (вторая версия TPM поставляется уже со всем современным оборудованием).
Чтобы такая схема работала, нужно обеспечить выполнение следующих требований:
UEFI firmware (не BIOS).
Опция безопасной загрузки Secure Boot с поддержкой TPM.
Поддержка технологии Hardware virtualization (опция процессоров Intel VT/AMD-V) и функций IOMMU.
И самое главное - ОС Windows должна быть установлена со всеми этими включенными опциями, иначе потом настраивать VBS будет проблематично.
В случае с гипервизором ESXi для незащищенной виртуальной машины Windows все выглядит вот таким образом:
Чтобы защитить машину с помощью VBS, потребуется использовать вложенную (nested) виртуализацию - ведь гипервизор Windows Hypervisor надо запустить на платформе VMware ESXi. Для этого в настройках виртуальной машины надо выставить опцию Enable для пункта Virtualization Based Security:
Это позволит открыть все необходимые опции процессора для гостевой ОС виртуальной машины, в которой также будет работать гипервизор.
Выглядеть это будет следующим образом:
Чтобы эта схема работала, нужно выполнить 2 условия:
Виртуальная машина должна иметь виртуальное железо Virtual Hardware версии 14, которое появилось в vSphere 6.7.
Гостевую ОС виртуальной машины надо развертывать на базе UEFI и с уже включенной опцией Secure Boot (обратите внимание на эту опцию на панели Boot Options в разделе VM Options (см. скриншот настроек выше).
Ну и последняя деталь - это модуль TPM. Для физических систем этот модуль делается с расчетом на одну систему, имеет небольшой объем памяти защищенного хранилища (измеряется в килобайтах) и работает весьма медленно, так как это serial device.
Поэтому VMware сделала виртуальное устройство - vTPM 2.0, которое в качестве хранилища использует обычный файл .nvram. Физический TPM не рассчитан на то, чтобы поддерживать сотни виртуальных машин на одном сервере (просто не хватит объема хранилища и быстродействия), а виртуальный vTPM отлично справляется с этой задачей. К тому же, виртуальную машину с виртуальным vTPM можно переносить между серверами с помощью vMotion и делать ее резервные копии.
Но, само собой, файл nvram надо хорошо зашифровать, поэтому для виртуальной машины нужно включить VM Encryption. Это обеспечит работоспособность машины в защищенной среде совместно с опцией VBS. При этом диски ВМ шифрованными не будут, что позволит получить доступ к данным на уровне VMDK дисков в случае утери ключей.
Самое интересное, что vTPM 2.0 не требуется как-то отдельно устанавливать и настраивать - он автоматически обнаруживается средствами Windows со стандартными драйверами:
Утилита Device Guard and Credential Guard hardware readiness tool от компании Microsoft определяет этот vTPM, как совместимый, поэтому можете использовать его для виртуальных машин, к которым предъявляются повышенные требования к безопасности.
Недавно мы писали о новых возможностях HTML5-клиента для VMware vSphere 6.7. Он уже содержит в себе интерфейсы VMware vSAN и Update Manager, что делает его уже почти готовым к полноценной эксплуатации в производственной среде.
Но помимо vSphere Client, в инфраструктуре vSphere есть и ESXi Host Client, который позволяет управлять отдельными хост-серверами ESXi через веб-интерфейс.
Посмотрите полезный обзор новых фичей ESXi Host Client 6.7 от Virtualization24x7:
Как вы знаете, за прошедшие несколько недель состоялось несколько больших релизов от VMware, вышли обновления как самой платформы виртуализации VMware vSphere 6.7, так и апдейты продуктов VMware Site Recovery Manager 8.1, vRealize Operations 6.7 и других.
Вот суммарно что нового появилось в vSphere 6.7, если постараться уместить это на одну картинку:
Поэтому для многих пользователей VMware vSphere 6.5/6.0/5.5 пришло время большого апгрейда, особенно учитывая, что 19 сентября этого года заканчивается поддержка vSphere 5.5.
Правда не надо забывать, что системы резервного копирования еще не поддерживают vSphere 6.7, но, я думаю, эта ситуация исправится в самом ближайшем будущем. Ну и помните, что напрямую обновиться с vSphere 5.5 на 6.7 не получится, придется делать промежуточный апгрейд на 6.0/6.7:
Поддерживаемые пути апгрейда на vSphere 6.7 включают в себя следующие способы:
Установщик ESXi
Интерфейс ESXCLI
Решение vSphere Update Manager (VUM)
Механизм Auto Deploy
VMware написала в своем блоге интересный пост с рекомендациями по обновлению на vSphere 6.7, приведем оттуда самые важные моменты.
1. Общие рекомендации по платформе vSphere.
vSphere 6.0 - это минимальная версия для апгрейда на vSphere 6.7.
vSphere 6.7 - это последний релиз, который требует ручного указания всех сайтов SSO.
В vSphere 6.7 только TLS 1.2 включен по умолчанию, TLS 1.0 и TLS 1.1 по умолчанию отключены.
Так как структура метаданных томов VMFS6 изменилась, чтобы поддерживать выравнивание по 4K блокам, вы не сможете сделать апгрейд датастора VMFS5 на VMFS6. Это так и осталось со времени vSphere 6.5 (смотрите KB 2147824).
2. Рекомендации по обновлению vCenter.
Развертывание vCenter Server Appliance 6.7 (vCSA) является рекомендуемой конфигурацией.
vCenter Server 6.7 for Windows - это последний релиз для платформы Windows, далее все будет только на базе виртуального модуля.
vCenter Server 6.7 не поддерживает Host profiles с версией ниже 6.0 (см. KB52932).
vCenter Server 6.7 поддерживает работу Enhanced Linked Mode с внедренным компонентом Embedded PSC. Но это поддерживается только для чистых установок, а не апгрейдов. Будьте внимательны!
Если вы используете защиту сервера vCenter в платформе vSphere 6.5 (vCenter High Availability, VCHA), то нужно будет удалить всю конфигурацию VCHA перед проведением апгрейда.
3. Совместимость с другими продуктами VMware.
На момент написания статьи vSphere 6.7 не поддерживала работу со следующими решениями последних версий:
VMware Horizon
VMware NSX
VMware Integrated OpenStack (VIO)
VMware vSphere Integrated Containers (VIC)
Также отметим, что в этой версии vSphere больше нет продукта VMware vSphere Data Protection (VDP), об этом мы писали здесь. Также нотификацию об этом можно увидить на странице сайта VMware, посвященной VDP.
4. Рекомендации по оборудованию.
vSphere 6.7 больше не поддерживает некоторые модели процессоров от AMD и Intel. Их список приведен вот тут, а проверить текущую совместимость можно по этой ссылке.
Следующие CPU пока еще поддерживаются, но их поддержка может быть прекращена в следующей версии:
Intel Xeon E3-1200 (SNB-DT)
Intel Xeon E7-2800/4800/8800 (WSM-EX)
Виртуальные машины, которые совместимы с ESX 3.x и всеми более поздними версиями (начиная с hardware version 4) поддерживаются хостами ESXi 6.7.
Версия железа Hardware version 3 больше не поддерживается.
VM hardware version теперь называется VM Compatibility. Помните, что сначала надо обновить ее на машине до последней версии перед использованием на платформе vSphere 6.7.
Ну а мы со своей стороны рекомендуем всегда делать свежую установку vSphere, если это возможно, а не делать апгрейд, чтобы накопившиеся в прошлом прошлом проблемы вы не унаследовали в новой инсталляции.
Как вы все уже знаете, недавно компания VMware выпустила обновленную версию платформы виртуализации VMware vSphere 6.7. Помимо описания новых возможностей решения мы также останавливались на новых функциях VMware vCenrer 6.7, а сегодня расскажем о некоторых нововведениях тонкого клиента VMware vSphere Client 6.7, построенного на базе технологии HTML5.
Напомним, что vSphere Client не удалось добить до полной функциональности, поэтому VMware выпустила и финальный релиз vSphere Web Client 6.7 на базе технологии Flash. Но обещают, что функционал клиентов уже почти одинаковый. Одним из шагов на пути к этому стала поддержка основных рабочих процессов vSphere Update Manager (VUM) в HTML5-клиенте.
Надо начать с того, что интерфейс VUM был полностью переработан, а не просто скопирован с Web Client. Рабочие процессы стали проще и понятнее.
Кстати, обратите внимание на гифке выше, как удобно теперь стало искать обновления для хостов ESXi с помощью встроенного в таблицу со списком апдейтов поля поиска.
Многошаговый мастер по обновлению хостов ESXi 6.0-6.7 был заменен простым рабочим процессом, в рамках которого процедура remediation требует лишь нескольких кликов:
Также процедура предварительной проверки кластера (pre-check) была вынесена в отдельный рабочий процесс, чтобы не инициировать воркфлоу обновления напрасно.
Между тем, не все рабочие процессы VUM были реализованы - в новой версии этого средства нет обновления VMware Tools и средств проверки совместимости "железа" (hardware compatibility). Но их обещают включить в ближайшем релизе.
Также существенно был ускорен процесс обновления с vSphere 6.5 на vSphere 6.7. Если раньше перед проведением обновления нужно было перезагрузить ESXi, а потом еще и после во второй раз, то теперь само обновление за счет оптимизаций идет быстрее, а перезагрузка требуется всего одна.
Помимо этого, теперь информация об обновлениях более полная и включает в себя критичность апдейта, требуется ли перезагрузка, что именно находится внутри и т.п.
Как вы знаете, на прошлой неделе компания VMware выпустила обновление платформы виртуализации VMware vSphere 6.7. Одновременно с этим было выпущено и обновление средства создания отказоустойчивых кластеров VMware vSAN 6.7 (оно идет в комплекте с vSphere). Напомним, что о прошлой версии vSAN 6.6.1 мы писали вот тут.
Давайте посмотрим, что нового появилось в vSAN 6.7:
1. Новый интерфейс vSphere Client.
Теперь vSAN можно управлять через HTML5-клиент vSphere Client, который построен на базе фреймворка Clarity, что делает использование рабочих процессов для кластеров хранилищ простым и понятным. Надо отметить, что эти рабочие процессы не были перенесены напрямую из Web Client, а разработаны с самого начала, поэтому выглядят современно и просты в использовании.
2. Поддержка vRealize Operations для vCenter и разделов vSAN.
Традиционно пользователи vSAN должны были использовать две консоли - консоль vCenter и консоль vRealize Operations. Теперь в новой версии vSphere 6.7 появилась функция "vRealize Operations within vCenter", которая позволяет просматривать информацию о кластере vSAN, его параметрах и проблемах через vSphere Client в разделе vRealize Operations:
Вся базовая аналитика кластеров vSAN видна здесь, а если вам потребуется более детальная информация для изучения проблемы - вы можете запустить соответствующий раздел vRO прямо отсюда в два клика.
3. Поддержка других кластерных решений.
В новой версии vSAN 6.7 теперь поддерживается использование других кластерных технологий в рамках датасторов vSAN:
Среди поддерживаемых кластерных решений для vSAN уже были следующие продукты: Microsoft SQL Always-on Availability Groups (AAG), Microsoft Exchange Database Availability Groups (DAG) и Oracle Real Application Clusters (RAC). Таргеты для этих решений предоставляются средствами технологии vSAN iSCSI.
Теперь в этот набор добавилась технология Windows Server Failover Clusters (WSFC) - она также поддерживается со стороны vSAN 6.7. На эту тему VMware выпустила отдельное видео:
4. Функция Adaptive Resync.
В vSAN 6.7 появилась абсолютно новая фича Adaptive Resync, которая позволяет адаптивно регулировать ширину канала для операций ввода-вывода VM I/O и Resync I/O, в зависимости от загрузки производственной системы.
Эта возможность также позволяет гарантировать, что из-за выедания канала каким-то вида трафика, использующего его, остальные типы трафика (см. на картинке выше) не будут блокированы. Также Adaptive Resync выделяет каналам ввода вывода для ВМ и синхронизации кластера vSAN необходимые ресурсы, когда известно, что их использование не скажется на производительности в целом.
5. Оптимизированный механизм de-staging.
В vSAN 6.7 было сделано множество улучшений в плане оптимизации путей данных, а именно дестейджинга данных из кэша на запись (Write Cache) в сторону дисков. Вследствие этого все работает намного быстрее, теперь кэш на запись быстрее "дренируется" на диски, освобождая место для следующих операций ввода-вывода. Это ускоряет не только работу виртуальных машин, но и каналов ресинхронизации.
6. Улучшенные проверки состояний (хэлсчеки).
В vSAN самодиагностика поднялась на новый уровень. Теперь данные о конфигурации кластера собираются с помощью vSAN Support Insight и визуализуются в vSphere Client.
vSAN 6.7 теперь предоставляет следующие новые хэлсчеки, которые будут полезны для администраторов и служб технической поддержки:
Верификация перехода в режим Maintenance mode (позволяет убедиться в правильности вывода хоста из эксплуатации на время или навсегда).
Проверка консистентности конфигураций для раздела advanced settings.
Улучшенные тесты сетевой доступности для сетей vSAN и vMotion.
Улучшенная проверка установки vSAN Health service.
Теперь улучшенные проверки физических дисков можно комбинировать с другими несколькими проверками в рамках единой нотификации.
Проверка Firmware теперь независима от проверки драйверов.
Скачать VMware vSAN 6.7 можно теперь в составе платформы VMware vSphere 6.7. Ну и, напоследок, технический обзор решения VMware vSAN 6.7:
Как вы знаете, совсем недавно компания VMware выпустила обновление платформы виртуализации VMware vSphere 6.7, включая гипервизор ESXi 6.7 и средство управления vCenter Server 6.7. Одной из важных составляющих виртуальной инфраструктуры виртуализации является инфраструктура резервного копирования виртуальных машин. Вряд ли можно себе представить крупную компанию, которая обновляет хосты ESXi 6.0/6.5 на 6.7 и готова остаться без резервного копирования ВМ.
Между тем, с поддержкой новой версии vSphere 6.7, которая вышла 18 апреля, у вендоров решений резервного копирования все весьма плохо. Давайте посмотрим, как именно (об этом рассказал блог tinkertry):
Как мы видим, только Veeam позаботилась о том, чтобы проинформировать своих пользователей о поддержке (а точнее неподдержке) новой версии vSphere 6.7.
При попытке использовать Veeam Backup and Replication 9.5 Update 3 вы получите вот такое сообщение об ошибке:
Error: Object reference not set to an instance of an object
Поэтому придется ждать обновления Update 3a, в котором vSphere 6.7 будет полностью поддерживаться для резервного копирования, репликации и восстановления виртуальных машин. Оно выйдет в самом ближайшем будущем (мы обновим пост).
На днях компания VMware объявила о выпуске обновленной версии платформы виртуализации VMware vSphere 6.7 (она уже доступна для скачивания). Сегодня мы расскажем о новой версии управляющего сервера VMware vCenter 6.7 и его новых возможностях.
Начать надо с того, что виртуальный модуль VMware vCenter Server Appliance (vCSA) 6.7 теперь рекомендован для развертывания по умолчанию, а значит VMware уже окончательно рекомендует перейти на этот вариант средства управления виртуальной инфраструктурой.
1. Средства управления жизненным циклом.
Об этом мы уже упоминали в статье про vSphere 6.7. Теперь vCenter Server Appliance 6.7 позволяет развернуть vCenter Server с внедренным компонентом Embedded PSC и поддержкой Enhanced Linked Mode. Это дает следующие преимущества:
Теперь для высокой доступности vCSA не нужен балансировщик, и технология vCenter Server High Availability поддерживается нативно.
Теперь проще развертывать инфраструктуру Single Sign-On Domain.
Поддержка максимумов масштабирования vSphere.
Можно делать до 15 развертываний vCSA в рамках одного домена vSphere SSO.
Уменьшение числа узлов, которые надо обслуживать и поддерживать.
Также в составе vSphere 6.7 есть последняя версия vCenter Server 6.7 for Windows, которая уже не будет доступна в следующих версиях платформы. Теперь при миграции старого vCenter на vCSA есть две опции по импорту исторических данных БД:
Развертывание и мгновенный импорт данных
Развертывание и импорт данных в фоновом режиме
При этом показывается примерное время простоя сервисов vCenter во время этих процессов:
Также если вы выбрали импорт данных в бэкграунде, то потом можете поставить этот процесс на паузу. Помимо этого, был улучшен интерфейс процесса миграции, а также появилась возможность выбрать кастомные порты, чтобы не перенастраивать фаервол.
Что касается апгрейда с прошлых версий, то vCenter поддерживает только обновление с vSphere 6.0 и 6.5, а vSphere 5.5 остался в пролете, хотя все еще много пользователей этой версии. Таким клиентам надо будет делать чистую установку или мигрировать сначала на 6.0/6.5 (лучше, все же, ставить заново).
Кстати, помните, что конец поддержки vSphere 5.5 наступает 19 сентября 2018 года.
2. Мониторинг и управление.
В первую очередь надо сказать, что интерфейс инструментария vSphere Appliance Management Interface (VAMI) теперь построен на базе фреймворка Clarity, что делает работу с vCSA простой и приятной:
Теперь при управлении vCSA можно пользоваться отдельным разделом Monitoring для проверки состояния виртуального модуля, а также появилась вкладка Disks, где видны разделы vCSA и их заполненность.
Также появилась вкладка Services, где можно смотреть за состоянием служб vCSA. Кроме этого, были улучшены службы Syslog (теперь можно использовать до трех таргетов), а также Update (теперь можно выбрать патч или апдейт, который будет накатываться). Из VAMI теперь можно отправить патч на стейджинг и потом поставить его, ранее это было доступно только через CLI.
Помимо этого, теперь информация об обновлениях более полная и включает в себя критичность апдейта, требуется ли перезагрузка, что именно внутри и т.п.
Ну и одна из главных ожидаемых возможностей - бэкап сервера vCSA на уровне файлов. Теперь можно задать расписание резервного копирования и сколько резервных копий сохранять:
Помимо бэкапа есть и восстановление, конечно. При этом браузер архивных копий показывает их все, без необходимости искать пути до этих бэкапов.
3. Улучшения vSphere Client.
Теперь в HTML5-клиенте vSphere Client появились обновленные рабочие процессы для следующей функциональности:
vSphere Update Manager
Content Library
vSAN
Storage Policies
Host Profiles
vDS Topology Diagram
Licensing
Но, поскольку vSphere Client не удалось добить до полной функциональности, VMware выпустила и финальный релиз vSphere Web Client 6.7 на базе технологии Flash. Но обещают, что функционал уже почти одинаковый.
Из нового в vSphere Client - появились фичи Platform Services Controller (PSC) UI (/psc), которыми можно управлять через раздел Administration. Кроме этого, появилась отдельная вкладка Certificate management в разделе Configuration.
4. Утилиты CLI.
Вернулась утилита cmsso-util, которая может делать отчеты по виртуальным модулям vCSA, находящимися в рамках одного SSO-домена. Также можно сравнить 2 домена SSO и выгрузить в JSON-файл различия между этими доменами. Кроме этого, можно мигрировать лицензии, тэги, категории и права доступа из одного домена SSO в другой.
Второе улучшение CLI - это установщик vCSA, который позволяет управлять жизненным циклом этого виртуального модуля. vCenter Server Appliance ISO идет вместе с примерами JSON-шаблонов развертывания. Эти шаблоны можно использовать для унификации развертывания серверов vCenter, накатывая эти JSON в пакетном режиме друг за другом. Это позволяет убедиться в унификации конфигурации всех узлов vCenter в рамках больших инсталляций на нескольких площадках.
Скачать платформу VMware vSphere 6.7, содержащую управляющие компоненты VMware vCenter 6.7 и vCSA 6.7 можно по этой ссылке.
Совсем недавно мы писали об утилите Configuration Maximums Tool, которая позволяет сравнить максимумы конфигурации различных версий VMware vSphere. Туда теперь оперативно добавили VMware vSphere 6.7, поэтому давайте посмотрим, как продвинулась новая версия по сравнению с продуктом, который вышел полтора года назад (vSphere 6.5).
В таблице ниже приведены только изменившиеся значения:
Максимумы виртуальных машин
vSphere 6.5
vSphere 6.7
Persistent Memory - контроллеров NVDIMM на одну ВМ
N/A
1
Persistent Memory - памяти Non-volatile memory на одну ВМ
N/A
1024 ГБ
Виртуальных таргетов SCSI на один адаптер virtual SCSI
15
64
Виртуальных таргетов SCSI на одну виртуальную машину
60
256
Адаптеров Virtual RDMA на одну виртуальную машину
N/A
1
Максимумы хостов ESXi
6.5
6.7
Виртуальных CPU на виртуальную машину (для Fault Tolerance)
4
8
Максимально памяти на виртуальную машину (для Fault Tolerance)
64 ГБ
128 ГБ
Логических CPU на хост
576
768
Максимум памяти для ESXi Host Persistent Memory (объем Non-volatile memory на хост ESXi)
N/A
1 ТБ
Максимальный объем памяти на хост
12 ТБ
16 ТБ
Число путей Fibre Channel на хост
2048
4096
Общих томов VMFS на хост
512
1024
Число LUN на сервер
512
1024
Число физических путей iSCSI на сервер
2048
4096
Число Fibre Channel LUN на хост
512
1024
Число PEs (protocol end-points) технологии Virtual Volumes на хост
Компания VMware, спустя ровно полтора года с момента релиза vSphere 6.5, анонсировала скорую доступность новой версии платформы - VMware vSphere 6.7.
Этот релиз сфокусирован на четырех основных областях улучшений:
Поддержка увеличивающегося числа и разнообразия приложений.
Рост объемов использования гибридных облаков.
Понимание глобального расширения онпремизных датацентров.
Безопасность инфраструктуры и приложений.
Давайте посмотрим, что нового появилось в VMware vSphere 6.7:
1. Enhanced vCenter Server Appliance (vCSA) и масштабируемая инфраструктура.
Теперь в vCSA есть несколько новых API, которые выводят управление платформой на качественно другой уровень. Кроме того, теперь vCSA поставляется с интегрированными службами embedded platform services controller (обеспечивающими работу служб Single Sign-On), которые могут работать в режиме enhanced linked mode.
Также существенно была увеличена производительность vCSA:
В 2 раза выросло число операций vCenter в секунду.
В 3 раза уменьшилось потребление памяти.
В 3 раза увеличилось число операций DRS (например, включение виртуальной машины и ее первичное размещение в кластере).
При накате мажорных обновлений теперь требуется не 2 перезагрузки, а одна (Single Reboot).
Новый механизм vSphere Quick Boot позволяет перезагрузить гипервизор без рестарта всего хоста ESXi.
3. Доработанный HTML5 vSphere Client.
В новом релизе будет обновленная версия клиента для управления vSphere Client на базе технологии HTML5 (добавлены функции управления vSAN и Update Manager), правда пока не понятно, будет ли это полноценная замена vSphere Web Client, или обе версии пока продолжат существовать совместно.
4. Большие улучшения безопасности.
VMware vSphere 6.7 предоставляет поддержку аппаратного модуля Trusted Platform Module (TPM) 2.0, а также появился виртуальный модуль Virtual TPM 2.0. Все это позволяет защититься от атак с подменой хостов и виртуальных машин, а также предотвратить загрузку неавторизованных компонентов.
Также были сделаны улучшения механизма VM Encryption в части рабочих процессов при использовании шифрования. Теперь при миграции виртуальных машин между различными экземплярами vCenter также можно использовать Encrypted vMotion, что расширяет сферу применения данной технологии до гибридных облачных инфраструктур (защищенная горячая миграция в датацентр сервис-провайдера) или инфраструктур с географически разнесенными датацентрами.
Помимо этого, vSphere 6.7 теперь поддерживает технологию Virtualization Based Security, которая используется в гостевых ОС Microsoft Windows.
5. Улучшения поддержки высокопроизводительных приложений.
Как многие из вас знают, поддержка vGPU от NVIDIA и AMD есть в платформе vSphere уже довольно давно. Используется она сейчас не только для виртуальных ПК, но и для таких задач, как системы искусственного интеллекта, machine learning, big data и прочее. Теперь в vSphere 6.7 поддержка такого рода вариантов использования была расширена.
С помощью технологии vSphere Persistent Memory пользователи могут использовать специальные аппаратные модули от Dell-EMC и HPE, которые могут использовать высокопроизводительные системы хранения с большим числом IOPS или предоставлять их возможности гостевым системам как non-volatile memory. Теперь во многих вариантах использования высокопроизводительные приложения смогут работать быстрее.
6. Бесшовная интеграция с гибридной средой.
Теперь в VMware vSphere 6.7 появился режим работы vCenter Server Hybrid Linked Mode, в котором можно соединить две инфраструктуры - вашу онпремизную с одной версией vSphere и облачную, например, VMware Cloud on AWS с другой версией платформы.
Помимо этого, в vSphere 6.7 появились механизмы Cross-Cloud Cold и Hot Migration, которые позволяют переносить нагрузки в онлайн и офлайн режиме между облаками и онпремизной инфраструктурой.
Когда это происходит, виртуальной машине приходится перемещаться между хостами с разными наборами инструкций процессора. Поэтому в vSphere появилась технология Per-VM EVC (Enhanced vMotion Compatibility), которая позволяет подготовить виртуальную машину к миграции на совершенно другое оборудование.
Также появилась фича поддержки операций cross-vCenter, mixed-version provisioning (таких как vMotion, полное клонирование, холодная миграция), которая позволяет производить эти операции между различными vCenter различных версий (что тоже неизбежно в гибридной среде - вроде связки с vCloud on AWS).
На днях компания VMware выпустила Configuration Maximums Tool - средство, которое позволяет посмотреть максимумы конфигурации платформ виртуализации, виртуальных машин и других решений VMware в различных категориях. На данный момент поддерживаются версии VMware vSphere 6.0, 6.5 и 6.5 Update 1 (кстати о сравнении максимумов 6.5 и 6.0 мы писали вот тут).
По умолчанию мы видим следующие Configuration Maximums, которые можно сворачивать-разворачивать в пределах категории:
Virtual Machine Maximums
ESXi Host Maximums (Compute)
ESXi Host Maximums (Memory)
ESXi Host Maximums (Storage)
ESXi Host Maximums (Networking)
ESXi Host Maximums (Cluster and Resource Pools)
ESXi Host Maximums (VMDirectPath)
vCenter Server Maximums
vCenter Server Maximums (Storage DRS)
Platform Services Controller
vCenter Server Extensions (Update Manager)
vCenter Server Extensions (vRealize Orchestrator)
VMware vSphere Flash Read Cache
VMware vSAN
Virtual Volumes
Также многим будет интересна фича сравнения максимумов различных версий VMware vSphere:
Сравнить можно 2 или 3 версии платформы, а результат выгрузить в XLS-файл, чтобы использовать его в MS Excel.
Многие администраторы платформы VMware vSphere заметили, что в версии VMware vSphere 6.5 несколько поменялся механизм запуска виртуальных машин в случае сбоя в кластере HA. Об этом интересно недавно написал Дункан Эппинг.
Напомним, что приоритет HA Restart Priority нужен для того, чтобы виртуальные машины могли запуститься в определенном порядке, и их сервисы корректно подхватили уже работающие приложения, запущенные предыдущей очередью ВМ. Всего один хост VMware ESXi может одновременно начать запуск до 32 виртуальных машин, поэтому в большом кластере с большим числом ВМ это действие нужно приоритизировать.
С точки зрения наступления момента запуска следующей очереди набора ВМ есть 4 таких события:
Resources are allocated - это дефолтная настройка в кластере HA. Ресурсы аллоцируются в тот момент, когда master-хост выбрал хосты для восстановления и запуска ВМ. Это занимает совсем небольшое время (миллисекунды).
VMs are powered on - это означает, что машина запустилась, и ESXi считает ее запущенной (но не гостевую ОС). Это занимает иногда 10-20 секунд, а иногда и несколько минут.
Guest heartbeat is detected - это когда от гостевой ОС VMware получает отклик, например, через VMware Tools.
App heartbeat is detected - это когда получен отклик от определенного приложения. В этом случае у вас должен быть настроен VM/Application Monitoring, который позволит оповестить о том, что приложение запустилось, и можно его использовать.
Если вам нужно убедиться, что работает сервис (то есть гостевая ОС и приложения), так как ВМ следующей очереди должны его использовать - то нужно опираться на последние два события.
Теперь приоритет восстановления ВМ (Restart Priority) содержит 5 уровней вместо трех, которые были в vSphere 6.0:
Lowest
Low
Medium
High
Highest
Такие странные названия сделаны в целях совместимости с прошлой классификацией - Low, Medium и High.
Чтобы начать настройку Restart Priority, в vSphere Web Client нужно выбрать кластер HA и перейти на вкладку Configure, после чего выбираем раздел VM Overrides и нажимаем кнопку "Add":
Далее выбираем виртуальные машины, для которых мы хотим задать приоритет запуска:
И здесь главное - это выбор нужного приоритета из пяти уровней и выставление условия "Start next priority VMs when", то есть триггера запуска следующей очереди приоритета:
Все эти настройки применяются и для кластера, в котором не работает vCenter (в случае большого сбоя). Ну и посмотреть текущие настройки приоритетов запуска ВМ в кластере HA можно следующей командой:
/opt/vmware/fdm/fdm/prettyPrint.sh clusterconfig
Вывод будет очень большим, так что ищите в нем текст "restartPriority".
Если вы наблюдали за обновлениями утилит на сайте проекта VMware Labs, то наверное заметили, что в этом году выходили только обновления старых средств, но не появлялось ничего нового.
На днях впервые в этом году появился новый Fling - PowerCLI Preview for NSX-T. Это превью набора PowerCLI командлетов для управления решением NSX-T. Напомним, что это решение для построения сетей software-defined датацентров, как на базе гипервизора VMware vSphere, так и на базе других технологий, таких как контейнеры или средства виртуализации KVM.
Вся функциональность PowerCLI Preview for NSX-T сосредоточена в одном модуле. Для начала работы с данным интерфейсом вам потребуется PowerCLI 10.0.0 (а именно модуль VMware.VimAutomation.Nsxt) и ОС Microsoft Windows. Если вы не видите этого модуля у себя, то посмотрите, как правильно поставить PowerCLI последней версии:
Всего PowerCLI Preview for NSX-T включает аж 280 командлетов, покрывающих различные стороны решения NSX-T. Они были сгенерированы автоматически, поэтому кое-где возможны баги.
Многие из этих командлетов (такие как, например, Get-LogicalSwitch) оперируют логическими сущностями, что очень удобно для написания сценариев без погружения в дебри структур NSX-T (это так называемые high-level командлеты), ну а есть low-level командлеты, такие как, например, Get-NsxtService. После установки посмотреть список командлетов можно командой:
Мы часто пишем о продукте StarWind Virtual SAN, который позволяет организовать кластеры отказоустойчивых хранилищ на базе серверов для виртуальных машин VMware vSphere и Microsoft Hyper-V. В связи с большим интересом к тому, как именно работает это решение с технической точки зрения, постараемся писать об этом побольше. Сегодня мы расскажем об опциональной файловой системе LSFS (Log-Structured File System), которая повышает производительность операций записи и срок службы накопителей.
У некоторых пользователей VMware vSphere при обновлении серверов VMware ESXi возникает проблема - при выполнении команды "esxcli software vib update" в ответ возникает ошибка "No space left on device", хотя с дисками все в порядке, и на них много свободного места, в чем можно убедиться с помощью команды df -h.
Например, появляется вот такой вывод при попытке обновления:
[InstallationError]
[Errno 28] No space left on device
vibs = VMware_bootbank_esx-base_6.5.0-1.41.7967591
Please refer to the log file for more details.
В то же время вывод df -h говорит, что места на всех разделах достаточно:
Очень редко причина такого поведения оказывается проста - на хосте не хватает файловых объектов inodes, как описано в KB 1007638. Это объекты файловой системы, которых может быть до 640 тысяч на одном томе VMFS. Их используемое количество зависит от числа файлов в файловой системе в данный момент.
Проверить наличие свободных inodes можно командой stat -f /:
На картинке мы видим, что запас их еще весьма большой - они почти не израсходованы. Как правило, указанного лимита достичь очень и очень сложно, поэтому чаще всего упомянутое выше сообщение об ошибке связано совсем с другим. Но если вы все же достигли этого лимита, решение тут несложное - удалить какое-то число файлов с ESXi.
Например, можно найти лог-файлы и прочие файлы на хосте ESXi размером более 50 МБ, которые находятся НЕ на томах VMFS (чтобы не задеть логи ВМ), можно следующей командой:
find / -path "/vmfs" -prune -o -type f -size +50000k -exec ls -l '{}' \;
По итогу будет сгенерирован список преимущественно локальных файлов, который будет содержать ISO-образы, большие лог-файлы и т.п., которые уже скорее всего не нужны, и их можно удалить (а лучше переместить на какое-нибудь хранилище в целях архивирования). Также рекомендуем почитать KB 1008643, которая как раз посвящена удалению файлов в целях высвобождения объектов inodes.
Между тем, в случае появления приведенной в начале статьи ошибки о недостатке свободного места очень вероятно, что хост ESXi не может аллоцировать достаточно оперативной памяти (RAM) для проведения обновления. В этом случае вам просто надо включить ESXi system swap, который будет размещен на одном из датасторов, куда будут сбрасываться страницы оперативной памяти при недостатке памяти во время обновления.
Сделать это можно, зайдя в раздел Manage > Settings > System Swap, после чего нажав Edit...:
Выберите датастор и нажмите Ok. Также это можно сделать с помощью функционала Host Profiles:
После выбора датастора для системного свопа обновите хост ESXi и перезагрузите его.
Компания VMware опубликовала интересный постер об архитектуре Cloud Foundation (VCF) - VMware Cloud Foundation Architecture Poster 2.3. Напомним, что данная архитектура включает в себя компоненты VMware vRealize Suite, VMware vSphere Integrated Containers, VMware Integrated OpenStack и
VMware Horizon в онпремизной или облачной инфраструктуре.
Новый постер сфокусирован на добавленных компонентах решения семейства vRealize Suite:
Если посмотреть на диаграммы постера, посвященные vRealize Operations Manager и vRealize Automation, то можно увидеть, как архитектура VCF интегрирована с решением NSX, что позволяет создавать балансировщики NSX Edge (он развертывается автоматически при развертывании приведенных выше компонентов vRealize).
Кроме этого, еще одна новая секция постера рассматривает некоторые возможности обеспечения ИТ-безопасности, находящиеся в составе VCF, например, функции шифрования горячей миграции vMotion и хранилищ vSAN (data at rest encryption). Также рассмотрены средства шифрования виртуальных машин, реализуемые с помощью сторонних сервисов KMS:
Скачать VMware Cloud Foundation Architecture Poster можно по этой ссылке.
В самом конце прошлого года компания VMware выпустила обновление пакета улучшений гостевых систем VMware Tools 10.2.0. А на днях эта ветка пакета обновилась до версии VMware Tools 10.2.5. Напомним, что ветка тулзов 10.2 - это идейный продолжатель первого ответвления 10.1, которое содержит развивающиеся версии для современных гостевых ОС.
Обновленные VMware Tools совместимы с VMware vSphere 5.5 и более поздними версиями платформы, а также с продуктами для настольной виртуализации VMware Workstation и Fusion.
Давайте посмотрим, что нового появилось в VMware Tools 10.2.5:
VMware Tools 10.2.5 поддерживает следующие операционные системы:
Образ windows.iso поддерживает Windows Vista и более поздние ОС.
Образ linux.iso поддерживает Red Hat Enterprise Linux (RHEL) 5 и более поздние, SUSE Linux Enterprise Server (SLES) 11 и позднее, Ubuntu 10.04 и позднее. Также он поддерживает другие дистрибутивы с glibc версии 2.5 и более поздние.
Образ darwin.iso поддерживает Mac OS X версии 10.11 и позднее.
Образ solaris.iso поддерживает какие может версии Solaris.
Изменения драйвера NSX: VMware Tools 10.2.5 поддерживают драйвер vnetWFP от Windows 7 и более поздних ОС.
Возможности Quiesced snapshots - теперь можно исключать некоторые файловые системы из "подмороженных" снапшотов (quiesced snapshots) в гостевых ОС Linux. Эта конфигурация может быть установлена в файле настроек VMware Tools (подробнее написано в документации).
Настройка отключения display resolution mode: в KB 53572 написано о том, как отключить эту настройку. Чтобы не позволить изменять разрешение экрана через VMware Tools, в VMX-файл виртуальной машины нужно добавить строчку: guestInfo.svga.wddm.modeset="FALSE"
Изменения в сетевом драйвере виртуальных сетевых адаптеров виртуальных машин VMXNET3:
Функции Receive Side Scaling (RSS) включены по умолчанию.
Receive Throttle: дефолтное значение этой настройки установлено в 30.
Важно отметить, что эти две настройки не обновят существующие сетевые адаптеры. Новые настройки будут применены только к свеженакатанным VMware Tools или при добавлении новых адаптеров к ВМ. Для обновления существующих адаптеров используйте скрипт. Более подробно об этом рассказано в KB 2008925.
Загрузить VMware Tools 10.2.5 можно по этой ссылке. Release notes доступны тут, а полный набор документации - тут.
На днях компания VMware обновила свое средство для управления виртуальной инфраструктурой на базе технологии HTML5 - на сайте проекта VMware Labs появился VMware vSphere Client версии 3.36.
Напомним, что о версии 3.34 этого продукта мы писали в середине февраля вот тут, поэтому давайте взглянем на новые функции и улучшения последних двух версий клиентов - VMware vSphere Client 3.36 и 3.35:
Кастомизация дополнительных устройств и опций при создании виртуальной машины или ее клонировании:
Host USB device
SCSI controller
USB controller
SATA controller
CPU > CPUID Mask > Advanced
VM Options > VMRC options
VM Options > VMware Tools > Power Operations
VM Options > Power Management > Wake up on LAN
VM Options > Advanced Configuration Parameters
VM Options > Fibre Channel NPIV
Оповещение перед тем, как происходит операция над шаблоном ВМ, который в данный момент управляется клиентом.
Улучшения интерфейса для быстрого поиска (Quick search).
Улучшения в панели управления дисками ВМ - теперь они объединяются в группы в разделе VM Summary->Edit Settings (если их больше 4 штук).
Несколько исправлений багов и мелких улучшений.
Скачать VMware vSphere Client 3.36 можно по этой ссылке.
Недавно мы писали о полезном документе для администраторов VMware vSphere 6.5 - Performance Best Practices for VMware vSphere 6.5. Этот документ обязательно надо прочитать, там много всего полезного и интересного.
Например, там есть немного про улучшение команды esxtop, показывающей производительность хоста и виртуальных машин в различных аспектах. Теперь там добавилась метрика Power Management, где можно в реальном времени наблюдать за актуальной частотой процессора. Эта информация теперь отображается в колонке %A/MPERF.
Чтобы добавить ее, после запуска esxtop нажмите клавишу <p> и затем клавишу <f> для добавления колонки.
Вы увидите значения, некоторые из которых больше 100. Например, для процессора 2 и 4 на картинке выше значения равны 150. При этом это процессор Xeon E5-2699 v3 2.3 ГГц с функцией разгона частоты Turbo Boost до 3.6 ГГц. Значение 150 означает, что в данный момент процессор работает на частоте 2.3*1.5 = 3.45 ГГц, то есть почти на пределе.
Компания VMware выпустила отличную книгу об обновлении на последнюю версию платформы виртуализации VMware vSphere 6.5 Upgrade eBook. Эта небольшая книга из 32 страниц рассказывает о планировании и реализации процесса апгрейда на vSphere 6.5 и включает в себя множество таблиц, диаграмм и ссылок на документацию о процессе обновления:
Кстати, книга будет особенна полезна пользователям VMware vSphere 5.5, так как поддержка этой версии прекратится 19 сентября этого года.
В книге процесс апгрейда разбит на три фазы:
Фаза 1: Pre-upgrade – обозначает фронт работ и требований, которые должны быть выполнены перед началом процедуры апгрейда.
Фаза 2: Upgrade – описание шагов процесса обновления и иллюстрация их исполнения.
Фаза 3: Post-Upgrade – валидация результата в соответствии с изначально поставленными целями.
В качестве примера в документе рассматриваются 2 пути обновления:
vSphere 5.5 на vSphere 6.5
vSphere 6.0 на vSphere 6.5 Update 1
Для каждого из этих сценариев рассматриваются требования и решения, которые необходимо принимать в процессе апгрейда. Все снабжено понятными картинками.
В общем, документ весьма конкретный и полезный. И главное - там очень много нужных ссылок на блоги, статьи KB, документацию и обучающие лабы. Это все - мегаполезные материалы.
Скачать VMware vSphere 6.5 Upgrade eBook можно по этой ссылке.
Продолжаем информировать вас о выпусках обновлений и заплаток уязвимостей Meltdown и Spectre для виртуальной инфраструктуры VMware vSphere. Напомним наши прошлые посты:
На днях наш читатель Стас прислал новость о том, что VMware выпустила обновления, закрывающие уязвимость Spectre, на этот раз для ключевых компонентов виртуальной инфраструктуры - серверов vCenter и ESXi. Таким образом, согласно VMware Security Advisory VMSA-2018-0004.3, теперь от уязвимости Spectre защищены все основные продукты VMware трех последних поколений:
Начнем с обновлений для vCenter. Тут были выпущены следующие апдейты:
Для серверов VMware ESXi были выпущены следующие патчи:
ESXi550-201803001 (ESXi550-201803401-BG и ESXi550-201803402-BG)
ESXi600-201803001 (ESXi600-201803401-BG и ESXi600-201803402-BG)
ESXi650-201803001 (ESXi650-201803401-BG и ESXi650-201803402-BG)
Чтобы скачать эти обновления для ESXi, нужно пойти VMware Patch Portal и поискать там обновления для соответствующей версии ESXi.
Кроме наката патчей гипервизора VMware ESXi, вам также придется обновить микрокод серверов. Более подробная информация об этом приведена в KB 52085.
Помните, что порядок наката обновлений безопасности таков:
1. Накатываем обновления vCenter.
2. Обновляем ПО гипервизора на серверах VMware ESXi - накатываем апдейты, заканчивающиеся на 01-BG (позволяет гостевым ОС использовать новый механизм speculative-execution control), одновременно с этим обновляем и микрокод серверов (апдейты, заканчивающиеся на 02-BG), которое применяется в процессе загрузки ESXi. Оба патча накатываются в рамках одного профиля.
На сайте nolabnoparty.com появилась отличная статья о том, как нужно выключать и включать кластер отказоустойчивых хранилищ VMware vSAN таким образом, чтобы не повредить данных, и включить его потом без особых проблем. Инструкция может оказаться полезной тем администраторам, которым необходимо остановить кластер vSAN целиком в целях обслуживания оборудования (серверы, коммутаторы, стойка и т.п.).
Выключение кластера vSAN
1. Для начала вам нужно выключить все виртуальные машины, кроме сервера VMware vCenter (неважно, обычный это VC или vCSA):
2. Мигрируем с помощью vMotion сервер vCenter на хост ESXi01 (тот хост, который вы считаете своим первым хостом в виртуальной инфраструктуре):
Также на первый хост ESXi настоятельно рекомендуется перевести контроллер домена Active Directory.
3. Теперь надо убедиться, что в данный момент в кластере vSAN нет процессов ресинхронизации (Resyncing Components). Для этого надо зайти в соответствующий раздел на вкладке Monitor:
На этом скриншоте видно, что никаких процессов ресинхронизации сейчас не идет. Если они у вас есть, то следует дождаться их завершения.
4. Переводим все хосты VMware ESXi (кроме ESXi01) в режим обслуживания (Maintenance Mode):
В настройках режима обслуживания уберите галку с варианта переместить машины (Move powered-off and suspended virtual machines...), а также выберите вариант не перемещать данные кластера vSAN (No data evacuation):
5. Выключите гостевую ОС виртуальной машины c VMware vCenter. Для этого в контекстном меню vCenter или vCSA выберите пункт Shut Down Guest OS:
После этого у вас, само собой, отпадет соединение с VMware vSphere Web Client:
6. Зайдите на хост ESXi через ESXi Host Client (ссылка https://<ip esxi>/ui) и переведите сервер в режим обслуживания, выбрав из контекстного меню пункт Enter maintenance mode:
Аналогично укажите, что не нужно переносить данные кластера vSAN:
Также это можно сделать следующей командой esxcli в консоли сервера:
# esxcli system maintenanceMode set -e true -m noAction
Включение кластера VMware vSAN
1. Сначала последовательно выводим хосты ESXi из режима обслуживания, начав с первого:
Сделать это также можно командой esxcli:
# esxcli system maintenanceMode set -e false
2. Включаем на хосте ESXi01 сервер vCenter и контроллер домена Active Directory:
3. Идем на вкладку Monitor и там в разделе Health убеждаемся, что все узлы в порядке и кластер vSAN прошел все проверки:
4. Только после этого включаем все виртуальные машины:
RSS
