Представляем вам очередную статью нового автора VM Guru - Максима Федотенко. В первой части статьи Максима "Рекомендации по защите инфраструктуры виртуальных десктопов, созданных на базе платформы VMware View" было рассказано о сетевой инфраструктуре в контексте безопасности VDI-решения. Во второй статье цикла речь пойдет о некоторых рекомендациях по настройкам серверов и служб технологической инфраструктуры VMware View.
Мы уже писали о продукте VMware vCenter XVP Manager and Converter, который доступен с сайта проекта экспериментальных разработок VMware Labs и позволяет перенести часть базовых задач по управлению виртуальной средой Hyper-V на сторону vCenter. Делается это через vCenter XVP Manager plug-in для vSphere Client. Однако официально со стороны VMware это решение не поддерживается, поэтому представляло оно интерес только для тех, кому интересно покрутить Hyper-V в своей тестовой лаборатории.
После выпуска Microsoft Hyper-V 3.0 в составе Windows Server 2012, который, помимо прочего, позволяет управлять серверами VMware vSphere, компания VMware стала всерьез задумываться о том, как можно управлять гибридной средой гипервизоров ESXi и Hyper-V. Как результат - появилась информация о том, что в скором времени будет выпущен официальный VMware vSphere Multi-Hypervisor Manager (MHM) с поддержкой управления серверами Microsoft Hyper-V 3.0, поставляемый в виде плагина к vSphere Client.
Как мы видим из картинки, vCenter MHM 1.0 будет предоставлять следующие возможности по управлению сторонними гипервизорами:
Добавление/удаление хостов Hyper-V в окружение vCenter
Информация о конфигурации хостов Hyper-V (processor, memory, network)
Создание/удаление виртуальных машин на Hyper-V
Удаленная консоль как к самим хостам Hyper-V, так и к виртуальным машинам
Простейшие операции по управлению питанием хостов и виртуальных машин (power off, power on, suspend, shut down guest и reset)
Изменение настроек виртуальных машин: память, vCPU, диски, сетевые адаптеры и прочее виртуальное "железо"
Отображение задач для хостов Hyper-V и виртуальных машин на общей панели задач и событий vSphere Client
Интегрированная авторизация с vCenter
На прошедшем VMworld 2012 на тему vSphere Multi-Hypervisor Manager было не так много информации:
Архитектура решения:
Как сообщается, плагин MHM для vCenter будет доступен бесплатно для всех пользователей VMware vSphere, у которых есть vCenter Standard. Выпуск решения VMware vSphere Multi-Hypervisor Manager ожидается в самое ближайшее время.
Мы уже писали о том, что после выхода новой версии платформы виртуализации VMware vSphere 5.1, оказалось, что она несовместима с последней версией решения для виртуализации настольных ПК предприятия - VMware View 5.1 (а также и с некоторыми другими продуктами). Происходило это из-за новой возможности View Storage Accelerator, которая при использовании функционала Content Based Read Cache (CBRC) приводила к многочисленным запросам CBRC, из-за которых терялась связь с хост-сервером ESXi 5.1.
В конце прошлой недели компания VMware, наконец, решила эту проблему, выпустив релиз VMware vSphere 5.1.0a, полностью поддерживающий View 5.1 (обратите внимание, что версия ESXi 5.1 не изменилась, т.е. обновлять нужно vCenter, а на ESXi 5.1 можно просто накатить патч ESXi510-201210001):
Обновленный ISO-образ гипервизора ESXi: VMware-VMvisor-Installer-201210001-838463.x86_64.iso. Подробности доступны в KB 2035268. Для обновления VMware vCenter 5.1.0a доступны Release Notes, где указаны исправленные ошибки. Странно, что патч накатывается не на компоненты VMware View 5.1, а на вышедшую позже платформу vSphere 5.1.
И еще одна приятная новость - вышел VMware Converter 5.0.1 с поддержкой vSphere 5.1. Вышел он аккурат после выпуска Microsoft Virtual Machine Converter Tool 1.0, который vSphere 5.1 не поддерживает, что как бы намекает.
Но это еще не все. Обновились также и следующие продукты:
Мы уже писали о виртуальном модуле VMware vCenter Server Appliance (vCSA), который представляет собой готовую к развертыванию виртуальную машину, содержащую сервисы управления виртуальной инфраструктурой VMware vSphere. Также мы уже писали о настройке vCSA для работы с внешней СУБД Oracle. В этом посте мы хотели бы обобщить актуальную информацию по VMware vCenter Server Appliance версии 5.1, который построен на базе 64-битного SUSE Linux Enterprise Server 11, а также привести полезные ссылки по работе с этим средством. Основные требования vCSA 5.1:
2 vCPU для виртуальной машины
8 ГБ памяти
Около 80 ГБ диска для нормальной работы
Итак, во-первых, небольшое видео по первичной установке и настройке vCSA 5.1:
Во-вторых, приведем причины, по которым вам может быть полезно использовать vCSA 5.1:
Простота развертывания и настройки виртуального модуля в тестовых окружениях
В некоторых наших статьях мы уже затрагивали приемы работы с утилитой vsish (VMkernel Sys Info Shell), которая есть в консоли хостов VMware ESXi, и которая предназначена для управления огромным числом обычных и скрытых настроек сервера и ядра VMkernel (то, что раньше управлялось с помощью команды esxcfg-advcfg). Например, мы уже писали про то, как с помощью vsish можно:
Однако, как вы уже догадались, эти три примера не являются исчерпывающими вариантами использования утилиты vsish. Напомним, что работать с ней нужно в следующем формате:
Запускаем утилиту:
~ # vsish
Далее узнаем значение параметра или настройки:
/> get <параметр, путь к файлу>
Устанавливаем новое значение:
/> set <параметр, путь к файлу> <значение>
Можно выполнить команду сразу, с опцией -e. Например:
~ # vsish -e get /power/hardwareSupport
Большинство параметров утилиты vsish, содержащие путь /config - это расширенные настройки хоста ESXi, которые вы можете редактировать в Advanced Settings через vSphere Client или vSphere Web Client. Вот, например, мы недавно писали о том, как административные привилегии на ESXi назначить пользователю из Active Directory:
Для этой настройки есть соответствующий путь для vsish. Выглядит он так:
/config/HostAgent/plugins/hostsvc/esxAdminsGroup
Однако vsish позволяет редактировать и скрытые настройки ESXi, которые недоступны для изменения через GUI. Полный список настроек vsish для хостов VMware ESXi 4.1 и выше приведен у Вильяма Лама:
Автор сайта v-front.de выпустил обновленную версию утилит ESXi5 Community Packaging Tools 2.0 (ESXi5-CPT), которые позволяют создавать пакеты для VMware ESXi в форматах VIB (VMware Installation Bundle) and ZIP (VMware Offline Bundle). Для VIB-файлов их статус (acceptance level) будет указан как Community Supported. Об этих утилитах от Andreas Peetz мы уже писали вот тут. Зачастую, эти утилиты необходимы пользователям для включения сторонних драйверов устройств в состав дистрибутива платформы ESXi, которые отсутствуют в стандартном комплекте поставки.
Новые возможности ESXi5 Community Packaging Tools 2.0:
Поддержка VMware ESXi 5.1.
Обновленный TGZ2VIB5.cmd 2.0:
Добавлены новые опции GUI с дополнительными настройками VIB и параметрами установки
Добавлено меню для загрузки шаблонов настроек для различных типов пакетов (например, "Hardware driver" или "Firewall rule")
Возможность не указывать контрольные суммы в дескрипторном XML-файле
Утилита VIB2ZIP не изменялась.
Скачать ESXi5 Community Packaging Tools 2.0 можно по этой ссылке.
Также, напомним, что на сайте проекта VMware Labs есть еще одно средство для создания VIB-пакетов для VMware ESXi, но работающее только в командной строке и под Linux - VIB Author.
Одна из дополнительных опций VIB Author - это возможность задания электронной подписи к VIB-файлу, однако это не требуется для пакетов уровня Community Supported. Кроме того, VIB Author позволяет редактировать далеко не все директории, поэтому ESXi5-CPT - наш выбор.
Иногда при попытке вывести хост VMware ESXi из домена AD с помощью vSphere Client пользователь видит вот такую ошибку:
The operation is not allowed in the current state
В этом случае вам необходимо сделать "Clean up" конфигурации Active Directory. Для этого заходим в консоль хоста через DCUI или SSH и выполняем следующие команды:
1. Останавливаем демон lsassd:
/etc/init.d/lsassd stop
2. Удаляем папку db на хосте:
rm /etc/likewise/db/
3. Запускаем демон lsassd:
/etc/init.d/lsassd start
После этого выведение хоста ESXi из Active Directory должно пройти успешно.
Среди новых возможностей VMware vSphere 5.1 мы еще не упоминали о том, что теперь в подсистеме безопасности хост-серверов VMware ESXi 5.1 появились некоторые улучшения. Во-первых, учетным записям обычных пользователей (named user accounts) можно назначать полностью административные привилегии, чего раньше не было.
Это означает, что такие пользователи не нуждаются в использовании общего root-аккаунта при выполнении различных операций на хост-серверах ESXi (например, просмотр логов или выполнение команд esxtop и vmkfstools). То есть теперь не надо вополнять в консоли команду "su", а можно просто работать под своим административным аккаунтом. Раньше эта необходимость вызывала некоторые проблемы, так как важные операции, выполняемые несколькими администраторами, логировались как один аккаунт "root".
Для новых административных аккаунтов ESXi 5.1 нужно помнить, что:
Завести их можно только прямым соединением vSphere Client к хосту, а не через Web Client.
Для массового создания административных аккаунтов на хостах ESXi можно использовать функции Host Profiles.
Административные привилегии можно назначить пользователю (группе) из Active Directory. Для этого нужно создать группу администраторов серверов ESXi в AD, а потом добавить ее в расширенные настройки хоста ESXi. Для этого нужно зайти в Advanced Settings в vSphere Client, далее Config –> HostAgent и добавить нужную группу AD в параметр "Config.HostAgent.plugins.hostsvc.esxAdminsGroup":
Во-вторых, административные привилегии могут быть отобраны у встроенного аккаунта root, чтобы злоумышленник, в случае его получения, не мог им воспользоваться на хосте ESXi.
В-третьих, появилась возможность автоматически терминировать сущствующие неактивные сессии пользователей в консоли ESXi. Для настройки этого параметра нужно зайти Advanced Settings в vSphere Client, далее UserVars и выставить там следующее значение в секундах:
UserVars.ESXiShellInteractiveTimeOut
Как многие помнят, в vSphere 5 была расширенная настройка UserVars.ESXiShellTimeOut, которая задавала таймаут в секундах, по прошествии которого доступ к ESXi Shell или SSH, будучи включенным однажды - автоматически отключался:
То есть, по прошествии этого времени нельзя уже зайти на хост ESXi, и администратору не нужно заботиться об отключении сервиса. Однако все его сессии, если он их не прекратил продолжали работать, что может быть небезопасно.
Поэтому в ESXi 5.1 и появилась дополнительная настройка ESXiShellInteractiveTimeOut, которая определяет время, по истечении которого пользователь неактивной консоли (DCUI или SSH) будет автоматически разлогинен.
Данная статья посвящена аспектам защиты инфраструктуры виртуальных десктопов, построенной на базе программного обеспечения VMware View. На текущий момент у VMware отсутствуют рекомендации по обеспечению защиты инфраструктуры VMware View наподобие Hardening Guide для VMware vSphere. Точнее сказать они есть, но разрозненны и находятся в различных документах. В части 1 статьи попытаемся рассмотреть рекомендации, которые могут предъявляться к сетевой архитектуре инфраструктуры виртуальных ПК.
Продолжаем знакомить вас с продуктом vGate R2 от компании Код Безопасности, который предназначен для защиты виртуальной инфраструктуры VMware vSphere средствами политик безопасности для хост-серверов и виртуальных машин, а также средствами защиты от несанкционированного доступа. Сегодня мы поговорим о системных требованиях продукта. Напомним, что решение vGate R2 состоит из следующих компонентов...
Не так давно мы писали про то, как работает механизм динамического выравнивания нагрузки на виртуальные хранилища VMware Storage DRS. Напомним, что он работает на базе 2-х параметров хранилищ:
Заполненность - в этом случае SDRS выравнивает виртуальные машины для равномерного заполнения хранилищ.
Производительность - при использовании этих метрик SDRS старается динамически перенести виртуальные машины с более нагруженных по параметрам ввода-вывода хранилищ на менее загруженные.
Однако бывает так, что несколько виртуальных хранилищ (Datastores) располагаются на одних и тех же RAID-группах, а значит миграция хранилищ виртуальных машин между ними ничего не даст - суммарно бэкэнд-диски системы хранения будут испытывать ту же самую нагрузку.
Например, бесполезна (с точки зрения производительности) будет миграция с Datastore1 на Datastore2:
Раньше этот факт не учитывался механизмом SDRS в vSphere 5.0, что приводило к бесполезным миграциям в автоматическом режиме. Теперь ситуация изменилась к лучшему в версии vSphere 5.1.
Как многие знают, в VMware vSphere есть механизм Storage IO Control (SIOC), который позволяет измерять мгновенную производительность хранилищ (параметр latency - задержка команд ввода-вывода) и регулировать очередь HBA-адаптеров на хостах ESXi. Так вот, одна из техник SIOC Injection позволяет производить тестирование виртуальных хранилищ на наличие корреляции производительности между ними.
Делается это следующим образом: SIOC запускает тестовую рабочую нагрузку на случайно выбранном Datastore1, измеряет latency, а потом отдельно от него запускает нагрузку на другом Datastore2 и также смотрит на latency:
Это нужно для установления базового уровня производительности для этих виртуальных хранилищ. Потом SIOC запускает нагрузку одновременно на 2 этих хранилища и смотрит, что происходит с latency:
Если оба этих хранилища физических расположены на одних и тех же дисковых устройствах (как в нашем случае), то измеряемые latency в данном случае возрастут, что говорит о взаимной корреляции данных хранилищ в плане производительности.
Узнав про этот факт, Storage DRS не будет генерировать рекомендации по перемещению виртуальных машин между хранилищами Datastore1 и Datastore2:
Однако эти рекомендации перестанут генерироваться только на базе производительности, на базе заполненности хранилищ такие рекомендации останутся.
Как мы уже писали, в VMware vSphere 5.1 появилось множество новых возможностей, в том числе улучшения, касающиеся аппаратной виртуализации (Hardware Virtualization), которая позволяет запускать вложенные гипервизоры (Hyper-V и ESXi) и виртуальные машины в них. Про то, как это работает в VMware vSphere 5.0, мы уже детально писали вот тут.
В интерфейсе веб-клиента VMware vSphere 5.1 поддержка аппаратной виртуализации включается в настройках виртуальной машины:
Настройки, которые были действительны для ESXi 5.0 - теперь не работают. Все теперь включается только через эту галочку.
Напомним, что в ESXi 5.0 можно было запускать вложенные (Nested) 32-битные и 64-битные виртуальные машины в гипервизорах, которые сами работают в виртуальных машинах. При этом требовалось только наличие поддержки аппаратной виртуализации в процессорах - Intel VT или AMD-V. Если же в вашем процессоре не было поддержки Intel EPT или AMD RVI, то вложенные 64-битные машины работали очень и очень медленно.
Поэтому VMware в vSphere 5.1 решила изменить концепцию, сделав так:
Если в процессоре есть поддержка Intel VT или AMD-V без EPT/RVI, то вы сможете устанавливать ESXi 5.1 в виртуальной машине, а также использовать вложенные 32-битные виртуальные машины. При этом 64-битные работать не будут, а опция "Hardware Virtualization" в vSphere Web Client будет загреена. Во время установки ESXi в виртуальной машине вы увидите сообщение "No Hardware Virtualization Support", которое можно просто игнорировать.
Если в процессоре есть поддержка аппаратной виртуализации и EPT/RVI, то можно использовать вложенные 64-битные ВМ.
Проверить свой хост-сервер на наличие поддержки технологий аппаратной виртуализации можно на соответствующих ресурсах вендоров (например, ark.intel.com). Есть и способ попроще - для этого надо использовать Managed Object Browser. Зайдите на хост ESXi по адресу:
Там будет такое свойство nestedHVSupported, которое будет установлено в True, если процессор поддерживает полный набор техник аппаратной виртуализации, который необходим для запуска вложенных 64-битных виртуальных машин на виртуальном ESXi 5.1.
Frank Denneman опять написал интересную статью. Оказывается у механизма VMware Storage DRS, который производит балансировку виртуальных машин по хранилищам кластера SDRS, есть механизм задания допустимого уровня over-commitment для хранилища при миграции ВМ на тонких дисках.
Как вы знаете, у тонких VMDK-дисков (Thin Disks) виртуальных машин есть 2 параметра:
Provisioned Space - максимальный размер VMDK-файла, до которого может вырости диск виртуальной машины.
Allocated Space - текущий размер растущего VMDK-диска.
Разность этих двух парметров есть значение IdleMB, отражающее объем, на который виртуальный диск еще может вырасти. В расширенных настройках Storage DRS можно задать параметр PercentIdleMBinSpaceDemand, который определяет, сколько процентов от IdleMB механизм SDRS прибавляет к Allocated Space при выдаче и применении рекомендаций по размещению виртуальных машин на хранилищах кластера.
Рассмотрим на примере. Пусть максимальный размер диска VMDK составляет 6 ГБ при Allocated Space в 2 ГБ. Допустим мы задали PercentIdleMBinSpaceDemand = 25%. Тогда мы получим такую картину:
Таким образом, при размещении виртуальной машины на хранилище механизм Storage DRS будет считать, что ВМ занимает не 2 ГБ дискового пространства, а 2+0.25*4 = 3 ГБ. Ну и увидев такую машину на 10 ГБ-хранилище, механизм SDRS, при расчете выравнивания хранилищ по заполненности, будет считать что она занимает 3 ГБ, и свободно осталось лишь 7 ГБ.
Регулируя эту настройку можно добиться различных коэффициентов консолидации тонких VMDK-дисков машин на хранилищах. Ну и очевидно, что значение параметра PercentIdleMBinSpaceDemand равное 100% приведет к тому, что тонкие диски при размещении будут учитываться как их обычные flat-собратья.
В новой версии VMware vSphere 5.1 для хостов ESXi 5.1 в консольном интерфейсе управления esxcli появилось множество нововведений. Во-первых, появилось 82 новых команды esxcli:
7 в категории hardware
2 в категории sched
47 в категории network
15 в категории storage
11 в категории system
Во-вторых, компания VMware выпустила вот такой замечательный постер, из которого можно узнать, как управлять хостом ESXi 5.1 через esxcli:
Теперь через esxcli можно делать операции shutdown, reboot и перевод хоста в maintenance mode.
Например, чтобы узнать, находится ли хост уже в режиме обслуживания нужно выполнить команду:
# esxcli system maintenanceMode get
Disabled
#
А чтобы перевести хост в maintenance mode нужно выполнить:
# esxcli system maintenanceMode set -e true -t 0
#
# esxcli system maintenanceMode get
Enabled
#
Выключить хост ESXi можно так (-d 10 это то же, что и --delay="10", а -r это --reason):
# esxcli system shutdown poweroff -d 10 --reason="Hardware maintenance"
delay здесь задается в секундах.
Перезагрузить можно так:
# esxcli system shutdown reboot -d 10 –r "Patches applied"
Но самое интересное, что теперь появились команды, которые позволяют посмотреть отличия Advanced Settings от дефолтных настроек на хосте ESXi 5.1, что очень полезно при поиске и решении проблем с хост-сервером и его виртуальными машинами. Делается это с помощью команды (-d это то же, что и --delta):
# esxcli system settings advanced list -d
Вывод, например, может быть таким:
Path: /UserVars/SuppressShellWarning
Type: integer
Int Value: 1
Default Int Value: 0
Min Value: 0
Max Value: 1
String Value:
Default String Value:
Valid Characters:
Description: Don’t show warning for enabled local and remote shell access
Здесь мы видим, какое текущее значение расширенной настройки и какое дефолтное (о настройке /UserVars/SuppressShellWarning написано тут). То же самое можно проделать и настройками VMkernel:
# esxcli system settings kernel list -d
Вывод, например, такой:
Name Type Description Configured Runtime Default
————— — ———————— ——— —— ——
smallFontForTTY Bool Use 50-line font for tty. true FALSE FALSE
Это значит, что была изменена настройка smallFontForTTY.
Многие из вас уже знакомы с сертфицированным средством vGate R2, которое предназначено для защиты виртуальной инфраструктуры VMware vSphere средствами политик безопасности для хост-серверов и виртуальных машин, а также за счет механизма защиты от несанкционированного доступа. Сегодня мы детально рассмотрим существующие в vGate R2 политики безопасности и опишем некоторые рекомендации по их применению.
Мы уже много писали о сравнении платформ виртуализации VMware vSphere с Microsoft Hyper-V в ОС Windows Server. Когда гипервизор Hyper-V был еще второй версии - безусловно, все такиесравнениявыигрывала VMware, кроме воттаких - весьма глупых по своей сути.
В итоге, поняв, что надо как-то отбиваться от маркетинговых вбросов Microsoft, весной компания VMware обратилась к известным каталам сферы виртуализации - компании Principled Technologies, которая сваяла в начале года очередной отчет "Total Cost Comparison: VMware vSphere vs. Microsoft Hyper-V", где vSphere 5 сравнивалась с Hyper-V в ключе затрат на администрирование инфраструктуры:
Этот отчет интересен, прежде всего тем, что в нем много внимание уделено различным типам операций в виртуальной инфраструктуре, которые требовали много времени в Hyper-V R2, наример, Quick Storage Migration:
Теперь такого с Hyper-V не провернешь - там есть и горячая миграция хранилищ, и прочие интересные вещи. Однако сам отчет почитать стоит, чтобы понять тот малый объем юзкейсов для СМБ, в котором инфраструктура VMware сэкономит деньги по сравнению с Microsoft.
Теперь обратим взор к свежей презентации "The VMware Advantage Over Hyper-V 3", сделанной 4 сентября этого года.
Посмотрим, что нам там пытается впарить VMware в ответ на это. Много поддерживаемых ОС - это хорошо:
А вот, что касается функционала (кликабельно):
По-сути, Hyper-V 3 обвиняется в двух основных грехах - слабая подсистема безопасности и отсутствие некоторых Enterprise-возможностей для работы с виртуальными машинами и хранилищами, такими как Storage DRS, SIOC, Auto Deploy и Host Profiles - все эти вещи есть только в издании Enterprise Plus, которое в разы дороже соответсвующего количества лицензий SC VMM и других необходимых компонентов System Center для построения виртуальной инфраструктуры на Hyper-V. Кроме того, нужность всех этих вещей для СМБ - под большим вопросом.
Опять идет неубедительный FUD про долгие операции в Hyper-V и быстрые в vSphere:
Ну и традиционное полотно про превосходство добра над злом:
Большинство из того, что здесь написано - это либо субъективное мнение VMware, либо Enterprise-возможности из дорогущего издания Enterprise Plus. Поэтому, это еще один способ убедиться, что VMware работает на Enterprise, не уделяя рынку СМБ должного внимания, в котором Microsoft в ближайшее время может перетянуть очень большое количество клиентов.
Не так давно мы уже писали о технологии виртуальных томов vVOL, представленной на VMworld 2012, которая позволит дисковым массивам и хостам оперировать с отдельными виртуальными машинами на уровне логического дискового устройства, реализующего их хранилище, что повысит производительность и эффективность операций с ВМ.
Там же, на VMworld 2012, компания VMware представила технологию vSAN, реализующую распределенное хранение данных ВМ на локальных хранилищах хост-серверов VMware ESXi (Distributed Storage):
Концепция vSAN, включающая в себя Distributed Storage, является продолжением существующего подхода к организации общих хранилищ виртуальных машин на базе локальных дисков серверов - VMware vStorage Appliance. Работает это средство обеспечения отказоустойчивости хранилищ за счет полного дублирования хранилищ одного из узлов кластера, а также репликации данных между ними:
Теперь же, в скором времени в гипервизор VMware ESXi будет включена технология Distributed Storage, которая позволит агрегировать вручную или автоматически дисковые емкости (HDD и SSD) хост-серверов в единый пул хранения с функциями отказоустойчивости и кэширования:
Разрабатывается эта концепция на волне распространения SSD-накопителей в серверном оборудовании и СХД. Единый пул хранения кластера Distributed Storage будет не только объединять диски серверов (туда добавляются диски без созданных разделов с определенным администратором вкладом емкости в общий пул) и предоставлять пространство хранения виртуальным машинам на любом из хостов, но и будет управляем средствами политик механизма Policy-Based Storage Management. Интересно то, что размер кластера хранилища для Distributed Storage будет равен размеру кластера хостов (сейчас 32), в рамках которого все хосты имеют возможность использовать агрегированную емкость пула, даже те серверы, что не имеют дисков вовсе.
Все это будет интегрировано с механизмами HA, vMotion и DRS в целях обеспечения отказоустойчивости и балансировки нагрузки на хост-серверы. Кроме этого, агрегированный пул хранилищ будет поддерживать все основные технологии VMware для работы с хранилищами: снапшоты ВМ, связанные клоны, vSphere Replication (vR) и vStorage APIs for Data Protection (vADP).
С точки зрения политик хранения, Distributed Storage будет предоставлять следующие варианты для каждой виртуальной машины:
Доступная емкость и объем ее резервирования.
Уровень отказоустойчивости (степень дублирования данных на узлах = количество реплик).
Уровень производительности (какое количество SSD-кэша выделить для обслуживания реплик, а также число страйпов для диска ВМ, если необходимо).
Данные в кластере VMware Distributed Storage хранятся на локальных дисках узлов по схеме RAID-1, так как это дает максимальный экономический эффект с точки зрения затрат на 1 IOPS при условии комбинирования HDD-хранилищ данных и SSD-хранилищ кэша и данных (подробнее тут). SSD-кэш работает как фронтэнд для HDD-дисков, обрабатывая кэширование чтений и буферизацию записи для операций кластера, при этом сделано множество оптимизаций кэша для увеличения вероятности попаданий в кэш при чтении данных ВМ с дисков различных узлов.
Ну а на практике vSAN уже работает в лабораториях VMware, где инженеры демонстрируют возможности Distributed Storage:
Информации о времени доступности технологии VMware Distributed Storage пока нет. Возможно, базовые функции vSAN будут реализованы в VMware vSphere 6.0.
Перед пользователями бесплатного продукта vSphere Hypervisor (ESXi Free), которые используют версию ESXi 5.0, после выхода VMware vSphere 5.1 встала проблема обновления продукта на версию 5.1.
Пошаговая инструкция, как обновить хосты ESXi 5.0 на ESXi 5.1:
1. Скачиваем ESXi 5.1 Offline Bundle с сайта VMware (файл VMware-ESXi-5.1.0-799733-depot.zip). Если вы не авторизованы для загрузки файла, то можно использовать ссылку на загрузку пробной версии vSphere 5.1.
2. Загружаем этот бандл на одно из хранилищ VMware ESXi.
3. Соединяемся с хостом по SSH и выполняем следующую команду:
install - полностью переустановит все пакеты ESXi 5.0 на 5.1 - аналог чистой установки.
update - обновит пакеты, относящиеся к ESXi 5.0 на 5.1, но не тронет сторонние пакеты - например, драйверы устройств, которые вы устанавливали самостоятельно.
4. Перезагрузите сервер VMware ESXi.
При включении виртуальной машины, после обновления на ESXi 5.1, вы можете получить сообщение:
This Virtual Machine might have been moved or copied
Это из-за того, что у хоста ESXi 5.1 появился новый UUI. Выбирайте "I moved it". Подробнее тут.
После того, как вы поняли, что хост ESXi 5.1 работает стабильно - время обновить Virtual Hardware и VMware Tools. Если вы не знаете, как это делать, то загляните в KB 1010675.
Если же ваш хост VMware ESXi 5.0 имеет доступ в интернет, то можно обновить сервер на ESXi 5.1 напрямую из репозитория VMware. Для этого:
1. Открываем доступ в сетевом экране ESXi для http-клиента:
esxcli network firewall ruleset set -e true -r httpClient
2. Делаем чистую установку (install) напрямую из хранилища:
Из этого постера можно узнать о том, как работают 3 основных составляющих сетевого взаимодействия виртуальной облачной инфраструктуры VMware:
vSphere Standard Switch (VSS) - обычный виртуальный коммутатор на хостах ESXi.
vSphere Distributed Switch (VDS) - распределенный виртуальный коммутатор, предоставляющий функции централизованного управления сетевой инфраструктурой через vCenter.
Virtual Extensible Local Area Network (VXLAN) - новая технология для облачных инфраструктур, пришедшая на смену VLAN, описанная у нас тут.
На постере приведены различные параметры настройки обычного и распределенного коммутаторов, которые могут оказаться полезными для администраторов, поэтому можно распечатать постер в формате A2+, повесить на стену и обращаться к нему по мере надобности. Он также будет полезен при общении с сетевыми администраторами компании.
vSphere Storage Appliance теперь входит в издания vSphere 5.1 (также доступно и приобретение отдельно).
Издание VMware vSphere 5.1 Enterpise Plus позволяет иметь до 64 vCPU виртуальных машин, появилась поддержка SR-IOV, а также технологии VXLAN..
Издание VMware vSphere 5.1 Standard приобрело множество возможностей. К ним относятся: механизм резервного копирования vSphere Data Protection (подробнее здесь), "горячее" добавление устройств виртуальной машины Hot Add, фреймворк антивирусной защиты vShield Endpoint, возможность репликации виртуальных машин vSphere Replication, кластеры непрерывной доступности vSphere Fault Tolerance и, главное, механизм "горячей" миграции хранилищ виртуальных машин vSphere Storage vMotion.
Мы уже писали о новых возможностях плафтормы виртуализации VMware vSphere 5.1, а также о принципах лицензирования продукта. Среди новых функций сетевого взаимодействия в vSphere 5.1 появились возможности Network Health Check, обеспечивающие проверку согласованности параметров на виртуальных распределенных коммутаторах VDS и физических коммутаторах, к которым подключены сетевые адаптеры серверов ESXi.
В рамках Network Health Check отслеживается корректность настройки следующих параметров (с интервалом в 1 минуту) для физических и виртуальных коммутаторов:
VLAN
MTU
Network adapter teaming
Делается это средствами Layer 2 Ethernet probing. Сегодня мы расскажем о том, как выглядит на практике Network Health Check при проверке VLAN, основываясь на материалах блогера Rickard Nobel. Для начала в vSphere Web Client для коммутатора VDS 5.1 зайдем на вкладку "Manage" в раздел "Health check":
Здесь мы видим, что функции Health check включены только для параметров VLAN и MTU. Частая проблема администраторов vSphere заключается в том, что настройки VLAN, сделанные в портгруппах на виртуальном коммутаторе VDS, не совпадают с настройками VLAN на портах физических свичей.
Например, для портгруппы VDS настроен VLAN 200, а сетевой администратор, который настраивал VLAN для портов физических коммутаторов, куда ведут аплинки серверов ESXi, пропустил один из портов физического коммутатора при настройке для пропускания фреймов VLAN 200. Вследствие этого, виртуальные машины могут работать хорошо, однако функции vMotion/DRS могут быть частично недоступны для некоторых из хостов.
Собственно, чтобы вовремя обнаружить такую ошибку, мы и включаем Network Health Check:
Теперь хосты ESXi будут слать броадкасты на все свои адаптеры vmnic, привязанные к VDS, и отслеживать, не дропают ли их порты физических коммутаторов. Эти фреймы будут тэгированы всеми VLAN ID, которые назначены для групп портов VDS. В нашем случе - это VLAN 100 и VLAN 200, которые мы видим в списке портгрупп:
Теперь мы видим новую вкладку "Monitor", где можно отслеживать жизнедеятельность VLAN на хостах. Заходим в подраздел "Health":
Здесь мы видим, что для одного хоста с настройками VLAN что-то не так. Смотрим детали:
Здесь мы видим, что для аплинков vmnic2 и vmnic3 не работает VLAN 200. Теперь неплохо бы в настройках VDS включить поддержку LLDP (режим Both или Advertise), чтобы определить порты физического коммутатора, с которыми связана данная проблема для конкретных аплинков, и не бегать в серверную.
Теперь на физическом коммутаторе смотрим порты, куда включены vmnic2 и vmnic3 командой (в данном случае команды для коммутатора HP):
# show lldp info remote
Мы видим порты свича, куда включены проблемные аплинки хоста. Теперь смотрим, для каких портов настроен VLAN 200 командой:
# show vlan 200
Видим, что VLAN 200 пропускается только на порту A13, а порт A14 не пропускает двухсотый VLAN. Исправляем ситуацию, добавляя VLAN 200 для порта A14, командой:
# vlan 200 tag A14
И выводим снова информацию по VLAN 200:
Теперь оба порта на физическом коммутаторе принимают кадры с VLAN ID 200.
Откроем vSphere Web Client for ESXi 5.1 и посмотрим, в каком состоянии теперь находятся аплинки VDS:
Теперь мы видим, что все корректно настроено, и порты физических коммутаторов пропускают нужные VLAN от обозначенных сетевых адаптеров хостов в портгруппах VDS.
После выхода финальной версии платформы виртуализации VMware vSphere 5.1 появились вопросы о том, как обстоят дела с совместимостью продукта с такими популярными решениями, как VMware View и Veeam Backup and Replication, а также другими корпоративными решениями.
Отвечаем вкратце - плохо.
Теперь подробнее. На тему совместимости VMware vSphere 5.1 с VMware View есть статья KB 2035268, где прямо указано, что версия vSphere 5.1 на данный момент не совместима ни с одной из версий решения VMware View (в том числе, последней - 5.1.1, которая была выпущена 16 августа).
Что касается Veeam Backup and Replication (последняя версия - 6.1), то VMware vSphere 5.1 также пока официально не поддерживается для резервного копирования виртуальных машин. Если вы попытаетесь сделать бэкап ВМ на одном из хостов ESXi, то получите следующее сообщение:
Error: Host with uuid 30303734-3536-5a43-4339-343030543957 was not found
Чтобы решить эту проблему, нужно сделать следующее:
1. Нажимаем Help--> License Information --> Licensed Hosts --> Select Host --> Revoke.
2. В vSphere Client создаем пустую ВМ на хосте ESXi, где возникла проблема.
3. Создаем backup job в продукте Veeam Backup and Replication и запускаем эту задачу для резервного копирования ВМ.
После этого задачи РК должны отрабатывать нормально, однако это на данный момент официально неподдерживаемая конфигурация. Нужно ждать версии Veeam Backup and Replication 6.5, которая должна подоспеть в ближайшем будущем.
Какие еще есть проблемы совместимости у VMware vSphere 5.1:
Проблемы с PowerPath - не обновляйтесь, лекарства пока нет. Об этом написано в KB 2034796. Решить проблему обещают в сентябре.
Проблема для Symmetrix Enginuity Microcode (VMAX 5875.x), где тома VMFS не создать из-за аппаратного ускорения массива (описано в Release Notes). На время создания нужно отключить Hardware Acceleration, для чего нужно поменять параметр VMFS3.HardwareAcceleratedLocking в Advanced Settings хост-сервера ESXi.
Как вы знаете, есть 2 версии продукта vGate R2 - обычная для коммерчеких компаний, и vGate-S R2 - для защиты инфраструктур организаций, работающих с гостайной. Об их отличиях мы уже писали вот тут. Оба этих продукта поддерживают следующие версии платформы виртуализации VMware vSphere:
Версия vSphere 5.1 продуктом vGate R2 пока не поддерживается, однако скоро ожидается выход версии продукта с ее поддержкой.
Также vGate R2 может быть использован и для защиты инфраструктуры виртуальных ПК VMware View (подробнее - тут) следующих версий:
VMware View 4.5
VMware View 4.6
Версия VMware View 5.0 будет поддерживаться в ближайшем будущем.
Что касается совместимости с другими продуктами Кода Безопасности для защиты виртуальных и физических сред, vGate R2 поддерживает следующие продукты:
Secret Net 5.1
Secret Net 6.5 x86
Secret Net 6.5 x64
TrustAccess 1.2
О совместном применении этих продуктов с vGate R2 мы уже писали тут. Кроме того, средство vGate R2 удобно использовать с электронным замком ПАК "Соболь" для физической защиты хост-серверов ESXi.
Как знают многие пользователи, среди новых возможностей VMware vSphere 5.1 есть так называемая Enhanced vMotion или "Shared-Nothing" vMotion - функция, позволяющая переместить работающую виртуальную машину на локальном хранилище ESXi на другой хост и хранилище с помощью комбинации техник vMoton и Storage vMotion в одной операции. Это означает, что для такого типа горячей миграции не требуется общее хранилище (Shared Storage), а значит и затрат на его приобретение. Напомним также, что функция Enhanced vMotion включена во все коммерческие издания VMware vSphere, кроме vSphere Essentials.
Давайте посмотрим поближе, как это все работет:
Сначала приведем требования и особенности работы vMotion при отсутствии общего хранилища:
Хосты ESXi должны находиться под управлением одного сервера vCenter.
Хосты должны находиться в одном контейнере Datacenter.
Хосты должны быть в одной Layer 2 подсети (и, если используется распределенный коммутатор, на одном VDS).
Enhanced vMotion - это исключительно ручной процесс, то есть функции DRS и Storage DRS не будут использовать миграцию машин без общего хранилища. Это же касается и режима обслуживания хоста (Maintenance Mode).
Для одного хоста ESXi может быть проведено не более 2-х Enhanced vMotion единовременно. Таким образом, на хост ESXi может одновременно приходиться максимум 2 штуки Enhanced vMotion и 6 обычных vMotion (всего 8 миграций на хост) + 2 операции Storage vMotion, либо 2 Enhanced vMotion (так как это также задействует Storage vMotion). Подробнее об этом тут.
Enhanced vMotion может проводить горячую миграцию одновременно по нескольким сетевым адаптерам хоста ESXi, если они имеются и настроены корректно.
Миграция Enhanced vMotion может быть проведена только через тонкий клиент vSphere Web Client (в обычном клиенте эта функция недоступна - см. комментарии):
Миграция Enhanced vMotion идет по обычной сети vMotion (а не по Storage Network), по ней передаются и диск ВМ, и ее память с регистрами процессора для обеспечения непрерывной работоспособности виртуальной машины во время миграции:
Теперь как это все работает последовательно. Сначала механизм Enhanced vMotion вызывает подсистему Storage vMotion, которая производит копирование данных по сети vMotion. Здесь важны 2 ключевых компонента - bulk copy и mirror mode driver.
Сначала механизм bulk copy начинает копирование блоков данных с максимально возможной скоростью. Во время этого часть блоков на исходном хранилище хоста может измениться - тут и вступает в дело mirror mode driver, который начинает поддерживать данные блоки на исходном и целевом хранилище в синхронном состоянии.
Mirror mode driver во время своей работы игнорирует те блоки исходного хранилища, которые меняются, но еще не были скопированы на целевое хранилище. Чтобы поддерживать максимальную скорость копирования, Mirror mode driver использует специальный буфер, чтобы не использовать отложенную запись блоков.
Когда диски на исходном и целевом хранилище и их изменяющиеся блоки приходят в синхронное состояние, начинается передача данных оперативной памяти и регистров процессора (операция vMotion). Это делается после Storage vMotion, так как страницы памяти меняются с более высокой интенсивностью. После проведения vMotion идет операция мгновенного переключения на целевой хост и хранилище (Switch over). Это делается традиционным способом - когда различия в памяти и регистрах процессора весьма малы, виртуальная машина на мгновение подмораживается, различия допередаются на целевой хост (плюс переброс сетевых соединений), машина размораживается на целевом хосте и продолжает исполнять операции и использовать хранилище с виртуальным диском уже целевого хоста.
Ну а если вы перемещаете виртуальную машину не между локальными дисками хост-серверов, а между общими хранилищами, к которым имеют доступ оба хоста, то миграция дисков ВМ идет уже по Storage Network, как и в случае с обычным Storage vMotion, чтобы ускорить процесс и не создавать нагрузку на процессоры хостов и сеть vMotion. В этом случае (если возможно) будет использоваться и механизм VAAI для передачи нагрузки по копированию блоков на сторону дискового массива.
Компания VMware сделала доступными для скачивания продукты VMware vSphere 5.1, Site Recovery Manager 5.1, vSphere Storage Appliance 5.1 и другие продукты, про новые возможности которых мы уже писали в следующих статьях:
Напомним, что отмена лицензирования по vRAM для vSphere имеет и обратный эффект - на версию 5.0. То есть, в VMware vSphere 5.0 вы можете использовать столько памяти виртуальных машин, сколько вам нужно, не обращая внимания на алерты (видимо, до выхода соответствующего патча). Версии Essentials и Esssentials Plus нужно будет обновить для отмены ограничения, поскольку там был захардкоженный лимит.
Мы уже писали про новые возможности платформы виртуализации VMware vSphere 5.1, виртуального хранилища vSphere Storage Appliance 5.1 и средства катастрофоустойчивости виртуальной инфраструктуры VMware Site Recovery Manager 5.1, которые были представлены на конференции VMworld 2012. Сегодня мы расскажем еще об одной инициативе VMware для средних и крупных предприятий - решении VMware vCloud Suite, объединяющем перечисленные выше продукты и некоторые другие.
Как мы видим из картинки, VMware vCloud Suite - это, можно сказать, многокомпонентный продукт, лицензируемый на физические процессоры хост-серверов VMware vSphere 5.1 и выше (независимо от числа ВМ), который построен на базе издания Enterprise Plus. Это именно продукт, а не пакет, так как нельзя разделять лицензии различных составляющих на процессоры разных хост-серверов ESXi или виртуальных машин. Каждая из ВМ, работающих в рамках продукта, может использовать любой из его компонентов.
Состав пакета VMware vCloud Suite (основные компоненты):
Платформа виртуализации VMware vSphere Enterprise Plus
Средство обеспечения катастрофоустойчивости VMware SRM
Из преведенных выше продуктов незнакомым является vCloud Networking and Security (vCNS). Что это? Все просто - это еще один ребрендинг и репакаджинг семейства продуктов VMware vShield:
Что касается изданий VMware vCloud Suite, их 3 штуки: Standard, Advanced и Enterprise (кликабельно):
Если у вас уже есть VMware vSphere в любом из изданий, то вы можете обновиться до vCloud Suite по специальным парт-номерам:
Если есть не только vSphere, но и, например, SRM - то можно обновиться со скидкой 90% на соответствующий компонент:
Пример преобразования существующих лицензий со скидкой:
Но самое интересное то, что пользователи VMware vSphere Enterprise Plus получают vCloud Suite Standard абсолютно бесплатно до 15 декабря 2012 года. То есть, берете и прямо сейчас получаете лицензии на SRM, vCOPs и другое:
Также до этого времени можно покупать vSphere Enterprise Plus и бесплатно получать лицензии на компоненты vCloud Suite Standard. Так что если есть желание продвинуть свою инфраструктуру - торопитесь.
Мы уже писали о возможностях новой версии платформы виртуализации VMware vSphere 5.1 и принципах ее лицензирования, однако не затрагивали важного для пользователей продукта - бесплатного VMware vSphere 5.1 Hypervisor (также известен как VMware ESXi 5.1 Free). Напомним, что в версии vSphere 5.1 компания VMware убрала ограничения по памяти виртуальных машин (vRAM) для всех коммерческих изданий VMware vSphere.
Однако это, по-сути, не касается бесплатной версии ESXi:
Бесплатный продукт VMware vSphere Hypervisor 5.1 (Free ESXi 5.1) имеет жесткое ограничение на физическую память хост-сервера ESXi в 32 ГБ. Если физическая RAM сервера превышает 32 ГБ, то бесплатный ESXi просто не будет загружаться.
При этом бесплатный сервер VMware ESXi 5.1 не ограничен по числу физических процессоров.
Что касается остальных ограничений бесплатного ESXi 5.1:
Управление только одним хостом одновременно из vSphere Client (как и раньше)
Отсутствие распределенных сервисов виртуализации (vMotion, HA, DRS, Storage DRS, клонирование ВМ и т.д.)
API в режиме "только для чтения" (то есть невозможность сохранения изменений конфигурации через vCLI)
Отстутсвие Alarms и поддержки SNMP v3, что есть в коммерческой версии
В самом же гипервизоре ESXi 5.1 (в том числе бесплатном) появились следующие новые возможности:
Extended Guest OS and CPU Support - полная поддержка операционных систем Windows Server 2012 и Windows 8, а также новейших процессоров AMD серии "Piledriver" и Intel серий "Ivy Bridge" и "Sandy Bridge".
NEW Improved Security - отсутствие необходимости в общем root-аккаунте при работе с ESXi Shell. Подробности приведены в этом документе (и тут).
NEW Improved Logging and Auditing - логирование активности пользователя в DCUI и по SSH ведется под его аккаунтом, что упрощает анализ логов.
Newvirtual hardware - версия виртуального аппаратного обеспечения (Virtual Hardware) - 9. Это дает до 8 vCPU виртуальных машин, а также обновление VMware Tools без перезагрузки виртуальной машины. Кроме этого, доступны фукнции расширенной виртуализации CPU на хосте, что дает возможность запускать вложенные гипервизоры и ВМ.
Поддержка FC-адаптеров 16 Gbps.
Advanced I/O Device Management - новые команды для траблшутинга FC-адаптеров, а также фабрики SAN, что позволит искать проблемы на пути от HBA-адаптера до порта системы хранения.
SSD Monitoring - возможность отслеживания характеристик функционирования SSD-накопителей через специальный SMART-плагин.
Партнеры и клиенты компании NetApp знают, что у нее есть виртуальный модуль (Virtual Appliance), который позволяет создавать общие хранилища для виртуальных машин VMware vSphere, называемый NetApp ONTAP Simulator. Это средство может предоставлять доступ виртуальных машин к дисковым ресурсам хост-сервера ESXi по протоколам iSCSI и NFS.
Теперь продукт Data ONTAP Edge доступен для всех желающих, а не только для партнеров и клиентов NetApp:
Основным вариантом использования Data ONTAP Edge компания NetApp видит его применение в удаленных офисах и филиалах организаций, которые не хотят делать больших инвестиций в дорогостоящие системы хранения данных.
Максимально поддерживаемый объем локальных хранилищ хост-серверов ESXi теперь составляет 5 ТБ вместо 20 ГБ в предыдущих версиях продукта. ONTAP Edge работает на платформе ONTAP 8.1.1 (ОС Data ONTAP-v) и требует не менее 2 vCPU для ВМ с виртуальным модулем, 4 ГБ памяти и не менее 57.5 ГБ дискового пространства. В решении поддерживается следующая функциональность, присущая оборудованию NetApp:
Snapshots
Replication
Deduplication
SnapVault
SnapMirror
SnapRestore
FlexClone
Поддержка программных интерфейсов VMware: VAAI, VACI и VADP
Поскольку данное решение не обладает функциями высокой доступности, то его пока можно использовать для тестирования и ознакомления с функциональностью продуктов NetApp. Можно также рассмотреть вариант его совместного использования с продуктами VMware VSA или StarWind iSCSI SAN, которые предоставляют функции высокой надежности и непрерывной доступности хранилищ.
Для установки Data ONTAP Edge потребуется следующая аппаратная конфигурация сервера ESXi:
Минимум 1 процессор Quad core или 2 Dual core (64-bit Intel x86) 2.27 ГГц или быстрее
4 и более ГБ памяти (рекомендуется 8 ГБ и больше)
4 или более локальных дисков на сервере
Сетевая карточка Gigabit Ethernet
Аппаратный RAID с поддержкой энергонезависимого write cache
Важный момент, что для работы с виртуальным модулем NetApp не поддерживаются функции управления питанием хостов ESXi. Соответственно политику управления питанием на хосте нужно выставить как "High performance" или убедиться, что она определяется как "Not Supported".
Скачать пробную версию продукта NetApp Data ONTAP Edge на 90 дней можно по этой ссылке. Вам потребуется зарегистрироваться и ввести e-mail адрес не с публичным, а с корпоративным доменом. О том, как работать с виртуальным модулем, написано вот тут.
Одной из таких политик для хост-серверов ESXi в vGate R2 является политика безопасного удаления виртуальных машин, что подразумевает очистку виртуальных дисков VMDK на системе хранения при их удалении с тома VMFS. Это позволяет убедиться в том, что конфиденциальные данные, находившиеся на диске, будут недоступны для восстановления потенциальным злоумышленником, который, например, может находиться внутри компании и иметь доступ к содержимому томов VMFS через систему хранения данных или средства управления виртуальной инфраструктурой VMware vSphere.
Для выполнения операции надежного удаления ВМ администратор должен иметь доступ к ESXi-серверу (а именно к TCP-портам 902, 903, 443), на котором выполняется удаляемая ВМ, а также иметь привилегию "разрешено скачивать файлы виртуальных машин".
Если для удаляемой ВМ задана соответствующая политика безопасности, очистка дисков виртуальных машин выполняется автоматически. Если политика не задана, для этого может использоваться специальная утилита командной строки vmdktool.exe. Утилита также может быть полезна в том случае, если была удалена не ВМ полностью, а
только какой-то ее диск.
Перед очисткой диска ВМ необходимо убедиться в отсутствии у виртуальной
машины снапшотов, после чего необходимо остановить ВМ.
RSS
