О новых возможностях Veeam Backup and Replication 9.5 Update 4 мы уже детально писали вот тут, а сегодня расскажем о новых фичах последних двух решений.
1. Veeam Availability for AWS.
Этот продукт позволяет защитить ваши виртуальные машины в публичном облаке Amazon от случайного удаления, вредоносной активности или различного рода сбоев за счет резервного копирования и восстановления инстансов EC2. Это решение было анонсировано еще на VeeamON 2017, но только сейчас вышла его финальная версия.
Оно комбинирует в себе возможности купленной Veeam компании N2WS cloud-native backup and recovery для рабочих нагрузок AWS с возможностью консолидации резервных копий в центральном репозитории Veeam.
Продукт предоставляет следующие возможности:
Безагентная защита виртуальных машин на AWS средствами снапшотов (для целей мгновенного восстановления). Делается это на базе сервиса Amazon EBS.
Возможность долговременного хранения бэкапов в облаке Amazon S3 или онпремизной инфраструктуре компании. Это экономит затраты на хранение до 40%.
Быстрое восстановление из резервных копий в облаке, включая такие технологии как instant recovery, восстановление напрямую в онпремизный датацентр или в другое облако. Возможность восстановления в другой аккаунт.
Расширенный поиск по инфраструктуре хранения бэкапов.
Восстановление баз данных на определенный момент времени, а также послеаварийное восстановление Amazon RDS, Redshift и DynamoDB в другой регион AWS или аккаунт другого пользователя.
Узнать больше о решении Veeam Availability for AWS можно на этой странице.
2. Veeam Availability Console v3.
Это уже третья версия консоли Availability Console для сервис-провайдеров (напомним, что сама по себе она бесплатна). О ней мы детально писали вот тут. Это комплекс интегрированных средств для сервис-провайдеров и больших компаний, которые позволяют организовать инфраструктуру BaaS (Backup-as-a-Service) для гибридной среды предприятия (внутренние инфраструктуры + облачные).
Давайте посмотрим на новые возможности сервис-провайдеров, которые приходят вместе с Veeam Backup and Replication 9.5 Update 4:
Интеграция для пользователей Veeam Cloud Connect Replication и VMware vCloud Director, что позволяет построить единую платформу управления облачной платформы и предлагать комплексное DRaaS-решение в рамках единого пространства сети, оборудования и средств самообслуживания.
Cloud Gateway Pools для Veeam Cloud Connect Backup and Replication - теперь с помощью этого функционала можно развернуть внутренние пулы IP-адресов клиентов, которые подключаются к вашей сети через MPLS или VPLS соединения. Это улучшает изоляцию между клиентами и упрощает развертывание больших инфраструктур в облаках.
Расширенная поддержка резервного копирования на базе агентов. Теперь средства Veeam Agents поддерживают несколько одновременных задач резервного копирования, что позволяет еще более гибко управлять ими со стороны облачного провайдера.
Также теперь для сервис-провайдеров доступны следующие новые возможности решений для резервного копирования и мониторинга виртуальных сред Veeam:
Более подробно о Veeam Availability Console можно узнать на этой странице.
На сайте VMware появился полезнейший технический документ, даже практически книга об использовании фреймворка PowerCLI для инфраструктуры отказоустойчивых кластеров хранилищ - VMware PowerCLI Cookbook for vSAN.
На 88 страницах авторы (Jase McCarty и его коллеги), работавшие с PowerCLI/PowerShell для управления инфраструктурой vSAN более 4 лет, рассказывают обо всех аспектах управления хранилищами с помощью сценариев.
Книга дает "рецепты" в следующих сферах:
Конфигурация решения vSAN
Операционные ежедневные задачи
Функции отчетности о текущем состоянии среды
В книге приведено большое количество примеров, причем авторы сначала показывают, как задачу можно выполнить в графическом интерфейсе, а затем разбирают кейс по автоматизации данных действий с помощью PowerCLI.
Кстати, это только первый релиз книги (1.0), со временем она будет дополняться. Скачать VMware PowerCLI Cookbook for vSAN можно по этой ссылке.
Те из вас, кто разрабатывает, дорабатывает и использует сценарии VMware PowerCLI, знает, что время от времени требуется использовать модуль какой-то конкретной версии, который идет в составе PowerCLI определенной версии. Это может быть из-за бага в новом пакете или несовместимости старых скриптов с новыми модулями.
Если вам нужно скачать нужный пакет из PowerShell Gallery, сделать это просто - там есть кнопка Manual Download:
Но есть и возможность напрямую установить модуль из галереи, используя команду:
Install-Module -Name VMware.PowerCLI
Но это команда установит только последнюю версию модуля, а на блоге VMware появилась интересная функция Save-PowerCLI, которая позволяет указать в параметре -RequiredVersion нужную версию и скачать ее с последующей установкой:
Больше пяти лет назад мы писали про проект vCenter Server Simulator 2.0 (VCSIM), который позволял протестировать основные интерфейсы VMware vCenter без необходимости его реального развертывания (а значит и без лицензии). Проблема в том, что он был выпущен для VMware vSphere и vCenter версий 5.5 и с тех пор не обновлялся.
Зато есть аналог старому VCSIM - новый проект govcsim, написанный на языке Go (Golang). Он точно так же умеет предоставлять API-ответы на вызовы к vCenter Server и ESXi.
Несмотря на то, что этот симулятор написан на Go, он позволяет вам работать с vCenter посредством любого языка и интерфейса, умеющего общаться через API (в том числе, PowerShell). То есть, вы можете соединиться через PowerCLI к VCSIM Docker Container и работать с ним как с сервером vCenter.
Сам контейнер nimmis/vcsim можно скачать отсюда. Pull-команда для него:
If ($PSVersionTable.PSVersion.Major -ge 6) {
Test-Connection $Server -TCPPort 443
}
Connect-VIServer -Server $Server -Port 443 -User u -Password p
# Did it work?
Get-VM
# Or Get-VMHost, or Get-Datastore, etc.
Этот код делает следующее:
Запускает docker-контейнер VCSIM локально (если у вас его нет, то он будет загружен).
На Windows-системе получает IP-адрес адаптера DockerNAT.
После запуска контейнера тестирует, что порт 443 отвечает.
Использует модуль VMware.PowerCLI интерфейса PowerShell для соединения с vCenter Simulator.
Симулятор на данный момент поддерживает не все множество API-методов (смотрите документацию). Вот так, например, можно вывести список всех поддерживаемых методов и типов:
$About = Invoke-RestMethod -Uri "https://$($Server):443/about" -Method Get
$About.Methods
$About.Types
Например, вы можете использовать PowerOffVM_Task, PowerOnMultiVM_Task и PowerOnVM_Task. Из PowerCLI попробуйте также протестировать командлеты Stop-VM и Start-VM. Ну а дальше изучайте документацию к библиотеке govmomi.
Во время прошедшего летом прошлого года VMworld 2018 компания VMware представила много интересных новостей на тему будущей функциональности продукта для создания отказоустойчивых хранилищ VMware vSAN. Например, мы писали о технологии Native Data Protection (это часть 1 этого цикла статей), а сегодня поговорим о сервисах хранения.
Диски First Class Disk (FCD)
Для vSAN уже есть поддержка так называемых дисков First Class Disk (FCD), они же называются Improved Virtual Disk (IVDs) или Managed Virtual Disk. Они были придуманы для того, чтобы управлять сервисами, заключенными в VMDK-диски, но не требующими виртуальных машин для своего постоянного существования.
К таким относятся, например, тома VMware App Volumes, на которых размещаются приложения, и которые присоединяются к виртуальным машинам во время работы пользователя с основной машиной. Также к таким дискам относятся хранилища для cloud native приложений и приложений в контейнерах, например, работающих через Docker Plugin и драйвер Kubernetes (он называется vSphere Cloud Provider) для создания постоянных (persistent) томов контейнеров Docker. Этим всем занимается опенсорсный проект Project Hatchway от VMware.
Работать с такими дисками очень неудобно - для них приходится создавать отдельную виртуальную машину к которой цепляется этот диск, а потом, по завершении какого-либо процесса, отсоединяется, и машина уничтожается. Так, например, работает средство для резервного копирования App Volumes Backup Utility, о котором мы писали вот тут. При бэкапе этих дисков создается временная Backup VM:
Второй пример - инфраструктура vSphere Integrated OpenStack (VIO), где для того, чтобы включить хранилище Cinder (OpenStack Block Storage) для потребления дисковой емкости VMDK-файлов, нужно создавать вспомогательные Shadow VM для каждого тома Cinder, к которому цепляется VMDK-диск.
Все это неудобно, поэтому и придумали формат дисков First Class Disk (FCD), которому не требуются временные виртуальные машины и которые реализуют сервисы, необходимые приложениям или другим сервисам. Например, бэкап таких дисков можно делать без создания вспомогательной ВМ.
Информация о дисках FCD хранится в каталоге базы данных vCenter. Она содержит глобальные уникальные идентификаторы UUID и имена дисков. UUID позволяет переместить диск в любое место без конфликтов.
В vSphere 6.7 это ограничение было снято, но остались еще некоторые требования - FCD нужно было восстанавливать с тем же UUID и на тот же датастор, откуда он был взят. Также еще одним ограничением была невозможность API отслеживать блоки, изменившиеся с момента последней резервной копии, то есть невозможность инкрементального резервного копирования (подробнее здесь).
Ну а в vSphere 6.7 Update 1 была анонсирована ограниченная поддержка FCD для vSAN. Пока поддержка предоставляется еще с ограничениями для служб health service и capacity monitoring. Однако при этом пользователи Kubernetes могут использовать диски FCD на хранилищах vSAN для персистентных хранилищ контейнеров, и в то же самое время тома vSAN могут использоваться для виртуальных машин:
Подписаться на бету следующей версии продукта VMware vSAN можно по этой ссылке.
В следующей статье мы расскажем про Cloud Native Storage (CNS) и vSAN File Services.
Давайте для начала разберёмся с терминологией. Что такое роли NSX-менеджера? Роли NSX-менеджера позволяют управлять правами доступа к объектам NSX с помощью присвоения той или иной роли отдельному пользователю или группе. В UI эти настройки находятся в Networking & Security -> System -> Users and Domains.
Как пишет Kalle в своем блоге, если вы используете платформу VMware Workstation в серверной ОС Windows Server 2019, то виртуальные машины у вас могут валиться с ошибками, если для дисков, на которых они размещены, включена дедупликация. При этом диски могут быть как NTFS, так и ReFS, а в журнале событий у процессов vmware-vmx.exe можно найти следующее:
При этом на Windows Server 2012 R2 при точно таких же настройках дедупликации все работает вполне нормально:
Он также пробовал различные настройки дедупликации на Windows Server 2019 (General purpose file server и Virtualized Backup Server), но машины на VMware Workstation 15 все равно валятся с ошибкой случайным образом.
Недавно компания VMware объявила о выпуске обновленной версии решения VMware PKS 1.3 (Pivotal Container Service), предназначенного для управления гибридными средами Kubernetes в онпремизных и публичных облаках. Напомним, что об анонсах на VMworld Europe 2018, касающихся этого продукта, мы писали вот тут.
Тогда было объявлено о покупке компании Heptio, которую основали создатели Kubernetes. Она предоставляет набор продуктов и профессиональных сервисов для управления контейнерами Kubernetes в онпремизных, публичных и гибридных облачных средах. Помимо управления контейнерами, решения Heptio предоставляют такие сервисы, как оркестрация приложений, поддержка жизненного цикла (развертывание, хэлсчек) и обеспечение доступности (снапшоты, резервное копирование).
Теперь кое-что из этого было добавлено в VMware PKS, который стал поддерживать облачную среду Microsoft Azure. Кроме того, в продукте были улучшены функции контроля сетевого взаимодействия, безопасности и управления.
Давайте посмотрим, что нового появилось в PKS 1.3:
1. Поддержка публичного облака Microsoft Azure.
Ранее PKS поддерживал облачные среды VMware vSphere, Google Cloud Platform и Amazon EC2. Теперь он работает и в Azure:
PKS позволяет самостоятельно развернуть кластеры Kubernetes в облаке (или сразу нескольких облаках) и получить все инструменты для ежедневной эксплуатации решения.
2. Улучшения гибкости и средств настройки сетевой среды и инфраструктуры безопасности.
Теперь сетевые профили кластеров, которые появились еще в версии 1.2, получили еще больше параметров настройки.
Поддержка нескольких Tier 0 маршрутизаторов для лучшей изоляции контейнерных сред. Один экземпляр VMware NSX-T может обслуживать несколько Tier 0 маршрутизаторов, что дает не только функции безопасности, но и возможности настройки отдельных диапазонов IP для каждого роутера и его клиентов.
Маршрутизируемые IP-адреса, назначаемые группам узлов (Pods), что позволяет обеспечить их прозрачную коммуникацию с внешним миром (а также достучаться к ним из внешнего мира). Если необходимо, можно использовать и NAT-схему. Более подробно об этом написано здесь.
Для групп Pods можно перекрыть глобальные настройки диапазона IP-адресов и размера подсети, задав их для отдельных групп. Это дает больше гибкости в плане использования глобального диапазона адресов.
Поддержка больших (large) балансировщиков в дополнение к small и medium. Это увеличивает число предоставляемых сервисов, число групп на бэкенде в расчете на сервис, а также количество транзакций в секунду на сервис.
Лучшая изоляция окружений за счет размещения нескольких VMware PKS Control Planes в рамках одного экземпляра NSX-T. Каждый управляющий объект VMware PKS control plane можно разместить на выделенном маршрутизаторе NSX-T Tier 0. Это позволяет лучше разделить окружения и, например, обновлять тестовую среду независимо от производственной, работая с двумя экземплярами PKS.
3. Улучшенные операции управления.
Здесь произошли следующие улучшения:
Средства резервного копирования и восстановления кластеров Kubernetes. Теперь, помимо бэкапа средств управления Control Planes, появилась возможность бэкапа и stateless-нагрузок в контейнерах средствами тулсета BOSH Backup and Restore (BBR).
Возможность проведения смоук-тестов. С помощью PKS 1.3 возможно создание специализированной тестовой среды, которую можно использовать для проверки апгрейда кластера, чтобы убедиться, что на производственной среде апгрейд пройдет нормально. После окончания теста тестовый кластер удаляется, после чего можно спокойно апгрейдить продакшен.
4. Поддержка Kubernetes 1.12 и другие возможности.
VMware PKS 1.3 поддерживает все стабильные физи релиза Kubernetes 1.12. Со стороны VMware они прошли тесты Cloud Native Computing Foundation (CNCF) Kubernetes conformance tests.
Также в рамках одной группы контейнеры могут иметь общие тома. Это может пригодиться, например, для общей базы данных нескольких приложений в разных контейнерах.
Кроме того, компоненты NSX-T и другие управляющие элементы, такие как VMware vCenter, можно разместить за HTTP proxy, требующим аутентификации. Ну и VMware PKS 1.3 включает решение Harbor 1.7 с новыми возможностями, такими как управление диаграммами Helm, улучшенная поддержка LDAP, репликация образов и миграции базы данных.
Более подробно о VMware PKS 1.3 написано по этой ссылке. Также больше подробностей об обновлении можно узнать тут, а вот тут можно пройти практическую лабораторную работу по решению PKS.
Чтобы создать консистентную резервную копию конфигурации инфраструктуры VMware Horizon, нужно в одно время и в следующем порядке создать бэкап следующих компонентов, составляющих конфигурацию View Manager:
База данных View Manager ADAM (база Connection Server)
База данных View Composer
База данных VMware vCenter
Соответственно и восстанавливать все эти компоненты нужно тоже в одно время, чтобы у вас вся инфраструктура оказалась консистентной и пригодной к использованию.
1. Резервное копирование и восстановление View Manager: база данных Connection Server.
Резервное копирование конфигурации Connection Server
Сначала нужно убедиться, что в данный момент нет активных операций create, recompose или delete. Также надо остановить развертывание новых виртуальных машин, чтобы избежать проблем, связанных с процессами синхронизации. Для этого во View Administrator идем в View Configuration > Servers. Там выбираем сервер vCenter и в разделе Settings нажимаем
Disable provisioning (не забудьте это включить назад после окончания резервного копирования).
В графическом интерфейсе View Manager резервную копию базы данных можно сделать в разделе View Configuration > Servers, где на вкладке Connection Servers нужно выбрать любой сервер реплицируемой группы и нажать кнопку "Backup Now...". Это сохранит базы данных серверов Connection Server и Composer.
Помните, что даже если у вас несколько серверов Connection Server в одной реплицируемой группе, то делать регулярные бэкапы все равно нужно. Если у вас испортится конфигурация на одном из серверов - она будет отреплицирована на все серверы группы.
Все бэкапы будут по умолчанию сохраняться по следующему пути:
C:\ProgramData\VMware\VDM\backups
Если нажать "Edit..." для настроек сервера Connection Server, то можно увидеть настройки регулярного запланированного резервного копирования с опциями периодичности (от 1 часа до 2 недель), политики хранения и возможность задания пароля для выходного файла.
Также экспорт базы данных View Connection Server LDAP можно сделать с помощью консольной утилиты vdmexport, которая находится вот тут:
Файлы будут экспортированы в формат LDAP data interchange format (LDIF). Возможно 3 варианта использования утилиты:
vdmexport -f configuration_data.LDF (по умолчанию этот файл зашифрован паролем, см. скриншот выше)
vdmexport -f configuration_data.LDF -v (экспорт данных в формате plain text)
vdmexport -f configuration_data.LDF -c (cleansed, экспорт данных в открытом текстовом формате, но без чувствительной информации - пароли и т.п.)
Бэкап конфигурации в формате cleansed делать не рекомендуется, так как при его восстановлении вы лишитесь критичной части информации в восстановленной конфигурации.
Делаем бэкап базы Connection Server (эта команда не делает бэкап базы Composer):
vdmexport -f C:\conn_server_backups\Backup_1.LDF
Восстановление конфигурации Connection Server
Перед восстановлением конфигурации серверов Connection Server нужно убедиться, что у вас есть все необходимые файлы для восстановления конфигурации и сделать следующее:
Остановить службы VMware Horizon Security Server на серверах Security Server.
Остановить службы View Composer на серверах Composer/vCenter.
Удалить на серверах компоненты VMware Horizon Connection Server и AD LDS Instance VMwareVDMDS.
Установить один экземпляр Connection Server и остановить там службу VMware Horizon Connection Server.
Восстановление базы View Connection Server выглядит следующим образом:
1. Расшифровываем файл бэкапа (если вы делали бэкап как plain text, этого делать не нужно):
3. После этого можно удалить только компонент VMware Horizon Connection Server и переустановить его для новой конфигурации базы данных. Далее в Horizon Administrator нужно убедиться, что настройки восстановлены.
4. Затем нужно запустить серверы View Composer, а также установить и настроить все реплики серверов Connection Server.
5. Последним шагом надо запустить все экземпляры Security Servers.
Если после восстановления серверов Connection Servers серверы Security Servers окажутся в неконсистентном состоянии, то последние придется переустановить.
2. Резервное копирование и восстановление View Manager: база данных Composer.
Резервное копирование конфигурации Composer
Перед резервным копированием восстановлением View Composer нужно убедиться, что у вас нет активных операций recompose/refresh и остановить его службы (Start > Administrative Tools > Services, далее остановить службу VMware View Composer).
Файлы бэкапов View Composer имеют расширение *.svi и по умолчанию лежат в той же папке, что и для Connection Server:
C:\ProgramData\VMware\VDM\backups
Выглядят они подобным образом:
Backup-YearMonthDayCount-vCenter Server Name_Domain_Name.svi
Для бэкапа базы View Composer нужно выполнить следующую команду (поробнее - тут, утилита sviconfig.exe находится в папке установки Composer):
Операция sviconfig restoredata возвращает один из следующих кодов:
Code
Description
0
Exporting data ended successfully.
1
The supplied DSN name can not be found.
2
Invalid database administrator credentials were provided.
3
The driver for the database is not supported.
4
An unexpected problem occurred and the command failed to complete.
14
Another application is using the VMware Horizon View Composer service. Shut down the service before executing the command.
15
A problem occurred during the restore process. Details are provided in the onscreen log output.
После этого можно запустить службу View Composer. Надо понимать, что после восстановления базы View Composer могут быть некоторые расхождения с конфигурацией View Connection Server, которые надо будет устранять вручную.
3. Резервное копирование и восстановление БД vCenter Server.
Для резервного копирования и восстановления баз данных виртуального модуля VMware vCenter Server Appliance (vCSA) и vCenter Server for Windows используйте инструкцию, приведенную в KB 2091961.
В видео ниже вы можете посмотреть как делать бэкап и восстановление БД vCenter для vCSA:
А вот так делается резервная копия и восстанавливается БД vCenter Server for Windows (Embedded database):
Помните, что при восстановлении конфигурации Connection Server и Composer она должна соответствовать конфигурации виртуальной инфраструктуры на сервере vCenter (имена виртуальных машин, объектов и т.п.), поэтому не пренебрегайте процессом восстановления конфигурации vCenter.
Обязательно посмотрите большой анонс этих продуктов, в котором принял участие основатель компании Ратмир Тимашев:
В этой статье мы остановимся только на лидирующем в отрасли продукте Veeam Backup and Replication 9.5 Update 4, который уже сейчас доступен для скачивания:
Давайте посмотрим, какие интересные новые возможности появились в Veeam B&R 9.5 Update 4:
0. Поддержка vSphere 6.7 Update1.
Долгожданная поддержка последней версии платформы vSphere 6.7 Update 1, а также решений vCloud Director 9.5 и платформы Windows Server 2019 (включая Hyper-V 2019, Active Directory 2019, Exchange 2019 и SharePoint 2019).
1. Veeam Cloud Tier.
В новом релизе появилась нативная интеграция с облачными объектными хранилищами, которые можно использовать для долговременного хранения бэкапов в рамках концепции Scale-out Backup Repository. При этом оперативные резервные копии можно оставить на ярусе Performance Tier:
Теперь бэкапы можно передавать в облачное хранилище Amazon S3, Azure Blob Storage, IBM Cloud Object Storage, любое S3-совместимое хранилище или в другой датацентр для целей архивного хранения и/или катастрофоустойчивости.
Кстати, эта схема не требует наличия каких-то виртуальных модулей от вендоров облачных платформ, что позволяет не завязывать эту схему на одно конкретное облако.
2. Veeam Cloud Mobility.
Эти возможности позволяют восстановить резервные копии виртуальных машин, хранящиеся в репозиториях Veeam (в том числе, от Veeam Agent для Windows и Linux), на любую из облачных платформ в производственную среду. На данный момент поддерживаются платформы AWS, Azure и Azure Stack, а также любые онпремизные бэкапы:
Для облака AWS EC2 происходит автоматическая конверсия UEFI на BIOS для виртуальных машин.
3. Veeam DataLabs.
Данные функции Veeam B&R позволяют тестировать различные рабочие нагрузки, валидировать апдейты и патчи, проверять на наличие уязвимостей и соответствие политикам предприятия, а также убеждаться в общей восстановимости резервных копий.
Здесь Veeam B&R 9.5 Update 4 предоставляет следующие функции:
On-Demand Sandbox - виртуальная песочница для тестирования восстановленных резервных копий.
SureBackup и SureReplica - возможность удостовериться в работоспособности восстановления бэкапов и реплик.
Staged Restore (об этой возможности мы писали вот тут) - позволяет уменьшить время на просмотр и отсеивание чувствительных данных и убрать персональную информацию при восстановлении резервной копии (в частности, об уволенных сотрудниках). Это позволяет соблюсти требования GDPR и не попасть на штраф.
Secure Restore (об этой возможности мы писали вот тут) - возможность сканирования восстановленных резервных копий с помощью антивирусного программного обеспечения, чтобы устранить угрозы перед вводом восстановленных бэкапов в производственную среду.
4. Veeam Intelligent Diagnostics.
Эти возможности позволяют установить на серверы Veeam B&R агенты Veeam ONE, которые анализируют логи процесса бэкапа и самого решения для резервного копирования, что позволяет идентифицировать и решить проблемы самостоятельно, без обращения в техническую поддержку.
Сигнатуры с описанием известных проблем загружаются из базы знаний Veeam.
5. Прочие улучшения.
Полный список улучшений нового Veeam B&R приведен в документе What's New, а мы особенно отметим следующие:
Портал самообслуживания для ролевой модели доступа vSphere RBAC на базе Enterprise Manager.
На сайте проекта VMware Labs появился апдейт основного средства управления виртуальной инфраструктурой - VMware vSphere Client 4.0. Напомним, что, начиная с версии vSphere 6.7 Update 1, vSphere Client является официально поддерживаемым средством управления для всех рабочих процессов платформы vSphere. О последней версии vSphere Client 3.42 мы писали осенью прошлого года вот тут.
Теперь VMware в обновленной версии клиента исправила несколько ошибок, а также отключила поддержку старых версий VMware vSphere. Новый клиент работает, начиная с vSphere 6.5 и более поздними версиями. То есть, если у вас vSphere 6.0, то не обновляйте ваш клиент (тем более, что линка на загрузку прошлой версии уже нет), а используйте версию 3.42, которая реализует весь функционал.
Также надо помнить, что если вы используете vSphere 6.5, то у вас будет недоступен плагин к VMware vSphere Update Manager (VUM). Интересно, что в Changelog написано о том, что в клиенте есть некоторые New Features, но не написано, какие именно)
UPD. Новый клиент vSphere Client 4.0 предоставляет следующие новые возможности:
Поддержка VMware vCenter 6.7, браузер просмотра файлов и папок стал работать заметно быстрее.
Графический интерфейс ESX Agent Manager.
Настройки MxN Convergence в разделе System Configuration
Возможность импорта сертификатов и генерации запроса CSR.
Функции Code Capture: кнопка записи может быть нажата между состояниями hidden и shown.
Возможность удалить бандлы скриптов (Script Bundles) в механизме Autodeploy для vCenter 6.7.
Возможность удалить Discovered hosts в механизме Autodeploy для vCenter 6.7.
Экспорт данных о лицензиях в формате CSV для всех представлений, связанных с просмотром лицензий.
Добавление и назначение лицензий в рамках одной операции.
Настройка аутентификации на прокси-сервере для VC 6.5+ (раздел VC > Configure > Settings > Authentication Proxy).
При обновлении клиента на версию vSphere Client 4.0 с 3.x вам нужно будет повторно подключить его к инфраструктуре vSphere и ввести учетные данные.
Скачать VMware vSphere Client 4.0 можно по этой ссылке.
В прошлом посте мы рассказывали о IOchain - цепочке прохождения пакетов через сетевой стек хоста VMware ESXi, а в этом остановимся на некоторых утилитах, работающих с этим стеком и помогающих решать различного рода сетевые проблемы.
Прежде всего, при решении проблем соединений на хосте ESXi нужно использовать следующие средства:
Но если хочется углубиться дальше в сетевое взаимодействие на хосте, то тут могут оказаться полезными следующие утилиты:
net-stats
pktcap-uw
nc
iperf
1. Net-stats.
Чтобы вывести весь список флагов этой команды, используйте net-stats -h, а вот для вывода детальной информации о номерах портов и MAC-адресах всех интерфейсов используйте команду:
net-stats -l
С помощью net-stats можно делать огромное количество всяких вещей, например, проверить включены ли на интерфейсе vmnic функции NetQueue или Receive Side Scaling (RSS) с помощью команды:
net-stats -A -t vW
Далее нужно сопоставить вывод блока sys для нужного интерфейса и вывода команды:
vsish -e cat /world/<world id>/name
2. Pktcap-uw.
Эта утилита совместно с tcpdump-uw захватывать пакеты на различных уровнях. Если tcpdump-uw позволяет захватывать пакеты только с интерфейсов VMkernel, то pktcap-uw умеет захватывать фреймы на уровне виртуального порта, коммутатора vSwitch или аплинка.
В KB 2051814 подробно описано, как можно использовать утилиту pktcap-uw. На картинке ниже представлен синтаксис использования команды, в зависимости от того, на каком уровне мы хотим ее применить:
Фильтрация пакетов для выбранного MAC-адреса:
pktcap-uw --mac xx:xx:xx:xx:xx:xx
Фильтрация пакетов для выбранного IP-адреса:
pktcap-uw --ip x.x.x.x
Автоматическое исполнение и завершение pktcap-uw с использованием параметра sleep:
pktcap-uw $sleep 120; pkill pktcap-uw
Ограничить захват заданным числом пакетов:
pktcap-uw -c 100
Перенаправить вывод в файл:
pktcap-uw -P -o /tmp/example.pcap
3. NC
NC - это олдскульная Linux-команда NetCat. Она позволяет проверить соединение по указанному порту, так как telnet недоступен на ESXi. Например, так можно проверить, что можно достучаться через интерфейс iSCSI по порту 3260 до системы хранения:
nc -z <destination IP> 3260
В KB 2020669 вы можете найти больше информации об этой команде.
4. Iperf
Эта утилита предназначена для контроля пропускной способности на интерфейсе. Она используется механизмом vSAN proactive network performance test, который доступен в интерфейсе vSAN. Поэтому при ее запуске вы получите сообщение "Operation not permitted". Чтобы она заработала, нужно создать ее копию:
По умолчанию утилита работает на портах, которые запрещены фаерволом ESXi, поэтому во время работы с ней нужно его потушить (не забудьте потом его включить):
esxcli network firewall set --enabled false
Теперь можно использовать эту утилиту для замера производительности канала (флаг -s - это сервер, -c - клиент):
В 1981 году на экраны вышел культовый фильм Джорджа Миллера с участием Мела Гибсона «Безумный Макс: Воин дороги». Этот фильм принес в английский язык новый термин: «road warrior», которым стали называть сотрудников, чья работа требовала большого количества путешествий. Такие сотрудники должны были только время от времени приезжать в офис для выполнения административных задач вроде оформления отчета о расходах или получения информации о клиентах. По мере развития информационных и телекоммуникационных технологий сотрудникам уже не нужно было появляться в офисе – многие операции можно было выполнять дистанционно – сначала при помощи модема, затем, после развития Интернет – с помощью VPN-канала.
В наше время современные технологии позволяют выполнять офисную работу все большему количеству людей, не выходя из дома. По данным Eurostat, 35% предприятий в Европе в настоящее время предлагают своим сотрудникам возможность работать из дома.
Все более широкое использование дистанционных методов работы усложнило для организаций поиск оптимального баланса между безопасностью и удобством работы. Дело в том, что все выгоды, связанные с дистанционной работой, могут быть потеряны из-за недостаточной защиты.
Согласно исследованию Ponemon Institute средняя стоимость ущерба, связанного с нарушением безопасности, возросла с 3,62 млн. долларов в 2017 г. до 3,86 млн. долларов в 2018 г., то есть на 6,4 процента. Количество и сложность инцидентов, связанных с безопасностью, также возросли.
Как правило, серверы и компьютеры в офисе компании хорошо защищены при помощи программного и аппаратного обеспечения, и приложения, с которыми работают сотрудники компании, размещены внутри защищенного периметра.
Созданная внутренняя инфраструктура безопасности обслуживается не одним человеком, а целым департаментом, в котором каждый инженер занимается своим направлением. В классическом сценарии, все управление web-безопасностью сконцентрировано в головном офисе, и весть трафик настроен на прохождение через единый шлюз.
На сайте проекта VMware Labs появилось превью технологии PowerCLI for VMware Cloud on AWS, которая представляет собой расширение фреймворка PowerCLI на публичное облако от Amazon и VMware. Расширение поставляется как отдельный модуль PowerCLI (VMware.VimAutomation.VmcPreview), который интегрируется с остальными модулями.
Все команды модуля сгенерированы автоматически, в данный момент они находятся в разработке, поэтому могут обновляться и изменяться, что нужно учитывать при разработке сценариев. Всего в модуле присутствует 14 высокоуровневых командлетов, таких как Get-Organization или Get-Sddc. Давайте взглянем, как это примерно работает.
Для начала работы вам понадобится PowerCLI 11.0.0 или более старшей версии. Установить модуль можно автоматически из PowerShell Gallery с помощью команды:
Также можно получить объект SDDC, используя Organization ID:
Далее с объектом SDDC можно работать как в привычной среде PowerCLI, например, получить AWS Region, какие зоны Availability Zones используются, информацию об NSX (например, Manager URL), а также vCenter URL:
Скачать VMware vCloud on AWS можно по этой ссылке.
На сайте проекта VMware Labs появилась новая утилита, которая может оказаться полезной пользователям решения Workspace ONE в крупной инфраструктуре. С помощью Workspace ONE Provisioning Tool можно развернуть приложения на тестовой виртуальной машине, чтобы убедиться в том, что их можно развертывать в производственной среде Dell Factory. Эта утилита имеет в себе часть функционала средства Workspace ONE Configuration Tool for Provisioning, о котором мы писали совсем недавно.
В качестве исходных параметров утилита принимает файлы упакованных приложений в формате .ppkg, а также специальный файл unattend.xml как часть процесса развертывания Dell Provisioning.
Основные возможности Workspace ONE Provisioning Tool:
Простой интерфейс, позволяющий администратору валидировать работоспособность файлов ppkg и unattend.xml по аналогии с тем, как это происходит в Dell factory.
Поддержка пакетов PPKG и unattend.xmls, сгенерированных в Workspace ONE UEM Console 1811 или более поздней версии.
Гибкость - например, можно в текстовом файле указывать параметры конфигурации утилиты, такие как таймаут операций или размещение отчета о работе.
Генерация детального суммарного отчета с данными о клиентском окружении и результатами установки приложений. Он сохраняется в C:\ProgramData\Airwatch\UnifiedAgent\Logs\PPKGFinalSummary.log после нажатия кнопки "Apply Full Process".
Приостановка процесса, если какой-либо из шагов завершился неудачно, что позволяет администраторам найти причину в текущем состоянии приложений и самой машины.
Утилита работает в двух режимах:
Apply Apps Only - установка только приложений на тестовой Windows-машине.
Apply Full process - установка приложений и применение файлов конфигурации xml на тестовой машине, где исполняется Sysprep и включение ее в среду Workspace ONE (enrollment).
Статус развертывания можно наблюдать в правой панели, а детали будут приведены в отчете:
Скачать VMware Workspace ONE Provisioning Tool можно по этой ссылке.
В конце декабря компания VMware сделала доступной для скачивания новую версию vRealize Network Insight 4.0 (vRNI). Напомним, что о прошлой версии vRNI 3.9 мы писали в сентябре прошлого года вот тут.
vRealize Network Insight предназначен для обеспечения сетевой безопасности виртуальной инфраструктуры, он позволяет системным и сетевым администраторам, а также администраторам информационной безопасности смотреть за сетевым взаимодействием в рамках виртуальной инфраструктуры и предпринимать действия по ее защите.
Давайте посмотрим на некоторое из того, что нового появилось в vRNI 4.0:
1. Поддержка VMware Cloud on AWS.
Новая большая версия vRNI представляет поддержку облачной среды VMware Cloud on AWS (правда пока в режиме Preview). Администраторы могут смотреть метрики для NSX и vCenter, а также потоки IPFIX flows между виртуальными машинами в облаке VMware Cloud on AWS и вашей онпремизной инфраструктурой NSX и vSphere.
vRNI позволяет посмотреть конфигурацию на обеих концах гибридной среды, различные сущности на этом пути, правила сетевых экранов и понять возможные причины проблем:
На этой схеме по клику на компонент можно увидеть облачные виртуальные машины, хосты, настройки сети и безопасности, конфигурацию сетей, VPN-соединения, а также все то же самое на онпремизной стороне. Также на картинке видны маршрутизаторы NSX T0/T1 с примененными к ним правилами фаерволов для путей.
2. Возможность Plan Security и микросегментация.
Для VMware Cloud on AWS можно использовать функцию Plan Security, которая позволяет распознавать паттерны трафика приложений, визуализовывать его и дать исходные данные для его оптимизации с точки зрения приложений.
Все это работает в рамках общего подхода по микросегментации трафика:
3. Возможность просмотра путей VM-to-VM и сущностей Cisco ACI.
Теперь Network Insight может отображать сущности Cisco ACI. Просто укажите vRNI адрес контроллера APIC и вы получите детали конфигурации, такие как фабрика ACI, EPG и их маппинги, Bridge Domains, пути L2 к leaf-узлам, а также схемы VRF для путей ВМ-ВМ.
Помимо этого, для коммутаторов и APIC поддерживаются метрики на базе SNMP. На каждый из элементов фабрики можно нажать, чтобы посмотреть дополнительную информацию (показан дэшборд для фабрики Leaf and Spine):
Индивидуальные дэшборды доступны для следующих объектов:
Leaf and Spine fabric
Switches
EPG
Application profile
Также для сущностей ACI доступен мощный поиск, который позволяет добавить результаты на pinboard и к ним привязать алармы, если это необходимо.
4. Детали фаерволов Cisco ASA.
Для ASA поддержка со стороны vRNI включает в себя видимость контекста безопасности (security context), прав доступа, групп доступа, сетевых и сервисных объектов или групп, обнаружение и изменение событий, а также правил фаервола в рамках пути VM-to-VM.
На картинке ниже показано представление для VRF на фаерволе ASA с таблицами маршрутизации и другими деталями интерфейсов маршрутизаторов (они показываются для конкретного пути VM-to-VM):
5. Динамические и статические пороги для собираемых метрик (thresholds).
vRNI позволяет добавлять статические пороги для метрик (аларм срабатывает, когда значение больше указанного в течение какого-то времени) и динамические (когда значение отклоняется от предыдущего на определенное значение, например, произошло изменение паттерна трафика):
6. Обновленный NSX-T datasource.
Теперь для NSX-T можно получать такую информацию, как проблемы связности между компонентами NSX, число вызовов NSX API, количество packet drops, flow count, network rate и byte count. Эти метрики доступны для логических коммутаторов и портов, интерфейсов маршрутизаторов и правил фаерволов.
Также поддерживается и NAT с возможностью просмотра правил SNAT, DNAT и Reflexive (stateless). Здесь можно увидеть оригинальные и транслируемые IP-адреса, сервисное соединение, а также входные и выходные интерфейсы:
Также теперь на пинбордах можно искать какие-либо элементы, а также назначать пинборд домашней страницей приложения.
Полный список новых возможностей vRealize Network Insight 4.0 доступен в Release Notes.
Попробовать VMware vRNI можно также как облачный сервис VMware Cloud Service по этой ссылке. Для онпремизных инсталляций поддерживается прямое обновление с версий vRNI 3.8 и 3.9.
Недавно компания VMware сделала доступной онлайн интересную утилиту - VMware Configuration Maximums Tool. Она позволяет быстро и просто найти максимальные параметры конфигураций для различных продуктов VMware:
На данный момент поддерживаются решения NSX Data Center for vSphere, vSphere (правда пока еще нет vSphere 6.7 Update 1), VMware NSX-T, vRealize Operations Manager и VMware Site Recovery Manager, но, скорее всего, этот список будет быстро пополняться.
Помимо продукта VMware и его версии, можно также выбрать и категории максимумов, которые хочется посмотреть (хосты ESXi, виртуальные машины и т.п.). Также полученные результаты можно экспортировать в PDF.
Если в верхней части страницы перейти на вкладку Compare Limits, то мы увидим функционал сравнения максимумов в различных версиях продуктов. Например, выберем слева VMware vSphere 6.7 и сравним с ней две предыдущих версии платформы - vSphere 6.5 Update 1 и vSphere 6.5:
Результаты будут приведены в таблице (обратите внимание, что их можно экспортировать в CSV):
Сегодня Алексей расскажет про две тонкости с которыми пришлось повозиться на следующем этапе установки – обе относятся к подготовке образа для установки.
Первая – выбор места для установки. Если в вашем сервере на момент загрузки присутствует один диск, и вы планируете его использовать для установки, то проблем нет. А если их несколько, и вам нужно использовать какой-то определенный, то придется указать на желаемый диск с помощью команды:
install --disk=diskname или install –-firstdisk=disk-type
В моем же случае в системе имелся маленький SSD (так называемый BOSS card, в случае Dell – RAID1 массив из двух SATA m.2 SSD) для установки системы и большой RAID-массив, на котором теоретически могли располагаться виртуальные машины (в случае если производится переустановка хоста).
Что в вышеприведенной статье не упомянуто – так это как найти diskname или disk-type для искомого диска/массива.
А сделать это можно следующим образом:
Проведите тестовую установку в ручном режиме.
Запустите SSH сервис и подключитесь к серверу по SSH.
Используйте команду esxcli storage core device list для того, чтобы получить список всех контроллеров в системе.
Искомая информация для вашего контроллера будет в поле Model:
Вторая тонкость выяснилась, когда я начал тестировать загрузочный диск. Сервер из другой поставки наотрез игнорировал содержимое kickstart файла. Выяснилось что один из серверов был сконфигурирован использовать EFI для загрузки, другой же - классический BIOS. ISO-образ ESXi содержит два различных BOOT.CFG файла для этих двух типов загрузки:
для BIOS - в корне образа
для EFI - соответственно, в папке /EFI/BOOT
Если в вашем случае, как и мне, нужно иметь один kickstart файл для обоих типов загрузки, не забудьте отредактировать оба файла.
В конце декабря ушедшего года компания VMware выпустила обновление своего консольного фреймворка для управления виртуальной инфраструктурой - PowerCLI 11.1.0. Напомним, что прошлая мажорная версия (PowerCLI 11.0) была выпущена в октябре прошлого года.
Давайте посмотрим, что нового в этом обновлении:
1. Улучшения Site Recovery Manager Module.
Теперь средствами модуля VMware.VimAutomation.SRM для PowerCLI обеспечивается мультиплатформенная поддержка в плане управления инфраструктурой Site Recovery Manager. Этот модуль можно использовать с PowerShell Core на платформах MacOS и Linux. Он стал одним из первых специализированных модулей, сконвертированных на другие платформы.
В модуле Storage (VMware.VimAutomation.Storage) было сделано несколько исправлений ошибок и улучшений. Теперь командлет Get-VsanDisk выводит диск vSAN, где находится Witness Component. Также для командлета Start-SpbmReplicationTestFailover больше не нужен параметр VvolId.
Скачать PowerCLI 11.1 можно по этой ссылке. Напомним, что традиционно PowerCLI обновляется следующей командой:
VMware UAG представляет собой шлюз для доступа к инфраструктуре Workspace ONE и Horizon. Шлюз используется для безопасного доступа внешних авторизованных пользователей ко внутренним ресурсам рабочей области Workspace ONE, а также виртуальным десктопам и приложениям Horizon.
Напомним, что о прошлой версии Unified Access Gateway 3.3 мы писали вот тут.
Давайте посмотрим, что нового появилось в UAG 3.4:
1. Обеспечение собственной высокой доступности (High Availability).
Как и другие компоненты инфраструктуры VDI, решение UAG теперь поддерживает механизм обеспечения собственной высокой доступности.
Делается это средствами виртуального IP-адреса и Group ID, что позволяет балансировать трафик на порту 443 для более чем 10 тысяч одновременных подключений. Это позволяет снизить операционные затраты на обслуживание таких сервисов, как VMware Horizon 7, Web Reverse Proxy, Per-App Tunnel и VMware Content Gateway.
2. Механизм мониторинга Session Statistic Monitoring для оконечных сервисов.
Теперь с помощью этих функций в административной консоли UAG можно в реальном времени наблюдать за статистиками активных и неактивных сессий, неудачными попытками входа, сессиями протоколов Blast и PCoIP, туннелями и прочими параметрами. Это позволит грамотнее планировать балансировку пользовательских сессий.
3. Режим Cascade Mode для поддержки Horizon 7.
Для организаций, где требуется использование двухслойного DMZ, сервер UAG может работать в каскадном режиме (Cascade Mode). В этом случае внешний сервер UAG работает как Web Reverse Proxy для интернет-соединений пользователей, а внутренний - как Horizon Edge Service.
4. Ограничение доступа к службам Amazon Web Services.
Теперь с помощью UAG можно лимитировать доступ к облачным ресурсам AWS в целях разграничения доступа. В этом случае Unified Access Gateway можно импортировать в облако Amazon EC2, зарегистрировать как Amazon Image Machine (AMI) и развернуть с помощью сценария PowerShell.
5. Поддержка custom thumbprints.
Custom thumbprints позволяют использовать разные сертификаты для соединений Blast TCP и VMware Tunnel. Это можно сделать в консоли UAG или через PowerShell INI.
6. Нативная поддержка Horizon 7.
В консоли Horizon Administrator в дэшборде System Health теперь отображаются детали о зарегистрированных модулях VMware Unified Access Gateway для версии 3.4 и более поздних:
Скачать VMware Unified Access Gateway 3.4 можно по этой ссылке.
Недавно мы писали про то, как работает механизм регулирования полосы канала Network I/O Control (NIOC) в VMware vSphere, который позволяет приоритизировать различные типы трафика на одном сетевом адаптере, а сегодня взглянем на сам механизм прохождения трафика по уровням абстракции виртуального коммутатора изнутри.
Цепочка прохождения пакетов по сетевому стеку гипервизора ESXi через различные уровни называется Network IOChain. Это фреймворк, который позволяет на пути следования данных от виртуальной машины к физическому сетевому адаптеру производить различную модификацию данных и передачу их на следующий уровень.
IOChain обеспечивает связность виртуального коммутатора vSphere Standard Switch (VSS) или vSphere Distributed Switch (VDS) от групп портов на них к портам физических сетевым адаптеров (uplikns) в процессе передачи и обработки пакетов между этими сущностями. Для каждого из виртуальных коммутаторов есть 2 интерфейса IOChain (для входящего и исходящего трафика). Это дает большую гибкость по настройке политик каналов трафика Ingress и Egress.
Примерами таких политик служат поддержка сетей VLAN, механизма группировки NIC teaming и шейпинг трафика (traffic shaping). Работают эти политики на трех уровнях абстракции (в порядке следования от виртуальной машины):
Группа портов виртуального коммутатора (port group).
На этом уровне работает фильтрация VLAN, а также политики безопасности, такие как Promiscuous mode, MAC address changes и Forged transmits. Пользователи также могут настроить политики шейпинга исходящего трафика (для VSS) или в обоих направлениях (только для VDS).
Обычный или распределенный виртуальный коммутатор (VSS или VDS).
Основная задача этого уровня - направлять пакеты к нужному порту (аплинку), через которые они достигнут адреса назначения. Он оперирует MAC-адресами источника и назначения, а также определяет, отдавать ли трафик локально (в рамках одного или нескольких виртуальных коммутаторов на хосте), либо перенаправлять его к уровню аплинка хоста ESXi.
Кроме того, на этом уровне настраиваются правила NIC teaming по балансировке пакетов между аплинками, подключенными к данному коммутатору. Ну и на этом уровне можно также настраивать политики шейпинга и безопасности для всего виртуального коммутатора в целом.
Порт (uplink).
Этот уровень отвечает за передачу трафика к драйверу сетевого адаптера. На этом уровне работают функции hardware offloading, облегчающие работу с обработкой пакетов за счет ресурсов сетевой карты. Доступные возможности hardware offloading зависят от конкретной модели карты и ее драйвера. Примерами таких возможностей являются TCP Segment Offload (TSO), Large Receive Offload (LRO) и Checksum Offload (CSO). Также здесь обеспечивается поддержка оверлейных протоколов VXLAN и Geneve, которые используются в решениях NSX-v и NSX-T соответственно (эта поддержка есть во многих современных сетевых картах).
Помимо этого на уровне аплинка работают механизмы буфферизации пакетов при всплесках нагрузки (ring buffers), после чего пакеты передаются на DMA-контроллер, чтобы быть обработанными процессором карты и перенаправлены уже в сеть передачи данных.
Для обычного виртуального коммутатора (VSS) схема прохождения трафика через уровни абстракции IOChain
выглядит так:
Если же у вас распределенный виртуальный коммутатор VDS, то вы можете использовать механизм Network I/O Control (NIOC) для резервирования и приоритизации трафика внутри канала аплинков. Также VDS предоставляет множество дополнительных возможностей, таких как LBT (Load Balanced Teaming) и LACP (Link Aggregation Control Protocol).
В случае с VDS схема с IOChain выглядит следующим образом:
Обратите внимание, что на этой диаграмме есть дополнительный модуль DVfilter. Это API-фреймворк, который есть в VDS и требуется для работы решения NSX. Когда компоненты NSX устанавливаются в ядро ESXi, они взаимодействуют с трафиком именно через этот модуль.
С помощью команды summarize-dvfilter можно вывести все загруженные агенты DVfilter и фильтры. Вот так это выглядит без установленного решения NSX:
Если вы посмотрите информацию по компонентам NSX, когда он установлен, то увидите модули nxst-switch-security, nsxt-vsip и nsxt-vdrb.
Вообще, весь стек IOChain является модульным, что позволяет добавлять новую функциональность его компонентов на различных уровнях абстракции. Например, компоненты DVfilter разделяются на Fastpaths, Slowpaths и Filters:
Fastpaths – фильтры трафика на уровне ядра ESXi.
Slowpaths – интеграция со сторонними продуктами для сетевой инфраструктуры.
Filters – размещение фильтров в слоты для каждого из подходящих по модели сетевых адаптеров vNIC.
В VMware vSphere 6.7 в стеке IOChain появилось несколько улучшений, таких как поддержка MAC learning и функции IGMP snooping через интерфейс VNI (Virtual Network Interface), которые могут быть использованы в будущем.
Ну и напомним, что текущая версия распределенного виртуального коммутатора VDS - это 6.6, об их обновлении мы писали вот тут.
Корпоративные заказчики чаще всего используют целый ряд критичных информационных систем, обслуживающих большое количество пользователей. Чтобы избежать нарушений работоспособности такого решения, организации используют проверенные способы в виде аренды виртуальной инфраструктуры у облачного провайдера, предоставляющего услуги PaaS, или виртуального дата-центра, в основе которого лежит IaaS корпоративного уровня.
В последние годы на рынке облачных вычислений наблюдается бум использования технологии Docker, но корпоративные заказчики не спешат переходить на новинку. В этой статье мы рассмотрим причины такого поведения заказчиков.
Виды виртуализации
Контейнеры и виртуальные машины схожи по своей цели: изолировать приложение и его зависимости в самостоятельный блок, который можно запускать где угодно.
Более того: и контейнеры, и виртуальные машины избавляют от привязки к конкретному физическому оборудованию, что позволяет более эффективно использовать вычислительные ресурсы с точки зрения потребления энергии и экономической эффективности.
Основное различие между контейнерами и виртуальными машинами – в их архитектурном подходе.
Виртуальные машины
Виртуальная машина – программная и/или аппаратная система, эмулирующая аппаратное обеспечение некоторой целевой и исполняющая программы для гостевой платформы на платформе-хозяине (хосте) или виртуализирующая некоторую платформу и создающая на ней среды, изолирующие друг от друга программы и даже операционные системы. Виртуальные машины запускают на физических машинах, используя гипервизор.
Гипервизор представляет собой часть программного или аппаратного обеспечения, позволяющую одновременное, параллельное выполнение нескольких операционных систем на одном и том же физическом компьютере – хосте. Хост предоставляет виртуальным машинам вычислительные ресурсы, легко распределяемые между ними. Так что если одна виртуальная машина выполняет запуск более ресурсоемких приложений, вы можете выделить ей больше вычислительных возможностей, чем другим машинам, работающим на том же хосте.
Виртуальную машину, запускаемую на том же хосте, часто называют гостевой машиной. Гостевая машина содержит приложение и все, что нужно для его запуска (например, системные исполняемые файлы и библиотеки). Она также несет в себе весь аппаратный стек, включая виртуальные сетевые адаптеры, файловое хранилище и центральный процессор, и полноценную гостевую операционную систему. Виртуальная машина ведет себя как отдельный блок со своими собственными выделенными ресурсами. Если смотреть снаружи, мы знаем, что это виртуальная машина, использующая общие ресурсы, предоставленные хостом.
Контейнеры
В отличие от виртуальной машины, обеспечивающей аппаратную виртуализацию, контейнер обеспечивает виртуализацию на уровне операционной системы с помощью абстрагирования пользовательского пространства...Читать статью далее->>
Недавно мы писали о выпуске обновленной платформы для виртуализации настольных ПК предприятия VMware Horizon 7.7. Частью этого релиза стал апдейт продукта для распространения готовых к использованию приложений VMware ThinApp посредством подключаемых виртуальных дисков к машинам или хостам RDSH - VMware App Volumes 2.15.
Напомним, что о прошлом релизе App Volumes 2.14 мы писали вот тут в рамках анонса позапрошлой версии платформы VMware Horizon 7.5.
Давайте посмотрим, что нового появилось в App Volumes 2.15:
1. Функция Profile-Only Writable Volumes.
Ранее администратор мог создавать один из двух типов шаблонов для writable volume:
Только для пользовательских приложений
Для пользовательских приложений и данных профиля
Теперь же появилась третья опция - возможность создать шаблон только для сохранения данных профиля ("Profile Only"). Это позволяет, например, сохранять файлы Outlook OST, которые кэшируются и не требуют их пересоздания при каждом логине пользователя. Это же относится и к остальным приложениям пакета Office 365 - Outlook, Word, Excel, PowerPoint, Skype for Business и OneDrive for Business - при логине пользователя не нужно заново тянуть их данные с серверов датацентра компании.
2. Поддержка облачных приложений для Writable Volumes.
Теперь загруженный контент приложений OneDrive for Business и Box Drive (версии старше 2.1.105) сохраняется между логинами пользователя. Это позволяет создавать неперсистентные десктопы, но сохранять кэш скачанного контента пользователя, чтобы после его логина данные сервисов хранения сразу оказывались ему доступны.
3. Возможность использовать переменные окружения Writable Volume Exclusions.
Администратор может добавить исключения, например, для папки C:\Users\%Username%\Downloads, чтобы скачанные любым пользователем файлы не сохранялись между его входами в десктоп:
exclude_uwv_file=\users\%USERNAME%\downloads
Также, помимо %Username%, можно использовать переменную окружения %UserProfile%, например, чтобы не загружать временные файлы прошлых сессий пользователей:
exclude_uwv_file=%USERPROFILE%\desktop\temp
4. Поддержка решения Horizon 7 on VMware Cloud on AWS.
Теперь App Volumes поддерживают облачную инфраструктуру десктопов Horizon 7 on VMware Cloud on AWS (SDDC версии 1.5). Механизм App Volumes версии 2.15 может быть использован совместно с облачной платформой Horizon, чтобы развертывать приложения при включении виртуальных машин в облачной инфраструктуре Amazon-VMware.
Более подробно о новых возможностях VMware App Volumes 2.15 смотрите в Release Notes, скачать компоненты App Volumes как часть решения VMware Horizon 7.7 можно по этой ссылке.
Здесь мы можем увидеть вот такие цены за хост ESXi с сервисами vSphere/vSAN/NSX в час (на самом деле, это от $7 в час, а цены ниже указаны для новых клиентов в течение 3 первых месяцев):
Если вы подпишете контракт на год, скидка будет 30%, если на 3 года - 50%.
На этой же странице ниже расположен калькулятор стоимости аренды IaaS-инфраструктуры vCloud on AWS, где можно посчитать примерную цену аренды хостов SDDC (2 CPU, 36 ядер, 512 ГБ оперативной памяти, флэш-хранилище NVMe: 3.6 ТБ кэш, плюс 10.7 ТБ сырой емкости для ВМ).
Для четырех хостов ESXi на месяц у меня получилась стоимость 30 тысяч долларов, что как-то слишком дорого:
На данный момент также существует 2 онлайн-сервиса, которые позволяют оценить затраты на IaaS-инфраструктуру VMConAWS с точки зрения стоимости владения за 3 года:
1. Базовый калькулятор стоимости владения: VMware Cloud on AWS and Microsoft Azure: A Hybrid Cloud TCO Comparison.
В левой панели вводите число виртуальных машин (как в облаке, так и на собственной площадке под управлением VMC) и длительность контракта (год, 3 года или по мере использования) и получаете оценку затрат за 3 года в виде совокупной стоимости владения TCO (total cost of ownership), а также стоимость машиночаса. Это все подается еще и в сравнении со стоимостью владения ресурсами публичного облака Microsoft Azure (насчет точности конкурентных расчетов есть определенные сомнения):
2. Расширенный калькулятор стоимости владения: VMware Cloud on AWS Sizer and TCO.
В этом средстве расчета вы уже задаете профили рабочей нагрузки с их назначением, указываете число виртуальных машин с их параметрами (диск/профиль операций ввода-вывода, память, процессор) и получаете расчет совокупной стоимости владения с детальной разбивкой по статьям затрат, а также детальным описанием планируемой IaaS-инфраструктуры:
Согласно калькулятору, 100 виртуальных машин с дефолтными настройками профиля нагрузки за 3 года обойдутся в 400 тысяч долларов.
Кстати, пользователи продукта VMware vRealize Business for Cloud могут в нем провести обследование своей инфраструктуры для оценки затрат на содержание такой же облачной среды, но на стороне vCloud on AWS:
На написание этого поста меня вдохновила достаточно старая, но лично мною обнаруженная совсем недавно статья Романа Гельмана "PowerShell скрипт для автоматической установки ESXi хостов на серверах IBM/Lenovo". Какое-то время назад появилась необходимость автоматизировать процесс развертывания новой инфраструктуры для vSphere для клиента...
Весной 2018 года Selectel запустил услугу резервного копирования для Облака на базе VMware посредством Veeam® Backup&Replication™ (далее VBR). К реализации проекта мы подошли основательно, спланировали и выполнили следующий перечень работ:
Изучение документации и лучших практик по продуктам Veeam
Разработку архитектуры VBR уровня сервис-провайдера
Спустя всего 3 с небольшим месяца с момента анонса на конференции VMworld 2018 платформы для создания инфраструктуры виртуальных десктопов VMware Horizon 7.6, компания VMware выпустила обновление этого продукта - Horizon 7.7, включая обновленные клиенты Horizon Client 4.10.
Давайте посмотрим, что нового появилось в различных компонентах этого решения:
Улучшения совместимости и поддержка новых ОС
Поддержка Windows Server 2019 для серверов виртуальных десктопов и RDSH.
Пакет VMware Virtualization Pack for Skype for Business теперь может быть использован в окружении IPv6.
Клиенты Horizon Clients теперь включают поддержку последних операционных систем, таких как macOS 10.14 (Mojave) и Android 9.1.
Улучшения консоли Management Console
Новая Horizon Console (на базе HTML5) получила несколько улучшений:
Теперь можно добавлять пулы Manual и View Composer linked-clone, а также добавлять, отключать, изменять и удалять персистентные диски для связанных клонов.
На вкладке Machines можно быстро понять, когда кто-либо, кроме назначенного пользователя, заходил в виртуальную машину. Теперь есть 2 колонки: Connected User и Assigned User (фича также доступна в Horizon Administrator).
Старый Horizon Administrator в дэшборде System Health отображает детали о зарегистрированных модулях VMware Unified Access Gateway для версии 3.4 и более поздних:
Имя узла Connection Server pod теперь есть в верхней панели, рядом с заголовком:
Улучшение Help Desk Tool - администраторы теперь могут завершить процесс приложения для выбранного пользователя. База данных событий записывает это действие, включая такие детали, как дата и время, имя десктопа и название приложения, название пула и имя администратора.
Улучшения масштабируемости
Можно использовать один экземпляр vCenter Server для нескольких POD в архитектуре CPA (Cloud Pod Architecture).
Максимальное число серверов одной фермы RDSH было увеличено с 200 до 500.
Была введена поддержка vMotion для пулов linked-clone и automated, которые содержат также и полные виртуальные машины.
Поддержка vMotion была также добавлена для полных клонов с поддержкой vGPU, мгновенных клонов и связанных клонов.
Улучшения безопасности и надежности
Новая возможность аудита буфера обмена позволяет агентам Horizon Agent записывать информацию об активностях операций copy и paste между клиентом и агентом в журнал событий на машине агента.
Можно добавить устройство Virtual Trusted Platform Module (vTPM) к пулу десктопов instant-clone и удалить vTPM уже после операции по созданию образа.
Протокол TLS 1.0 теперь отключен по умолчанию на всех клиентах.
Улучшения User Experience
Улучшения протокола Blast Extreme:
Теперь можно использовать протокол Blast Extreme для доступа к физическим компьютерам и рабочим станциям.
Для Windows-клиентов протокол кодирования видео Blast Extreme HEVC (H.265) позволяет ужимать почти в два раза эффективнее чем раньше (при том же качестве), либо улучшать качество на той же самой полосе, как и H.264. Также добавлена поддержка режима 8K. Это требует окружения NVIDIA GRID с аппаратными кодировщиками NVIDIA и клиентов, железо которых поддерживает декодирование HEVC.
Улучшения Windows-клиентов:
Если включена возможность client-drive redirection, пользователи могут перетаскивать файлы и папки между клиентской системой и удаленными десктопами или опубликованными приложениями. Например, можно перетащить несколько графических файлов в опубликованное приложение (например, закинуть аттач в почтовый клиент).
Новая возможность VMware Virtual Print позволяет пользователю печатать на любом Windows-компьютере (она делает то же самое, что и ThinPrint ранее). Но, помимо этого, VMware Virtual Print поддерживает перенаправление принтеров клиента, а также location-based printing. Настройки сохраняются на уровне пользователей.
Улучшение опубликованных приложений и десктопов RDSH:
Режим multi-session mode, который позволяет администратору задать правило - можно ли пользователю открывать несколько сессий к одному приложению с различных устройств. Требует Horizon Client 4.10.
На Windows-клиентах пользователю можно назначить приложение RDSH для отображения на одном мониторе или на наборе из нескольких экранов.
Новая возможность hybrid logon может быть использована с функцией доступа для неавторизованных пользователей. Она позволяет неаутентифицированным пользователям, но с доступом к домену, получить доступ к сетевым ресурсам (файловые шары, принтеры), без ввода данных учетной записи домена. Требует Horizon Client 4.10.
Улучшения работы публичного облака VMware Cloud on AWS (SDDC версии 1.5)
Минимально требуемый размер кластера vSphere был уменьшен до 3 узлов. Также поддерживаются "растянутые" кластеры (stretched clusters).
Поддержка технологий VMware NSX-T network virtualization и VMware vSAN datastore encryption.
Поддержка технологий Horizon 7 издания Enterprise Edition: VMware User Environment Manager, VMware App Volumes и техники VMware Instant Clone.
Улучшения и новые возможности VMware Horizon 7 for Linux
Десктопы Linux теперь поддерживаются в инфраструктуре Horizon 7 on VMware Cloud on AWS.
Режим Single sign-on (SSO) теперь поддерживается для десктопов SLED/SLES 12.x.
Аудиовход теперь поддерживается для десктопов SLED/SLES.
Плавающий пул десктопов Instant clone теперь доступен при использовании SLED/SLES .
Функция session collaboration доступна при использовании Linux-десктопа. Теперь можно приглашать других пользователей присоединиться к удаленной сессии.
Десктопы Instant clone на базе Linux теперь позволяют офлайновое присоединение к домену Active Directory через Samba.
Более подробная информация о VMware Horizon 7.7 приведена по этой ссылке. Также здесь можно почитать документацию о VMware Horizon Clients, а вот тут написано про новые возможности Unified Access Gateway 3.4.
Компоненты VMware Horizon 7.7 доступны для загрузки уже сейчас по этой ссылке.
Мы уже упоминали о политиках хранилищ SPBM, (Storage Policy Based Management) в кластере VMware vSAN, которые представляют собой очень гибкий механизм для выделения виртуальным машинам хранилищ с разными характеристиками, который работает на уровне отдельных виртуальных дисков.
Политики SPBM разделяются на 3 основных области:
Storage Capabilities and Services - это политики, которые работают, когда хранилище vSAN или VVols представлено через интерфейс VASA производителем дисковой подсистемы (storage provider). Через VASA это устройство сообщает, какие сервисы оно предоставляет.
Data Services - это политики, настраиваемые на уровне хоста ESXi, они также реализуются на стороне дискового устройства (storage provider). Эти политики не определяют размещение виртуальных машин, но влияют на их возможности, например, использование шифрования или механизма SIOC.
Tags - это политики, которые используются хранилищами, которые не предоставляют каких-либо специфических функций, как правило - это обычные тома VMFS и NFS традиционных дисковых массивов без поддержки VASA.
В этой статье мы рассмотрим использование таких объектов, как тэги (Tags) и категории (Categories). Они могут оказаться полезными, когда вы хотите высокоуровнево определить параметры размещения и конфигурации виртуальных машин и их дисков на хранилищах, хостах, кластерах или в других объектах виртуальной инфраструктуры.
Поддержка правил на базе тэгов определяется при создании политики:
С помощью тэгов можно задать ярусы размещения ВМ, конфигурации дисков и их расположение, тип ОС, департамент, к которому принадлежит ВМ, тип дисков SAS/SATA/SSD и многое другое. Вот какие аспекты размещения внутри объектов виртуальной инфраструктуры можно контролировать через категории и тэги:
Например, вы хотите сделать так, чтобы виртуальные машины с гостевой ОС Linux попадали на определенные хранилища. В этом случае надо создать категорию "OS" для объектов Datastore и Datastore Cluster и тэг "Linux", который надо назначить заданным хранилищам. После этого машины с таким тэгом при выборе соответствующей политики SPBM будут попадать на заданные стораджи.
Так, например, может выглядеть конфигурация тэгов и категорий в вашей инфраструктуре:
В рамках одной политики можно использовать до 128 тэгов - это излишне, но если у вас есть фантазия, то вы можете использовать их все) Например, вы можете использовать категорию Department для отдела, а внутри создать тэги для всех отделов: Financial, HR, Engineering и т.п.
Категории и тэги можно использовать для разных аспектов конфигураций хранилищ. Например, тип ОС или тип дисков, на которых размещены ВМ (Category: Disk Type, Tag: SAS).
После создания тэга его нужно добавить к соответствующим датасторам и создать политику, которая использует соответствующие тэги. Это позволит определить размещение виртуальных машин при их создании, миграции или клонированию.
Весь этот процесс показан на видео ниже:
Еще одно преимущество такой механики заключается в том, что вы можете изменить хранилище, которое располагается под политикой, без изменения самой политики. То есть вы добавляете тэг какому-нибудь хранилищу, и оно автоматически попадает в политику с этим тэгом для размещения ВМ. Политику также можно ассоциировать с кластерами хранилищ (datastore clusters), что добавляет еще гибкости этому механизму.
Политики SPBM можно использовать не только отдельно для томов VMFS и NFS, но и для инфраструктуры vSAN и VVols, которые регулируются политиками на уровне хостов (host-based services). Например, можно создать политику, которая позволяет виртуальной машине использовать тома VVols, но только в определенном физическом размещении. Таким образом, с помощью провайдера VASA вы выбираете storage capability как VVols, а с помощью тэгов - физическое размещение ВМ.
Вот как это работает при создании политики:
С помощью PowerCLI вы можете получить информацию о виртуальных машинах или хранилищах, тэгированных определенным тэгом. Вот пример команды для ВМ:
Get-VM -Tag Windows
Name PowerState Num CPUs MemoryGB
---- ------- -------- --------
Windows-VMFS-VM PoweredOff 1 4.000
Win10-3 PoweredOn 2 4.000
jm-ws2016 PoweredOn 2 4.000
Win10-2 PoweredOn 2 4.000
И для хранилища:
Get-Datastore -Tag California
Name FreeSpaceGB CapacityGB
---- --------- ----------
N-VVol-Cali 2,048.000 2,048.000
При использовании механизмов размещения SPBM можно задавать уровень возможности их нарушения (Enforcement). Об этом вы можете прочитать в KB 2142765.
Нил Андерсон (Neil Anderson) прислал нам ссылку на интересный список "List of VSA Virtual Storage Appliances and SAN Storage Simulators", в котором представлены основные виртуальные модули (Virtual Storage Appliances, VSA) и симуляторы для создания программных общих SAN-хранилищ.
Вот список VSA-модулей и SAN-симуляторов, представленный по ссылке:
Dell EMC Data Domain Virtual Edition – Community Edition
Oracle ZFS Storage Simulator
IBM Spectrum Scale Virtual Machine
HDS HCS Simulator
Nimble Virtual Array VSA
Nutanix Community Edition
Synology DSM XPEnology Simulator
NexentaStor Community Edition VSA
Datacore Hyperconverged Virtual SAN
StorMagic SvSAN Trial
Бонусом идет список программных и аппаратных продуктов, для которых можно посмотреть на их управляющий интерфейс в рамках демо:
IBM StorWize V-Series Demo
Dell EMC Unity All Flash Simulator Demo
Dell EMC VNXe Demo
Synology DSM NAS Demo
QNAP QTS NAS Demo
Thecus NAS Demo
NetGear ReadyNAS NAS Demo
К каждому продукту автор приложил описание системных требований, а также ссылки на туториалы (в том числе видео) и документацию. Довольно полезная штука, скажу я вам!
Многие из вас используют фреймворк VMware PowerCLI для автоматизации операций в виртуальной инфраструктуре (см. статьи нашего автора Романа Гельмана). Между тем, не все знают, что PowerCLI - это точно такой же поддерживаемый продукт VMware, как и все остальные, с точки зрения обращений в техническую поддержку. То есть, если вы обнаружили некорректное поведение скрипта PowerCLI и не можете выяснить причину - то имеет смысл открыть Support Ticket.
Но чтобы инженеры VMware получили всю необходимую диагностическую информацию, часто оказывается недостаточно сгенерировать support-бандлы для хоста ESXi или сервера vCenter. Иногда нужно залезть глубже, чтобы получить информацию об API-вызовах, например, с помощью инструментов Fiddler или Wireshare.
Но можно сделать все гораздо проще - есть командлет Get-ErrorReport, который соберет для вас всю необходимую диагностическую информацию об ошибке и добавит ее в zip-пакет для отправки как вложения support-тикета. Давайте вызовем ошибку, к примеру, известную проблему PowerCLI, которая возникает при попытке переместить виртуальную машину с помощью Move-VM в виртуальный сервис vApp:
Move-VM : 11/14/2018 1:12:31 PM Move-VM A specified parameter was not correct:
PlacementSpec.relocateSpec.pool
Чтобы получить support бандл для этой ошибки, нужно использовать командлет, у которого есть следующие параметры:
Destination - директория назначения результирующего бандла.
IncludeServerLogs - нужно ли вытягивать логи с сервера, к которому мы подключены.
ProblemDescription - описание проблемы для технической поддержки.
ProblemScript - участок скрипта, который вызывает ошибку.
Таким образом, давайте попробуем вызвать командлет Get-ErrorReport:
$errorCode = {
$appsvr = Get-VM -Name appsvr02
$vapp = Get-VApp -Name DemovApp
Move-VM -VM $appsvr -Destination $vapp
}
Get-ErrorReport -ProblemScript $errorCode -Destination .\Documents\ -ProblemDescription "Using Move-VM to place a VM into a vApp"
Результатом работы сценария будет саппорт-бандл PowerCLI, лежащий в заданной папке:
Если заглянуть внутрь этого zip-пакета, то можно увидеть там следующие файлы:
PowerCLI-Main-Log.svclog
Powershell-Debug-Stream.txt
Powershell-Error-Stream.txt
Powershell-Info-Stream.txt
Powershell-Verbose-Stream.txt
Powershell-Warning-Stream.txt
Это все диагностические файлы, полный комплект которых позволит техподдержке VMware помочь решить вам вашу проблему с PowerCLI.
Кстати, файл с расширением *.svclog можно открыть с помощью инструмента Microsoft Service Stack Trace Viewer. В данном случае мы там увидим, что API-сервис вернул ошибку internal server error с кодом 500:
Для более детального исследования надо уже смотреть внутрь остальных файлов - это работа технической поддержки VMware, куда вы можете оформить запрос, используя материалы вот по этой ссылке.
RSS
