В середине июля компания VMware выпустила обновление своей главной платформы для виртуализации и доставки десктопов и приложений VMware Horizon 8 (2106). Напомним, что год назад о версии Horizon 2006 мы писали вот тут.

Давайте посмотрим, что нового появилось в Horizon 8 / 2106:

Основные улучшения

• Поддержка Horizon 7.10 и 7.13 была расширена до 17 марта 2022 и 15 октября, соответственно
• Новые рекомендации о Horizon Agent говорят о том, что теперь не нужно переустанавливать Horizon Agent для апгрейда VMware Tools, если вы соблюдаете условия interop matrix

Обновления платформы

• Поддержка 20 тысяч сессий на один модуль Pod
• Поддержка миграции VMware Update Manager для порт-групп с NSX VDS на NSX CDS
• Дополнительные REST API endpoints, которые дают функции федерации доступа, Event DB API, поддержку RBAC через REST API и многое другое

Блокирование функций снимков экрана

Теперь для сессий десктопов Horizon администраторы могут отключать функцию снимков и записи экрана, что могло привести к краже данных со стороны пользователей. Опция поддерживается только на Windows-агентах. Делается это путем установки значения 1 в следующем ключе реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Vmware, Inc.\Vmware VDM\Agent\Configuration\Screen-capture Blocking

Пока для HTML5-доступа она не поддерживается, но сам этот HTML5-доступ можно просто отключить. Блокируются только снимки через View Client, а для их отключения в самой гостевой ОС нужно использовать рекомендации Microsoft.

Мгновенные клоны

Теперь Sysprep можно использовать для объектов Instant Clones без родительских ВМ. Это может привести к падению скорости развертывания и большему числу перезагрузок. Зато у вас будет новый SID и такая же функция, которая есть и у связанных клонов.

Здесь появилось несколько значимых улучшений:

• Выбор типа vCenter для Cloud Burst - теперь можно выбирать способ управления онпремизными ресурсами Cloud Burst, которые должны удовлетворять требованиям 120 мс между агентами и Connection Server. Таким образом, вы можете использовать vCenter вашего стороннего облачного датацентра для управления ресурсами Horizon через Connection Server. Теперь нет необходимости развертывать Pods в публичном облаке только под средства управления.

• Возможность постоянного доступа к приложениям (Forever Application Sessions) - это нужно для таких сервисов, как онлайн-дэшборды, трекинг состояния (например, пациентов), тикеры акций и т.п. Эти сессии можно настроить на уровне пула/фермы или в глобальных настройках. Они поддерживают аутентифицированных пользователей на Windows и Linux клиентах.
• При создании пулов Full Clone и Managed Manual Desktop можно выбрать разрешения 5К и 8К для клиентов Blast. Максимум можно использовать 2 монитора. Для PCoIP поддерживается только 4К.

• Новые способы аутентификации для Untrusted Domains:
  • SAML
  • True Single Sign-On
  • Smart card

В новой версии коннектора есть следующие нововведения:

• Теперь можно иметь несколько узлов stateless connector. Horizon Cloud Connector служит как узел для контейнеров Kubernetes, которые выполняют критические сервисы Horizon.
• Service-level fault tolerance - теперь для сервера лицензий работают функции непрерывной доступности.
• Теперь для лицензий поддерживаются SNMP traps, такие как проблемы с синхронизацией и нотификации о событиях жизненного цикла.

• Windows Agent - он получил поддержку Windows Server 2022, а также улучшения механизма сбора данных, которые используются для мониторинга и траблшутинга. Data collection logging устанавливается по умолчанию и может быть включен через ключ реестра.
• Linux Agent -тут сразу несколько новых возможностей:
  • Linux Smartcard redirection - поддержка этого механизма доступна на десктопах Red Hat Enterprise Linux со включенным Security-Enhanced Linux.
  • Digital watermark - поддержка водяных знаков для сессий Linux, что позволяет защищать интеллектуальную собственность.
  • Поддержка Red Hat Enterprise Linux 8.4 (Workstation и Server), а также CentOS 8.4.

Тут появились следующие вещи:

• Поддержка Xbox One для Windows-клиентов
• Возможность изменять audio sample rate, которая сохраняется между сессиями
• Возможность использовать 6 мониторов в режиме 4К
• Возможность использовать GPU encoding для режима session collaboration на Windows 2004 и более поздних

Также появились улучшения Copy/Paste - теперь можно использовать Clipboard Redirection для отключения и включения операций copy-paste в рамках сессии:

Кроме того, в этой категории есть дополнительные улучшения:

• Поддержка 48khz аудио через RTAV (по умолчанию 16khz)
• Улучшения copy/paste для медленных сетей
• Эмуляция кэширования сертификатов смарт-карт для не-Windows клиентов
• Упрощенный мониторинг задач печати (для очереди отображается имя пользователя в сессии)
• Поддержка функций Microsoft Edge Chromium:
  • HTML5 Multimedia Redirection
  • Browser Redirection
  • Geolocation Redirection
  • USB Redirection

Улучшения протокола Blast

Тут довольно много всего нового:

• Функции Blast Virtual Channel security
• Улучшения кодека Blast, включая скорость работы клиентов и улучшения сжатия текста
• Улучшения планировщика frame scheduler, который повышает масштабируемость и уменьшает latency
• Оптимизация создания воркеров Blast
• Поддержка GPU NVIDIA Ampere A10 и A40
• Улучшенная работа кодека NVIDIA GPU при удаленном соединении через Horizon Agent
• Поддержка видео 10-bit HDR 4:2:0 для Windows 10 Agent и Client, а также ВМ с NVIDIA vGPU
• Поддержка видео 10-bit HDR 4:4:4 для Windows 10 Agent и Client, ВМ с NVIDIA vGPU, а также клиентов Intel (Ice Lake+)

Оптимизации Microsoft Teams

Тут появились следующие фичи:

• Обновления WebRTC
• Поддержка Linux для оптимизаций Microsoft Teams
• Поддержка опции Mac Client readback
• Динамическое разрешение видео на базе производительности CPU тонких клиентов
• Улучшенные функции screen sharing для Mac и Linux
• Поддержка Mac для оптимизаций Microsoft Teams как remote app

Групповые политики

Теперь для браузера Microsoft Edge (Chromium) поддерживаются следующие групповые политики:

• Включение HTML5 Multimedia Redirection
• Включение VMware Browser Redirection
• Включение VMware Geolocation Redirection (поддерживается также и для UPD-печати)
• Возможность определить дефолтные настройки для UPD-принтеров
• Поддержка Agent Configuration - настройки для сессий RDS
• Unity Touch and Hosted Apps  - новая настройка "Redirect legal notice messages as a window"
• Поддержка Screen-capture Blocking (см. выше)
• Настройка Sample Rate – Recording Audio Device - устанавливает частоту сэмплирования для хостов RDS и опубликованных приложений.

В следующей статье мы посмотрим на новые возможности клиентов VMware Horizon Clients для различных платформ. А пока вы можете загрузить новую версию VMware Horizon 8 (2106) по этой ссылке. Release Notes доступны тут.

На днях компания VMware объявила о доступности решения NSX Advanced Load Balancer (продукт купленной компании Avi Networks) для гибридной инфраструктуры с облачной частью на базе Azure VMware.

NSX Advanced Load Balancer (Avi) позволяет организовать работу Enterprise-приложений с функциями локальной балансировки нагрузки, а также глобальной балансировки (global server load balancing, GSLB) и сетевого экрана Web Application Firewall (WAF) для нагрузок, исполняемых в облаке Azure VMware.

Avi дает функции балансировки нагрузки в гибридной среде для приложений, которые переезжают в облако Azure, с возможностями динамического масштабирования и нативными функциями облачной автоматизации.

Особенности данного решения:

• Полностью программное решение с функциями GSLB и WAF.
• Возможности Cloud-native развертывания и управления с удобным расширением мощности балансировщика.
• API для команд DevOps, удобные SDK (Python / Go / Java) и управление конфигурациями на базе Infrastructure-as-a-Code (Ansible, Terraform).
• Бесшовная доставка приложений как в облачную среду, так и в онпремизный датацентр.
• Возможности мониторинга и обнаружения, позволяющие быстро решать возникающие проблемы, а также интеграция со сторонними решениями через REST API.

Основные инфраструктурные возможности:

• Lift-and-Shift: При перемещении нагрузок из онпремизного датацентра в облачный на базе Azure VMware вы получаете Enterprise-балансировщик в публичном облаке.
• Data-center Extension: Avi дает новые возможности виртуальному датацентру, такие как GSLB и WAF, где есть шаблоны доступности приложений, а также поддержка топологий Active-Active (со множеством опций) и Active-Standby.
• Disaster Recovery: Avi поддерживает сценарии BC/DR для доступности приложений, как при локальной балансировке, так и для GSLB.

В рамках решения компоненты Avi Controller, NSX Manager и VMware vCenter на базе Azure VMware интегрированы в единое решение по балансировке трафика:

Avi использует режим NSX-T Cloud Connector, что позволяет унифицировать инфраструктуру балансировки в рамках гибридного облака:

Развертывается решение в виде виртуального модуля (Virtual Appliance) компонента Avi Controller с помощью несложного мастера:

Он может быть развернут как в онпремизной инфраструктуре, так и в облаке Azure VMware Solution SDDC, единственное требование - это выделенный IP для:

• Коммуникации с NSX Manager и vCenter
• Развертывания компонентов Service Engines в инфраструктуре Azure VMware Solution SDDC

Чтобы настроить Avi на базе Azure вам надо создать новый Cloud Connector внутри Avi Controller:

Этот коннектор взаимодействует с компонентами инфраструктуры, чтобы обнаружить сетевые и вычислительные ресурсы и автоматизировать развертывание Avi Service Engines (сущности, которые реализуют службы балансировщика).

Так как облачное решение Azure VMware построено на базе стека VMware Cloud Foundation с решениями NSX и vCenter, Avi использует стандартный NSX-T Cloud Connector.

Затем в интерфейсе создается Virtual Service, который имеет front-end IP приложения, за которым расположены члены пула или серверы приложений:

Avi также поддерживает политики Layer 7 request and response, разные алгоритмы балансировки, мониторинг состояния компонентов и многое другое.

Как только вы создали Virtual Service, Avi Controller развертывает Service Engines в датацентре, после чего проверяет, что сервис может обслуживать трафик через Service Engines. Весь цикл развертывания Service Engines полностью автоматический.

Avi Enterprise Edition лицензируется по числу vCPU компонентов Service Engines ("Service Core"), полностью поддерживается со стороны VMware, а лицензии доступны на 1 и 3 года. Скачать пробную версию продукта можно по этой ссылке.

Весной этого года компания VMware выпустила большое обновление серверной платформы виртуализации VMware vSphere 7 Update 2, включающее в себя множество новых возможностей и улучшений. Основные улучшения знает большинство администраторов, так как об этом писали достаточно подробно. Но есть и несколько небольших, но важных изменений, знать про которые было бы очень полезно. Давайте на них посмотрим...

Недавно компания VMware объявила о выпуске новой версии средства для мониторинга и защиты сетевой инфраструктуры виртуальной среды на уровне приложений в онпремизном и облачном датацентре vRealize Network Insight 6.3 (vRNI + также версия Cloud). Напомним, что о прошлой версии продукта мы писали вот тут.

Давайте посмотрим, что появилось нового в обновленном vRNI / Cloud версии 6.3:

1. Поддержка VMware Cloud on Dell EMC

Как и для других облачных и онпремизных инфраструктур, vRNI теперь предоставляет для VMConDellEMC такие возможности, как обнаружение приложений (Application Discovery), планирование миграций, планирование стратегии безопасности, алерты и аналитику, а также детализированные дэшборды вашего окружения.

2. Дэшборд VMware SD-WAN Gateway

Новый дэшборд VMware SD-WAN Gateway показывает производительность и использование шлюзов VMware SD-WAN Edges во всей вашей инфраструктуре SD-WAN.

Для каждого VMware SD-WAN gateway можно посмотреть отдельный дэшборд, как показано на картинке ниже:

Здесь можно увидеть топологию, включающую в себя туннели между VMware SD-WAN Edge и выбранным шлюзом, а также состояния этих туннелей. Для каждого из туннелей можно увидеть метрику Quality of Experience, а также множество других полезных мелочей.

3. Настройка Polling Intervals

Теперь можно настроить периодичность сбора данных со стороны vRNI для компонентов сети, а также сделать сбор данных по запросу. По умолчанию данные собираются каждые 10 минут, но вы можете выбрать и достаточно большой интервал:

Кастомный интервал можно задать и в минутах:

Если вы хотите запустить мгновенный сбор данных прямо сейчас, то вы можете найти опцию Collect Now в разделе Accounts and Data Sources:

4. Функции Network Assurance and Verification

Теперь карту Network Assurance and Verification Network Map можно отобразить на полный экран, что позволяет визуализовать на больших мониторах все компоненты виртуальной и физической инфраструктуры и получить сводную информацию обо всех проблемах и алертах:

Можно убрать лишние элементы и показать "диспетчерский" вид:

 Также в продукте есть Intent library для проверки соответствия конфигураций VRRP и HSRP на active и standby маршрутизаторах:

5. Метрики NSX-T Manager Network Utilization и топ 25 ВМ

Так же, как и Network Utilization Dashboard в разделе VMware Cloud SDDC, теперь в vRNI есть такой же дэшборд и для NSX-T Manager. Network Utilization Dashboard предоставляет детальные метрики, которые включают в себя Network Traffic Rate, а также Packets per Seconds для Tx и Rx, отображаемые в различных форматах:

Также есть вывод списка топ-25 виртуальных машин по значениям метрик network traffic rate и packets per second:

6. Прочие улучшения

• Алерты и тренды для VMware Cloud on AWS configuration maximums (относящиеся к Network и Security)
• Поддержка Platform XL Clusters до 15 узлов
• 40+ событий NSX-T, которые были оптимизированы для near-real-time notification
• Метрики vSAN Datastore

Узнать больше о продукте vRealize Network Insight 6.3 и получить пробную версию можно на этой странице.

Источник.

В начале года компания VMware запустила обновленный портал VMware Customer Connect, пришедший на смену устаревшему и неповоротливому My VMware, использовать который, зачастую, было мучением. Теперь VMware повернулась к пользователям лицом - на портале Customer Connect можно решать основные рутинные задачи, связанные...

Многие сетевые администраторы используют решение VMware vRealize Network Insight (vRNI), предназначенное для мониторинга и защиты сетевой инфраструктуры виртуальной среды на уровне приложений в виртуальном датацентре. Также в средних и крупных компаниях для управления тикетами используется ITSM-система ServiceNow, которая, помимо прочего, позволяет управлять инцидентами различного характера в ИТ-инфраструктуре, в том числе, виртуальной.

Сегодня мы посмотрим, как можно интегрировать эти решения через почту, чтобы администраторы получали оповещения об инцидентах в сфере сетевой безопасности в консоли ServiceNow. Для vRNI вам понадобится административный доступ, а для ServiceNow - права для создания инцидентов и входящих действий (inbound actions).

Сначала вам потребуется найти системный email-адрес ServiceNow. Например, для облачного продукта ServiceNow Cloud это адрес instancename@serive-now.com. Посмотреть данный адрес можно в разделе System Mailboxes -> Administration -> Email Accounts -> ServiceNow SMTP:

Затем в консоли vRNI нужно настроить отсылку почтовых нотификаций в ServiceNow для нужных алертов. Для этого идем в Settings -> Alerts and Notification -> Alerts:

Открываем нужный алерт, выставляем частоту отсылки сообщений и выбиваем почтовый адрес ServiceNow:

Теперь нужно создать Inbound Action для создания инцидента в ServiceNow. Идем в ServiceNow -> System Policy -> Email -> Inbound Actions -> New:

Там задаем имя инцидента, целевую таблицу и тип действия Record Action:

На вкладке Action нужно создать кастомный скрипт для обработки и кастомизации полей полученного сообщения:

Вот пример такого скрипта:

current.caller_id = gs.getUserID();
current.comments = "received from: " + email.origemail;
current.short_description = email.subject;
current.description = email.body_text.toString();
current.category = "network";
current.incident_state = IncidentState.NEW;
current.notify = 2;
current.contact_type = "email";
if (email.body_text.toString().indexOf('Critical') >=0 ){
 current.impact=1;
 current.urgency=1;
}
else if (email.body_text.toString().indexOf('Info')>=0 ){
 current.impact=2;
 current.urgency=3;
}
else if (email.body_text.toString().indexOf('Moderate')>=0 ){
 current.impact=2;
 current.urgency=2;
}
else if (email.body_text.toString().indexOf('Warning')>=0 ){
 current.impact=1;
 current.urgency=2;
}
if (email.body.assign != undefined)
 current.assigned_to = email.body.assign;
current.insert();

В этом скрипте можно задать параметры фиксируемого инцидента, такие как его критичность, срочность и т.п. Также вы можете написать свой сценарий на базе документации к ServiceNow. Инциденты будут отображаться в разделе Incident -> All.

Источник.

После выхода VMware vSphere 7 Update 2 появилось много интересных статей о разного рода улучшениях, на фоне которых как-то потерялись нововведения, касающиеся работы с большими нагрузками машинного обучения на базе карт NVIDIA, которые были сделаны в обновлении платформы.

А сделано тут было 3 важных вещи:

• Пакет NVIDIA AI Enterprise Suite был сертифицирован для vSphere
• Появилась поддержка последних поколений GPU от NVIDIA на базе архитектуры Ampere  
• Добавились оптимизации в vSphere в плане коммуникации device-to-device на шине PCI, что дает преимущества в производительности для технологии NVIDIA GPUDirect RDMA

Давайте посмотрим на все это несколько подробнее:

1. NVIDIA AI Enterprise Suite сертифицирован для vSphere

Основная новость об этом находится в блоге NVIDIA. Сотрудничество двух компаний привело к тому, что комплект программного обеспечения для AI-аналитики и Data Science теперь сертифицирован для vSphere и оптимизирован для работы на этой платформе.

Оптимизации включают в себя не только средства разработки, но и развертывания и масштабирования, которые теперь удобно делать на виртуальной платформе. Все это привело к тому, что накладные расходы на виртуализацию у задач машинного обучения для карточек NVIDIA практически отсутствуют:

2. Поддержка последнего поколения NVIDIA GPU

Последнее поколение графических карт для ML-задач, Ampere Series A100 GPU от NVIDIA, имеет поддержку Multi-Instance GPU (MIG) и работает на платформе vSphere 7 Update 2.

Графический процессор NVIDIA A100 GPU, предназначенный для задач машинного обучения и самый мощный от NVIDIA на сегодняшний день в этой нише, теперь полностью поддерживается вместе с технологией MIG. Более детально об этом можно почитать вот тут. Также для этих карт поддерживается vMotion и DRS виртуальных машин.

Классический time-sliced vGPU подход подразумевает выполнение задач на всех ядрах GPU (они же streaming multiprocessors, SM), где происходит разделение задач по времени исполнения на базе алгоритмов fair-share, equal share или best effort (подробнее тут). Это не дает полной аппаратной изоляции и работает в рамках выделенной framebuffer memory конкретной виртуальной машины в соответствии с политикой.

При выборе профиля vGPU на хосте с карточкой A100 можно выбрать объем framebuffer memory (то есть памяти GPU) для виртуальной машины (это число в гигабайтах перед буквой c, в данном случае 5 ГБ):

Для режима MIG виртуальной машине выделяются определенные SM-процессоры, заданный объем framebuffer memory на самом GPU и выделяются отдельные пути коммуникации между ними (cross-bars, кэши и т.п.).

В таком режиме виртуальные машины оказываются полностью изолированы на уровне аппаратного обеспечения. Выбор профилей для MIG-режима выглядит так:

Первая цифра сразу после a100 - это число слайсов (slices), которые выделяются данной ВМ. Один слайс содержит 14 процессоров SM, которые будут использоваться только под эту нагрузку. Число доступных слайсов зависит от модели графической карты и числа ядер GPU на ней. По-сути, MIG - это настоящий параллелизм, а обычный режим работы - это все же последовательное выполнение задач из общей очереди.

Например, доступные 8 memory (framebuffers) слотов и 7 compute (slices) слотов с помощью профилей можно разбить в какой угодно комбинации по виртуальным машинам на хосте (необязательно разбивать на равные части):

3. Улучшения GPUDirect RDMA

Есть классы ML-задач, которые выходят за рамки одной графической карты, какой бы мощной она ни была - например, задачи распределенной тренировки (distributed training). В этом случае критически важной становится коммуникация между адаптерами на нескольких хостах по высокопроизводительному каналу RDMA.

Механизм прямой коммуникации через шину PCIe реализуется через Address Translation Service (ATS), который является частью стандарта PCIe и позволяет графической карточке напрямую отдавать данные в сеть, минуя CPU и память хоста, которые далее идут по высокоскоростному каналу GPUDirect RDMA. На стороне приемника все происходит полностью аналогичным образом. Это гораздо более производительно, чем стандартная схема сетевого обмена, об этом можно почитать вот тут.

Режим ATS включен по умолчанию. Для его работы карточки GPU и сетевой адаптер должны быть назначены одной ВМ. GPU должен быть в режиме Passthrough или vGPU (эта поддержка появилась только в vSphere 7 U2). Для сетевой карты должен быть настроен проброс функций SR-IOV к данной ВМ.

Более подробно обо всем этом вы можете прочитать на ресурсах VMware и NVIDIA.

Многие из вас, наверняка, знакомы с инфраструктурой публичного облака VMware Cloud on AWS, которая была анонсирована еще летом 2017 года. Это все та же платформа VMware vSphere, все те же серверы VMware ESXi, но стоят они физически в датацентрах Amazon. Все это управляется совершенно нативно для инфраструктуры vSphere, туда же включаются и решение...

Недавно мы писали о новой службе Virtual Machine Service, которая появилась в последней версии VMware vCenter 7 Update 2a, вышедшей несколько дней назад. Через некоторое время компания VMware обновила и свою основную платформу виртуализации до версии ESXi 7 Update 2a, обновив таким образом оба компонента VMware vSphere 7 до Update 2a.

Основным нововведением ESXi 7 Update 2a (он же билд 17867351) является исправление бага с апгрейдом с прошлых версий vSphere. Пользователи, у которых был настроен кастомный бейслайн vSphere Lifecycle Manager (vLCM), после апгрейда получали вот такую ошибку (для билда 17630552 в комплекте Update 2):

Failed to load crypto64.efi

Теперь старый билд Update 2 был убран из репозитория, а все обновления будут уже до версии 2a.

Также в U2a появилось немало нововведений для VMware vSphere with Tanzu:

• Supervisor Cluster
  • Управление ресурсами Kubernetes через Virtual Machine Service. Об этом мы подробно писали тут.
  • Самостоятельное создание пространств имен со стороны разработчиков (по шаблону, заданному администратором, который определяет лимиты и права доступа).
• Tanzu Kubernetes Grid Service for vSphere
  • Сервер Kubernetes metrics-server включен по умолчанию. Основные параметры узлов и Pod'ов можно смотреть командой kubectl top.
  • Система обработки webhooks теперь поддерживает dry-run mode. Теперь такие популярные утилиты, как, например, Terraform Kubernetes provider можно интегрировать с Tanzu Kubernetes Grid Service.
  • Кастомные классы виртуальных машин (Virtual Machine Classes), которые потребляются через службы VM Service. Это позволяет пользователям выделить различные параметры CPU и памяти, которая выделена виртуальным машинам в кластере Tanzu Kubernetes Cluster.

Обновить инфраструктуру на vSphere 7 Update 2a можно следующими командами в консоли:

esxcli network firewall ruleset set -e true -r httpClient

esxcli software profile update -p ESXi-7.0U2a-17867351-standard \

-d https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml

esxcli network firewall ruleset set -e false -r httpClient

Скачать VMware vSphere 7 Update 2a можно по этой ссылке. Release notes доступны тут.

Недавно мы писали о новом облачном продукте VMware Cloud Universal, который представляет собой гибкую подписку, дающую возможности enterprise-уровня по развертыванию сервисов и работе в облачной среде VMware Cloud на базе частного или публичного облака.

Частью семейства решений VMware Cloud является ресурс VMware Cloud Launchpad, где собрана основная информация о переходе с онпремизной инфраструктуры на гибридную (VMware Hybrid Cloud), в которой часть ресурсов размещается в облаке и масштабируется по требованию.

Пока доступных решений всего два:

• Migration - набор материалов и план по миграции части онпремизных сервисов в виртуальных машинах в публичное облако (на данный момент VMware Cloud on AWS). Ранее это было доступно как Standalone-сервис, а теперь это интегрировано в инфраструктуру VMware Cloud.
• Kubernetes - это набор сервисов и пошаговых руководств для начала использования инфраструктуры контейнеризованных приложений на базе Tanzu Kubernetes Grid (TKG).

В разделе Infrastructure пока доступен на выбор один из двух облачных сервисов:

• VMware Cloud on AWS - инфраструктура публичного облака, полностью управляемая со стороны Amazon и VMware, доступная в 17 глобальных регионах.
• VMware Cloud on Dell EMC - полностью управляемый сервис VMware Cloud для онпремизных датацентров и edge locations (обрабатывающих центров).

На вкладке Overview показано небольшое видео и приведен краткий обзор сервисов:

В разделе Journey приведен план развертывания гибридного облака и инфраструктуры контейнеров, состоящий из 3 фаз для облачной инфраструктуры: Plan, Build и Migrate:

Ну и в разделе Resource доступна масса всякой полезной информации - о самой платформе, документы whitepapers и solution briefs, референсные архитектуры, видеоматериалы, разделы FAQ и другое:

Начать пользоваться VMware Cloud Launchpad можно даже без аккаунта на сервисе, посмотреть его можно по этой ссылке.

Недавно компания VMware анонсировала новый продукт в облачной линейке - подписку VMware Cloud Universal. Это решение разделяет облачное предложение VMware на два продукта:

• VMware Cloud - это так называемая платформа VMC, которая позволяет развернуть часть нагрузок предприятия в облаке на базе одного из провайдеров на выбор (например, Amazon - решение называется VMConAWS).
• VMware Cloud Universal - это гибкая подписка, которая дает возможности enterprise-уровня по развертыванию сервисов и работе в облачной среде VMware Cloud на базе частного или публичного облака.

Основная причина появления нового продукта - это все нарастающая потребность пользователей работать в гибридных мультиоблачных средах. Это ситуация, когда компания имеет собственную инфраструктуру и облачные нагрузки в разных облаках и имеет необходимость гибко распределять нагрузку между онпремизными и облачными ресурсами. При этом важное влияние имеет баланс капитальных (CapEx) и операционных (OpEx) затрат - потому что онпремизные лицензии оплачиваются сразу, а облачные ресурсы - на базе SaaS-подписки.

VMware тут предлагает решение, имеющее 3 главные особенности:

• Многолетний контракт, сумма которого определяется на базе текущих и будущих потребностей заказчика. Эти деньги можно распределять между собственной инфраструктурой и облачными подписками очень гибко, что позволит не потерять капитальные вложения.
• Convertibility - неиспользуемые онпремизные лицензии на VMware Cloud Foundation (VCF) можно конвертировать в подписки VMware Cloud on AWS или VMware Cloud on Dell EMC.
• Cloud Acceleration Benefit (CAB) - программа по мотивации заказчиков переезжать с собственной онпремизной инфраструктуры в облачную среду на базе подписки.

В качестве инфраструктурной платформы можно выбрать любое из трех предложений:

• VMware Cloud Foundation Subscription (VCF-Subscription) - подписка на гибридную платформу, управляемую со стороны пользователя.
• VMware Cloud on AWS - инфраструктура публичного облака, полностью управляемая со стороны Amazon и VMware, доступная в 17 глобальных регионах.
• VMware Cloud on Dell EMC - полностью управляемый сервис VMware Cloud для онпремизных датацентров и edge locations (обрабатывающих центров).

В рамках подписки пользователи могут использовать продукты VMware Cloud Sizer, VMware HCX, VMware vRealize Network Insight и сервисы Disaster Recovery, такие как VMware Site Recovery и VMware Cloud Disaster Recovery. Кроме того, дополнительно предлагаются следующие сервисы:

• VMware Tanzu Standard Edition, включенный в подписку VCF - позволяет упростить операции с Kubernetes в мультиоблачных средах, централизуя управления кластерами и командами в онпремизной, облачной и edge-среде.
• vRealize Cloud Universal - это SaaS-пакет продуктов, разработанный для автоматизации операций, мониторинга и аналитики логов в рамках одной лицензии.
• VMware Success 360 - это проактивные сервисы поддержки и сопровождения со стороны VMware для максимизации отдачи от использования продуктов и подписок.

Для управления инфраструктурой Cloud Universal используется решение VMware Cloud Console. Оно дает центральную точку управления всей инфраструктурой и операциями в мультиоблачной среде.

С помощью решения VMware Cloud Launchpad можно узнать о новых продуктах VMware и развернуть их в собственной гибридной инфраструктуре.

По-сути, VMware Cloud Universal дает 3 основных преимущества:

• Подготовить свою среду к будущим изменениями и переходу на гибридную и подписочную модель.
• Дать возможность миграции нагрузок в публичное облако на базе потребностей и ожиданий по времени пользователей (каждый может мигрировать машины в своем темпе).
• Получить дополнительные мощности из облака по запросу в пиковые периоды нагрузки, имея при этом централизованные средства управления.

Больше о продукте VMware Cloud Universal можно узнать по этой ссылке.

Все, кто хоть раз сталкивался с инфраструктурой виртуальных ПК VMware Horizon, знает, что в этом решении есть 3 способа развертывания виртуальных ПК для нужд различных типов пользователей. Делается это с помощью одного из следующих видов клонов:

• Full Clone - полная копия родительской виртуальной машины, абсолютно никак с ней не связанная и действующая как полноценная новая ВМ.
• Linked Clone - связанный клон виртуальной машины, создаваемый со стороны View Composer, который использует общее для всех клонов хранилище реплики на чтение, но имеет собственное хранилище для операций записи (дельта-диск или redo log). Память такой ВМ полностью независима от родительской ВМ, которая называется репликой (потому что она получается путем создания дубликата мастер-образа).
• Instant Clone - это мгновенный клон работающей виртуальной машины, то есть имеющий с ней не только общее хранилище на чтение, но и общую память, для которой также используется техника copy-on-write. То есть это больше похоже на контейнерную виртуализацию.

Давайте теперь посмотрим на все эти виды клонов в деталях:

Full Clone

Это самый простой и понятный случай. С точки зрения производительности это всегда будет лучший вариант, так как это обычная виртуальная машина. Функциональность тут та же, что и для обычных ВМ. Очевидно, что главный минус - это скорость развертывания такой ВМ под новых пользователей, ведь нужно физически скопировать данные ее виртуальных дисков.

Но есть и еще некоторый минус по сравнению со связанными и мгновенными клонами - это обновления. Так как полные клоны содержат свою копию ОС, то вам нужно обновлять каждую машину, а не только реплику/родительскую ВМ, как в случае с Linked и Instant Сlones.

В целом, тут рассказывать особо больше не о чем, параметры производительности полного клона можно взять за эталон по отношению к остальным видам.

Linked Clone

Связанные клоны появились довольно давно в решении VMware View (тогда Horizon еще не было). Их созданием занимался и продолжает заниматься компонент VMware View Composer, который управляет процессами, связанными с развертыванием пулов виртуальных десктопов.

Суть таких клонов заключается в создании реплики от мастер-образа виртуального ПК, который подготовлен к массовому развертыванию (настроена ОС и установлены приложения). Реплика является родителем для новых виртуальных десктопов в плане их общего хранилища на чтение. Все операции чтения, которые создают клоны, складываются в отдельные дельта-диски за счет технологии copy-on-write, позволяющей при записи операции I/O перемещать ее в отдельный файл отличий от родительского диска.

Это очень удобно - такие десктопы создаются очень быстро (нужно только создать дельта-диски), реплика не должна быть включена и активна (только ее хранилище), а хранилище очень сильно экономится, ведь общие данные (предустановленные приложения и ОС) хранятся только в одном экземпляре. Такая модель идеально подходит для временных ПК - например, для сотрудников кол-центров, которые используют какое-то приложение во время работы (например, CRM), но в остальное время десктоп оказывается не нужен.

В этом случае, в соответствии с политикой пула Linked Clone, виртуальный ПК можно уничтожить после отключения пользователя или оставить висеть до следующего логина, а уничтожать после операции Log off. Что еще тут важно - к такому десктопу можно прицепить persistent-диск, который будет сохранять данные пользователя даже при выключении десктопа.

Недостатки тоже очевидны: инфраструктура связанных клонов опирается на компонент View Composer и зависит от его надежности, а операции записи и чтения работают медленнее, так как при записи данных нужно потратить ресурсы на обработку механизма copy-on-write, а при чтении - найти откуда данные считать - из базового образа или из дельта-дисков пользователей.

Тут надо обязательно отметить, что начиная с VMware Horizon 8 (2006), связанные клоны помечены как Deprecated-функционал, то есть вскоре (а именно, в следующей мажорной версии Horizon) будет произведен переход на мгновенные клоны, о которых рассказано ниже.

Instant Clone

Функция мгновенного клонирования виртуальной машины (ранее известная как технология VMFork) позволяет очень быстро сделать работающую копию запущенной ВМ на платформе VMware vSphere. Что важно, она не зависит от централизованного сервера, а реализована прямо на уровне гипервизора VMware ESXi. Появилась эта возможность в vSphere 6.7 и до сих пор совершенствуется.

Работает мгновенное клонирование так: посредством Memory copy-on-write "на лету" создается клон виртуальной машины (VMX-файл, процесс в памяти), который начинает использовать ту же память (Shared memory) на чтение, что и родительская ВМ. При этом дочерняя ВМ в общую память писать не может, а для записи и чтения собственных данных используется выделенная область памяти. Для дисков аналогично - с использованием технологии Copy-on-write в дельта-диск дочерней ВМ пишутся отличия от базового диска родительской ВМ:

Такой подход больше похож на контейнерную виртуализацию, где в рамках одной общей ОС работает несколько изолированных окружений - и это действительно так, со всеми его плюсами и минусами. Плюсом является экономия дискового пространства и памяти, а также скорость создания такого клона - он не просто быстрее создается, но и сразу включен и готов к использованию. Еще очевидным преимуществом является независимость технологии мгновенных клонов от сервисов View Composer, а значит в этом смысле надежность инфраструктуры таких ПК несколько выше.

Цикл включения нового десктопа для мгновенных клонов гораздо короче:

Минусы здесь те же самые, что и для связанных клонов, только добавляются ограничения по числу дочерних ВМ на одну родительскую, издержки на поддержание сложной системы работы с памятью (что влияет на безопасность и производительность), а также отсутствие поддержки некоторых функций.

Причина падения производительности ввода-вывода проста: у родительской ВМ создается дельта-диск, который используется первым мгновенным клоном, потом базовая ВМ несколько меняется за время до создания следующего - и на момент создания нового мгновенного клона будет использоваться уже следующий дельта-диск и так далее.

Такая схема имеет недостаток в том, что у родительской ВМ плодятся дельта-диски, что приводит к тому, что быстродействие родительской ВМ замедляется, а сама структура за счет увеличения числа дисков существенно усложняется, что потенциально может привести к различного рода сбоям.

Сейчас для связанных клонов недоступны следующие возможности:

• Кастомизация машин средствами Sysprep и Quickprep
• ОС Windows 8 и 8.1
• Функции Persona Management
• Тома Virtual Volumes (VVols)
• Нативные снапшоты на хранилищах через VAAI (vStorage APIs for Array Integration)
• Указание имен компьютеров ВМ вручную (это доступно для связанных клонов в пулах dedicated- или floating-)
• Политика питания Remote machine power policy (Always Powered On, Suspend, Power Off) для пула
• Привязка постоянных (Persistent) дисков

Несмотря на то, что персистентные диски не работают из коробки для связанных клонов, эту проблему можно решить с помощью продуктов Dynamic Environment Manger DEM , Microsoft FSLogix или VMware App Volumes Writable Volumes.

Отметим, что для мгновенных клонов (Instant clones) поддерживаются возможности TRIM и UNMAP для хранилищ vSAN.

Производительность клонов

У компании VMware есть прекрасный документ "Understanding Clones in VMware vSphere 7", где описываются результаты тестирования производительности всех трех типов клонов. Очень интересный whitepaper, давайте взглянем на некоторые выводы в нем содержащиеся.

Первое - это скорость развертывания клонов и тестирование производительности под большой нагрузкой ввода-вывода:

Очевидно, что связанные и мгновенные клоны создаются намного быстрее полных ввиду своей природы. Мгновенные создаются несколько дольше связанных из-за того, что первым нужно время не только на настройку операций copy-on-write с диском, но и с памятью.

А вот правая часть картинки показывает нам, насколько падает производительность подсистемы ввода-вывода при тяжелых нагрузках - для связанных клонов больше, чем в три раза, а для мгновенных - аж в четыре (Hammer DB создает нагрузку еще и на память, которую должен обслуживать механизм мгновенных клонов).

Второй не менее интересный тест - с помощью методики SPECjbb. Тут брали не машины с хранилищем 450 ГБ и тяжелой нагрузкой по вводу-выводу, как в прошлом тесте, а легковесные машины с 16 ГБ диска и нагрузку делали на CPU и память. Результат получился таким:

Первый важный вывод - самое большое время на развертывание связанные и мгновенные клоны тратят в самом начале, уступая для маленьких машин полным клонам, но потом полные клоны долго завершают копирование данных виртуальных дисков.

Второй полезный инсайт - с точки зрения отработки запросов к CPU и памяти (а именно это и меряет SPECjbb) все три типа клонов ведут себя одинаково в пределах статистической погрешности в 5%.

Следующая картинка - влияние на родительскую ВМ. Очевидно, что для полных клонов влияния никакого нет, а вот для связанных и, тем более, мгновенных клонов влияние большое:

И, опять-таки, для памяти и CPU связанных и мгновенных клонов такого влияния практически нет.

Следующая картинка - развертывание полного клона по сети на другой хост ESXi. Для мгновенных клонов такая возможность отсутствует, а для связанных требуется общее хранилище. Мы тут видим, как сильно увеличивается время развертывания полного клона по сети:

При увеличении числа виртуальных машин совокупная производительность по вводу-выводу растет вот так:

При увеличении числа клонов картина для CPU/памяти вполне ожидаемая:

С точки зрения CPU все три вида клонов будут работать одинаково, а вот с точки зрения памяти - мгновенные клоны будут немного помедленнее, так как некоторое количество ресурсов тратится на обслуживание работы механизма работы с памятью.

Что касается времени развертывания разного количества для трех типов клонов, тут тоже все понятно: полные клоны растут линейно, остальные - несущественно.

Итоги

Давайте сведем теперь в простую таблицу все преимущества и недостатки полных, связанных и мгновенных клонов, чтобы это могло помочь вам выбрать нужную схему использования виртуальных ПК:

Летом прошлого года компания VMware купила команду True Visibility у компании Blue Medora. На днях был анонсирован продукт на базе этого решения - vRealize True Visibility Suite. Этот анонс стал еще одним в серии весенних релизов компании VMware.

Новое решение True Visibility позволяет получить информацию обо всех компонентах виртуальной инфраструктуры, включая топологию сети, ресурсы хранилищ и серверов на физическом уровне, а также объектов приложений.

В течение ограниченного времени VMware предлагает купить новый бандл, который содержит vRealize True Visibility Suite, который дополняет обычный vRealize Suite Standard (либо отдельный продукт vRealize Operations Standard или Advanced) или vCloud Suite Standard:

В первую очередь, решение True Visibility позволит быстрее находить проблему, а также проводить root cause analysis и своевременно реагировать на события, происходящие в инфраструктуре на физическом и виртуальном уровне.

После того, как вы поставите все необходимые management packs и автоматически соберете данные о взаимосвязях и взаимодействиях в вашей инфраструктуре, вы увидите, как она выглядит на одной детализированной схеме, где видны виртуальные и физические компоненты:

Также продукт позволяет задавать политики алертинга, чтобы администраторов не забрасывало оповещениями в случае возникновения различных нештатных событий.

Бандл доступен с 1 апреля по 30 октября, потом он будет интегрирован в одно из изданий по большей цене. Пробная бесплатная версия vRealize True Visibility Suite доступна по этой ссылке.

Недавно мы писали о новых возможностях обновленной платформы виртуализации VMware vSphere 7 Update 2, а также новой версии средства создания отказоустойчивых кластеров хранилищ VMware vSAN 7 Update 2. Сегодня мы немного подробнее расскажем о новых возможностях инфраструктуры работы с хранилищами (core storage) в новом обновлении vSphere.

Давайте посмотрим, что именно там нового:

1. Увеличение iSCSI Path Limit

Раньше для одного LUN максимально доступны были только 8 путей, но многим пользователям требовалось существенно больше. Используя несколько портов VMKernel или точек назначения, пользователям иногда было нужно 16 или даже 24 пути. Теперь максимум составляет 32 пути на LUN, что должно хватить всем.

2. Поддержка RDM для RHEL HA

Теперь для для работы Red Hat Enterprise HA можно использовать тома RDM на платформе vSphere. В корневых механизмах работы с хранилищами для этого были сделаны некоторые изменения.

3. Улучшения снапшотов VMFS SESparse

При чтении данных для машин со снапшотами существенно увеличилась производительность, так как чтение идет сразу из нужного VMDK, минуя всю цепочку снапшотов при каждом обращении, в отличие от того, как это было сделано раньше. Все это снижает latency на чтение.

4. Поддержка нескольких адаптеров Paravirtual RDMA (PVRDMA)

В vSphere 6.7 была анонсирована поддержка RDMA. Одним из ограничений было то, что для одной виртуальной машины можно было использовать только один адаптер PVRDMA. Теперь этой проблемы больше нет.

5. Улучшения производительности для томов VMFS

Здесь были сделаны улучшения первых операций чтения для тонких дисков. Они особенно проявляются при резервном копировании и восстановлении, операциях копирования данных и Storage vMotion.

6. Улучшения работы с NFS-хранилищами

Теперь не обязательно создавать клон ВМ для использования offload'а операций по созданию снапшотов уровня дискового массива. Теперь можно использовать любые виртуальные машины на базе снапшотов без необходимости создавать redo logs.

7. Поддержка High Performance Plugin FastPath для Fabric Devices

Плагин HPP теперь используется по умолчанию для устройств NVMe. В плагине есть 2 опции - SlowPath для legacy-поведения и новый FastPath для большей производительности, но с некоторыми ограничениями. Подробнее рассказано вот в этой статье.

8. HPP - дефолтный плагин для vSAN

Начиная с vSphere 7 Update 2, HPP теперь дефолтный MPP для всех устройств - SAS/SATA/NVMe (и Fabric Devices, как было сказано выше).

9. Улучшения VOMA

Средство vSphere On-disk Metadata Analyzer (VOMA) используется для нахождения и исправления повреждений метаданных томов, которые влияют на файловую систему и логические тома. Теперь это доступно и для spanned VMFS-томов. Более подробно об этом можно узнать тут.

10. Поддержка бОльших значений Queue Depth для vVols Protocol Endpoints

В некоторых случаях параметр Disk.SchedNumReqOutstanding (DSNRO) не соответствует глубине очереди на vVols Protocol Endpoint (PE) (он же VVolPESNRO). Теперь глубина очереди для PE равна 256 или берется максимальная глубина видимого LUN. Поэтому минимум PE QD выставлен в 256.

11. Создание Config vVol больше, чем на 4 ГБ

Теперь это позволяет партнерам VMware хранить образы для автоматических билдов на томах VVols.

12. Улучшения правил SPBM Multiple Snapshot

Движок Storage Policy Based Management позволяет администратору управлять фичами хранилищ VVols на уровне отдельных виртуальных машин. Теперь в рамках одной политики SPBM можно использовать несколько правил для снапшотов (например, интервалы их создания). Эта фича должна поддерживаться на уровне VASA у соответствующего производителя массива.

13. Поддержка снапшотов для Cloud Native Storage (CNS) на базе First Class Disks

Тома Persistent Volumes (PV) на платформе vSphere создаются как First-Class Disks (FCD). Это независимые диски без привязанных к ним ВМ. Для них теперь есть поддержка снапшотов и их можно делать в количестве до 32 штук. Это позволяет делать снапшоты ваших K8s PV на платформе vSphere Tanzu.

14. Маппинг CNS PV на vVol

В некоторых случаях пользователи хотят видеть, какие тома VVols ассоциированы с томами CNS Persistent Volume (PV). Теперь этот маппинг можно увидеть в интерфейсе CNS.

Компания VMware выпустила большое обновление серверной платформы виртуализации VMware vSphere 7 Update 2, включающее в себя множество новых возможностей и улучшений. Напомним, что прошлый релиз vSphere 7 Update 1 был выпущен в начале сентября прошлого года, так что времени прошло уже немало.

Нововведения второго пакета обновлений сконцентрированы в трех основных областях:

Давайте посмотрим на новые возможности vSphere 7 Update 2 более детально:

1. Инфраструктура AI и Developer Ready

На основе технологий, анонсированных в 2020 году, компании VMware и NVIDIA сделали совместный анонс платформы AI-Ready Enterprise Platform.

NVIDIA объединилась с VMware для виртуализации рабочих AI-нагрузок в VMware vSphere с помощью NVIDIA AI Enterprise. Это позволяет предприятиям разрабатывать широкий спектр решений для работы с искусственным интеллектом, таких, как расширенная диагностика в здравоохранении, умные предприятия для производства и обнаружение мошенничества в финансовых услугах.

NVIDIA предоставляет пользователям уникальный набор утилит и фреймворков для решения AI-задач на платформе VMware vSphere.

Решение AI Enterprise:

• Поддерживает последние поколения GPU от NVIDIA в целях достижения максимальной производительности (до 20 раз лучше, чем в прошлом поколении).
• Поддерживает NVIDIA GPUDirect RDMA for vGPUs.
• Поддерживает разделение NVIDIA multi-instance GPU (MIG), что позволяет обеспечивать горячую миграцию виртуальных машин c vGPU на борту c помощью vMotion.
• Посредством Distributed Resource Scheduler (DRS) обеспечивает автоматическую балансировку машин AI-инфраструктуры по хост-серверам.

Также появились и новые возможности в плане поддержки инфраструктуры контейнеров vSphere with Tanzu:

• Интегрированная балансировка нагрузки на приложения посредством VMware NSX Advanced Load Balancer Essentials edition с поддержкой HA с использованием автоматизаций Kubernetes-native (подробнее об этом тут).
• Сервисный кластер Tanzu Kubernetes Grid и Supervisor-кластер можно обновить до Kubernetes 1.19.
• Улучшенная поддержка сторонних репозиториев, что повышает гибкость и безопасность.

2. Инфраструктурные улучшения и безопасность данных

В этой категории появились следующие новые возможности:

• Новый vSphere Native Key Provider - механизм, который позволяет использовать защиту data-at-rest, такую как vSAN Encryption, VM Encryption и vTPM прямо из коробки.

• Поддержка Confidential Containers для vSphere Pods, которые используют память AMD SEV-ES и CPU data encryption на платформах AMD EPYC.
• Механизм ESXi Configuration Encryption, который использует оборудование Trusted Platform Module (TPM) для защиты ключей ESXi на хостах.
• Техника ESXi Key Persistence, которая дает возможности для защиты данных data-at-rest на изолированных хостах.
• Обновленный документ vSphere Security Configuration Guide.
• Обновленные рекомендации vSphere Product Audit Guides, а также FIPS validation для сервисов vCenter Server.

3. Упрощение операций

• Техника ESXi Suspend-to-Memory, которая позволяет еще проще обновлять хосты ESXi. Она доступна в комбинации с технологией ESXi Quick Boot. Виртуальные машины просто встают на Suspend в памяти ESXi, вместо эвакуации с хоста, а потом ядро гипервизора перезапускается и хост обновляется.
• Оптимизации процессоров AMD EPYC CPU, что приводит к улучшению производительности.
• Поддержка рабочих нагрузок Persistent Memory (PMEM) со стороны  vSphere HA. Это позволяет техникам DRS initial placement и High Availability полноценно работать в кластере.
• Новый функционал решения vSphere Lifecycle Manager with Desired Image Seeding, который позволяет автоматизировать обновление микрокода к желаемому состоянию:
  • Все фичи vSphere Lifecycle Manager теперь доступны для окружений vSphere with Tanzu.
  • Функция Desired image seeding позволяет реплицировать информацию о желаемой конфигурации с референсного хоста, экономя время администратора на настройку.
• Функция vMotion Auto Scaling, которая позволяет автоматически подстраивать производительность в сетях 25, 40 и 100 Гбит.
• Уменьшенное I/O latency и jitter для проброшенных напрямую (passthrough) сетевых адаптеров.
• Улучшенная поддержка Virtual Trusted Platform Module (vTPM) для гостевых ОС Windows и популярных дистрибутивов Linux.
• Улучшения VMware Tools, включая Guest Store - метод для распространения конфигураций и файлов между виртуальными машинами, а также драйверы Precision Clock drivers для службы Windows Time Service.
• Улучшенные vCenter Server REST API, что расширяет возможности по автоматизации операций vCenter.

Ссылки, которые могут оказаться полезными:

• Youtube-канал с новыми фичами vSphere 7 Update 2
• Технические статьи о некоторых новых возможностях
• Документация по vSphere
• Основной сайт VMware vSphere
• Release notes для ESXi 7 Update 2, а также для vCenter 7 Update 2

Скачать VMware vSphere 7 Update 2 можно по этой ссылке.

Недавно компания Veeam Software, производитель лучших решений для обеспечения доступности виртуального датацентра, выпустила обновление платформы Veeam Cloud Data Management Platform, в состав которой входит самое известное решение для защиты виртуальных сред - Veeam Backup and Replication v11. Мы уже писали об RTM-релизе этого продукта, где вкратце рассказывали его новых возможностях, а сегодня разберем их подробнее.

Итак, собственно основные новые возможности Veeam Backup and Replication v11 (наш топ-15):

1. CDP : Continuous Data Protection

Эта технология позволяет настроить непрерывную защиту виртуальных машин средствами репликации таким образом, чтобы соблюдать заданные политики RPO (Recovery Point Objectives). Достигается это за счет использования технологии VMware VAIO (vSphere API for I/O filtering).

Для этого на хосты ESXi ставится специальный VIB-пакет (фильтр VAIO), который в режиме драйвера привязывается к нужным ВМ.

При создании CDP-политики вы задаете время в секундах, за которое вы можете себе позволить потерять данные в случае сбоя (RPO):

Short-term реплики будут crash-консистентными, а long-term можно уже настроить как Application-aware, чтобы быть уверенным в работоспособности приложений виртуальной машины в конкретной точке в прошлом.

2. Функции асинхронного процессинга

В Veeam v11 при чтении данных с репозиториев происходит их асинхронный процессинг. Это ускоряет процесс для Enterprise-оборудования, но может быть неудобно для недорогих систем хранения, поэтому эту опцию можно отключить в реестре.

3. Возможность Backup Copy Retention

Политика хранения задач Backup copy job теперь имеет такую же логику, как и primary backup job - то есть GFS (Grandfather-Father-Son).

4. Улучшенная работа с тэгами vSphere

Теперь вы можете использовать оператор AND для добавления условия по комбинациям тегов при поиске и создании задач.

Теперь представление с избранными фильтрами есть в управляющем дереве наравне с самими фильтрами.

6. Защищенный Linux-репозиторий

Возможность создания на Linux-репозиториях бэкапов, которые нельзя удалить (immutability), в целях защиты от вредоносных действий, который может предпринять злоумышленник, заметая следы (также это очень полезно в борьбе с Ransomware, когда может возникнуть ситуация, что вас нет рабочих систем, а бэкапы удалены). Кроме того, это может защитить от намеренной порчи данных изнутри организации.

Подробнее об этой штуке мы писали вот тут.

7. Функция Instant MSSQL Recovery

Очень подробно об этой возможности на русском языке рассказано тут. Эта технология, по аналогии с Instant VM Recovery, позволяет быстро восстановить поврежденную или удаленную базу данных MS SQL из резервной копии. Для этого надо зайти в Restoring Application Items -> Microsoft SQL Server. Далее в Veeam Explorer для нужной базы нужно выбрать опцию Instant Recovery.

Работает сама технология по такой схеме:

Теперь вам не нужно развертывать эти виртуальные модули, чтобы иметь возможность быстро восстанавливать файлы на Linux. Бэкап можно примонтировать к любой Linux-машине напрямую. Теперь восстановление будет работать быстрее, так как не нужно тратить время на развертывание helper appliance.

Отдельные файлы можно восстанавливать также и в системах IBM AIX, MAC и Oracle Solaris.

9. Улучшенные режимы Linux Backup Proxy

Теперь можно использовать не только методику hot-add, как было в 10-й версии, но и другие режимы (Network Mode, Direct SAN с NFS, iSCSI и FC, а также бэкап из снапшотов хранилищ).

• Технология CDP Low second RPO replication, которая позволяет улучшить показатели репликации за счет использования интерфейса vSphere APIs for IO (VAIO).
• VCD to VCD Replication – функция для провайдеров VCSP, которая позволяет реплицировать данные между организациями VMware Cloud Director для одного или разных инстансов VCD.
• VCD Native HTML5 Plugin - vCloud Director Self Service Portal интегрирован напрямую в VCD.
• Улучшенная поддержка объектных хранилищ, в частности появилась поддержка Google Storage.

Новая версия консоли Veeam Service Provider Console v5 даст сервис-провайдерам следующие возможности: 

• Готовая к производственной эксплуатации третья версия API
• Новые возможности контроля над агентами для Windows, Linux и Mac
• Возможность управлять бэкапами на AWS и Azure через обновленные нативные плагины
• Улучшенные функции безопасности и новые интеграции

12. Модуль PowerShell для Veeam Backup and Replication

Теперь есть интегрированный модуль PowerShell 6.0, который устанавливается по умолчанию. Он позволяет управлять инфраструктурой резервного копирования на базе решений Veeam с помощью сценариев. Также в одиннадцатой версии Veeam B&R появилось 184 новых командлета.

13. Новый Rest API для Veeam Backup and Replication

Теперь Rest API есть не только в Veeam Backup Enterprise Manager, но и непосредственно на бэкап-серверах, что существенно увеличивает гибкость выполнения задач и построения новых интеграций через API.

14. Поддержка Amazon S3 Glacier и Microsoft Azure Archive Storage

Теперь администраторы могут использовать сервисы хранилища Amazon S3 Glacier (включая Glacier Deep Archive) и Microsoft Azure Archive Storage для обеспечения полного цикла облачного хранения резервных копий.

15. Расширение поддержки объектных хранилищ

Теперь можно использовать Google Cloud Storage (GCS) как объектное хранилище за счет нативной интеграции GCS через собственный API Veeam.

Backup & Replication v11 содержит новые версии Veeam ONE v11 (11.0.0.1379), а также апдейт Agent for Windows (5.0.0.4300) и Linux (5.0.0.4318), плюс совершенно новые Mac Agent (1.0.0.713) и Veeam Service Provider Console (5.0.0.6726). Про агенты можно подробно прочитать на русском языке вот тут.

Полный список новых возможностей приведен в документе Veeam v11 What's New (всего их более 200), в котором они занимают аж 21 страницу. Скачать новую версию этого продукта можно по этой ссылке.

Продолжаем рассказывать о лучшем в отрасли решении для создания программных хранилищ под виртуальные машины на базе хост-серверов ESXi - StarWind Virtual SAN for vSphere. Как многие знают, с какого-то момента StarWind стала поставлять свое решение для платформ VMware в виде виртуального модуля (Virtual Appliance) на базе Linux, который реализует основные сервисы хранения, дедупликации и компрессии, а также отказоустойчивости и обеспечения надежности данных в виртуальных машинах.

Для виртуального модуля StarWind работа механизма дедупликации и компрессии обеспечивается средствами Linux-движка Virtual Data Optimizer (VDO), который появился относительно недавно. Это удобный и надежный способ экономии дискового пространства за счет использования дополнительных емкостей оперативной памяти на хосте.

Для начала вам нужно определиться с оборудованием хостов ESXi, где вы будете развертывать виртуальные модули StarWind. Как вы понимаете, в целях обеспечения отказоустойчивости таких узлов должно быть как минимум два.

Что касается HDD и SSD-дисков, то нужно также спланировать конфигурацию RAID на хранилище хостов. Сделать это можно в соответствии с рекомендациями, описанными в базе знаний StarWind. Вы можете использовать программный или аппаратный RAID, о настройках которого мы расскажем ниже.

Что касается дополнительной оперативной памяти на хосте ESXi, то нужно выбирать ее объем, исходя из следующих критериев:

• 370 МБ плюс дополнительные 268 МБ на каждый 1 ТБ физического хранилища
• Дополнительно 250 МБ на 1 ТБ физического хранилища, если включена дедупликация (UDS index)

То есть для 4 ТБ физического хранилища с дедупликацией вам понадобится:

370 MB + 4 * 268 MB +4 * 250 MB = 2 442 MB RAM

Итого 2,4 ГБ оперативной памяти дополнительно к памяти под ОС виртуального модуля. Вообще, StarWind рекомендует 8 ГБ памяти для виртуального модуля - 4 ГБ на машину и 4 ГБ на движок VDO для работы с хранилищем.

Один VDO-том может работать с хранилищем до 256 ТБ, что покрывает максимум потребностей в рамках хранилищ на базе серверов. Также StarWind очень рекомендует использовать дисковые массивы All-flash или NVMe-оборудование.

Общее правило развертывания таких хранилищ таково:

• Под VDO: аппаратный или программный RAID (LVM или mdraid)
• Над VDO: "толстые" (thick) диски StarWind Virtual SAN в режиме stand-alone или HA

Надо понимать, что сам том VDO - это тонкий диск, растущий по мере наполнения, поэтому устройство под ним должно иметь расширяемую природу (MD RAID, LVM).

Примерная схема отказоустойчивого решения StarWind Virtual SAN for vSphere на базе 2 узлов выглядит так:

После того, как вы установите StarWind Virtual SAN, настроите виртуальную машину и StarWind Management Console, нужно будет настроить аппаратный или программный RAID для хранилища.

Если вы используете аппаратный RAID, то просто создайте виртуальный диск для ВМ StarWind Virtual SAN на его хранилище, но обязательно типа "Thick Provisioned Eager Zeroed" (также вы можете использовать RDM-диск):

Если же вы будете использовать программный RAID, то нужно будет использовать HBA или RAID-контроллер в режиме DirectPath I/O passthrough, чтобы получить прямой доступ к дискам и собрать на их базе RAID-массив.

Для этого вам нужно будте выбрать правильный HBA/RAID-контроллер как PCI-устройство:

И пробросить его напрямую в виртуальную машину StarWind:

После этого в StarWind Management Console можно будет собрать RAID нужного вам уровня:

Рекомендации тут такие:

После этого в виртуальном модуле StarWind на полученном хранилище нужно будет создать VDO-устройство с нужными вам параметрами:

vdo create –activate=enabled –deduplication=enabled –compression=disabled –emulate512=enabled –indexMem=%size% –vdoLogicalSize=%size% –device=%yourdevice% -n=%name%

Здесь мы видим, что создается устройство с включенной дедупликацией, выключенной компрессией, нужным размером индексной памяти и заданного объема.

После создания это устройство надо отформатировать в XFS со следующими параметрами:

Далее вы можете создавать хранилище StarWind на этом устройстве и (опционально) сделать его реплику на партнерском узле в режиме HA. Также рекомендуется выставить настройку Disk.DiskMaxIOSize на хосте ESXi

В значение 512:

Ну и про оптимизацию производительности I/O-планировщика прочитайте вот эту статью базы знаний StarWind. Если вам интересен процесс создания хранилищ с дедупликацией и компрессией на базе StarWind Virtual SAN в стиле "от и до", то рекомендуем прочитать вот эту статью.

Недавно компания VMware выпустила обновленную версию продукта vRealize Orchestrator 8.3 (vRO), который входит в семейство решений vRealize и взаимодействует с такими продуктами, как vRealize Automation и vRealize Suite. Orchestrator предназначен для автоматизации большинства рутинных операций и рабочих процессов в облаке на базе VMware vSphere. О версии Orchestrator 8.1 мы, кстати, писали вот тут.

Давайте посмотрим, что нового VMware добавила в Orchestrator 8.3:

1. Роль Viewer

Теперь с помощью этой роли можно в режиме просмотра получить доступ к объектам и страницам Orchestrator. Пользователь с этой ролью не может создавать, редактировать или запускать рабочие процессы или оперировать с другими объектами, такими как действия, конфигурации, ресурсы, политики и запланированные задачи.

Роль показана в интерфейсе настройки ролей как Orchestrator Viewer:

Для такого пользователя будет доступно только действие Open с объектами:

Также режим просмотра будет и в Scripting Editor:

Эта роль может быть полезна для групп мониторинга и аудита.

2. Места использования и зависимости

Теперь в интерфейса можно узнать, где используется часть рабочего процесса и найти связи с другими элементами:

3. Улучшения юзабилити

Теперь табличные представления можно фильтровать по имени, типу и описанию в дата гридах:

После применения фильтра, можно отсортировать результаты по имени:

И после этого применить еще один фильтр, например, нам нужны только булевые переменные:

Параметр фильтра вписывается во всплывающем окошке прямо в гриде по клику на иконку:

4. Поддержка стандарта Federal Information Processing Standards (FIPS)

Orchestrator 8.3 содержит криптографические модули, которые прошли тестирование по программе NIST FIPS 140-2 Cryptographic Module Validation Program (CMVP). Этот режим (FIPS-mode) можно выбрать только при новой установке, в процессе эксплуатации поменять его на обычный будет нельзя.

Более подробно о новых возможностях VMware vRealize Orchestrator 8.3 рассказано тут и тут. Release notes находятся здесь. Скачать vRO 8.3 можно по этой ссылке.

Казалось бы, совсем недавно мы писали о выходе Veeam Availability Suite v10, в состав которого входил Veeam Backup & Replication 10, а компания Veeam выпускает уже одиннадцатую версию. Но нет, прошло уже больше года! Поэтому вполне вовремя видеть Veeam Backup & Replication 11, который вступил в стадию RTM-релиза (то есть продукт стал уже доступен для партнеров Veeam).

Пока в блогах Veeam вы можете почитать, что там появилось нового в целом, а после выхода мы расскажем подробности о главных возможностях продукта:

• Функции NAS Recovery - Malware Detection и Machine Learning
• Функция Instant MSSQL Recovery для мгновенного восстановления баз данных (описание на русском языке)
• Улучшения Continuous Data Protection (CDP) в Veeam v11 + вот тут
• Улучшения нативного плагина для vCloud Director
• Новые функции для расширений (extensions)
• Новые возможности Veeam v11 для Linux
• Некоторые фичи Veeam Backup & Replication v11
• Улучшения агентов Veeam Backup & Replication v11 - улучшенная эффективность и поддержка снапшотов хранилищ (описание на русском языке)
• Опция Google Cloud object storage для Veeam v11 

Обратная совместимость и поддержка платформы Veeam

• Veeam Backup & Replication, начиная с версии 9.5 Update 4 (build 9.5.4.2866), может сохранять бэкапы через Cloud Connect в облачный репозиторий, включая таковой для версии v11.
• Для репликации Cloud Connect Replication, реплики на основе Pre vCloud Director Hardware Plan могут отбрасываться на облачный хост v11.
• Новую версию обязательно надо накатить на Veeam Backup for Office 365 v5, чтобы она была совместима с v11.
• Backup & Replication v11 содержит новые версии Veeam ONE v11 (11.0.0.1379), а также апдейт Agent for Windows (5.0.0.4300) и Linux (5.0.0.4318), плюс совершенно новые Mac Agent (1.0.0.713) и Veeam Service Provider Console (5.0.0.6726).

Улучшения Veeam Cloud Service Provider

• Технология CDP Low second RPO replication, которая позволяет улучшить показатели репликации за счет использования интерфейса vSphere APIs for IO (VAIO).
• VCD to VCD Replication – функция для провайдеров VCSP, которая позволяет реплицировать данные между организациями VMware Cloud Director для одного или разных инстансов VCD.
• VCD Native HTML5 Plugin - vCloud Director Self Service Portal интегрирован напрямую в VCD.
• Улучшенная поддержка объектных хранилищ, в частности появилась поддержка Google Storage.

Текущие лицензии на Veeam Backup & Replication v10 будут действовать и на одиннадцатую версию - получать новые лицензии вам не потребуется.

Улучшения Veeam Service Provider Console v5 

Новая версия консоли Veeam Service Provider Console v5 даст сервис-провайдерам следующие возможности: 

• Готовая к производственной эксплуатации третья версия API
• Новые возможности контроля над агентами для Windows, Linux и Mac
• Возможность управлять бэкапами на AWS и Azure через обновленные нативные плагины
• Улучшенные функции безопасности и новые интеграции

Более подробно о новом релизе Veeam Backup & Replication 11 рассказано на специальной странице вот тут, а в блоге Veeam вы можете найти статьи об отдельных функциях продукта. Официальный запуск новой версии платформы для резервного копирования и репликации состоится через 5 дней.

Наш постоянный читатель Сергей обратил внимание на то, что на днях компания VMware выпустила обновление своего главного фреймворка для управления виртуальной инфраструктурой с помощью сценариев - PowerCLI 12.2. Напомним, что о прошлой версии PowerCLI 12.1 осенью прошлого года мы писали вот тут.

Давайте посмотрим, что нового появилось в обновленном PowerCLI 12.2:

1. Поддержка VMware Horizon

Модуль PowerCLI для управления инфраструктурой Horizon теперь поддерживается для macOS и Linux OS.

2. Инфраструктура VMware Cloud

Появилась поддержка одного из самых популярных сервисов для обеспечения катастрофоустойчивости датацентров - DRaaS. Новые командлеты позволяют включать/отключать DRaaS в виртуальном датацентре VMC SDDC, а также добавлять и удалять инстансы SRM (Site Recovery Manager).

Вот так выглядит включение DRaaS:

Управление инстансами SRM происходит с помощью командлетов:

• Get-VmcSddcSiteRecoveryInstance
• New-VmcSddcSiteRecoveryInstance
• Remove-VmcSddcSiteRecoveryInstance

3. Поддержка VMware vSphere

• Расширенная поддержка vSphere Lifecycle Manager (vLCM)
  • Новые командлеты для экспорта и импорта состояния кластера
  • Новые командлеты для получения рекомендаций vLCM (Get-LcmClusterDesiredStateRecommendation)
  • Новые командлеты для получения аппаратной совместимости компонентов со стороны vLCM
  • Улучшенный командлет Set-Cluster для добавления кастомного репозитория ROBO-окружений
• Расширенная поддержка параметров OVF для объектов Content Library
• Добавлена поддержка шаблонов ВМ в Content Library
• Операция Foreach-object -Parallel теперь поддерживается

Вот так выглядит экспорт состояния кластера:

А вот так импорт:

4. Управление рабочими нагрузками

• Новые командлеты для управления лимитами пространств имен:
• Get-WMNamespaceLimits
• Set-WMNamespaceLimits

5. Поддержка NSX-T

• Теперь поддерживаются API компонента NSX-T global manager

Больше подробностей и примеров использования новых фич вы можете найти вот в этой статье. Скачать VMware PowerCLI 12.2 можно по этой ссылке.

Компания VMware выпустила обновление продукта vRealize Log Insight 8.3, предназначенного для поиска любых данных в виртуальной инфраструктуре, анализа лог-файлов и визуализации аналитики. О прошлой версии Log Insight 8.2 мы упоминали вот тут.

Давайте посмотрим, что нового появилось в Log Insight 8.3:

1. Поддержка стандарта Federal Information Processing Standard (FIPS) 140-2

В новой версии реализована поддержка стандарта от National Institute of Standards and Technology (NIST), который регулирует использование криптографических модулей в программных продуктах, используемых в государственных организациях.

После того, как вы включите режим FIPS, его нельзя уже будет отключить. После включения потребуется перезагрузка хостов кластера, поэтому он будет переведен в режим обслуживания.

Можно настроить предупреждающее сообщение:

Можно добавить кнопку I agree в конце диалогового окна:

2. Поддержка аутентификации cross-domain group-based authentication для пользователей vIDM

Пользователи продукта для единой аутентификации VMware Identity Manager теперь могут использовать группы из разных доменов Active Directory, между которыми есть траст.

3. Возможность загрузки LI Agent без аутентификации

Агент решения Log Insight (LI Agent) теперь можно скачивать напрямую и через API по ссылке https://<server>/api/v1/agent/install-packages/msi (можно использовать окончание пути для разных форматов /msi, /bin, /deb и /rpm).

Скачать VMware vRealize Log Insight 8.3 можно по этой ссылке.

Многие администраторы в крупных инфраструктурах сталкиваются с проблемами назначения и обновления лицензий компонентов VMware vSphere - серверов ESXi и vCenter. Это можно сделать в графическом интерфейсе vSphere Client, но когда у вас много хостов, это становится муторным делом, во время которого легко ошибиться или просто устать:) Давайте посмотрим, как можно просто это делать через PowerCLI...

Иногда администратор VMware vSphere задается вопросом о происхождении виртуальной машины - из какой родительской ВМ/шаблона она была клонирована? Вильям Лам разбирает это в своей статье, приведем вкратце его метод определения происхождения ВМ.

Как вы знаете, бывает три типа клонирования виртуальных машин в VMware vSphere:

• Full Clone - это полный клон, то есть независимая копия виртуальной машины, у которой нет ничего связанного с родительской ВМ, это просто ее полная копия.
• Linked Clone - это копия виртуальной машины, которая имеет общие диски с родительской, доступные на чтение (это экономит пространство и позволяет просто откатываться к родительскому образу). Уникальные данные эта машина хранит в собственных дельта-дисках.
• Instant Clone - это независимая копия виртуальной машины, которая начинает исполняться с какого-то момента и отделяется от основной машины. Для этого используются техники in-memory cloning и copy-on-write, которые используются также и для связанных клонов.

Чтобы найти источник клонированной машины, нужно проанализировать события vCenter Server Events. Вот какие они бывают касательно клонов:

• VmClonedEvent - появляется, когда происходит создание Full Clone или Linked Clone.
• com.vmware.vc.VmInstantClonedEvent - происходит при созданиии Instant Clone.
• VmDeployedEvent - вызывается, когда виртуальная машина развертывается из шаблона (vSphere Template или Content Library Template).

На базе анализа этих трех событий в истории vCenter Вильям Лам создал PowerCLI-функцию Get-VMCloneInfo, с помощью которой можно узнать родителя для виртуальной машины, если она была клонирована.

Устанавливаем ее простой командой:

Install-Script VMCloneInfo

На входе эта функция принимает имя ВМ, которую мы хотим проанализировать. Такой вывод мы получим, если машина не была клонирована:

> Get-VMCloneInfo -VMName "SourceVM"

Unable to find any cloning information for SourceVM, VM may not have been cloned or vCenter Events have rolled over

Так будет выглядеть вывод по полному клону:

> Get-VMCloneInfo -VMName "Full-Clone-VM"

  Type Source Date User

  ---- ------ ---- ----

Full SourceVM 1/3/2021 1:13:00 PM VSPHERE.LOCAL\Administrator

Так мы узнаем, что машина является связанным клоном:

> Get-VMCloneInfo -VMName "Linked-Clone-VM"

  Type Source Date User

  ---- ------ ---- ----

Linked SourceVM 1/3/2021 1:13:14 PM VSPHERE.LOCAL\Administrator

Так - что Instant-клоном:

> Get-VMCloneInfo -VMName "Instant-Clone-VM"

  Type Source Date User

  ---- ------ ---- ----

Instant SourceVM2 1/3/2021 1:12:44 PM VSPHERE.LOCAL\Administrator

Вот пример того, что машина была клонирована из шаблона vSphere Template:

> Get-VMCloneInfo -VMName "VMTX-VM"

  Type Source Date User

  ---- ------ ---- ----

Full SourceVMTXTemplate 1/3/2021 2:20:31 PM VSPHERE.LOCAL\Administrator

А вот - что из шаблона Content Library VM Template:

> Get-VMCloneInfo -VMName "VMTemplate-VM"

  Type Source Date User

  ---- ------ ---- ----

Full SourceVMTemplate 1/3/2021 2:23:41 PM VSPHERE.LOCAL\Administrator

Многие администраторы решения для создания отказоустойчивых хранилищ VMware vSAN иногда задумываются, чем отличаются политики хранилищ виртуальных машин (Storage Policies) для растянутых кластеров в плане Disaster Tolerance.

Дункан Эппинг написал об этом полезную заметку. Если вы не хотите, чтобы ваша виртуальная машина участвовала в растянутом кластере, то вам следует выбрать один из двух вариантов для настройки Site Disaster Tolerance: хранить все данные на основном сайте или все на резервном:

• None – Keep data on preferred (stretched cluster)
• None – Keep data on non-preferred (stretched cluster)

Между тем, в интерфейсе есть несколько схожих вариантов:

Например, есть еще два, казалось бы, подходящих:

• None – Stretched Cluster
• None – Standard Cluster

Но оба этих варианта политик хранилищ для растянутых кластеров не подходят. В первом случае (None – Stretched Cluster) виртуальная машина будет обрабатываться на уровне дисковых объектов, и vSAN будет решать, куда их поместить в растянутом кластере. Вполне может получиться такая ситуация, что один VMDK находится на одной площадке, а второй - на другой. При этом сама машина же может исполняться только на одном ESXi:

Такая ситуация очевидно очень плоха с точки зрения производительности.

Во втором же случае (None – Standard Cluster), если ваша машина настроена с точки зрения хранилищ на RAID-1 и FTT=1, то в растянутом кластере это превращается в SFTT=0 (Stretched FTT), что означает, что данные с одной площадки будут зеркалироваться на другую, но на уровне одной площадки будет храниться только одна копия данных дисковых объектов, что плохо с точки зрения надежности и отказоустойчивости.

Поэтому в растянутых кластерах для машин, которым не нужна "растянутость", используйте настройки Keep data on preferred или Keep data on non-preferred.

Многие администраторы виртуальной инфраструктуры VMware vSphere при планировании апгрейда не выясняют важных моментов, касающихся совместимости продуктов и так называемых upgrade paths, то есть поддерживаемых производителем рабочих процессов обновления платформы. В этой статье мы расскажем о том, что нужно выяснить перед апгрейдом...

Это гостевой пост нашего спонсора - сервис-провайдера ИТ-ГРАД, предоставляющего виртуальные машины из облака в аренду. В 2016 году мы писали о решении VMware Cloud Foundation. По прошествии лет приведенную информацию следует актуализировать. В статье мы разберем примеры и кейсы его применения в реальных условиях.

Еще в конце сентября компания Microsoft сделала объявление о том, что теперь решение для виртуализации и доставки настольных ПК и приложений VMware Horizon будет работать в облаке Microsoft Azure VMware в рамках программы VMware Cloud Foundation. Называется эта платформа Azure VMware Solution (AVS).

Платформа AVS предоставляет клиентам облачной IaaS-инфраструктуры Azure полный комплект облачных решений VMware стека SDDC, таких как vSphere, vSAN, NSX-T и других, которые бесшовно интегрированы в Microsoft Azure. Все это позволяет крупным компаниям строить гибридные инфраструктуры с единым набором инфраструктурных решений между онпремизной площадкой и облаком Azure.

В такой конфигурации пользователи получают еще и дополнительные плюшки, такие как расширенная поддержка Extended Security Updates до января 2023 года для Windows Server 2008, а также специальный прайс на Windows и SQL Server для гибридных инфраструктур.

Таким же образом, как и серверная инфраструктура, на платформе AVS теперь будет работать и инфраструктура пользовательских окружений VMware Horizon:

Рабочие нагрузки можно динамически и прозрачно для пользователей перемещать между онпремизной площадкой и облаком Azure. При этом можно будет использовать привычные администраторам возможности, такие как мгновенные клоны (Instant Clones) и протокол Blast Extreme.

В рамках подписки на VMware Horizon пользователи получат:

• Поддержку опубликованных приложений и десктопов (поддерживаются пулы persistent и non-persistent)
• Тома App Volumes для упрощенного управления приложениями в онпремизной и облачной среде
• Решение Dynamic Environment Manager для перемещаемых профилей Office с помощью контейнеров FSLogix Profile Containers
• Решение Workspace ONE Access для многофакторной аутентификации, условного доступа, single sign-on и многих других инструментов для мобильных и десктопных окружений

С точки зрения интеграции с Azure будут 2 приятных момента:

• Управляющие средства VMware Cloud Foundation будут интегрированы в Azure portal
• Спеццена на продукты Microsoft, которые используются приложениями Horizon Apps
• Гибкое ценообразование на Azure, включая почасовую оплату и специальные цены на зарезервированные десктопы

Полезные ссылки:

• Azure VMware Solution {VMware.com}
• Azure VMware Solution {Microsoft.com}
• Microsoft and VMware Team up to Offer the Next Evolution of the Azure VMware Solution
• Azure Sessions at VMworld 2020 {September 29 – October 1}

Пару недель назад компания VMware сделала очень много интересных анонсов в рамках онлайн-конференции VMworld 2020 Online, самые интересные из которых мы собрали вот тут.

Одним из таких анонсов стал выпуск новой версии решения vRealize Automation 8.2, предназначенного для автоматизации большинства рутинных операций в облаке на базе VMware vSphere (то, что раньше делалось только с помощью Orchestrator). О версии vRealize Automation 8.0 с прошлого VMworld мы писали вот тут.

Давайте посмотрим, что нового появилось в vRealize Automation 8.2:

• Объекты VMware Cloud Templates (ранее они назывались vRealize Automation Blueprints), реализующие механизм шаблонов для инфраструктуры VMware Cloud в части развертывания и оркестрации. В последнем релизе есть поддержка решений VMware Cloud Foundation, Kubernetes, NSX, а также расширенные интеграции со сторонними решениями, такими как Terraform и ServiceNow.

• Улучшенный механизм multi-tenancy с функциями централизованного управления инфраструктурой клиентов (тенантов) за счет функций Virtual Private Zones:

• Кастомный движок ролевой модели Role Based Access Control (RBAC):

• Возможность утверждения действий Day 2 actions для всех элементов каталога сервисов.

• Также была реализована поддержка First Class Disks (FCD):

• Функции облака самообслуживания - появилась очень тесная интеграция с архитектурой VMware Cloud Foundation (VCF).

• Улучшенные действия Day 2:

• Поддержка интерфейса NSX-T Policy API:

• Улучшения инфраструктуры DevOps - новый подход шаблонизации Infrastructure as Code (IaC) для инфраструктуры VMware Cloud на базе движка VMware Cloud Templates. Также можно определять и шарить действия (Actions) с помощью механизма Action Based Extensibility (ABX).

• Автоматизация Kubernetes - возможность самостоятельного развертывания пространств имен Kubernetes через каталог сервисов с учетом механизма IaC.

• Мастер обследования миграции Migration Assistant для выяснения способности миграции исходного окружения vRealize Automation 7 на версию 8.2:

Скачать VMware vRealize Automation 8.2 можно по этой ссылке. Release notes доступны тут.

В рамках конференции VMware VMworld Online 2020, которая в этом году в онлайне собрала участников по всему миру (билет, кстати, был бесплатным), была анонсирована и выпущена новая версия решения vRealize Suite Lifecycle Manager 8.2 (vRSLCM). Напомним, что Lifecycle Manager можно использовать для применения установочных образов, отслеживания соответствия (compliance) и приведения кластера к нужному уровню обновлений. Он пришел на смену решению VMware Update Manager (VUM), расширив его возможности.

Давайте посмотрим, что нового появилось в vRSLCM 8.2:

1. Поддержка VMware Cloud Foundation и VMware Cloud on AWS

Главная возможность vRSLCM - это операции с жизненным циклом решений, которые позволяют создавать новые окружения vRealize, развертывать и управлять их компонентами, а также накатывать патчи и обновления продуктов, как только они становятся доступными для скачивания.

Теперь vRSLCM отлично интегрируется с архитектурой VMware Cloud Foundation и облачной инфраструктурой VMware Cloud on AWS. Ранее была доступна возможность развернуть Lifecycle Manager напрямую из SDDC Manager. Интеграция для версий VCF 4.1 и vRSLCM 8.1.1 работает хорошо, а для vRSLCM 8.2 стала еще лучше.

vRSLCM теперь знает об инфраструктуре VCF и обеспечивает двустороннюю коммуникацию таким образом, что SDDC Manager понимает, что компоненты пакета vRealize Suite были развернуты. Также SDDC Manager позволяет загружать и накатывать патчи, а также развертывать балансировщик NSX-T в окружениях vRealize. Все это делается в соответствии с принципами VMware Validated Design.

Также пользователям VMware Cloud on AWS теперь можно запускать vRealize Suite в их инфраструктуре SDDC, а vRSLCM 8.2 официально поддерживает развертывание в облаке VMware Cloud on AWS на базе релизов M11 и M12.

2. Управление жизненным циклом источников данных vRealize Network Insight

Теперь для источников данных vRNI доступны операции редактирования и удаления. Также можно добавить дата сорсы в пакетном режиме через файлы конфигураций JSON или CSV, что очень удобно когда у вас много источников данных с однотипными конфигурациями (коммутаторы, роутеры и т.п.), которые нужно обрабатывать.

Также в пакетном режиме можно работать и с паролями, обновляя их массово для источников данных.

Для целей сетевого взаимодействия лучше настроить интеграцию с дата сорсами через SNMP, что теперь полностью поддерживается со стороны vRSLCM 8.2.

3. Поддержка Continuous Availability и Scale Up для vRealize Operations

Еще с версии vROPs 8.0 это решение имело функции Continuous Availability, которые позволяли разделить кластеры на два домена отказа с использованием witness-узла.

У vRSLCM 8.2 теперь есть опция по развертыванию нового кластера vRealize Operations с включенным CA. Это не позволит сразу настроить домены отказа и witness, но позволит выполнить пре-чеки на соответствие лучшим практикам для vRealize Operations CA:

В продукте vRSLCM всегда была функция "scale out", расширяющая кластер за счет новых узлов, а теперь появилась и фича "scale up" позволяющая сделать апгрейд аппаратных ресурсов старых узлов. Можно не только добавить CPU и RAM, но и увеличить размер диска. Функция "Vertical Scale Up" доступна для инсталляций vRealize Log Insight, vRealize Network Insight и vRealize Operations:

4. Исправление прошлых недочетов

Теперь можно переименовывать окружения и датацентры, доставшиеся вам от прошлых хозяев.

Также доступна возможность удаления серверов vCenter. Ну и можно теперь изменять и удалять Locker-пароли в vRSLCM 8.2 и видеть, где они используются.

5. Обновления самой платформы

Теперь у vRSLCM 8.2 появился публично доступный API, который работает пока для служб Lifecycle Operations и Locker services. В разделе меню также появилась ссылка API, которая ведет на соответствующий раздел документации. Примеры API-вызовов вы можете увидеть вот тут.

Еще одна новая возможность в этой категории - замена сертификатов для vRSLCM. В системном меню Lifecycle Operations есть пункт, который позволяет заменить самоподписанный сертификат для тот, что у вас есть для организации.

Ну и последний момент тут - это соответствие стандарту Federal Information Processing Standard (FIPS), а именно FIPS 140-2. Режим этого соответствия можно отключить, если необходимо.

Скачать vRealize Suite Lifecycle Manager 8.2 можно по этой ссылке, Release Notes доступны тут.

Коллега с virten.net написал замечательную статью об использовании сетевых адаптеров USB на хостах VMware ESXi, основные моменты которой мы приведем ниже.

Напомним, что подключить сетевые адаптеры USB на хостах ESXi можно с помощью драйвера USB Network Native Driver for ESXi, о котором мы не так давно писали вот тут. Такой адаптер, например, можно использовать, когда вам необходимо подключить дополнительные Ethernet-порты к серверу, а у него больше не осталось свободных PCI/PCIe-слотов.

Еще один вариант использования таких адаптеров - когда у вас (например, на тестовом сервере) есть всего один гигабитный порт, а вам нужно тестировать технологии и продукты, где нужно несколько высокоскоростных соединений.

Итак, после того, как вы скачаете драйвер, его установка делается одной командой:

# esxcli software vib install -d /path/ESXi700-VMKUSB-NIC-FLING-39035884-component-16770668.zip

На VMware ESXi 7 можно использовать фичу "component":

# esxcli software component apply -d /path/ESXi700-VMKUSB-NIC-FLING-39035884-component-16770668.zip

С помощью PowerShell можно создать кастомизированный образ ESXi с уже вшитым драйвером сетевого USB-адаптера. Просто раскомментируйте строчку с нужной версией драйвера:

# ESXi 7.0 Image with USB NIC Fling 1.6:
$baseProfile = "ESXi-7.0.0-15843807-standard"   # See https://www.virten.net/vmware/vmware-esxi-image-profiles/ for available Image Profiles

$usbFling = "ESXi700-VMKUSB-NIC-FLING-39035884-component-16770668.zip"        # Uncomment for ESXi 7.0

#$usbFling = "ESXi670-VMKUSB-NIC-FLING-39203948-offline_bundle-16780994.zip"  # Uncomment for ESXi 6.7

#$usbFling = "ESXi650-VMKUSB-NIC-FLING-39176435-offline_bundle-16775917.zip"  # Uncomment for ESXi 6.5
Add-EsxSoftwareDepot https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml

Export-ESXImageProfile -ImageProfile $baseProfile -ExportToBundle -filepath "$($baseProfile).zip"

Remove-EsxSoftwareDepot https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml

Invoke-WebRequest -Method "GET" https://download3.vmware.com/software/vmw-tools/USBNND/$($usbFling) -OutFile $($usbFling)

Add-EsxSoftwareDepot "$($baseProfile).zip"

Add-EsxSoftwareDepot $usbFling

$newProfile = New-EsxImageProfile -CloneProfile $baseProfile -name $($baseProfile.Replace("standard", "usbnic")) -Vendor "virten.net"

Add-EsxSoftwarePackage -ImageProfile $newProfile -SoftwarePackage "vmkusb-nic-fling"

Export-ESXImageProfile -ImageProfile $newProfile -ExportToIso -filepath "$($baseProfile.Replace("standard", "usbnic")).iso"

Export-ESXImageProfile -ImageProfile $newProfile -ExportToBundle -filepath "$($baseProfile.Replace("standard", "usbnic")).zip"
 

При установке VMware ESXi на хост, где есть только USB сетевые адаптеры, процесс может зависнуть на 81%. В этом случае почитайте вот эту статью.

Кстати, ваши USB-адаптеры лучше всего пометить наклейками. Автор предлагает указать имя хоста ESXi, MAC-адрес адаптера и его номер vusbX:

Номер виртуального vusbX не сохраняется при перезагрузках. Начиная с версии драйвера 1.6 можно закрепить MAC-адрес за нужным vusbX. Сначала найдем наш адаптер:

# esxcli network nic list |grep vusb |awk '{print $1, $8}'

vusb0 00:23:54:8c:43:45

vusb1 a0:ce:c8:cd:3d:5d

Затем сделаем статический маппинг адаптеров с использованием модуля vmkusb_nic_fling:

# esxcli system module parameters set -p "vusb0_mac=00:23:54:8c:43:45 vusb1_mac=a0:ce:c8:cd:3d:5d" -m vmkusb_nic_fling

В данной команде нужно перечислить все адаптеры через пробел (если вы вызываете ее второй раз, то нужно переуказать каждый из адаптеров, иначе маппинг сбросится).

Далее нужно проверить маппинги с помощью команды:

# esxcli system module parameters list -m vmkusb_nic_fling
Name                        Type    Value              Description
--------------------------  ------  -----------------  -----------
usbCdromPassthroughEnabled  int                        Enable USB CDROM device for USB passtrough: 0 No, 1 Yes
vusb0_mac                   string  00:23:54:8c:43:45  persist vusb0 MAC Address: xx:xx:xx:xx:xx:xx
vusb1_mac                   string  a0:ce:c8:cd:3d:5d  persist vusb1 MAC Address: xx:xx:xx:xx:xx:xx
vusb2_mac                   string                     persist vusb2 MAC Address: xx:xx:xx:xx:xx:xx
vusb3_mac                   string                     persist vusb3 MAC Address: xx:xx:xx:xx:xx:xx
vusb4_mac                   string                     persist vusb4 MAC Address: xx:xx:xx:xx:xx:xx
vusb5_mac                   string                     persist vusb5 MAC Address: xx:xx:xx:xx:xx:xx
vusb6_mac                   string                     persist vusb6 MAC Address: xx:xx:xx:xx:xx:xx
vusb7_mac                   string                     persist vusb7 MAC Address: xx:xx:xx:xx:xx:xx

Если вы хотите сделать текущий маппинг постоянным, то используйте команду:

# esxcli system module parameters set -p "$(esxcli network nic list |grep vusb |awk '{print $1 "_mac=" $8}' | awk 1 ORS=' ')" -m vmkusb_nic_fling

Также статические маппинги можно сделать и через PowerCLI. Выводим адаптеры:

PS> Get-VMHostNetworkAdapter -VMHost esx2.virten.lab -Physical -Name vusb* |select Name,Mac 

Name  Mac

----  ---

vusb0 00:23:54:8c:43:45

vusb1 a0:ce:c8:cd:3d:5d

Настраиваем маппинги MAC-адресов:

PS> get-vmhost esx2.virten.lab | Get-VMHostModule vmkusb_nic_fling | Set-VMHostModule -Options "vusb0_mac=00:23:54:8c:43:45 vusb1_mac=a0:ce:c8:cd:3d:5d"
 

Проверяем результат:

PS> get-vmhost esx2.virten.lab | Get-VMHostModule vmkusb_nic_fling |ft -AutoSize

  Name             Options

  ----             -------

vmkusb_nic_fling vusb0_mac=00:23:54:8c:43:45 vusb1_mac=a0:ce:c8:cd:3d:5d

Тестируем производительность адаптеров

В тесте используются три типа адаптеров на хосте ESXi:

• Intel NUC embedded NIC (подключен к физическому коммутатору)
• 1 Gbit StarTech USB NIC (подключен к физическому коммутатору)
• 2.5 Gbit CableCreation (кросс-соединение между хостами)

Измеряем задержки (latency) с помощью пинга (50 штук):

# ping [Address] -c 50

Результат:

Далее тестируем пропускную способность (bandwidth) с помощью iperf3. Для этого нужно сделать копию бинарника утилиты:

# cp /usr/lib/vmware/vsan/bin/iperf3 /usr/lib/vmware/vsan/bin/iperf3.copy

Запускаем сервер на первом ESXi:

# /usr/lib/vmware/vsan/bin/iperf3.copy -s

Далее запускаем клиент на втором ESXi. Тест идет 5 минут (300 секунд) с сэмплами каждые 10 секунд:

# /usr/lib/vmware/vsan/bin/iperf3.copy -i 10 -t 300 -c [SERVER-IP]

Результат:

Далее проводим операцию vMotion виртуальной машины между хостами ESXi. Результат таков:

Очевидно, кросс-соединение на адаптерах 2.5G рулит.

Проверка совместимости

Не все сетевые адаптеры USB поддерживаются нативным драйвером. Их актуальный список всегда можно найти вот тут. Вот эти адаптеры точно работают:

Адаптеры доступны в форм-факторах USB-A и USB-C. Между ними есть переходники.

Если вам нужно высокоскоростное соединение (multi-gigabit) между несколькими хостами, можно посмотреть на следующие коммутаторы:

• MikroTik CRS305-1G-4S+IN ($130 USD) - 4 порта
• MikroTik CRS309-1G-8S+IN ($260 USD) - 8 портов
• Netgear MS510TX ($260 USD) - 10 портов
• TRENDnet TEG-30102WS ($450 USD) - 10 портов

Самое быстрое и дешевое соединение между двумя хостами ESXi - соединить адаптеры патч-кордом напрямую:

Проверяйте параметр MTU size, когда включаете Jumbo Frames

Если вы меняете размер MTU на виртуальном коммутаторе, он принудительно меняется на всех подключенных к нему физических сетевых адаптерах. Имейте в виду, что эти адаптеры должны поддерживать выставляемый MTU size.

Посмотреть размер MTU можно следующей командой:

[root@esx4:~] esxcfg-nics -l
Name    PCI          Driver      Link Speed      Duplex MAC Address       MTU    Description
vmnic0  0000:00:1f.6 ne1000      Up   1000Mbps   Full   00:1f:c6:9c:47:13 1500   Intel Corporation Ethernet Connection (2) I219-LM
vusb0   Pseudo       uether      Up   1000Mbps   Full   00:24:9b:1a:bd:18 1600   ASIX Elec. Corp. AX88179
vusb1   Pseudo       uether      Up   1000Mbps   Full   00:24:9b:1a:bd:19 1500   ASIX Elec. Corp. AX88179

В данном примере MTU size настроен как 1600, что подходит для адаптеров (и работает для сети NSX-T). Если же вы поставите его в 9000, то увидите в vmkernel.log ошибки для dvSwitch о том, что такой размер не поддерживается устройством:

2020-07-19T16:10:42.344Z cpu6:524356)WARNING: vmkusb: Set MTU 9000 is not supported: Failure
2020-07-19T16:10:42.344Z cpu6:524356)WARNING: Uplink: 16632: Failed to set MTU to 9000 on vusb0

Если вы хотите проверить корректность вашего MTU size, то можно использовать команду ping с размером пакета MTU-28 байт (8 байт на заголовок ICMP и 20 байт на заголовок IP). Таким образом, для MTU size 1600 используйте число 1572:

[root@esx2:~] vmkping ++netstack=vxlan 192.168.225.10 -d -s 1572 -I vmk10
PING 192.168.225.10 (192.168.225.10): 1572 data bytes
1580 bytes from 192.168.225.10: icmp_seq=0 ttl=64 time=0.680 ms

[root@esx2:~] vmkping ++netstack=vxlan 192.168.225.10 -d -s 1573 -I vmk10
PING 192.168.225.10 (192.168.225.10): 1573 data bytes
sendto() failed (Message too long)

Источник статьи.